Hibrit bulut uygulamaları
Tailwind Traders, çevre ağı içinde çalışan ön uç bileşenlerin bulunduğu birkaç uygulamaya sahiptir. Arka uç öğeleri korumalı şirket içi ağ üzerindedir. Tailwind Traders’ın hibrit buluta geçme amacından biri, çevre ağını kullanımdan kaldırmak ve genel kullanıma açık iş yüklerini bulutta barındırmaktır. Uyumlulukla ilgili endişeler ve iş yükü sahiplerinin endişeleri nedeniyle bu uygulamaların bazıları, Azure veri merkezinde barındırılmak yerine Tailwind Traders tesislerinde fiziksel olarak bulunmalıdır.
Tailwind Traders, Sidney, Melbourne ve Auckland veri merkezlerindeki dahili korumalı ağlara yönelik VPN bağlantıları üzerinden erişilen başka uygulamalara da sahiptir. Bu uygulamalar genellikle kullanıcıların şirket içi Active Directory örneği ile kimlik doğrulama yapmasını gerektirir.
Bu ünitede, Tailwind Traders’ın, söz konusu veriler veya uygulama halen Tailwind Traders ekipmanlarında barındırılıyor olsa bile, kullanıcıların Azure üzerinden bağlandığı uygulamaları korumasına olanak sağlayan teknolojiler hakkında bilgi edineceksiniz.
Azure Relay nedir?
Azure Relay, kuruluşunuzun iç ağında çalışan iş yüklerini genel buluta güvenli bir şekilde göstermek için kullanabileceğiniz bir hizmettir. Bu hizmet, bir çevre ağı güvenlik duvarında gelen bağlantı noktası açmadan bunu yapmanıza olanak sağlar.
Azure Relay, şirket içi hizmetler ve Azure’da çalışan uygulamalar arasında aşağıdaki senaryoları destekler:
- Geleneksel tek yönlü, istek/yanıt ve eşler arası iletişim
- Yayımlama/abone olma senaryolarını etkinleştirmek için olay dağılımı
- Ağ sınırları genelinde çift yönlü ve arabelleğe alınmamış yuva iletişimi
Azure Relay aşağıdaki özellikleri sağlar:
- Karma Bağlantılar. Bu özellik, açık standart web yuvalarını kullanır ve çok platformlu mimarilerde kullanılabilir. .NET Core, .NET Framework, JavaScript/Node.js, standartlara dayalı açık protokolleri ve uzaktan yordam çağrısı (RPC) programlama modellerini destekler.
- WCF Geçişi. Bu özellik, uzaktan yordam çağrılarını etkinleştirmek için Windows Communication Foundation (WCF) kullanır. Bu, birçok müşterinin WCF programlarıyla kullandığı bir seçenektir. .NET Framework desteğine de sahiptir.
Azure Relay, Tailwind Traders’ın dahili ağ üzerinde çalışan bazı uygulamaları, VPN bağlantısı gerekmeden internetteki istemcilere yayımlamasına olanak sağlar. Şirket, Azure’da çalışan bir ön uç web uygulaması olmadığında Azure App Service Karma Bağlantıları yerine Azure Relay’i kullanmalıdır. Uygulama Microsoft Entra kimlik doğrulaması gerektirmediğinde Microsoft Entra uygulama ara sunucusu yerine Azure Relay kullanılmalıdır.
Azure App Service Karma Bağlantıları nedir?
Azure App Service'in Karma Bağlantılar özelliği, 443 numaralı bağlantı noktasında Azure’a giden istekleri gönderebilen herhangi bir ağdaki herhangi bir uygulama kaynağını kullanabilir. Örneğin, Azure’da çalışan bir web uygulamasının, şirket içinde çalışan bir SQL Server veritabanını kullanmasına izin vermek için Karma Bağlantıları kullanabilirsiniz. Karma Bağlantılar özelliği, Azure’da çalışan bir uygulamadan İletim Denetimi Protokolü (TCP) uç noktasına erişilmesini sağlar.
Karma Bağlantılar, Windows Server platformlarında çalışan iş yükleriyle sınırlı değildir. Hangi uygulama protokolünün kullanılmakta olduğuna bakılmaksızın, TCP uç noktası görevi gördüğü sürece herhangi bir kaynağa erişmek için Karma Bağlantıları yapılandırabilirsiniz. Örneğin, Azure’da çalışan bir web uygulaması ile şirket içi Linux sanal makinesinde çalışan bir MySQL veritabanı arasında Karma Bağlantısı yapılandırabilirsiniz.
