Öğretici: Azure portal kullanarak TLS sonlandırma ile Application Gateway yapılandırma

  • Makale

Arka uç sunucuları için sanal makineler kullanan TLS sonlandırma sertifikasına sahip bir uygulama ağ geçidi yapılandırmak için Azure portal kullanabilirsiniz.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

  • Otomatik olarak imzalanan sertifika oluşturma
  • Sertifikalı bir uygulama ağ geçidi oluşturma
  • Arka uç sunucuları olarak kullanılan sanal makineleri oluşturma
  • Uygulama ağ geçidini test etme

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Not

Azure ile etkileşime geçmek için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Önkoşullar

  • Bir Azure aboneliği

Otomatik olarak imzalanan sertifika oluşturma

Bu bölümde, otomatik olarak imzalanan bir sertifika oluşturmak için New-SelfSignedCertificate kullanırsınız. Sertifikayı, uygulama ağ geçidi için dinleyiciyi oluşturduğunuzda Azure portal yüklersiniz.

Yerel bilgisayarınızda yönetici olarak bir Windows PowerShell penceresi açın. Sertifikayı oluşturmak için aşağıdaki komutu çalıştırın:

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

Şu yanıta benzer bir yanıt görmeniz gerekir:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Sertifikadan pfx dosyasını dışarı aktarmak için döndürülen Parmak İzi ile Export-PfxCertificate kullanın. Desteklenen PFX algoritmaları PFXImportCertStore işlevinde listelenir. Parolanızın 4 - 12 karakter uzunluğunda olduğundan emin olun:

$pwd = ConvertTo-SecureString -String <your password> -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Azure'da oturum açma

Azure Portal oturum açın.

Uygulama ağ geçidi oluşturma

  1. Azure portal menüsünden + Kaynak> oluştur>Application Gateway'ı seçin veya portal arama kutusunda Application Gateway arayın.

  2. Oluştur’u seçin.

Temel Bilgiler sekmesi

  1. Temel Bilgiler sekmesinde şu değerleri girin veya seçin:

    • Kaynak grubu: Kaynak grubu için myResourceGroupAG öğesini seçin. Yoksa, oluşturmak için Yeni oluştur'u seçin.

    • Uygulama ağ geçidi adı: Uygulama ağ geçidinin adı olarak myAppGateway yazın.

      Yeni uygulama ağ geçidi oluşturma: Temel bilgiler

  2. Azure'ın oluşturduğunuz kaynaklar arasında iletişim kurabilmesi için bir sanal ağ gerekir. Yeni bir sanal ağ oluşturabilir veya var olan bir sanal ağı kullanabilirsiniz. Bu örnekte, uygulama ağ geçidini oluştururken yeni bir sanal ağ oluşturacaksınız. Application Gateway örnekleri ayrı alt ağlarda oluşturulur. Bu örnekte iki alt ağ oluşturursunuz: biri uygulama ağ geçidi için, diğeri de arka uç sunucuları için.

    Sanal ağı yapılandır'ın altında Yeni oluştur'u seçerek yeni bir sanal ağ oluşturun. Açılan Sanal ağ oluştur penceresinde, sanal ağı ve iki alt ağı oluşturmak için aşağıdaki değerleri girin:

    • Ad: Sanal ağın adı olarak myVNet girin.

    • Alt ağ adı (Application Gateway alt ağ): Alt ağlarkılavuzunda Varsayılan adlı bir alt ağ gösterilir. Bu alt ağın adını myAGSubnet olarak değiştirin.
      Uygulama ağ geçidi alt ağı yalnızca uygulama ağ geçitlerini içerebilir. Başka hiçbir kaynağa izin verilmez.

    • Alt ağ adı (arka uç sunucusu alt ağı): Alt ağlar kılavuzunun ikinci satırına Alt ağ adı sütununa myBackendSubnet yazın.

    • Adres aralığı (arka uç sunucu alt ağı): Subnets Grid'in ikinci satırına myAGSubnet adres aralığıyla çakışmayan bir adres aralığı girin. Örneğin, myAGSubnet adres aralığı 10.0.0.0/24 ise, myBackendSubnet adres aralığı için 10.0.1.0/24 girin.

