Application Gateway HTTP ayarları yapılandırması
Uygulama ağ geçidi, burada belirttiğiniz yapılandırmayı kullanarak trafiği arka uç sunucularına yönlendirir. BIR HTTP ayarı oluşturduktan sonra, bunu bir veya daha fazla istek yönlendirme kuralıyla ilişkilendirmeniz gerekir.
Tanımlama bilgisi tabanlı benzeşim
Azure Uygulaması lication Gateway, kullanıcı oturumlarını korumak için ağ geçidi tarafından yönetilen tanımlama bilgilerini kullanır. Kullanıcı Application Gateway'e ilk isteği gönderdiğinde, yanıtta oturum ayrıntılarını içeren bir karma değeri olan bir benşim tanımlama bilgisi ayarlar, böylece benzim tanımlama bilgisini taşıyan sonraki istekler yapışkanlığı korumak için aynı arka uç sunucusuna yönlendirilir.
Bu özellik, bir kullanıcı oturumunu aynı sunucuda tutmak istediğinizde ve oturum durumu bir kullanıcı oturumu için sunucuda yerel olarak kaydedildiğinde kullanışlıdır. Uygulama tanımlama bilgisi tabanlı benzimliği işleyemiyorsa bu özelliği kullanamazsınız. Bunu kullanmak için istemcilerin tanımlama bilgilerini desteklediğinden emin olun.
Dekont
Bazı güvenlik açığı taramaları, Güvenli veya HttpOnly bayrakları ayarlanmadığından Application Gateway benzimliği tanımlama bilgisini işaret edebilir. Bu taramalar, tanımlama bilgisindeki verilerin tek yönlü karma kullanılarak oluşturulduğunu dikkate almaz. Tanımlama bilgisi herhangi bir kullanıcı bilgisi içermez ve yalnızca yönlendirme için kullanılır.
Chromium tarayıcıv80 güncelleştirmesi, SameSite özniteliği olmayan HTTP tanımlama bilgilerinin SameSite=Lax olarak ele alınması gereken bir görev getirdi. CORS (Çıkış Noktaları Arası Kaynak Paylaşımı) istekleri için tanımlama bilgisinin üçüncü taraf bağlamında gönderilmesi gerekiyorsa SameSite=None; Güvenli öznitelikler ve yalnızca HTTPS üzerinden gönderilmelidir. Aksi takdirde, yalnızca HTTP senaryosunda tarayıcı tanımlama bilgilerini üçüncü taraf bağlamında göndermez. Chrome'dan gelen bu güncelleştirmenin amacı güvenliği artırmak ve Siteler Arası İstek Sahteciliği (CSRF) saldırılarını önlemektir.
Bu değişikliği desteklemek için, 17 Şubat 2020'den itibaren Application Gateway (tüm SKU türleri), mevcut ApplicationGatewayAffinity tanımlama bilgisine ek olarak ApplicationGatewayAffinityCORS adlı başka bir tanımlama bilgisi ekler. ApplicationGatewayAffinityCORS tanımlama bilgisinin iki özniteliği daha eklenmiştir ("SameSite=None; Güvenli") bu sayede, çıkış noktaları arası istekler için bile yapışkan oturumlar korunur.
Varsayılan benek tanımlama bilgisi adının ApplicationGatewayAffinity olduğunu ve bunu değiştirebileceğinizi unutmayın. Özel benşim tanımlama bilgisi adı kullanıyorsanız, sonek olarak CORS ile birlikte ek bir tanımlama bilgisi eklenir. Örneğin, CustomCookieNameCORS.
Dekont
SameSite=None özniteliği ayarlanırsa, tanımlama bilgisinin Güvenli bayrağını da içermesi ve HTTPS üzerinden gönderilmesi zorunludur. CORS üzerinden oturum benzitesi gerekiyorsa, iş yükünüzü HTTPS'ye geçirmeniz gerekir. Application Gateway için TLS boşaltma ve Uçtan Uca TLS belgelerine buradan bakın: Genel bakış, Azure portalını kullanarak TLS sonlandırma ile uygulama ağ geçidi yapılandırma, Portal ile Application Gateway kullanarak uçtan uca TLS yapılandırma.
Bağlantı boşaltma
Bağlan boşaltma, planlı hizmet güncelleştirmeleri sırasında arka uç havuzu üyelerini düzgün bir şekilde kaldırmanıza yardımcı olur. Aşağıdaki arka uç örnekleri için geçerlidir:
- arka uç havuzundan açıkça kaldırıldı,
- ölçeği daraltma işlemleri sırasında kaldırıldı veya
- sistem durumu yoklamaları tarafından iyi durumda değil olarak bildirilir.
