App Service Ortamı için özel etki alanı son eki

App Service Ortamı, App Service uygulamalarını yüksek ölçekte güvenli bir şekilde çalıştırmak için tamamen yalıtılmış ve ayrılmış bir ortam sağlayan bir Azure Uygulaması Hizmeti özelliğidir. App Service Ortamı varsayılan etki alanı soneki için DNS ayarları, uygulamalarınızın yalnızca bu adlarla erişilebilir olmasını kısıtlamaz. Özel etki alanı son eki, App Service Ortamınızdaki uygulamalara erişmek için kendi etki alanı son ekinizi kullanmanıza olanak tanıyan bir iç yük dengeleyici (ILB) App Service Ortamı özelliğidir.

App Service Ortamı yoksa bkz. App Service Ortamı v3 oluşturma.

Not

Bu makale, App Service Yalıtılmış v2 planlarıyla kullanılan App Service Ortamı v3'ün özelliklerini, avantajlarını ve kullanım örneklerini kapsar.

Özel etki alanı soneki, App Service Ortamı tarafından kullanılan bir kök etki alanını tanımlar. Azure Uygulaması Hizmeti'nin genel varyasyonunda, tüm web uygulamaları için varsayılan kök etki alanı azurewebsites.net. ILB App Service Ortamı için varsayılan kök etki alanı appserviceenvironment.net. Ancak, bir ILB App Service Ortamı müşterinin sanal ağında dahili olduğundan, müşteriler bir şirketin iç sanal ağında kullanmak için anlamlı olan varsayılan etki alanına ek olarak kök etki alanı kullanabilir. Örneğin, varsayımsal bir Contoso Corporation, yalnızca Contoso'nun sanal ağı içinde çözümlenebilir ve erişilebilir olması amaçlanan uygulamalar için varsayılan kök etki alanı internal.contoso.com kullanabilir. Bu sanal ağdaki bir uygulamaya APP-NAME.internal.contoso.com erişilerek erişilebilir.

Özel etki alanı soneki App Service Ortamı içindir. Bu özellik, App Service'te özel etki alanı bağlamasından farklıdır. Özel etki alanı bağlamaları hakkında daha fazla bilgi için bkz. Mevcut bir özel DNS adını Azure Uygulaması Hizmeti ile eşleme.

Özel etki alanı soneki için kullanılan sertifika *.scm için Konu Alternatif Adı (SAN) girdisi içeriyorsa. CUSTOM-DOMAIN, scm sitesine APP-NAME.scm.CUSTOM-DOMAIN'den de erişilebilir. Scm'ye yalnızca temel kimlik doğrulaması kullanarak özel etki alanı üzerinden erişebilirsiniz. Çoklu oturum açma yalnızca varsayılan kök etki alanıyla mümkündür.

Önceki sürümlerden farklı olarak, App Service Ortamı v3'lerinizdeki Uygulama Hizmetlerinizin FTPS uç noktalarına yalnızca varsayılan etki alanı soneki kullanılarak erişilebilir.

Özel etki alanı sonek uç noktasına bağlantının TLS tabanlı bağlantılar için Sunucu Adı Göstergesi'ni (SNI) kullanması gerekir.

Önkoşullar

  • App Service Ortamı v3'ün ILB varyasyonu.
  • Geçerli SSL/TLS sertifikası içindeki bir Azure Key Vault'ta depolanmalıdır. PFX biçimi. App Service ile sertifika kullanma hakkında daha fazla bilgi için bkz. Azure Uygulaması Service'te TLS/SSL sertifikası ekleme.
  • Sertifika 20 kb'tan küçük olmalıdır.

Yönetilen kimlik

SSL/TLS sertifikasının depolandığı Azure Key Vault'ta kimlik doğrulaması yapmak için yönetilen kimlik kullanılır. Şu anda App Service Ortamı ile ilişkilendirilmiş bir yönetilen kimliğiniz yoksa, bir kimlik yapılandırmanız gerekir.

Sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği kullanabilirsiniz. Kullanıcı tarafından atanan yönetilen kimlik oluşturmak için bkz . Kullanıcı tarafından atanan yönetilen kimlikleri yönetme. Sistem tarafından atanan bir yönetilen kimlik kullanmak istiyorsanız ve App Service Ortamı atanmış bir kimliğiniz yoksa, Özel etki alanı sonek portalı deneyimi oluşturma işleminde size yol gösterir. Alternatif olarak, App Service Ortamı için Kimlik sayfasına gidebilir ve yönetilen kimliklerinizi orada yapılandırabilir ve atayabilirsiniz.

