Application Gateway ile App Service’i yapılandırma

Application Gateway, arka uç havuzu üyesi olarak bir App Service uygulamasına veya başka bir çok kiracılı hizmete sahip olmanıza olanak tanır. Bu makalede App Service uygulamasını Application Gateway ile yapılandırmayı öğreneceksiniz. Application Gateway yapılandırması, App Service'e nasıl erişileceğine bağlı olarak farklılık gösterir:

  • İlk seçenek hem Application Gateway'de hem de arka uçtaki App Service'te özel bir etki alanı kullanır.
  • İkinci seçenek, Application Gateway'in App Service'e varsayılan etki alanını kullanarak erişmesini sağlamaktır ve ".azurewebsites.net" olarak son eklenmiştir.

Bu yapılandırma üretim sınıfı senaryolar için önerilir ve istek akışında ana bilgisayar adını değiştirmeme uygulamasını karşılar. Varsayılan ".azurewebsites" etki alanına güvenmek zorunda kalmamak için özel bir etki alanına (ve ilişkili sertifikaya) sahip olmanız gerekir.

Aynı etki alanı adını arka uç havuzundaki Application Gateway ve App Service ile ilişkilendirerek, istek akışının konak adını geçersiz kılması gerekmez. Arka uç web uygulaması, istemci tarafından kullanılan özgün ana bilgisayarı görür.

Scenario overview for Application Gateway to App Service using the same custom domain for both

Bu makalede şunları nasıl yapacağınızı öğreneceksiniz:

  • DNS yapılandırma
  • App Service'i Application Gateway'e arka uç havuzu olarak ekleme
  • App Service bağlantısı için HTTP Ayarlar yapılandırma
  • HTTP Dinleyicisi yapılandırma
  • İstek Yönlendirme Kuralı Yapılandırma

Ön koşullar

DNS'yi yapılandırma

Bu senaryo bağlamında DNS iki yerde geçerlidir:

  • Kullanıcının veya istemcinin Application Gateway'e doğru kullandığı DNS adı ve tarayıcıda gösterilen ad
  • Application Gateway'in arka uçtaki App Service'e erişmek için dahili olarak kullandığı DNS adı

Özel etki alanını kullanarak kullanıcıyı veya istemciyi Application Gateway'e yönlendirin. Application Gateway için DNS'ye işaret eden bir CNAME diğer adı kullanarak DNS'yi ayarlayın. Application Gateway DNS adresi, ilişkili Genel IP adresinin genel bakış sayfasında gösterilir. Alternatif olarak, doğrudan IP adresine işaret eden bir A kaydı oluşturun. (Application Gateway V1 için, hizmeti durdurup başlatırsanız VIP değişebilir ve bu da bu seçeneği istenmeyen hale getirir.)

App Service, gelen ana bilgisayar olarak özel etki alanı adını kullanarak Application Gateway'den gelen trafiği kabul etmesi için yapılandırılmalıdır. Özel bir etki alanını App Service'e eşleme hakkında daha fazla bilgi için bkz. Öğretici: Mevcut bir özel DNS adını Azure Uygulaması Hizmeti ile eşleme Etki alanını doğrulamak için App Service'in yalnızca txt kaydı eklenmesi gerekir. CNAME veya A kayıtlarında değişiklik gerekmez. Özel etki alanının DNS yapılandırması Application Gateway'e yönlendirilmiş olarak kalır.

HTTPS üzerinden App Service bağlantılarını kabul etmek için TLS bağlamasını yapılandırın. Daha fazla bilgi için bkz. Azure Key Vault'tan özel etki alanının sertifikasını çekmek için App Service'i yapılandırma Azure Uygulaması Service'te TLS/SSL bağlaması ile özel bir DNS adının güvenliğini sağlama.

App service'i arka uç havuzu olarak ekleme

  1. Azure portalında Application Gateway'inizi seçin.

  2. Arka uç havuzları'nın altında arka uç havuzunu seçin.

  3. Hedef türü altında Uygulama Hizmetleri'ne tıklayın.

  4. Hedef'in altında App Service'inizi seçin.

    App service backend

    Dekont

    Açılan liste yalnızca Application Gateway'inizle aynı abonelikteki uygulama hizmetlerini doldurur. Application Gateway'in bulunduğu abonelikten farklı bir abonelikte yer alan bir uygulama hizmetini kullanmak istiyorsanız, Hedefler açılan listesinde Uygulama Hizmetleri'niseçmek yerine IP adresi veya ana bilgisayar adı seçeneğini belirleyin ve uygulama hizmetinin ana bilgisayar adını (example.azurewebsites.net) girin.

  5. Kaydet'i seçin.

App Service için HTTP ayarlarını düzenleme

Application Gateway'e özel etki alanı adını kullanarak App Service arka ucuna erişmesini belirten bir HTTP Ayarı gereklidir. HTTP Ayarı varsayılan olarak varsayılan sistem durumu araştırmasını kullanır. Varsayılan sistem durumu yoklamaları, trafiğin alındığı konak adıyla istekleri iletse de, hiçbir konak adı açıkça tanımlanmadığından sistem durumu yoklamaları ana bilgisayar adı olarak 127.0.0.1'i Arka Uç Havuzu'na kullanır. Bu nedenle, ana bilgisayar adı olarak doğru özel etki alanı adıyla yapılandırılmış bir özel durum araştırması oluşturmamız gerekir.

