App Service uygulamaları için özel uç noktaları kullanma
Not
1 Haziran 2024'den itibaren, yeni oluşturulan App Service uygulamaları adlandırma kuralını <app-name>-<random-hash>.<region>.azurewebsites.netkullanan benzersiz bir varsayılan ana bilgisayar adı oluşturabilir. Mevcut uygulama adları değişmeden kalır. Örneğin:
myapp-ds27dh7271aah175.westus-01.azurewebsites.net
Daha fazla bilgi için bkz . App Service Kaynağı için Benzersiz Varsayılan Ana Bilgisayar Adı.
Önemli
Kapsayıcılı veya kapsayıcılı olmayan Windows ve Linux uygulamaları için özel uç noktalar şu App Service planlarında barındırılır: Temel, Standart, PremiumV2, PremiumV3, IsolatedV2, İşlevler Premium (bazen Elastik Premium planı olarak da adlandırılır).
App Service uygulamalarınız için özel uç nokta kullanabilirsiniz. Özel uç nokta, özel ağınızda bulunan istemcilerin Azure Özel Bağlantı üzerinden uygulamaya güvenli bir şekilde erişmesine olanak tanır. Özel uç nokta, Azure sanal ağ adres alanınızdan bir IP adresi kullanır. Özel ağınızdaki bir istemci ile uygulama arasındaki ağ trafiği, sanal ağ üzerinden ve Microsoft omurga ağındaki bir Özel Bağlantı üzerinden geçiş yapın. Bu yapılandırma, genel İnternet'ten etkilenmeyi ortadan kaldırır.
Uygulamanız için özel uç nokta kullanmak şunları kullanmanıza olanak tanır:
- Özel uç noktayı yapılandırarak uygulamanızın güvenliğini sağlayın ve genel kullanıma açıklanmayı ortadan kaldırmak için genel ağ erişimini devre dışı bırakın.
- VPN veya ExpressRoute özel eşlemesi kullanarak sanal ağa bağlanan şirket içi ağlardan uygulamanıza güvenli bir şekilde bağlanın.
- Sanal ağınızdan veri sızdırmaktan kaçının.
Kavramsal genel bakış
Özel uç nokta, sanal ağınızdaki bir alt ağdaki App Service uygulamanız için özel bir ağ arabirimidir (NIC). Uygulamanız için özel bir uç nokta oluşturduğunuzda, özel ağınızdaki istemciler ile uygulamanız arasında güvenli bağlantı sağlar. Özel uç noktaya sanal ağınızın IP adresi aralığından bir IP Adresi atanır. Özel uç nokta ile uygulama arasındaki bağlantı güvenli bir Özel Bağlantı kullanır. Özel uç nokta yalnızca uygulamanıza gelen trafik için kullanılır. Giden trafik bu özel uç noktayı kullanmaz. Sanal ağ tümleştirme özelliği aracılığıyla giden trafiği ağınıza farklı bir alt ağa ekleyebilirsiniz.
Bir uygulamanın her yuvası ayrı olarak yapılandırılır. Yuva başına en fazla 100 özel uç nokta kullanabilirsiniz. Yuvalar arasında özel uç nokta paylaşamazsınız. Yuvanın alt kaynak adıdır sites-<slot-name>.
Özel uç noktayı bağladığınız alt ağda başka kaynaklar olabilir. Ayrılmış boş bir alt ağa ihtiyacınız yoktur. Özel uç noktayı uygulamanızdan farklı bir bölgeye de dağıtabilirsiniz.
Not
Sanal ağ tümleştirme özelliği, özel uç noktayla aynı alt ağı kullanamaz.
Güvenlik açısından bakıldığında:
- Özel uç nokta ve genel erişim bir uygulamada birlikte bulunabilir. Daha fazla bilgi için erişim kısıtlamalarına genel bakış konusuna bakın.
- Yalıtımı sağlamak için, uygulamanızda özel uç noktaları etkinleştirdiğinizde genel ağ erişiminin devre dışı bırakıldığından emin olun.
- Diğer bölgelerdeki sanal ağ dahil olmak üzere diğer sanal ağlarda ve alt ağlarda birden çok özel uç noktayı etkinleştirebilirsiniz.
