Azure Application Gateway özellikleri
Azure Application Gateway, web uygulamalarınıza gelen trafiği yönetmenizi sağlayan bir web trafiği yük dengeleyicidir.
Application Gateway aşağıdaki özellikleri içerir:
- Güvenli Yuva Katmanı (SSL/TLS) sonlandırma
- Otomatik ölçeklendirme
- Bölge yedekliliği
- Statik VIP
- Web Uygulaması Güvenlik Duvarı
- AKS için Giriş Denetleyicisi
- URL tabanlı yönlendirme
- Birden çok site barındırma
- Yönlendirme
- Oturum benzeşliği
- Websocket ve HTTP/2 trafiği
- Bağlantı boşaltma
- Özel hata sayfaları
- HTTP üst bilgilerini ve URL’sini yeniden yazma
- Boyutlandırma
Güvenli Yuva Katmanı (SSL/TLS) sonlandırma
Application Gateway, ağ geçidinde SSL/TLS sonlandırmayı destekler. Bu sonlandırmanın ardından trafik genellikle arka uç sunucularına şifrelenmemiş olarak akar. Bu özellik, web sunucularının maliyetli şifreleme ve şifre çözme ek yükünden kurtulmasını sağlar. Ancak bazen sunuculara şifrelenmemiş iletişim kabul edilebilir bir seçenek değildir. Bunun nedeni güvenlik gereksinimleri, uyumluluk gereksinimleri veya uygulamanın yalnızca güvenli bir bağlantı kabul etmiş olması olabilir. Bu uygulamalar için, application gateway end- end SSL/TLS şifrelemeyi destekler.
Daha fazla bilgi için bkz. Ssl sonlandırmaya genel bakış ve ssl ile uz Application Gateway
Otomatik ölçeklendirme
Application Gateway Standard_v2 otomatik ölçeklendirmeyi destekler ve değişen trafik yükü desenlerine göre ölçeğini yukarı veya aşağı doğru ölçeklendirin. Otomatik ölçeklendirme ayrıca sağlama sırasında dağıtım boyutu veya örnek sayısı seçme gereksinimini de ortadan kaldırır.
Temel özellikler hakkında daha fazla Application Gateway Standard_v2 için bkz. Otomatik ölçeklendirme v2 SKU'su.
Bölge yedekliliği
Bir Standard_v2 Application Gateway birden çok uygulamaya yayılarak Kullanılabilirlik Alanları daha iyi hataya karşı daha fazla güvenlik sağlar ve her bölgede ayrı Application Gateway'ler sağlama ihtiyacı ortadan kaldırabilirsiniz.
Statik VIP
SKU'Standard_v2 uygulama ağ geçidi özel olarak statik VIP türünü destekler. Bu, uygulama ağ geçidiyle ilişkili VIP'nin uygulama ağ geçidinin kullanım ömrü boyunca bile Application Gateway.
Web Uygulaması Güvenlik Duvarı
Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızı yaygın açıklardan yararlanma ve güvenlik açıklarına karşı merkezi koruma sağlayan bir hizmettir. WAF, OWASP (Open Web Application Security Project) çekirdek kural kümeleri 3.1 (yalnızca WAF_v2), 3.0 ve 2.2.9'daki kuralları temel almaktadır.
Web uygulamaları, bilinen yaygın güvenlik açıklarından yararlanan kötü amaçlı saldırıların giderek daha fazla hedefi olmaktadır. Bu açıklardan yararlanma örnekleri arasında SQL ekleme saldırıları, siteler arası komut dosyası saldırıları yaygındır. Uygulama kodunda bu tür saldırıların önlenmesi zor olabilir ve uygulama topolojisinin birçok katmanında ayrıntılı bakım, düzeltme eki uygulama ve izleme işlemleri gerektirebilir. Merkezi bir web uygulaması güvenlik duvarı, güvenlik yönetimini çok daha kolay hale getirir ve yetkisiz erişim ya da izinsiz giriş tehditlerine karşı uygulama yöneticilerine daha iyi güvence verir. Bir WAF çözümü, bilinen bir güvenlik açığına merkezi bir konumda düzeltme eki uygulayarak güvenlik tehdidine karşı, web uygulamalarının her birinin güvenliğini sağlamaya göre daha hızlı tepki verebilir. Mevcut uygulama ağ geçitleri kolayca Web Uygulaması Güvenlik Duvarı özellikli bir uygulama ağ geçidine dönüştürmek için kullanılabilir.
