Öğretici: Azure portalını kullanarak TLS sonlandırma ile Application Gateway yapılandırma

Arka uç sunucuları için sanal makineler kullanan TLS sonlandırma sertifikasına sahip bir uygulama ağ geçidi yapılandırmak için Azure portalını kullanabilirsiniz.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Otomatik olarak imzalanan sertifika oluşturma
  • Sertifikalı bir uygulama ağ geçidi oluşturma
  • Arka uç sunucuları olarak kullanılan sanal makineleri oluşturma
  • Uygulama ağ geçidini test etme

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Not

Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz . Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Önkoşullar

  • Bir Azure aboneliği

Otomatik olarak imzalanan sertifika oluşturma

Bu bölümde, otomatik olarak imzalanan bir sertifika oluşturmak için New-SelfSignedCertificate kullanacaksınız. Uygulama ağ geçidi için dinleyici oluşturduğunuzda sertifikayı Azure portalına yüklersiniz.

Yerel bilgisayarınızda, yönetici olarak bir Windows PowerShell penceresi açın. Sertifikayı oluşturmak için aşağıdaki komutu çalıştırın:

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

Şu yanıta benzer bir şey görmeniz gerekir:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Sertifikadan bir pfx dosyasını dışarı aktarmak için döndürülen Parmak İzi ile Export-PfxCertificate kullanın. Desteklenen PFX algoritmaları PFXImportCertStore işlevinde listelenir. Parolanızın 4 - 12 karakter uzunluğunda olduğundan emin olun:

$pwd = ConvertTo-SecureString -String <your password> -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Azure'da oturum açma

Azure Portal’ında oturum açın.

Uygulama ağ geçidi oluşturma

  1. Azure portalı menüsünde + Kaynak>oluştur Ağ>Uygulama Ağ Geçidi'ni seçin veya portal arama kutusunda Application Gateway'i arayın.

  2. Oluştur'u belirleyin.

Temel Bilgiler sekmesi

  1. Temel Bilgiler sekmesinde şu değerleri girin veya seçin:

    • Kaynak grubu: Kaynak grubu için myResourceGroupAG öğesini seçin. Yoksa, oluşturmak için Yeni oluştur'u seçin.

    • Uygulama ağ geçidi adı: Uygulama ağ geçidinin adı olarak myAppGateway yazın.

      Yeni uygulama ağ geçidi temelleri oluşturma işleminin ekran görüntüsü.

  2. Azure'ın oluşturduğunuz kaynaklar arasında iletişim kurabilmesi için bir sanal ağ gerekir. Yeni bir sanal ağ oluşturabilir veya mevcut bir sanal ağı kullanabilirsiniz. Bu örnekte, uygulama ağ geçidini oluşturduğunuz sırada yeni bir sanal ağ oluşturacaksınız. Application Gateway örnekleri ayrı alt ağlarda oluşturulur. Bu örnekte iki alt ağ oluşturursunuz: biri uygulama ağ geçidi için, diğeri de arka uç sunucuları için.

    Sanal ağı yapılandır'ın altında Yeni oluştur'u seçerek yeni bir sanal ağ oluşturun. Açılan Sanal ağ oluştur penceresinde, sanal ağı ve iki alt ağı oluşturmak için aşağıdaki değerleri girin:

    • Ad: Sanal ağın adı olarak myVNet girin.

    • Alt ağ adı (Application Gateway alt ağı): Alt ağlar kılavuzunda Varsayılan adlı bir alt ağ gösterilir. Bu alt ağın adını myAGSubnet olarak değiştirin.
      Uygulama ağ geçidi alt ağı yalnızca uygulama ağ geçitlerini içerebilir. Başka hiçbir kaynağa izin verilmez.

    • Alt ağ adı (arka uç sunucusu alt ağı): Alt ağlar kılavuzunun ikinci satırına Alt ağ adı sütununa myBackendSubnet yazın.

    • Adres aralığı (arka uç sunucusu alt ağı): Subnets Grid'in ikinci satırına myAGSubnet adres aralığıyla çakışmayan bir adres aralığı girin. Örneğin, myAGSubnet adres aralığı 10.0.0.0/24 ise, myBackendSubnet adres aralığı için 10.0.1.0/24 girin.