Karma Bağlantılar, aracının dahili ağ üzerinde TCP uç noktasıyla bağlantı kurabildiği ve Azure ile bağlantı kurabildiği bir konumda dağıttığınız bir geçiş aracısını kullanır. Bu bağlantı, Aktarım Katmanı Güvenliği (TLS) 1.2 kullanılarak güvenli hale getirilir. Kimlik doğrulaması ve yetkilendirme için paylaşılan erişim imzası (SAS) anahtarları kullanılır.
Aşağıdaki görüntüde, Azure’da çalışan bir web uygulaması ile şirket içinde çalışan bir veritabanı uç noktası arasındaki bir karma bağlantı gösterilmektedir.
Karma Bağlantılar şu işlevlere sahiptir:
- Azure’da çalışan uygulamalar, şirket içi sistemlere ve hizmetlere güvenli şekilde erişebilir.
- Şirket içi sistem veya hizmete doğrudan internetteki konaklar tarafından erişilebilmesi gerekmez.
- Azure’dan geçiş aracısına gelen erişime izin vermek için güvenlik duvarında bir bağlantı noktasının açılması gerekmez. Tüm iletişim, 443 numaralı bağlantı noktası üzerinden geçiş aracısından gidecek şekilde başlatılır.
Karma Bağlantılar şu sınırlamalara sahiptir:
- Şirket içi ağ üzerinde SMB dosya paylaşımını bağlamak için kullanılamaz.
- Kullanıcı Veri Birimi Protokolü (UDP) kullanılamaz.
- Dinamik bağlantı noktalarını kullanan TCP tabanlı hizmetlere erişemez.
- UDP kullanılması nedeniyle Basit Dizin Erişim Protokolü’nü (LDAP) desteklemez.
- Active Directory Domain Services etki alanı katılımı işlemini gerçekleştirmek için kullanılamaz.
Tailwind Traders için Karma Bağlantılar, şirketin şu anda ön uçları Tailwind Traders çevre ağında çalışan birçok uygulamayı kullanımdan kaldırmasına olanak sağlar. Bu uygulamalar Azure'a geçirilebilir. Karma Bağlantılar, uygulamanın arka uç bileşenlerini barındıran korumalı ağlar aracılığıyla güvenli bir bağlantı sağlar.
Microsoft Entra uygulama ara sunucusu nedir?
Microsoft Entra uygulama ara sunucusu, dış URL aracılığıyla şirket içi ortamda çalışan bir web uygulamasına güvenli uzaktan erişim sağlamanıza olanak tanır. Uygulama Ara Sunucusu'nu SharePoint, Microsoft Teams, IIS web uygulamaları ve Uzak Masaüstü için uzaktan erişime ve çoklu oturum açmaya izin verecek şekilde yapılandırabilirsiniz. Uygulama Ara Sunucusu, dahili ağlara veya ters ara sunuculara yönelik VPN’ler yerine uygulanabilir.
Uygulama Ara Sunucusu aşağıdaki uygulamalarla birlikte çalışır:
- Tümleşik Windows Kimlik Doğrulamasını kullanan web uygulamaları
- Üst bilgi tabanlı veya form tabanlı kimlik doğrulamasını kullanan web uygulamaları
- Uzak Masaüstü Ağ Geçidi aracılığıyla barındırılan uygulamalar
Uygulama Ara Sunucusu şu şekilde çalışır:
- Kullanıcı, genel kullanıma açık bir uç nokta üzerinden uygulamaya bağlanır ve ardından bir Microsoft Entra oturum açma işlemi gerçekleştirir.
- Oturum açma tamamlandıktan sonra kullanıcının cihazına bir belirteç iletilir.
- İstemci cihazı, belirteci Uygulama Ara Sunucusu hizmetine iletir; böylece belirteçten kullanıcı asıl adı (UPN) ve güvenlik asıl adı (SPN) döndürülür. Uygulama ara sunucusu daha sonra isteği Uygulama Ara Sunucusu bağlayıcısına iletir.
- Çoklu oturum açma etkinleştirildiyse, Uygulama Ara Sunucusu bağlayıcısı ek kimlik doğrulaması gerçekleştirir.
- Uygulama Ara Sunucusu bağlayıcısı, isteği şirket içi uygulamaya iletir.
- Yanıt, bağlayıcı ve Uygulama Ara Sunucusu hizmeti üzerinden kullanıcıya gönderilir.
Bu süreç aşağıdaki görüntüde gösterilmiştir:
Uygulamalara doğrudan bağlantıya olanak sağlayan dahili ağ kullanıcıları, Uygulama Ara Sunucusu kullanmaktan kaçınmalıdır.
Tailwind Traders, dış kullanıcılara Active Directory kimlik doğrulaması kullanan iç uygulamalara erişim vermek için Microsoft Entra uygulama ara sunucusunu kullanabilir.