Sistem tarafından atanan yönetilen kimliği etkinleştirmek için Durum ayarını Açık olarak ayarlayın.

App Service Ortamı için örnek sistem tarafından atanan yönetilen kimliğin ekran görüntüsü.

Kullanıcı tarafından atanan yönetilen kimliği atamak için "Kullanmak istediğiniz yönetilen kimliği ekleyin ve bulun.

App Service Ortamı için kullanıcı tarafından atanan örnek bir yönetilen kimliğin ekran görüntüsü.

Yönetilen kimliği App Service Ortamı atadıktan sonra yönetilen kimliğin Azure Key Vault için yeterli izinlere sahip olduğundan emin olun. Kasa erişim ilkesi veya Azure rol tabanlı erişim denetimi kullanabilirsiniz.

Kasa erişim ilkesi kullanıyorsanız, yönetilen kimliğin anahtar kasası için en azından "Get" gizli dizileri iznine ihtiyacı vardır.

Yönetilen kimlik için örnek anahtar kasası erişim ilkesinin ekran görüntüsü.

Anahtar kasanıza erişimi yönetmek için Azure rol tabanlı erişim denetimini kullanmayı seçerseniz, yönetilen kimliğinize en az "Key Vault Gizli Dizileri Kullanıcısı" rolünü vermeniz gerekir.

Yönetilen kimlik için örnek anahtar kasası rol tabanlı erişim denetiminin ekran görüntüsü.

Sertifika

Özel etki alanı son ekinin sertifikası bir Azure Key Vault'ta depolanmalıdır. Sertifika içinde karşıya yüklenmelidir. PFX biçimi ve 20 kb'tan küçük olmalıdır. içindeki sertifikalar. PEM biçimi şu anda desteklenmiyor. App Service Ortamı sertifikayı almak için seçtiğiniz yönetilen kimliği kullanır.

Sertifikanız, seçilen özel etki alanı adı için joker karakter sertifikası olmalıdır. Örneğin, internal.contoso.com *.internal.contoso.com kapsayan bir sertifika gerekir. Özel etki alanı soneki tarafından kullanılan sertifika, scm için bir Konu Alternatif Adı (SAN) girdisi içeriyorsa (örneğin, *.scm.internal.contoso.com), scm sitesi özel etki alanı soneki kullanılarak da kullanılabilir.

Sertifikanızı Azure Key Vault'ta döndürürseniz, App Service Ortamı değişikliği 24 saat içinde alır.

Key Vault'a ağ erişimi

Anahtar kasasına genel olarak veya App Service Ortamı dağıtılan alt ağdan erişilebilen özel bir uç nokta üzerinden erişilebilir. Özel uç nokta yapılandırmayı öğrenmek için bkz. Key Vault'ı Azure Özel Bağlantı ile tümleştirme. Genel erişim kullanıyorsanız anahtar kasanızın güvenliğini yalnızca App Service Ortamı giden IP adresinden gelen trafiği kabul etmek üzere sağlayabilirsiniz. App Service Ortamı, anahtar kasasına erişirken kaynak adres olarak platform giden IP adresini kullanır. IP adresini Azure portalındaki IP Adresleri sayfasında bulabilirsiniz.

Azure portalında IP Adresleri sayfasının ekran görüntüsü.