    Tamam'ı seçerek Sanal ağ oluştur penceresini kapatın ve sanal ağ ayarlarını kaydedin.

    Yeni uygulama ağ geçidi oluşturma: sanal ağ

  3. Temel Bilgiler sekmesinde, diğer ayarlar için varsayılan değerleri kabul edin ve ardından İleri: Ön uçlar'ı seçin.

Ön uçlar sekmesi

  1. Ön Uçlar sekmesinde Ön uç IP adresi türününGenel olarak ayarlandığını doğrulayın.
    Ön uç IP'sini kullanım örneğiniz göre Genel veya Özel olacak şekilde yapılandırabilirsiniz. Bu örnekte Genel Ön Uç IP'sini seçeceksiniz.

    Not

    Application Gateway v2 SKU'su için yalnızca Genel ön uç IP yapılandırması'nı seçebilirsiniz. Özel ön uç IP yapılandırması şu anda bu v2 SKU için etkin değil.

  2. Genel IP adresi için Yeni ekle'yi seçin ve genel IP adresi adı olarak myAGPublicIPAddress girin ve ardından Tamam'ı seçin.

    Yeni uygulama ağ geçidi oluşturma: ön uçlar

  3. İleri: Arka uçlar'ı seçin.

Arka uçlar sekmesi

Arka uç havuzu, istekleri isteğe hizmet eden arka uç sunucularına yönlendirmek için kullanılır. Arka uç havuzları NIC'lerden, sanal makine ölçek kümelerinden, genel IP'lerden, iç IP'lerden, tam etki alanı adlarından (FQDN) ve Azure App Service gibi çok kiracılı arka uçlardan oluşabilir. Bu örnekte, uygulama ağ geçidinizle boş bir arka uç havuzu oluşturacak ve arka uç hedeflerini arka uç havuzuna ekleyeceksiniz.

  1. Arka uçlar sekmesinde Arka uç havuzu ekle'yi seçin.

  2. Açılan Arka uç havuzu ekle penceresinde, boş bir arka uç havuzu oluşturmak için aşağıdaki değerleri girin:

    • Ad: Arka uç havuzunun adı olarak myBackendPool girin.
    • Hedefleri olmayan arka uç havuzu ekleme: Hedefleri olmayan bir arka uç havuzu oluşturmak için Evet'i seçin. Uygulama ağ geçidini oluşturduktan sonra arka uç hedefleri ekleyeceksiniz.

  3. Arka uç havuzu ekle penceresinde Ekle'yi seçerek arka uç havuzu yapılandırmasını kaydedin ve Arka Uçlar sekmesine dönün.

    Yeni uygulama ağ geçidi oluşturma: arka uçlar

  4. Arka Uçlar sekmesinde İleri: Yapılandırma'yı seçin.

Yapılandırma sekmesi

Yapılandırma sekmesinde, bir yönlendirme kuralı kullanarak oluşturduğunuz ön uç ve arka uç havuzunu bağlayacaksınız.

  1. Yönlendirme kuralları sütununda Yönlendirme kuralıekle'yi seçin.

  2. Açılan Yönlendirme kuralı ekle penceresinde Kural adı olarak myRoutingRule girin.

  3. Yönlendirme kuralı için dinleyici gerekir. Yönlendirme kuralı ekle penceresinin Dinleyici sekmesinde dinleyici için aşağıdaki değerleri girin:

    • Dinleyici adı: Dinleyici adı olarak myListener girin.
    • Ön uç IP:Ön uç için oluşturduğunuz genel IP'yi seçmek için Genel'i seçin.
    • Protokol: HTTPS'yi seçin.
    • Bağlantı noktası: Bağlantı noktası için 443 girildiğinden emin olun.

    HTTPS Ayarları altında:

    • Sertifika seçin - Sertifikayı karşıya yükle'yi seçin.

    • PFX sertifika dosyası - Daha önce oluşturduğunuz c:\appgwcert.pfx dosyasına gidin ve dosyayı seçin.