- Uygulamanızın erişim kısıtlama kuralları özel uç nokta üzerinden gelen trafik için değerlendirilmez.
- Hedefin İnternet veya Azure hizmetlerini etiketlediği tüm Ağ Güvenlik Grubu (NSG) kurallarını kaldırarak sanal ağdan veri sızdırma riskini ortadan kaldırabilirsiniz.
Uygulamanızın Web HTTP günlüklerinde istemci kaynağı IP'sini bulursunuz. Bu özellik, istemci IP özelliğini uygulamaya ileterek TCP Proxy protokolü kullanılarak uygulanır. Daha fazla bilgi için bkz . TCP Ara Sunucusu v2 kullanarak bağlantı bilgilerini alma.
DNS
App Service uygulamaları için özel uç nokta kullandığınızda, istenen URL uygulamanızın adıyla eşleşmelidir. Varsayılan olarak, <app-name>.azurewebsites.net. Benzersiz varsayılan konak adı kullandığınızda, uygulama adınız biçimindedir<app-name>-<random-hash>.<region>.azurewebsites.net. Aşağıdaki örneklerde mywebapp, tam bölgeselleştirilmiş benzersiz ana bilgisayar adını da temsil edebilir.
Varsayılan olarak, özel uç nokta olmadan web uygulamanızın genel adı kümenin kurallı adıdır. Örneğin, ad çözümlemesi şöyledir:
| Adı | Tür | Değer |
|---|---|---|
| mywebapp.azurewebsites.net | CNAME | clustername.azurewebsites.windows.net |
| clustername.azurewebsites.windows.net | CNAME | cloudservicename.cloudapp.net |
| cloudservicename.cloudapp.net | A | 192.0.2.13 |
Özel uç nokta dağıttığınızda, yaklaşım DNS girişini kurallı ada işaret eden şekilde güncelleştirir: mywebapp.privatelink.azurewebsites.net.
Örneğin, ad çözümlemesi şöyledir:
| Adı | Tür | Değer | Açıklama |
|---|---|---|---|
| mywebapp.azurewebsites.net | CNAME | mywebapp.privatelink.azurewebsites.net | |
| mywebapp.privatelink.azurewebsites.net | CNAME | clustername.azurewebsites.windows.net | |
| clustername.azurewebsites.windows.net | CNAME | cloudservicename.cloudapp.net | |
| cloudservicename.cloudapp.net | A | 192.0.2.13 | <--Bu genel IP sizin özel uç noktanız değil, 403 hatası alıyorsunuz |
Özel bir DNS sunucusu veya Azure DNS özel bölgesi ayarlamanız gerekir. Testler için test makinenizin konak girişini değiştirebilirsiniz.
Oluşturmanız gereken DNS bölgesi: privatelink.azurewebsites.net. A kaydı ve özel uç nokta IP'siyle uygulamanızın kaydını kaydedin.
Örneğin, ad çözümlemesi şöyledir:
| Adı | Tür | Değer | Açıklama |
|---|---|---|---|
| mywebapp.azurewebsites.net | CNAME | mywebapp.privatelink.azurewebsites.net | <--Azure, uygulama adresini özel uç nokta adresine işaret etmek için Azure Genel DNS'de bu CNAME girdisini oluşturur |
| mywebapp.privatelink.azurewebsites.net | A | 10.10.10.8 | <--Bu girdiyi DNS sisteminizde özel uç nokta IP adresinize işaret etmek için yönetirsiniz |
Bu DNS yapılandırmasından sonra, varsayılan ad mywebapp.azurewebsites.net ile uygulamanıza özel olarak ulaşabilirsiniz. için varsayılan sertifika verildiğinden *.azurewebsites.netbu adı kullanmanız gerekir.
Özel bir DNS adı kullanmanız gerekiyorsa, özel adı uygulamanıza ekleyin ve genel DNS çözümlemesini kullanarak özel adı herhangi bir özel ad gibi doğrulamanız gerekir. Daha fazla bilgi için bkz . özel DNS doğrulaması.