Özel etki alanı sonekini yapılandırmak için Azure portalını kullanma

  1. Azure portalında, App Service Ortamı için Özel etki alanı son eki sayfasına gidin.
  2. Özel etki alanı adınızı girin.
  3. App Service Ortamı için tanımladığınız yönetilen kimliği seçin. Sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği kullanabilirsiniz. Henüz yapmadıysanız yönetilen kimliğinizi yapılandırabilirsiniz. Yönetilen kimlik seçim kutusundaki "Kimlik ekle" seçeneğini kullanarak yönetilen kimliği doğrudan özel etki alanı soneki sayfasından yapılandırabilirsiniz. App Service Ortamı için yönetilen kimliği seçmek ve güncelleştirmek için bir yapılandırma bölmesinin ekran görüntüsü.
  4. Özel etki alanı soneki için sertifikayı seçin.
    1. Anahtar kasasına erişmek için özel uç nokta kullanıyorsanız, ağ erişimi özel uç noktayla sınırlı olduğundan, sertifikayı seçmek için portal arabirimini kullanamazsınız. Sertifika URL'sini el ile girmeniz gerekir.
  5. Sayfanın üst kısmındaki "Kaydet"i seçin. En son yapılandırma güncelleştirmelerini görmek için sayfayı yenileyin. Özel etki alanı soneki portalı deneyimine genel bakış ekran görüntüsü.
  6. Özel etki alanı soneki yapılandırmasının ayarlanması birkaç dakika sürer. Sayfanın üst kısmındaki "Yenile" seçeneğini belirleyerek durumu denetleyin. Başlık, en son ilerleme durumuyla güncelleştirilir. Tamamlandıktan sonra başlıkta özel etki alanı son ekinin yapılandırıldığı belirtilir. Örnek bir özel etki alanı soneki başarı sayfasının ekran görüntüsü.

Özel etki alanı son ekini yapılandırmak için Azure Resource Manager'ı kullanma

Azure Resource Manager şablonu kullanarak App Service Ortamı için özel bir etki alanı soneki yapılandırmak için aşağıdaki özellikleri eklemeniz gerekir. Önkoşulları karşıladığınızdan ve yönetilen kimliğinizin ve sertifikanızın erişilebilir olduğundan ve Azure Key Vault için uygun izinlere sahip olduğunuzdan emin olun.

Yönetilen kimliği yapılandırmanız ve şablonunuzda atamadan önce var olduğundan emin olmanız gerekir. Yönetilen kimlikler hakkında daha fazla bilgi için bkz. yönetilen kimliğe genel bakış.

Kullanıcı tarafından atanan yönetilen kimliği kullanma

"resources": [
{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/hostingEnvironments",
    "name": ...,
    "location": ...,
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/asev3-cdns-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ase-cdns-managed-identity"
        }
    },
    "properties": {
        "customDnsSuffixConfiguration": {
            "dnsSuffix": "antares-test.net",
            "certificateUrl": "https://kv-sample-key-vault.vault.azure.net/secrets/wildcard-antares-test-net",
            "keyVaultReferenceIdentity": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/asev3-cdns-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ase-cdns-managed-identity"
        },
        "internalLoadBalancingMode": "Web, Publishing",
        etc...
    }
}

Sistem tarafından atanan yönetilen kimliği kullanma

"resources": [
{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/hostingEnvironments",
    "name": ...,
    "location": ...,
    "identity": {
        "type": "SystemAssigned"
    }
    "properties": {
        "customDnsSuffixConfiguration": {
            "dnsSuffix": "antares-test.net",
            "certificateUrl": "https://kv-sample-key-vault.vault.azure.net/secrets/wildcard-antares-test-net",
            "keyVaultReferenceIdentity": "systemassigned"
        },
        "internalLoadBalancingMode": "Web, Publishing",
        etc...
    }
}

Özel etki alanı son ekini yapılandırmak için Azure Kaynak Gezgini'ni kullanma

Alternatif olarak, Azure Kaynak Gezgini'ne giderek mevcut ILB App Service Ortamı güncelleştirebilirsiniz.

  1. Kaynak Gezgini'nde App Service Ortamı düğümüne gidin (subscriptions>{your Subscription}>resourceGroups>{your Resource Group}>providers>Microsoft.Web>hostingEnvironments). Ardından güncelleştirmek istediğiniz belirli App Service Ortamı seçin.
  2. Kaynak Gezgini'nde etkileşimli düzenlemeye izin vermek için üst araç çubuğunda Oku/Yaz'ı seçin.
  3. Resource Manager şablonunu düzenlenebilir hale getirmek için Düzenle düğmesini seçin.
  4. Sağdaki bölmenin en altına kaydırın. customDnsSuffixConfiguration özniteliği en alttadır.
  5. dnsSuffix, certificateUrl ve keyVaultReferenceIdentity değerlerinizi girin.
  6. Kimlik özniteliğine gidin ve kullandığınız yönetilen kimlikle ilişkili ayrıntıları girin.
  7. Değişikliği App Service Ortamı uygulamak için üstteki PUT düğmesini seçin.
  8. customDnsSuffixConfiguration altındaki provisioningState, yapılandırma güncelleştirmesinde bir durum sağlar.