Daha fazla bilgi için bkz. Azure Web Uygulaması Güvenlik Duvarı..
AKS için Giriş Denetleyicisi
Application Gateway Denetleyicisi (AGIC), Application Gateway (AKS) kümesi için giriş olarak Azure Kubernetes Service sağlar.
Giriş denetleyicisi AKS kümesi içinde bir pod olarak çalışır ve Kubernetes Giriş Kaynaklarını kullanır ve bunları bir Application Gateway yapılandırmasına dönüştürür. Bu yapılandırma, ağ geçidinin Kubernetes podlarına gelen trafiğin yükünü dengelemeye olanak sağlar. Giriş denetleyicisi yalnızca SKUS'Application Gateway Standard_v2 ve WAF_v2 destekler.
Daha fazla bilgi için bkz. Application Gateway Denetleyicisi (AGIC).
URL tabanlı yönlendirme
URL Yolu Tabanlı Yönlendirme, trafiği isteğin URL Yollarına göre arka uç sunucu havuzlarına yönlendirmenizi sağlar. Senaryolardan biri, farklı içerik türleri için istekleri farklı havuzlara yönlendirmektir.
Örneğin, http://contoso.com/video/* için istekler VideoServerPool’a ve http://contoso.com/images/* için istekler ImageServerPool’a yönlendirilir. Yol desenlerinden hiçbiri eşleşmiyorsa DefaultServerPool seçilir.
Daha fazla bilgi için bkz. URL Yolu Tabanlı Yönlendirmeye genel bakış.
Birden çok site barındırma
Bu Application Gateway, aynı uygulama ağ geçidinde birden fazla web uygulaması için ana bilgisayar adına veya etki alanı adına göre yönlendirmeyi yapılandırabilirsiniz. Bir uygulama ağ geçidine 100'den fazla web sitesi ekleyerek dağıtımlarınız için daha verimli bir topoloji yapılandırmanıza olanak tanır. Her web sitesi, kendi arka uç havuzuna yönlendirilebilir. Örneğin contoso.com, fabrikam.com ve adatum.com olmak üzere üç etki alanı, uygulama ağ geçidinin IP adresine işaret eder. Üç çoklu site dinleyicisi oluşturup her dinleyiciyi ilgili bağlantı noktası ve protokol ayarına göre yapılandırabilirsiniz.
için http://contoso.com istekler ContosoServerPool'a, FabrikamServerPool'a ve bu şekilde http://fabrikam.com devam ediyor.
Benzer şekilde, aynı üst etki alanının iki alt etki alanı, aynı uygulama ağ geçidi dağıtımında barındırılabilir. Alt etki alanı kullanım örnekleri, tek bir uygulama ağ geçidi dağıtımında barındırılan http://blog.contoso.com ve http://app.contoso.com öğelerini içerebilir. Daha fazla bilgi için bkz. Application Gateway site barındırma.
Ayrıca çoklu site dinleyicisinde joker karakter ana bilgisayar adı tanımlayabilir ve bunu dinleyici başına en fazla 5 ana bilgisayar adı için yapabilirsiniz. Daha fazla bilgi edinmek için dinleyicide joker karakter ana bilgisayar adları'ne bakın.
Yönlendirme
Birçok web uygulaması için yaygın bir senaryo, bir uygulama ile kullanıcıları arasındaki tüm iletişimin şifrelenmiş bir yol üzerinden yapıldığından emin olmak için otomatik HTTP’yi HTTPS’ye dönüştürme yeniden yönlendirmesini desteklemektir.