    Tamam'ı seçerek Sanal ağ oluştur penceresini kapatın ve sanal ağ ayarlarını kaydedin.

    Yeni bir uygulama ağ geçidi sanal ağı oluşturma işleminin ekran görüntüsü.

  3. Temel Bilgiler sekmesinde, diğer ayarlar için varsayılan değerleri kabul edin ve ardından İleri: Ön uçlar'ı seçin.

Ön uçlar sekmesi

  1. Ön Uçlar sekmesinde Ön uç IP adresi türünün Genel olarak ayarlandığını doğrulayın.
    Ön uç IP'sini kullanım örneğiniz gibi Genel veya Özel olacak şekilde yapılandırabilirsiniz. Bu örnekte Genel Ön Uç IP'sini seçeceksiniz.

    Not

    Application Gateway v2 SKU'su için yalnızca Genel ön uç IP yapılandırması'nı seçebilirsiniz. Özel ön uç IP yapılandırması şu anda bu v2 SKU için etkin değil.

  2. Genel IP adresi için Yeni ekle'yi seçin ve genel IP adresi adı için myAGPublicIPAddress girin ve tamam'ı seçin.

    Yeni uygulama ağ geçidi ön uçları oluşturma işleminin ekran görüntüsü.

  3. İleri: Arka uçlar'ı seçin.

Arka uçlar sekmesi

Arka uç havuzu, istekleri isteğe hizmet eden arka uç sunucularına yönlendirmek için kullanılır. Arka uç havuzları NIC'lerden, sanal makine ölçek kümelerinden, genel IP'lerden, iç IP'lerden, tam etki alanı adlarından (FQDN) ve Azure Uygulaması Hizmeti gibi çok kiracılı arka uçlardan oluşabilir. Bu örnekte, uygulama ağ geçidinizle boş bir arka uç havuzu oluşturacak ve arka uç hedeflerini arka uç havuzuna ekleyeceksiniz.

  1. Arka uçlar sekmesinde Arka uç havuzu ekle'yi seçin.

  2. Açılan Arka uç havuzu ekle penceresinde, boş bir arka uç havuzu oluşturmak için aşağıdaki değerleri girin:

    • Ad: Arka uç havuzunun adı için myBackendPool girin.
    • Hedefleri olmayan arka uç havuzu ekle: Hedefsiz bir arka uç havuzu oluşturmak için Evet'i seçin. Uygulama ağ geçidini oluşturduktan sonra arka uç hedefleri ekleyeceksiniz.
  3. Arka uç havuzu ekle penceresinde Ekle'yi seçerek arka uç havuzu yapılandırmasını kaydedin ve Arka uçlar sekmesine dönün.

    Yeni uygulama ağ geçidi arka uçları oluşturma ekran görüntüsü.

  4. Arka Uçlar sekmesinde İleri: Yapılandırma'yı seçin.

Yapılandırma sekmesi

Yapılandırma sekmesinde, bir yönlendirme kuralı kullanarak oluşturduğunuz ön uç ve arka uç havuzunu bağlayacaksınız.

  1. Yönlendirme kuralları sütununda Yönlendirme kuralı ekle'yi seçin.

  2. Açılan Yönlendirme kuralı ekle penceresinde, Kural adı olarak myRoutingRule girin.

  3. Yönlendirme kuralı için dinleyici gerekir. Yönlendirme kuralı ekle penceresinin Dinleyici sekmesinde dinleyici için aşağıdaki değerleri girin:

    • Dinleyici adı: Dinleyici adı olarak myListener yazın.
    • Ön uç IP'si: Ön uç için oluşturduğunuz genel IP'yi seçmek için Genel'i seçin.
    • Protokol: HTTPS'yi seçin.
    • Bağlantı noktası: Bağlantı noktası için 443 girildiğinden emin olun.

    HTTPS Ayarları altında:

    • Sertifika seçin - Sertifikayı karşıya yükle'yi seçin.

    • PFX sertifika dosyası - Daha önce oluşturduğunuz c:\appgwcert.pfx dosyasına gidin ve dosyayı seçin.

