Microsoft Azure Application Gateway
Microsoft Azure (Application Gateway) Uygulama Ağ Geçidi, bir hizmet olarak uygulama dağıtım denetleyicisi (ADC) sağlayan özel bir sanal aygıttır. Uygulamanız için çeşitli dengeleme özellikleri sunar. CPU yoğunluklu SSL sonlandırmasını uygulama ağ geçidine indirerek web farm üretkenliğini optimize etmelerini sağlar. Ayrıca, gelen trafiğin round robin dağıtımı, cookie tabanlı oturum yakınlığı, URL yolu tabanlı yönlendirme ve tek bir Application Gateway arkasında birden fazla web sitesi barındırma becerisi de dahil olmak üzere diğer katman 7 yönlendirme yetenekleri sağlar. Bir web uygulama güvenlik duvarı (WAF), uygulama ağ geçidi WAF SKU’nun parçası olarak da desteklenmektedir. Ortak web güvenlik açıklarından ve istismarlardan web uygulamalarına koruma sağlar. Application Gateway, İnternet’e bakan ağ geçidi, dahili ağ geçidi veya her ikisinin birleşimi olarak yapılandırılabilir.
Özellikler
Application Gateway aşağıdaki yeteneklere sahiptir:
- Web uygulama güvenlik duvarı – Azure Application Gateway’deki web uygulama güvenlik duvarı (WAF), web uygulamaları, SQL enjeksiyonu, çapraz site komut dosyası saldırıları ve oturum kaçırma gibi yaygın web tabanlı saldırılara karşı korur.
- HTTP yük dengelemesi – Application Gateway, round robin yük dengelemesi sağlar. Yük dengelemesi Katman 7’de yapılır ve yalnızca HTTP (S) trafiği için kullanılır.
- Cookie tabanlı oturum yakınlığı – Bir kullanıcı oturumunu aynı arka uçta tutmak istediğinizde cookie tabanlı oturum yakınlık kullanılabilir. Ağ geçidi tarafından yönetilen tanımlama bilgilerini kullanarak, Uygulama Ağ Geçidi, sonraki oturum trafiğini bir kullanıcı oturumundan işleme için aynı arka uça yönlendirebilir. Bu özellik, oturum durumunun bir kullanıcı oturumu için arka uç sunucusunda yerel olarak depolandığı durumlarda önemlidir.
- Secure Sockets Layer (SSL) boşaltma – Bu özellik, web sunucularınızdan HTTPS trafiğinin şifresini çözmek için maliyetli bir görev alır. Uygulama Ağ Geçidi’ndeki SSL bağlantısını sonlandırarak ve isteği sunucuya şifrelenmemiş olarak ileterek, web sunucusu şifre çözme tarafından yüklenmez. Application Gateway, istemciye geri göndermeden önce yanıtı tekrar şifreler. Bu özellik, arka ucun Azure’daki Uygulama Ağ Geçidi ile aynı güvenli sanal ağda bulunduğu senaryolarda kullanışlıdır.
- End to End SSL – Application Gateway, trafiğin uçtan uca şifrelemesini destekler. Uygulama Ağ Geçidi, bunu uygulama ağ geçidinde SSL bağlantısını sonlandırarak yapar. Daha sonra ağ geçidi, yönlendirme kurallarını trafige uygular, paketi yeniden şifreler ve paketi tanımlanan yönlendirme kurallarına dayanarak uygun arka uça iletir. Web sunucusundan gelen herhangi bir yanıt aynı işlemi son kullanıcıya geri gönderir.
- URL tabanlı içerik yönlendirmesi – Bu özellik, farklı trafik için farklı arka uç sunucuları kullanma olanağı sağlar. Web sunucusunda veya CDN için bir klasör için trafik farklı bir arka uça yönlendirilebilir. Bu özellik, belirli içeriğe hizmet etmeyen arka uçlardaki gereksiz yükü azaltır.