Geçmişte, tek amacı HTTP'den ALDıĞı istekleri HTTPS'ye yeniden yönlendirmek olan ayrılmış havuz oluşturma gibi teknikleri kullandınız. Uygulama ağ geçidi, Application Gateway’de trafiği yeniden yönlendirme özelliğini destekler. Bu uygulama yapılandırmasını basitleştirir, kaynak kullanımını en iyi duruma getirir ve genel ve yol tabanlı yeniden yönlendirme dahil yeni yeniden yönlendirme senaryolarını destekler. Application Gateway yönlendirme desteği yalnızca HTTP'den HTTPS'ye yeniden yönlendirme ile sınırlı değildir. Bu, kuralları kullanarak tanımladığınız herhangi bir bağlantı noktasından ve bağlantı noktasına yeniden yönlendirebilmeniz için genel bir yeniden yönlendirme mekanizmasıdır. Ayrıca, bir dış siteye yönlendirmeyi de destekler.
Application Gateway yeniden yönlendirme desteği aşağıdaki özellikleri sunar:
- Ağ Geçidi üzerindeki bir bağlantı noktasından başka bir bağlantı noktasına genel yeniden yönlendirme. Bu özellik, bir sitede HTTP’den HTTPS’ye yeniden yönlendirmeyi sağlar.
- Yol tabanlı yönlendirme. Bu tür yeniden yönlendirmeler, HTTP’den HTTPS’ye yeniden yönlendirmeyi yalnızca belirli bir site alanında (örneğin
/cart/*tarafından belirtilen bir alışveriş sepetinde) etkinleştirir. - Dış siteye yeniden yönlendirme.
Daha fazla bilgi için bkz. Application Gateway genel bakış.
Oturum benzeşimi
Tanımlama bilgilerine dayalı oturum benzeşimi özelliği, bir kullanıcı oturumunu aynı sunucuda tutmak istediğinizde kullanışlıdır. Ağ geçidi ile yönetilen tanımlama bilgilerini kullanan Application Gateway, sonraki trafiği işleme amacıyla bir kullanıcı oturumundan aynı sunucuya yönlendirebilir. Bu, oturum durumunun bir kullanıcı oturumuna ait sunucuya yerel olarak kaydedildiği durumlarda önemlidir.
Daha fazla bilgi için bkz. Uygulama ağ geçidi nasıl çalışır?
Websocket ve HTTP/2 trafiği
Application Gateway, WebSocket ve HTTP/2 protokolleri için yerel destek sağlar. WebSocket desteğini isteğe bağlı olarak etkinleştirmek veya devre dışı bırakmak için kullanıcı tarafından yapılandırılabilen bir ayar yoktur.
WebSocket ve HTTP/2 protokolleri, uzun süre çalışan bir TCP bağlantısı üzerinden bir sunucu ile bir istemci arasında tam çift yönlü iletişimi etkinleştirir. Bu, web sunucusu ile istemci arasında HTTP tabanlı uygulamalarda gerektiği gibi yoklama olmadan çift yönlü olabilen daha etkileşimli bir iletişime olanak sağlar. Bu protokoller HTTP'den farklı olarak düşük ek yüke sahiptir ve aynı TCP bağlantısını birden çok istek/yanıt için yeniden kullanabilir ve bu da daha verimli bir kaynak kullanımına neden olur. Bu protokoller, geleneksel HTTP bağlantı noktaları 80 ve 443 üzerinden çalışmak üzere tasarlanmıştır.
Daha fazla bilgi için bkz. WebSocket desteği ve HTTP/2 desteği.
Bağlantı boşaltma
Bağlantı boşaltma, planlı hizmet güncelleştirmeleri sırasında arka uç havuzu üyelerinin normal bir şekilde kapatılmasına yardımcı olur. Bu ayar bir arka uç http ayarıyla etkinleştirilir ve kural oluşturma sırasında bir arka uç havuzunun tüm üyelerine uygulanabilir. Application Gateway etkinleştirildikten sonra, bir arka uç havuzunun tüm kaydını kaldırmak örneklerinin yeni bir istek almamasını sağlarken, mevcut isteklerin yapılandırılmış bir süre sınırı içinde tamamlanmasını sağlar. Bu, arka uç havuzundan bir Kullanıcı yapılandırma değişikliği tarafından açıkça kaldırılan arka uç örnekleri için ve sistem durumu araştırmaları tarafından belirlendiği şekilde sağlıksız olarak bildirilen arka uç örnekleri için geçerlidir. Bunun tek istisnası, ağ geçidi ile yönetilen oturum benzeşimi nedeniyle açıkça kaydı yapılmış olan ve kaydını kaldırmak örneklerine yönelik olarak devam eden kaydını kaldırmak örneklerine yönelik isteklerdir.