    • Sertifika adı - Sertifikanın adı için mycert1 yazın.

    • Parola - Sertifikayı oluşturmak için kullandığınız parolayı yazın.

      Dinleyici sekmesindeki diğer ayarlar için varsayılan değerleri kabul edin, ardından yönlendirme kuralının geri kalanını yapılandırmak için Arka uç hedefleri sekmesini seçin.

    Yeni bir uygulama ağ geçidi dinleyicisi oluşturma ekran görüntüsü.

  4. Arka uç hedefleri sekmesinde, Arka uç hedefi için myBackendPool'u seçin.

  5. HTTP ayarı için Yeni ekle'yi seçerek yeni bir HTTP ayarı oluşturun. HTTP ayarı, yönlendirme kuralının davranışını belirler. Açılan HTTP ayarı ekle penceresinde HTTP ayarı adı için myHTTPSetting girin. HTTP ayarı ekle penceresinde diğer ayarlar için varsayılan değerleri kabul edin, ardından Yönlendirme kuralı ekle penceresine dönmek için Ekle'yi seçin.

    Yeni Application Gateway oluştur'un yapılandırma sekmesindeki H T T P ekleme ayarının ekran görüntüsü

  6. Yönlendirme kuralı ekle penceresinde Ekle'yi seçerek yönlendirme kuralını kaydedin ve Yapılandırma sekmesine dönün.

    Yeni bir uygulama ağ geçidi yönlendirme kuralı oluşturma işleminin ekran görüntüsü.

  7. İleri: Etiketler'i ve ardından İleri: Gözden Geçir + oluştur'u seçin.

Gözden geçirme ve oluşturma sekmesi

Gözden Geçir ve oluştur sekmesinde ayarları gözden geçirin ve ardından Oluştur'u seçerek sanal ağı, genel IP adresini ve uygulama ağ geçidini oluşturun. Azure'ın uygulama ağ geçidini oluşturması birkaç dakika sürebilir. Sonraki bölüme geçmeden önce dağıtımın başarıyla tamamlanmasını bekleyin.

Arka uç hedefleri ekleme

Bu örnekte, hedef arka uç olarak sanal makineleri kullanacaksınız. Mevcut sanal makineleri kullanabilir veya yenilerini oluşturabilirsiniz. Azure'ın uygulama ağ geçidi için arka uç sunucusu olarak kullandığı iki sanal makine oluşturacaksınız.

Bunu yapmak için şunları yapacaksınız:

  1. Arka uç sunucusu olarak kullanılacak myVM ve myVM2 olmak üzere iki yeni VM oluşturun.
  2. Uygulama ağ geçidinin başarıyla oluşturulduğunu doğrulamak için sanal makinelere IIS yükleyin.
  3. Arka uç sunucularını arka uç havuzuna ekleyin.

Sanal makine oluşturun

  1. Azure portalı menüsünde + Kaynak>oluştur İşlem>Windows Server 2016 Datacenter'ı seçin veya portal arama kutusunda Windows Server'ı arayın ve Windows Server 2016 Datacenter'ı seçin.

  2. Oluştur'u belirleyin.

    Application Gateway, trafiği arka uç havuzunda kullanılan herhangi bir sanal makine türüne yönlendirebilir. Bu örnekte, bir Windows Server 2016 Datacenter kullanırsınız.

  3. Aşağıdaki sanal makine ayarları için Temel Bilgiler sekmesine bu değerleri girin:

    • Kaynak grubu: Kaynak grubu adı olarak myResourceGroupAG öğesini seçin.
    • Sanal makine adı: Sanal makinenin adı için myVM girin.
    • Kullanıcı adı: Yönetici kullanıcı adı için bir ad girin.
    • Parola: Yönetici hesabı için bir parola girin.
  4. Diğer varsayılanları kabul edin ve ardından İleri: Diskler'i seçin.

  5. Diskler sekmesi varsayılanlarını kabul edin ve ardından İleri: Ağ'ı seçin.

  6. sekmesinde, Sanal ağ için myVNet'in seçildiğini ve Alt Ağın myBackendSubnet olarak ayarlandığını doğrulayın. Diğer varsayılanları kabul edin ve ardından İleri: Yönetim'i seçin.