Kudu konsolu veya Kudu REST API (örneğin, Azure DevOps Services şirket içinde barındırılan aracılarla dağıtım) için, Azure DNS özel bölgenizdeki veya özel DNS sunucunuzdaki özel uç nokta IP'sine işaret eden iki kayıt oluşturmanız gerekir. Birincisi uygulamanız için, ikincisi ise uygulamanızın SCM'sine yöneliktir.
| Adı | Tür | Değer |
|---|---|---|
| mywebapp.privatelink.azurewebsites.net | A | PrivateEndpointIP |
| mywebapp.scm.privatelink.azurewebsites.net | A | PrivateEndpointIP |
v3'App Service Ortamı özellikle dikkat edilmesi gerekenler
IsolatedV2 planında (App Service Ortamı v3) barındırılan uygulamalar için özel uç noktayı etkinleştirmek için özel uç nokta desteğini App Service Ortamı düzeyinde etkinleştirin. Azure portalı tarafından App Service Ortamı yapılandırma bölmesinde veya aşağıdaki CLI aracılığıyla özelliği etkinleştirebilirsiniz:
az appservice ase update --name myasename --allow-new-private-endpoint-connections true
Belirli gereksinimler
Sanal ağ uygulamadan farklı bir abonelikteyse, sanal ağa sahip aboneliğin kaynak sağlayıcısı için Microsoft.Web kayıtlı olduğundan emin olun. Sağlayıcıyı açıkça kaydetmek için bkz . Kaynak sağlayıcısını kaydetme. Bir abonelikte ilk web uygulamasını oluşturduğunuzda sağlayıcıyı otomatik olarak kaydedersiniz.
Fiyatlandırma
Fiyatlandırma ayrıntıları için bkz. Azure Özel Bağlantı fiyatlandırma.
Sınırlamalar
- Elastik Premium planında Azure İşlevi'ni özel bir uç noktayla kullandığınızda, işlevi Azure portalında çalıştırmak için doğrudan ağ erişimine sahip olmanız gerekir. Aksi takdirde, bir HTTP 403 hatası alırsınız. İşlevi Azure portalından çalıştırmak için tarayıcınızın özel uç noktaya ulaşabilmesi gerekir.
- Belirli bir uygulamaya en fazla 100 özel uç nokta bağlayabilirsiniz.
- Uzaktan Hata Ayıklama işlevi özel uç nokta üzerinden kullanılamaz. Kodu bir yuvaya dağıtmanızı ve orada uzaktan hata ayıklamanızı öneririz.
- FTP erişimi, gelen genel IP adresi üzerinden sağlanır. Özel uç nokta, uygulamaya FTP erişimini desteklemez.
- IP Tabanlı TLS, özel uç noktalarda desteklenmez.
- Özel uç noktalarla yapılandırdığınız uygulamalar, hizmet uç noktası etkin alt ağlardan
Microsoft.Webgelen genel trafiği alamaz ve hizmet uç noktası tabanlı erişim kısıtlama kurallarını kullanamaz. - Özel uç nokta adlandırma türündeki kaynaklar
Microsoft.Network/privateEndpointsiçin tanımlanan kurallara uymalıdır. Daha fazla bilgi için bkz . Adlandırma kuralları ve kısıtlamaları.
Sınırlamalar hakkında güncel bilgiler için bkz . Sınırlamalar.
İlgili içerik
- Portal aracılığıyla uygulamanız için özel uç nokta dağıtmak için bkz . Azure portalıyla bir uygulamaya özel olarak bağlanma.
- Azure CLI kullanarak uygulamanız için özel uç nokta dağıtmak için bkz . Azure CLI ile bir uygulamaya özel olarak bağlanma.
- PowerShell kullanarak uygulamanız için özel uç nokta dağıtmak için bkz . PowerShell ile bir uygulamaya özel olarak bağlanma.
- Azure şablonunu kullanarak uygulamanız için özel uç nokta dağıtmak için bkz . Azure şablonuyla bir uygulamaya özel olarak bağlanma.
- Arm şablonuyla sanal ağ tümleştirmesi ve özel uç nokta ile bir ön uç uygulamasını güvenli bir arka uç uygulamasına bağlamanın uçtan uca örneğini görmek için bu hızlı başlangıç bölümüne bakın.
- Ön uç uygulamasını sanal ağ tümleştirmesi ve terraform ile özel uç nokta ile güvenli bir arka uç uygulamasına bağlamanın uçtan uca örneğini görmek için bu örneğe bakın.