Arka Uç Ayarı'nda Bağlan Boşaltma'yı etkinleştirerek bu ayarı tüm arka uç havuzu üyelerine uygulayabilirsiniz. Bir arka uç havuzundaki tüm kayıt kaldırma örneklerinin yeni istek/bağlantı almamasını sağlarken, yapılandırılan zaman aşımı değerine kadar mevcut bağlantıları korur. Bu, WebSocket bağlantıları için de geçerlidir.
| Yapılandırma Türü | Değer |
|---|---|
| arka uç ayarında Bağlan boşaltma etkin olmadığında varsayılan değer | 30 saniye |
| Arka Uç Ayarı'nda Bağlan Ion Boşaltma etkinleştirildiğinde kullanıcı tanımlı değer | 1 - 3600 saniye |
Bunun tek istisnası, ağ geçidi tarafından yönetilen oturum benzimi nedeniyle örneklerin kaydını kaldırmaya yönelik isteklerdir ve kayıt kaldırma örneklerine iletilmeye devam edecektir.
Protokol
Application Gateway, istekleri arka uç sunucularına yönlendirmek için hem HTTP hem de HTTPS'yi destekler. HTTP'yi seçerseniz arka uç sunucularına gelen trafik şifrelenmemiş olur. Şifrelenmemiş iletişim kabul edilebilir değilse HTTPS'yi seçin.
Dinleyicide HTTPS ile birlikte bu ayar uçtan uca TLS'yi destekler. Bu, şifrelenmiş hassas verileri arka uca güvenli bir şekilde iletmenizi sağlar. Arka uç havuzundaki uçtan uca TLS'nin etkinleştirildiği her arka uç sunucusu, güvenli iletişime izin vermek için bir sertifikayla yapılandırılmalıdır.
Bağlantı noktası
Bu ayar, arka uç sunucularının uygulama ağ geçidinden gelen trafiği dinlediği bağlantı noktasını belirtir. 1 ile 65535 arasında bir bağlantı noktası yapılandırabilirsiniz.
Güvenilen kök sertifika
Arka uç protokolü olarak HTTPS'yi seçerseniz Application Gateway, uçtan uca SSL için arka uç havuzuna güvenmek için güvenilir bir kök sertifika gerektirir. Varsayılan olarak, İyi bilinen CA sertifikası kullan seçeneği Hayır olarak ayarlanır. Otomatik olarak imzalanan bir sertifika veya iç Sertifika Yetkilisi tarafından imzalanan bir sertifika kullanmayı planlıyorsanız, Application Gateway'e arka uç havuzunun kullanacağı eşleşen ortak sertifikayı sağlamanız gerekir. Bu sertifikanın içindeki Application Gateway'e doğrudan yüklenmesi gerekir. CER biçimi.
Arka uç havuzunda güvenilen bir genel Sertifika Yetkilisi tarafından imzalanan bir sertifika kullanmayı planlıyorsanız, İyi bilinen CA sertifikası kullan seçeneğini Evet olarak ayarlayabilir ve ortak sertifika yüklemeyi atlayabilirsiniz.
İstek zaman aşımı
Bu ayar, uygulama ağ geçidinin arka uç sunucusundan yanıt almak için beklediği saniye sayısıdır.
Arka uç yolunu geçersiz kıl
Bu ayar, istek arka uca iletildiğinde kullanmak üzere isteğe bağlı bir özel iletme yolu yapılandırmanızı sağlar. Gelen yolun geçersiz kılma arka uç yolu alanındaki özel yolla eşleşen herhangi bir bölümü, iletilen yola kopyalanır. Aşağıdaki tabloda bu özelliğin nasıl çalıştığı gösterilmektedir:
HTTP ayarı temel bir istek yönlendirme kuralına eklendiğinde:
Özgün istek Arka uç yolunu geçersiz kıl İstek arka uca iletildi /Ev/ /Geçersiz kılma/ /override/home/ /home/secondhome/ /Geçersiz kılma/ /override/home/secondhome/ HTTP ayarı yol tabanlı bir istek yönlendirme kuralına eklendiğinde:
Özgün istek Yol kuralı Arka uç yolunu geçersiz kıl İstek arka uca iletildi /pathrule/home/ /pathrule* /Geçersiz kılma/ /override/home/ /pathrule/home/secondhome/ /pathrule* /Geçersiz kılma/ /override/home/secondhome/ /Ev/ /pathrule* /Geçersiz kılma/ /override/home/ /home/secondhome/ /pathrule* /Geçersiz kılma/ /override/home/secondhome/ /pathrule/home/ /pathrule/home* /Geçersiz kılma/ /Geçersiz kılma/ /pathrule/home/secondhome/ /pathrule/home* /Geçersiz kılma/ /override/secondhome/ /pathrule/ /pathrule/ /Geçersiz kılma/ /Geçersiz kılma/
Özel yoklama kullanma
Bu ayar, özel bir araştırmayı bir HTTP ayarıyla ilişkilendirir. Http ayarıyla yalnızca bir özel araştırma ilişkilendirebilirsiniz. Özel bir araştırmayı açıkça ilişkilendirmezseniz, arka ucun durumunu izlemek için varsayılan yoklama kullanılır. Arka uçlarınızın sistem durumu izlemesi üzerinde daha fazla denetim için özel bir yoklama oluşturmanızı öneririz.