- Çoklu site yönlendirmesi – Uygulama geçidi, tek bir uygulama ağ geçidinde 20’ye kadar web sitesini konsolide etmenizi sağlar.
- Websocket desteği – Application Gateway’in diğer bir mükemmel özelliği, Websocket için yerel destektir.
- Health monitoring – Uygulama geçidi, arka plan kaynaklarının varsayılan sağlık izleme ve daha özel senaryoları izlemek için özel sondalar sağlar.
- SSL Policy ve Ciphers – Bu özellik, SSL protokol sürümlerini ve desteklenen şifreleme paketlerini ve bunların işleme sıralarını sınırlama olanağı sağlar.
- Yönlendirme isteği – Bu özellik, HTTP isteklerini bir HTTPS dinleyiciye yönlendirme yeteneği sağlar.
- Multi-tenant back-end desteği – Uygulama geçidi, Azure Web Apps ve API Ağ Geçidi gibi arka uç havuz üyeleri gibi çok kullanıcılı arka uç hizmetleri yapılandırmayı destekler.
- Gelişmiş tanılama – Uygulama geçidi tam teşhis ve erişim günlükleri sağlar. Güvenlik duvarı kayıtları, WAF’yi etkinleştirilmiş olan uygulama ağ geçidi kaynakları için kullanılabilir.
Faydaları
Application Gateway’in aşağıdaki gibi faydaları vardır:
- Aynı arka uç sanal makineye ulaşmak için aynı kullanıcı / istemci oturumundan gelen istekleri gerektiren uygulamalar. Bu uygulamalara örnek olarak alışveriş sepeti uygulamaları ve web posta sunucuları verilebilir.
- Web sunucu grupları için SSL sonlandırma yükünü kaldırma.
- Aynı uzun süredir devam eden TCP bağlantısında birden fazla HTTP isteği gerektiren, farklı arka uç sunucularına yönlendirilecek veya yük dengelenecek bir içerik dağıtım ağı gibi uygulamalar.
- Websocket trafiğini destekleyen uygulamalar
- Web uygulamaları, SQL enjeksiyonu, siteler arası komut dosyası çalıştırma saldırıları ve oturum kaçırma gibi yaygın web tabanlı saldırılardan korumak.
- Url yolu veya etki alanı üstbilgileri gibi farklı yönlendirme ölçütlerine dayalı trafik dağılımının mantıksal dağılımı.
Uygulama Ağ Geçidi tamamen Azure tarafından yönetilir, ölçeklenebilir ve yüksek kullanılabilirliktedir. Daha iyi yönetilebilirlik için zengin teşhis ve kayıt yetenekleri seti sunar. Bir uygulama geçidi oluşturduğunuzda, bir uç nokta (genel VIP veya dahili ILB IP) ilişkilendirilir ve giriş ağ trafiğinde kullanılır. Bu VIP veya ILB IP, aktarım düzeyinde (TCP / UDP) çalışan Azure Yük Dengeleyici tarafından sağlanır ve tüm gelen ağ trafiğinin, uygulama ağ geçidi çalışan örneklerine yük dengelenmesine neden olur. Uygulama ağ geçidi daha sonra sanal bir makine, bulut hizmeti, dahili veya harici bir IP adresi olsun yapılandırmasına bağlı olarak HTTP / HTTPS trafiğini yönlendirir.
Azure tarafından yönetilen bir hizmet olarak Application Gateway yük dengelemesi, Azure yazılım yük dengeleyicisinin arkasında bir katman 7 yük dengeleyicisinin sağlanmasına izin verir. Trafik yöneticisi, aşağıdaki diyagramda görülen senaryoyu tamamlamak için kullanılabilir; burada, Traffic Manager, farklı bölgelerdeki çoklu uygulama ağ geçidi kaynaklarına yönlendirme ve trafik durumu sağlarken, uygulama geçidi, bölgeler arası katman 7 yük dengelemesi sağlar.