App Service Ortamlarının Ağ Mimarisine Genel Bakış
Önemli
Bu makale App Service Ortamı v1 hakkındadır. App Service Ortamı v1, 31 Ağustos 2024 tarihinde kullanımdan kaldırılacaktır. Kullanımı daha kolay olan ve daha güçlü bir altyapı üzerinde çalışan yeni bir App Service Ortamı sürümü vardır. Yeni sürüm hakkında daha fazla bilgi edinmek için App Service Ortamı giriş ile başlayın. Şu anda App Service Ortamı v1 kullanıyorsanız yeni sürüme geçmek için lütfen bu makaledeki adımları izleyin.
29 Ocak 2024 itibarıyla ARM/Bicep şablonları, Azure Portal, Azure CLI veya REST API gibi kullanılabilir yöntemlerden herhangi birini kullanarak yeni App Service Ortamı v1 kaynakları oluşturamıyabilirsiniz. Kaynak silme ve veri kaybını önlemek için 31 Ağustos 2024'e kadar App Service Ortamı v3'e geçmeniz gerekir.
App Service Ortamı her zaman bir sanal ağın alt ağı içinde oluşturulur; App Service Ortamı çalışan uygulamalar aynı sanal ağ topolojisinde bulunan özel uç noktalarla iletişim kurabilir. Müşteriler sanal ağ altyapılarının bölümlerini kilitleyebildiğinden, bir App Service Ortamı oluşan ağ iletişim akışlarının türlerini anlamak önemlidir.
Genel Ağ Akışı
bir App Service Ortamı (ASE) uygulamalar için bir genel sanal IP adresi (VIP) kullandığında, tüm gelen trafik bu genel VIP'ye ulaşır. Bu, uygulamalar için HTTP ve HTTPS trafiğini ve FTP için diğer trafiği, uzaktan hata ayıklama işlevselliğini ve Azure yönetim işlemlerini içerir. Genel VIP'de bulunan belirli bağlantı noktalarının (hem gerekli hem de isteğe bağlı) tam listesi için bir App Service Ortamı gelen trafiği denetleme makalesine bakın.
App Service Ortamı yalnızca ILB (iç yük dengeleyici) adresi olarak da adlandırılan bir sanal ağ iç adresine bağlı uygulamaları çalıştırmayı da destekler. ILB etkin bir ASE, uygulamalar ve uzaktan hata ayıklama çağrıları için HTTP ve HTTPS trafiğinde ILB adresine ulaşabilirsiniz. En yaygın ILB-ASE yapılandırmaları için FTP/FTPS trafiği de ILB adresine ulaşır. Ancak Azure yönetim işlemleri, ILB özellikli ASE'nin genel VIP'sinde 454/455 bağlantı noktalarına akmaya devam eder.
Aşağıdaki diyagramda, uygulamaların genel bir sanal IP adresine bağlı olduğu bir App Service Ortamı için çeşitli gelen ve giden ağ akışlarına genel bir bakış gösterilmektedir:
Bir App Service Ortamı özel müşteri uç noktalarıyla iletişim kurabilir. Örneğin, App Service Ortamı çalışan uygulamalar aynı sanal ağ topolojisindeki IaaS sanal makinelerinde çalışan veritabanı sunucularına bağlanabilir.
Önemli
Ağ diyagramına baktığımızda , "Diğer İşlem Kaynakları" App Service Ortamı farklı bir Alt Ağa dağıtılır. AsE ile aynı Alt Ağda yer alan kaynakların dağıtılması, ASE'den bu kaynaklara bağlantıyı engeller (belirli ASE içi yönlendirme hariç). Bunun yerine farklı bir Alt Ağa dağıtın (aynı sanal ağda). daha sonra App Service Ortamı bağlanabilir. Hiçbir ek yapılandırma gerekmez.
App Service Ortamı ayrıca bir App Service Ortamı yönetmek ve çalıştırmak için gereken Sql DB ve Azure Depolama kaynaklarıyla da iletişim kurar. Bir App Service Ortamı iletişim kurarken sql ve Depolama kaynaklarından bazıları App Service Ortamı ile aynı bölgede, diğerleri ise uzak Azure bölgelerinde bulunur. Sonuç olarak, bir App Service Ortamı düzgün çalışması için her zaman İnternet'e giden bağlantı gerekir.
Bir App Service Ortamı bir alt ağa dağıtıldığından, alt ağa gelen trafiği denetlemek için ağ güvenlik grupları kullanılabilir. bir App Service Ortamı gelen trafiği denetleme hakkında ayrıntılı bilgi için aşağıdaki makaleye bakın.
bir App Service Ortamı giden İnternet bağlantısına izin verme hakkında ayrıntılı bilgi için Express Route ile çalışma hakkında aşağıdaki makaleye bakın. Makalede açıklanan yaklaşım, Siteden Siteye bağlantıyla çalışırken ve zorlamalı tünel kullanırken de geçerlidir.