Daha fazla bilgi için bkz. Application Gateway yapılandırmasına genel bakış.
Özel hata sayfaları
Application Gateway, varsayılan hata sayfalarını göstermek yerine özel hata sayfaları oluşturmanızı sağlar. Özel hata sayfası sayesinde kendi logonuzu ve sayfa düzeninizi kullanabilirsiniz.
Daha fazla bilgi için bkz. özel hatalar.
HTTP üst bilgilerini ve URL’sini yeniden yazma
HTTP üstbilgileri, istemci ve sunucunun istek veya Yanıt ile ek bilgi geçmesine izin verir. Bu HTTP üstbilgilerini yeniden yazmak, aşağıdaki gibi çeşitli önemli senaryolar gerçekleştirmenize yardımcı olur:
- HSTS/X-XSS-Protection gibi güvenlikle ilgili üst bilgi alanları ekleme.
- Hassas bilgileri açığa çıkartan yanıt üst bilgisi alanlarını kaldırma.
- Üst bilgiler Için X-Iletilen bağlantı noktası bilgilerini yakdırın.
Application Gateway ve WAF v2 SKU, istek ve yanıt paketleri istemci ile arka uç havuzları arasında gidip gelirken HTTP istek ve yanıt üst bilgileri eklemenize ya da mevcut bilgileri kaldırmanıza veya güncelleştirmenize olanak tanır. Ayrıca URL’leri, sorgu dizesi parametrelerini ve konak adını yeniden yazabilirsiniz. URL yeniden yazma ve URL tabanlı yeniden yönlendirmeyle, istekleri özgün yolu temel alan arka uç havuzlarından birine yönlendirebilir veya yol haritasını yeniden değerlendirme seçeneğini kullanarak yolu yeniden yazabilirsiniz.
Belirtilen üst bilgi ve URL’nin yalnızca belirli koşullar karşılandığında yeniden yazılmasını sağlamak için bu koşulları eklemenize de olanak tanır. Bu koşullar istek ve yanıt bilgilerine dayanır.
Daha fazla bilgi için bkz. http üst bilgilerini ve URL 'Yi yeniden yazma.
Boyutlandırma
Application Gateway Standard_v2, otomatik ölçeklendirme veya sabit boyutlu dağıtımlar için yapılandırılabilir. V2 SKU 'SU farklı örnek boyutları sunmaz. V2 performansı ve fiyatlandırması hakkında daha fazla bilgi için bkz. Otomatik ölçeklendirme v2 ve fiyatlandırmayı anlama.
Application Gateway Standard (v1) üç boyutta sunulur: küçük, Orta ve büyük. Küçük örnek boyutları, geliştirme ve test senaryolarına yöneliktir.
Application Gateway limitlerinin tam listesi için bkz. Application Gateway hizmet limitleri.
Aşağıdaki tabloda SSL boşaltması etkin olan her bir Application Gateway v1 örneği için ortalama performans performansı gösterilmektedir:
| Ortalama arka uç sayfa yanıt boyutu | Küçük | Orta | Büyük |
|---|---|---|---|
| 6 KB | 7,5 Mbps | 13 Mbps | 50 Mb/sn |
| 100 KB | 35 Mbps | 100 Mb/sn | 200 Mb/sn |
Not
Bu değerler bir uygulama ağ geçidi verimliliği için yaklaşık değerlerdir. Gerçek verimlilik; ortalama sayfa boyutu, arka uç örneklerinin konumu ve bir sayfaya hizmet etmek için işleme süresi gibi çeşitli ortam ayrıntılarına bağlıdır. Tam performans rakamlarına ulaşmak için kendi testlerinizi çalıştırmanız gerekir. Bu değerler yalnızca kapasite planlama konusunda yardımcı olmak için verilmiştir.
Sürüm özelliği karşılaştırması
Application Gateway v1-v2 özelliği karşılaştırması için bkz. Otomatik ölçeklendirme ve bölge yedekli Application Gateway v2
Sonraki adımlar
- Application Gateway nasıl çalıştığını öğrenin- uygulama ağ geçidi nasıl kullanılır ?