    • Sertifika adı - Sertifikanın adı için mycert1 yazın.

    • Parola - Sertifikayı oluşturmak için kullandığınız parolayı yazın.

      Dinleyici sekmesindeki diğer ayarlar için varsayılan değerleri kabul edin, ardından yönlendirme kuralının geri kalanını yapılandırmak için Arka uç hedefleri sekmesini seçin.

    Yeni uygulama ağ geçidi oluşturma: dinleyici

  4. Arka uç hedefleri sekmesinde, Arka uç hedefi için myBackendPool öğesini seçin.

  5. HTTP ayarı için Yeni ekle'yi seçerek yeni bir HTTP ayarı oluşturun. HTTP ayarı yönlendirme kuralının davranışını belirler. Açılan HTTP ayarı ekle penceresinde HTTP ayarı adı olarak myHTTPSetting girin. HTTP ayarı ekle penceresinde diğer ayarlar için varsayılan değerleri kabul edin, ardından Yönlendirme kuralı ekle penceresine dönmek için Ekle'yi seçin.

    Yeni Application Gateway oluştur'un yapılandırma sekmesindeki H T T P ekleme ayarının ekran görüntüsü

  6. Yönlendirme kuralı ekle penceresinde Ekle'yi seçerek yönlendirme kuralını kaydedin ve Yapılandırma sekmesine dönün.

    Yeni uygulama ağ geçidi oluşturma: yönlendirme kuralı

  7. İleri: Etiketler'i ve ardından İleri: Gözden geçir + oluştur'u seçin.

Gözden geçirme ve oluşturma sekmesi

Gözden geçir ve oluştur sekmesindeki ayarları gözden geçirin ve ardından Oluştur'u seçerek sanal ağı, genel IP adresini ve uygulama ağ geçidini oluşturun. Azure'ın uygulama ağ geçidini oluşturması birkaç dakika sürebilir. Sonraki bölüme geçmeden önce dağıtımın başarıyla tamamlanmasını bekleyin.

Arka uç hedefleri ekleme

Bu örnekte hedef arka uç olarak sanal makineleri kullanacaksınız. Mevcut sanal makineleri kullanabilir veya yenilerini oluşturabilirsiniz. Azure'ın uygulama ağ geçidi için arka uç sunucusu olarak kullandığı iki sanal makine oluşturacaksınız.

Bunu yapmak için şunları yapacaksınız:

  1. Arka uç sunucusu olarak kullanılacak myVM ve myVM2 olmak üzere iki yeni VM oluşturun.
  2. Uygulama ağ geçidinin başarıyla oluşturulduğunu doğrulamak için sanal makinelere IIS yükleyin.
  3. Arka uç sunucularını arka uç havuzuna ekleyin.

Sanal makine oluşturma

  1. Azure portal menüsünden + Kaynak> oluşturİşlem>Windows Server 2016 Veri Merkezi'ni seçin veya portal arama kutusunda Windows Server'ı arayın ve Veri Merkezi'ni Windows Server 2016 seçin.

  2. Oluştur’u seçin.

    Application Gateway, trafiği arka uç havuzunda kullanılan herhangi bir sanal makine türüne yönlendirebilir. Bu örnekte bir Windows Server 2016 Datacenter kullanırsınız.

  3. Aşağıdaki sanal makine ayarları için Temel bilgiler sekmesine bu değerleri girin:

    • Kaynak grubu: Kaynak grubu adı olarak myResourceGroupAG öğesini seçin.
    • Sanal makine adı: Sanal makinenin adı olarak myVM girin.
    • Kullanıcı adı: Yönetici kullanıcı adı için bir ad girin.
    • Parola: Yönetici hesabı için bir parola girin.

  4. Diğer varsayılanları kabul edin ve ardından İleri: Diskler'i seçin.

  5. Diskler sekmesi varsayılanlarını kabul edin ve ardından İleri: Ağ'ı seçin.

  6. sekmesinde, Sanal ağ için myVNet'in seçili olduğunu ve AltAğınmyBackendSubnet olarak ayarlandığını doğrulayın. Diğer varsayılanları kabul edin ve ardından İleri: Yönetim'i seçin.