Giden Ağ Adresleri
Bir App Service Ortamı giden çağrılar yaptığında, ip adresi her zaman giden çağrılarla ilişkilendirilir. Kullanılan belirli IP adresi, çağrılan uç noktanın sanal ağ topolojisinde mi yoksa sanal ağ topolojisinin dışında mı bulunduğuna bağlıdır.
Çağrılan uç nokta sanal ağ topolojisinin dışındaysa, kullanılan giden adres (giden NAT adresi olarak da bilinir) App Service Ortamı genel VIP'dir. Bu adres, Özellikler bölümündeki App Service Ortamı için portal kullanıcı arabiriminde bulunabilir.
Bu adres, App Service Ortamı bir uygulama oluşturup uygulamanın adresinde nslookup gerçekleştirerek yalnızca genel VIP'ye sahip OLAN ASE'ler için de belirlenebilir. Sonuçta elde edilen IP adresi hem genel VIP hem de App Service Ortamı giden NAT adresidir.
Çağrılan uç nokta sanal ağ topolojisinin içindeyse , çağıran uygulamanın giden adresi, uygulamayı çalıştıran tek tek işlem kaynağının iç IP adresi olur. Ancak, sanal ağ iç IP adreslerinin uygulamalara kalıcı bir eşlemesi yoktur. Uygulamalar farklı işlem kaynakları arasında gezinebilir ve ölçeklendirme işlemleri nedeniyle bir App Service Ortamı kullanılabilir işlem kaynakları havuzu değişebilir.
Ancak, bir App Service Ortamı her zaman bir alt ağ içinde bulunduğundan, bir uygulamayı çalıştıran işlem kaynağının iç IP adresinin her zaman alt ağın CIDR aralığında yer aldığı garanti edilir. Sonuç olarak, sanal ağ içindeki diğer uç noktalara erişimin güvenliğini sağlamak için ayrıntılı ACL'ler veya ağ güvenlik grupları kullanıldığında, App Service Ortamı içeren alt ağ aralığına erişim verilmesi gerekir.
Aşağıdaki diyagramda bu kavramlar daha ayrıntılı olarak gösterilmektedir:
Yukarıdaki diyagramda:
- App Service Ortamı genel VIP değeri 192.23.1.2 olduğundan bu, "İnternet" uç noktalarına çağrı yapılırken kullanılan giden IP adresidir.
- App Service Ortamı içeren alt ağın CIDR aralığı 10.0.1.0/26'dır. Aynı sanal ağ altyapısı içindeki diğer uç noktalar, uygulamalardan gelen çağrıları bu adres aralığının içinde bir yerden kaynaklanan olarak görür.
App Service Ortamı Arasındaki Çağrılar
Aynı sanal ağda birden çok App Service Ortamı dağıtırsanız ve bir App Service Ortamı başka bir App Service Ortamı giden çağrılar yaparsanız daha karmaşık bir senaryo ortaya çıkabilir. Bu tür çapraz App Service Ortamı çağrıları da "İnternet" çağrıları olarak değerlendirilir.
Aşağıdaki diyagramda, ikinci bir App Service Ortamı (örneğin, İnternet'ten erişilebilir olması amaçlanmamış iç arka uç API uygulamaları) uygulamaları çağıran tek bir App Service Ortamı (örneğin "Ön kapı" web uygulamaları) içeren katmanlı mimari örneği gösterilmektedir.
Yukarıdaki örnekteki "ASE One" App Service Ortamı 192.23.1.2 giden IP adresine sahiptir. Bu App Service Ortamı çalışan bir uygulama, aynı sanal ağda bulunan ikinci bir App Service Ortamı ("ASE İki") üzerinde çalışan bir uygulamaya giden çağrı yaparsa, giden çağrı "İnternet" çağrısı olarak kabul edilir. Sonuç olarak, ikinci App Service Ortamı gelen ağ trafiği 192.23.1.2'den (ilk App Service Ortamı alt ağ adres aralığı değil) kaynaklanır olarak gösterilir.
Farklı App Service Ortamı arasındaki çağrılar "İnternet" çağrıları olarak ele alınsa da, her iki App Service Ortamı de aynı Azure bölgesinde bulunduğunda ağ trafiği bölgesel Azure ağında kalır ve genel İnternet üzerinden fiziksel olarak akmayacaktır. Sonuç olarak, yalnızca ilk App Service Ortamı gelen çağrılara izin vermek için (giden IP adresi 192.23.1.2 olan) ikinci App Service Ortamı alt ağında bir ağ güvenlik grubu kullanabilir ve böylece App Service Ortamı'ler arasında güvenli iletişim sağlayabilirsiniz.
Ek Bağlantılar ve Bilgiler
App Service Ortamı tarafından kullanılan ve gelen trafiği denetlemek için ağ güvenlik gruplarını kullanan gelen bağlantı noktalarıyla ilgili ayrıntılara buradan ulaşabilirsiniz.
App Service Ortamı'lere giden İnternet erişimi vermek için kullanıcı tanımlı yolları kullanma hakkındaki ayrıntılara bu makaleden ulaşabilirsiniz.