App Service ortamındaki arka uç kaynaklarına güvenli bir şekilde bağlanma

bir App Service Ortamı her zaman bir Azure Resource Manager sanal ağında veya klasik dağıtım modeli sanal ağında oluşturulduğundan, bir App Service Ortamı diğer arka uç kaynaklarına giden bağlantılar yalnızca sanal ağ üzerinden akabilir. Haziran 2016 itibarıyla, ASE'ler genel adres aralıkları veya RFC1918 adres alanları (özel adresler) kullanan sanal ağlara da dağıtılabilir.

Örneğin, 1433 numaralı bağlantı noktası kilitli bir sanal makine kümesinde çalışan bir SQL Server olabilir. Uç nokta, yalnızca aynı sanal ağdaki diğer kaynaklardan erişime izin vermek için ALD olabilir.

Başka bir örnek olarak, hassas uç noktalar şirket içinde çalışabilir ve Siteden Siteye veya Azure ExpressRoute bağlantıları aracılığıyla Azure'a bağlanabilir. Sonuç olarak, yalnızca Siteden Siteye veya ExpressRoute tünellerine bağlı sanal ağlardaki kaynaklar şirket içi uç noktalara erişebilir.

Bu senaryoların tümü için, bir App Service Ortamı üzerinde çalışan uygulamalar çeşitli sunuculara ve kaynaklara güvenli bir şekilde bağlanabilir. Uygulamalardan giden trafik bir App Service Ortamı aynı sanal ağdaki özel uç noktalara çalışıyorsa veya aynı sanal ağa bağlıysa, yalnızca sanal ağ üzerinden akar. Özel uç noktalara giden trafik genel İnternet üzerinden akmıyor.

Bir sorun, bir App Service Ortamı sanal ağ içindeki uç noktalara giden trafik için geçerlidir. App Service Ortamı, App Service Ortamı ile aynı alt ağda bulunan sanal makinelerin uç noktalarına erişemez. App Service Ortamı yalnızca App Service Ortamı tarafından kullanılmak üzere ayrılmış bir alt ağa dağıtılırsa bu sınırlama normalde sorun oluşturmamalıdır.

Giden Bağlantı ve DNS Gereksinimleri

Bir App Service Ortamı düzgün çalışması için çeşitli uç noktalara giden erişim gerekir. ASE tarafından kullanılan dış uç noktaların tam listesi, ExpressRoute için Ağ Yapılandırması makalesinin "Gerekli Ağ Bağlan üretkenliği" bölümündedir.

App Service Ortamı, sanal ağ için yapılandırılmış geçerli bir DNS altyapısı gerektirir. DNS yapılandırması bir App Service Ortamı oluşturulduktan sonra değiştirilirse, geliştiriciler yeni DNS yapılandırmasını almak için bir App Service Ortamı zorlayabilir. Portaldaki App Service Ortamı yönetimi dikey penceresinin üst kısmında Yeniden Başlat simgesini seçerek sıralı bir ortamın yeniden başlatılmasını tetikleyin ve bu da ortamın yeni DNS yapılandırmasını almasına neden olur.

Ayrıca App Service Ortamı oluşturmadan önce sanal ağ üzerindeki tüm özel DNS sunucularının önceden ayarlanması önerilir. Bir sanal ağın DNS yapılandırması bir App Service Ortamı oluşturulurken değiştirilirse bu, App Service Ortamı oluşturma işleminin başarısız olmasına neden olur. VPN ağ geçidinin diğer ucunda, ulaşılamayan veya kullanılamayan özel bir DNS sunucusu varsa, App Service Ortamı oluşturma işlemi de başarısız olur.

SQL Server'a Bağlan

Yaygın bir SQL Server yapılandırmasının 1433 numaralı bağlantı noktasında dinleyen bir uç noktası vardır:

Trafiği bu uç noktaya kısıtlamak için iki yaklaşım vardır:

• Ağ Erişim Denetim Listeleri (Ağ ACL'leri)
• Ağ Güvenlik Grupları

Ağ ACL'siyle Erişimi Kısıtlama

Bağlantı noktası 1433 bir ağ erişim denetimi listesi kullanılarak güvenli hale getirilebilir. Aşağıdaki örnek, bir sanal ağ içinden gelen istemci adreslerini atama izinlerine ekler ve diğer tüm istemcilere erişimi engeller.

SQL Server ile aynı sanal ağda App Service Ortamı çalışan tüm uygulamalar SQL Server örneğine bağlanabilir. SQL Server sanal makinesi için sanal ağ iç IP adresini kullanın.

Aşağıdaki örnek bağlantı dizesi özel IP adresini kullanarak SQL Server'a başvurur.

Server=tcp:10.0.1.6;Database=MyDatabase;User ID=MyUser;Password=PasswordHere;provider=System.Data.SqlClient

Sanal makinenin de genel uç noktası olsa da, ağ ACL'si nedeniyle genel IP adresini kullanma bağlantı girişimleri reddedilir.

Ağ Güvenlik Grubuyla Erişimi Kısıtlama

Erişimin güvenliğini sağlamak için alternatif bir yaklaşım, bir ağ güvenlik grubudur. Ağ güvenlik grupları tek tek sanal makinelere veya sanal makineleri içeren bir alt ağa uygulanabilir.

İlk olarak bir ağ güvenlik grubu oluşturmanız gerekir:

New-AzureNetworkSecurityGroup -Name "testNSGexample" -Location "South Central US" -Label "Example network security group for an app service environment"

Ağ güvenlik grubuyla yalnızca sanal ağ iç trafiğine erişimi kısıtlamak kolaydır. Bir ağ güvenlik grubundaki varsayılan kurallar yalnızca aynı sanal ağdaki diğer ağ istemcilerinden erişime izin verir.

Sonuç olarak, SQL Server'a erişimi kilitlemek kolaydır. Sql Server çalıştıran sanal makinelere veya sanal makineleri içeren alt ağa varsayılan kuralları olan bir ağ güvenlik grubu uygulamanız yeter.

Aşağıdaki örnek, içeren alt ağa bir ağ güvenlik grubu uygular:

Get-AzureNetworkSecurityGroup -Name "testNSGExample" | Set-AzureNetworkSecurityGroupToSubnet -VirtualNetworkName 'testVNet' -SubnetName 'Subnet-1'

Nihai sonuç, sanal ağ iç erişimine izin verirken dış erişimi engelleyen bir dizi güvenlik kuralıdır:

Kullanmaya başlama

App Service Ortamı kullanmaya başlamak için bkz. App Service Ortamı giriş

App Service Ortamı gelen trafiği denetleme hakkında ayrıntılı bilgi için bkz. App Service Ortamı gelen trafiği denetleme