    Application Gateway, içinde bulunduğu sanal ağın dışındaki örneklerle iletişim kurabilir, ancak IP bağlantısı olduğundan emin olmanız gerekir.

  7. Yönetim sekmesinde Önyükleme tanılamasını Devre Dışı Bırak olarak ayarlayın. Diğer varsayılanları kabul edin ve gözden geçir + oluştur'u seçin.

  8. Gözden geçir ve oluştur sekmesinde ayarları gözden geçirin, doğrulama hatalarını düzeltin ve oluştur'u seçin.

  9. Devam etmeden önce dağıtımın tamamlanmasını bekleyin.

Test için IIS yükleme

Bu örnekte, yalnızca Azure'ın uygulama ağ geçidini başarıyla oluşturduğunu doğrulamak için sanal makinelere IIS yüklersiniz.

  1. Azure PowerShell'i açın. Bunu yapmak için Azure portalının üst gezinti çubuğundan Cloud Shell'i seçin ve ardından açılan listeden PowerShell'i seçin.

    Özel uzantı yükleme ekran görüntüsü.

  2. Ortamınızın konum ayarını değiştirin ve ardından sanal makineye IIS yüklemek için aşağıdaki komutu çalıştırın:

           Set-AzVMExtension `
             -ResourceGroupName myResourceGroupAG `
             -ExtensionName IIS `
             -VMName myVM `
             -Publisher Microsoft.Compute `
             -ExtensionType CustomScriptExtension `
             -TypeHandlerVersion 1.4 `
             -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
             -Location <location>
    
  3. daha önce tamamladığınız adımları kullanarak ikinci bir sanal makine oluşturun ve IIS yükleyin. Sanal makine adı ve Set-AzVMExtension cmdlet'inin VMName ayarı için myVM2 kullanın.

Arka uç havuzuna arka uç sunucuları ekleme

  1. Tüm kaynaklar'ı ve ardından myAppGateway öğesini seçin.

  2. Soldaki menüden Arka uç havuzları'nı seçin.

  3. myBackendPool öğesini seçin.

  4. Hedef türü altında, açılan listeden Sanal makine'yi seçin.

  5. Hedef'in altında, açılan listeden myVM altındaki ağ arabirimini seçin.

  6. myVM2 için ağ arabirimini eklemek için yineleyin.

    Arka uç sunucuları ekleme ekran görüntüsü.

  7. Kaydet'i seçin.

  8. Sonraki adıma geçmeden önce dağıtımın tamamlanmasını bekleyin.

Uygulama ağ geçidini test etme

  1. Tüm kaynaklar'ı ve ardından myAGPublicIPAddress öğesini seçin.

    Uygulama ağ geçidi genel IP adresini bulma işleminin ekran görüntüsü.

  2. Tarayıcınızın adres çubuğuna uygulama ağ geçidi ip adresinizi> https://< yazın.

    Otomatik olarak imzalanan bir sertifika kullandıysanız güvenlik uyarısını kabul etmek için Ayrıntılar'ı (veya Chrome'da Gelişmiş)'i seçin ve web sayfasına gidin:

    Tarayıcı güvenlik uyarısının ekran görüntüsü.

    Güvenli IIS siteniz, sonra aşağıdaki örnekte olduğu gibi görüntülenir:

    Uygulama ağ geçidinde temel URL'yi test etme işleminin ekran görüntüsü.

Kaynakları temizleme

Artık gerekli olmadığında kaynak grubunu ve tüm ilgili kaynakları silin. Bunu yapmak için kaynak grubunu seçin ve Kaynak grubunu sil'i seçin.

Sonraki adımlar

Bu öğreticide şunları yaptınız:

  • Otomatik olarak imzalanan sertifika oluşturuldu
  • Sertifika ile bir uygulama ağ geçidi oluşturuldu

Application Gateway TLS desteği hakkında daha fazla bilgi edinmek için bkz. Application Gateway ve Application Gateway TLS ilkesiyle uçtan uca TLS.

Azure portalını kullanarak birden çok web sitesini barındıracak bir Application Gateway oluşturmayı ve yapılandırmayı öğrenmek için sonraki öğreticiye geçin.