DNS yapılandırması

özel etki alanı sonekinizi kullanarak App Service Ortamı uygulamalarınıza erişmek için kendi DNS sunucunuzu yapılandırmanız veya özel etki alanınız için Azure özel DNS bölgesinde DNS yapılandırmanız gerekir.

Kendi DNS sunucunuzu kullanmak istiyorsanız aşağıdaki kayıtları ekleyin:

  1. Özel etki alanınız için bir bölge oluşturun.
  2. Bu bölgede, * öğesini App Service Ortamı tarafından kullanılan gelen IP adresine işaret eden bir A kaydı oluşturun.
  3. Bu bölgede, @ öğesini App Service Ortamı tarafından kullanılan gelen IP adresine işaret eden bir A kaydı oluşturun.
  4. İsteğe bağlı olarak, * App Service Ortamı tarafından kullanılan gelen IP adresine işaret eden bir kayıtla scm alt etki alanı için bir bölge oluşturun

Azure DNS özel bölgelerinde DNS'yi yapılandırmak için:

  1. Özel etki alanınız için adlı bir Azure DNS özel bölgesi oluşturun. Aşağıdaki örnekte özel etki alanı internal.contoso.com.
  2. Bu bölgede, * öğesini App Service Ortamı tarafından kullanılan gelen IP adresine işaret eden bir A kaydı oluşturun.
  3. Bu bölgede, @ öğesini App Service Ortamı tarafından kullanılan gelen IP adresine işaret eden bir A kaydı oluşturun. Özel etki alanı sonekiniz için örnek DNS yapılandırmasının ekran görüntüsü.
  4. Azure DNS özel bölgenizi App Service Ortamı sanal ağınıza bağlayın. Özel DNS bölgesi için örnek bir sanal ağ bağlantısının ekran görüntüsü.
  5. İsteğe bağlı olarak, bu bölgede *.scm dosyasını App Service Ortamı tarafından kullanılan gelen IP adresine işaret eden bir A kaydı oluşturun.

Etki alanınız için DNS yapılandırma hakkında daha fazla bilgi için bkz. App Service Ortamı kullanma.

Not

Özel etki alanı sonekiniz için DNS yapılandırmaya ek olarak, tüm App Service özelliklerinin beklendiği gibi çalıştığından emin olmak için varsayılan etki alanı soneki için DNS yapılandırmayı da düşünmelisiniz.

Uygulamalarınıza erişme

App Service Ortamı için özel etki alanı sonekini ve DNS'yi yapılandırdıktan sonra, App Service Ortamı App Service uygulamalarınızdan biri için Özel etki alanları sayfasına gidebilir ve uygulama için atanan özel etki alanının eklenmesini onaylayabilirsiniz.

App Service Ortamı özel etki alanı soneki özelliği tarafından oluşturulan bir uygulama için örnek özel etki alanının ekran görüntüsü.

ILB App Service Ortamı uygulamalar, yapılandırdığınız özel etki alanına veya önceki görüntüde olduğu gibi varsayılan etki alanına appserviceenvironment.net https üzerinden güvenli bir şekilde erişilebilir. Varsayılan App Service Ortamı etki alanını ve özel etki alanınızı kullanarak uygulamalarınıza erişebilme özelliği, yalnızca App Service Ortamı v3'te desteklenen benzersiz bir özelliktir.

Ancak, genel çok kiracılı hizmette çalışan uygulamalar gibi, tek tek uygulamalar için özel konak adları yapılandırabilir ve ardından tek tek uygulamalar için benzersiz SNI TLS/SSL sertifika bağlamaları yapılandırabilirsiniz.

Sorun giderme

App Service platformu, App Service Ortamı anahtar kasanıza erişip erişemediğini ve sertifikanızın geçerli olup olmadığını düzenli aralıklarla denetler. Yönetilen kimliğiniz, anahtar kasanız veya App Service Ortamı için izinleriniz veya ağ ayarlarınız uygun şekilde ayarlanmamışsa veya yakın zamanda değiştirilmiyorsa, özel bir etki alanı son eki yapılandıramazsınız. Ekran görüntüsünde gösterilen örneğe benzer bir hata alırsınız. Gerekli izinleri yapılandırdığınızdan emin olmak için önkoşulları gözden geçirin. App Service platformu sertifikanızın düşürüldüğünü veya süresinin dolduğunu algılarsa benzer bir hata iletisi de görürsünüz.

Örnek bir özel etki alanı soneki hata iletisinin ekran görüntüsü.

Sonraki adımlar