HTTPS kullanarak arka uça bağlanacağız.

  1. HTTP Ayarlar altında var olan bir HTTP ayarını seçin veya yenisini ekleyin.
  2. Yeni bir HTTP Ayarı oluştururken buna bir ad verin
  3. 443 numaralı bağlantı noktasını kullanarak istenen arka uç protokolü olarak HTTPS'yi seçin
  4. Sertifika iyi bilinen bir yetkili tarafından imzalandıysa, "Kullanıcı tarafından iyi bilinen CA sertifikası" için "Evet" seçeneğini belirleyin. Alternatif olarak arka uç sunucularının kimlik doğrulaması/güvenilen kök sertifikalarını ekleme
  5. "Yeni ana bilgisayar adıyla geçersiz kıl" seçeneğini "Hayır" olarak ayarladığınızdan emin olun
  6. "Özel yoklama" açılan listesinden özel HTTPS sistem durumu araştırmasını seçin.

Configure H T T P Settings to use custom domain towards App Service backend using No Override

HTTP dinleyicisi yapılandırma

Trafiği kabul etmek için bir Dinleyici yapılandırmamız gerekir. Bu konuda daha fazla bilgi için bkz. Application Gateway dinleyici yapılandırması.

  1. "Dinleyiciler" bölümünü açın ve "Dinleyici ekle" seçeneğini belirleyin veya düzenlemek için mevcut bir bölüme tıklayın
  2. Yeni bir dinleyici için: Ona bir ad verin
  3. "Ön uç IP"nin altında, dinlenecek IP adresini seçin
  4. "Bağlantı noktası" altında 443'e tıklayın
  5. "Protokol" altında "HTTPS" öğesini seçin
  6. "Sertifika seçin" bölümünde "Key Vault'tan bir sertifika seçin" seçeneğini belirleyin. Daha fazla bilgi için bkz . Yönetilen kimlik atama ve Key Vault'unuza hak sağlama hakkında daha fazla bilgi bulabileceğiniz Key Vault'u kullanma.
    1. Sertifikaya bir ad verin
    2. Yönetilen Kimlik'i seçin
    3. Sertifikanın alınacağı Anahtar Kasası'nı seçin
    4. Sertifikayı seçin
  7. "Dinleyici Türü" altında "Temel" öğesini seçin
  8. Dinleyiciyi eklemek için "Ekle"ye tıklayın

Add a listener for H T T P S traffic

İstek yönlendirme kuralını yapılandırma

Önceki yapılandırılmış Arka Uç Havuzu ve HTTP Ayarlar kullanılarak, istek yönlendirme kuralı bir dinleyiciden gelen trafiği alacak ve HTTP Ayarlar kullanılarak Arka Uç Havuzuna yönlendirilecek şekilde ayarlanabilir. Bunun için, mevcut bir yönlendirme kuralına bağlı olmayan bir HTTP veya HTTPS dinleyiciniz olduğundan emin olun.

  1. "Kurallar" altında, yeni bir "İstek yönlendirme kuralı" eklemek için tıklayın
  2. Kuralı bir adla belirtin
  3. Henüz var olan bir yönlendirme kuralına bağlı olmayan bir HTTP veya HTTPS dinleyicisi seçin
  4. "Arka uç hedefleri" altında App Service'in yapılandırıldığı Arka Uç Havuzunu seçin
  5. Application Gateway'in App Service arka ucuna bağlanması gereken HTTP ayarlarını yapılandırma
  6. Bu yapılandırmayı kaydetmek için "Ekle" seçeneğini belirleyin

Add a new Routing rule from the listener to the App Service Backend Pool using the configured H T T P Settings

Test Etme

Bunu gerçekleştirmeden önce arka uç durumunun iyi durumda olduğundan emin olun:

"Arka uç durumu" bölümünü açın ve "Durum" sütununun HTTP Ayarı ve Arka Uç Havuzu birleşiminin "Sağlıklı" olarak gösterildiğinden emin olun.

Check backend health in Azure portal

Şimdi hem Application Gateway hem de arka uçtaki App Service ile ilişkilendirdiğiniz özel etki alanını kullanarak web uygulamasına göz atın.

Erişimi kısıtlama

Bu örneklerde dağıtılan web uygulamaları, doğrudan İnternet'ten erişilebilen genel IP adreslerini kullanır. Bu, yeni bir özellik hakkında bilgi edinirken ve yeni şeyler denerken sorun gidermeye yardımcı olur. Ancak bir özelliği üretim ortamına dağıtmayı planlıyorsanız daha fazla kısıtlama eklemek istersiniz. Aşağıdaki seçenekleri göz önünde bulundurun:

  • Hizmet uç noktalarına göre Erişim kısıtlama kurallarını yapılandırın. Bu, kaynak adresin Application Gateway'den olduğundan emin olmak için uygulamaya gelen erişimi kilitlemenize olanak tanır.
  • Azure Uygulaması Hizmeti statik IP kısıtlamalarını kullanın. Örneğin, web uygulamasını yalnızca uygulama ağ geçidinden trafik alacak şekilde kısıtlayabilirsiniz. Uygulama ağ geçidi VIP'sini erişimi olan tek adres olarak listelemek için app service IP kısıtlama özelliğini kullanın.