Dekont
Özel yoklama, karşılık gelen HTTP ayarı bir dinleyiciyle açıkça ilişkilendirilmediği sürece arka uç havuzunun durumunu izlemez.
Konak adını yapılandırma
Application Gateway, arka uçla kurulan bağlantının, istemci tarafından Application Gateway'e bağlanmak için kullanılandan farklı bir ana bilgisayar adı kullanmasına olanak tanır. Bu yapılandırma bazı durumlarda yararlı olsa da, ana bilgisayar adını istemci ve uygulama ağ geçidi ile uygulama ağ geçidi arasında arka uç hedefine farklı olacak şekilde geçersiz kılma işlemi dikkatle yapılmalıdır.
Üretimde, istemci tarafından kullanılan ana bilgisayar adının uygulama ağ geçidine doğru, uygulama ağ geçidi tarafından kullanılan ana bilgisayar adıyla arka uç hedefinde tutulması önerilir. Bu, mutlak URL'ler, yeniden yönlendirme URL'leri ve konağa bağlı tanımlama bilgileriyle ilgili olası sorunları önler.
Bundan sapan Application Gateway'i ayarlamadan önce mimari merkezi: Ters ara sunucu ile arka uç web uygulaması arasında özgün HTTP ana bilgisayar adını koruma bölümünde daha ayrıntılı olarak açıklandığı gibi bu yapılandırmanın etkilerini gözden geçirin
Bir HTTP ayarının, Application Gateway tarafından arka uça bağlanmak için kullanılan HTTP üst bilgisini etkileyen Host iki yönü vardır:
- "Arka uç adresinden ana bilgisayar adını seçin"
- "Ana bilgisayar adı geçersiz kılma"
Arka uç adresinden ana bilgisayar adını seçin
Bu özellik, istekteki konak üst bilgisini dinamik olarak arka uç havuzunun ana bilgisayar adına ayarlar. Bir IP adresi veya FQDN kullanır.
Bu özellik, arka ucun etki alanı adı uygulama ağ geçidinin DNS adından farklı olduğunda ve arka uç doğru uç noktaya çözümlenmesi için belirli bir ana bilgisayar üst bilgisine bağlı olduğunda yardımcı olur.
Örnek bir durum, arka uç olarak çok kiracılı hizmetlerdir. Uygulama hizmeti, tek bir IP adresiyle paylaşılan alan kullanan çok kiracılı bir hizmettir. Bu nedenle, bir uygulama hizmetine yalnızca özel etki alanı ayarlarında yapılandırılan konak adları aracılığıyla erişilebilir.
Varsayılan olarak, özel etki alanı adı example.azurewebsites.net. Uygulama hizmetine açıkça kaydedilmemiş bir ana bilgisayar adı aracılığıyla veya uygulama ağ geçidinin FQDN'sini kullanarak uygulama hizmetinize erişmek için, uygulama hizmetinin ana bilgisayar adına yönelik özgün istekte ana bilgisayar adını geçersiz kılabilirsiniz. Bunu yapmak için arka uç adres ayarından konak adını seçin ayarını etkinleştirin.
Mevcut özel DNS adı uygulama hizmetine eşlenen özel bir etki alanı için, önerilen yapılandırma arka uç adresinden konak adını seçmeyi etkinleştirmemektir.
Dekont
Bu ayar, ayrılmış bir dağıtım olan App Service Ortamı için gerekli değildir.
Ana bilgisayar adı geçersiz kılma
Bu özellik, uygulama ağ geçidinde gelen istekteki konak üst bilgisini belirttiğiniz konak adıyla değiştirir.
Örneğin, ana bilgisayar adı ayarında www.contoso.com belirtilirse, istek arka uç sunucusuna iletildiğinde özgün istek *https://appgw.eastus.cloudapp.azure.com/path1 olarak değiştirilirhttps://www.contoso.com/path1.