    Application Gateway içinde bulunduğu sanal ağın dışındaki örneklerle iletişim kurabilir, ancak IP bağlantısı olduğundan emin olmanız gerekir.

  7. Yönetim sekmesinde Önyükleme tanılama'yıDevre Dışı Bırak olarak ayarlayın. Diğer varsayılanları kabul edin ve gözden geçir + oluştur'u seçin.

  8. Gözden geçir ve oluştur sekmesinde ayarları gözden geçirin, doğrulama hatalarını düzeltin ve oluştur'u seçin.

  9. Devam etmeden önce dağıtımın tamamlanmasını bekleyin.

Test için IIS yükleme

Bu örnekte, yalnızca Azure'ın uygulama ağ geçidini başarıyla oluşturduğunu doğrulamak için sanal makinelere IIS yükleyeceksiniz.

  1. Azure PowerShell açın. Bunu yapmak için, Azure portal üst gezinti çubuğundan Cloud Shell seçin ve ardından açılan listeden PowerShell'i seçin.

    Özel uzantıyı yükleme

  2. Ortamınızın konum ayarını değiştirin ve ardından sanal makineye IIS yüklemek için aşağıdaki komutu çalıştırın:

           Set-AzVMExtension `
         -ResourceGroupName myResourceGroupAG `
         -ExtensionName IIS `
         -VMName myVM `
         -Publisher Microsoft.Compute `
         -ExtensionType CustomScriptExtension `
         -TypeHandlerVersion 1.4 `
         -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
         -Location <location>

  3. daha önce tamamladığınız adımları kullanarak ikinci bir sanal makine oluşturun ve IIS'yi yükleyin. Sanal makine adı ve Set-AzVMExtension cmdlet'inin VMName ayarı için myVM2 kullanın.

Arka uç havuzuna arka uç sunucuları ekleme

  1. Tüm kaynaklar'ı ve ardından myAppGateway öğesini seçin.

  2. Sol menüden Arka uç havuzları'nı seçin.

  3. myBackendPool öğesini seçin.

  4. Hedef türü'nin altında açılan listeden Sanal makine'yi seçin.

  5. Hedef'in altında, açılan listeden myVM altındaki ağ arabirimini seçin.

  6. myVM2 için ağ arabirimini eklemek için tekrarlayın.

    Arka uç sunucuları ekleme

  7. Kaydet’i seçin.

  8. Sonraki adıma geçmeden önce dağıtımın tamamlanmasını bekleyin.

Uygulama ağ geçidini test etme

  1. Tüm kaynaklar'ı ve ardından myAGPublicIPAddress öğesini seçin.

    Uygulama ağ geçidi genel IP adresini kaydetme

  2. Tarayıcınızın adres çubuğuna uygulama ağ geçidi ip adresinizi> https://< yazın.

    Otomatik olarak imzalanan bir sertifika kullandıysanız güvenlik uyarısını kabul etmek için Ayrıntılar'ı (veya Chrome'da Gelişmiş'i ) seçin ve web sayfasına gidin:

    Güvenli uyarı

    Güvenli IIS siteniz, sonra aşağıdaki örnekte olduğu gibi görüntülenir:

    Temel URL’yi uygulama ağ geçidinde test etme

Kaynakları temizleme

Artık gerekli olmadığında kaynak grubunu ve tüm ilgili kaynakları silin. Bunu yapmak için kaynak grubunu seçin ve Kaynak grubunu sil'i seçin.

Sonraki adımlar

Bu öğreticide şunları yaptınız:

  • Otomatik olarak imzalanan sertifika oluşturuldu
  • Sertifika ile bir uygulama ağ geçidi oluşturuldu

Application Gateway TLS desteği hakkında daha fazla bilgi edinmek için bkz. Application Gateway ve Application Gateway TLS ilkesiyleuçtan uca TLS.

Azure portal kullanarak birden çok web sitesi barındırmak üzere bir Application Gateway oluşturmayı ve yapılandırmayı öğrenmek için sonraki öğreticiye geçin.

Birden çok site barındırma