Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Application Gateway'in TLS/TCP ara sunucusu kullanılırken, Application Gateway ip adresinin SNAT'sini (Kaynak Ağ Adresi Çevirisi) gerçekleştirdiğinden kaynak istemci IP'si varsayılan olarak korunmaz. Başka bir deyişle, arka uç sunucusu her zaman ön uygulama ağ geçidi kaynağının adresi olarak kaynak IP'yi görür. Bazı durumlarda, kritik bağlam sağladığından ve arka uç sistemlerinin trafiğin nasıl işleneceğini ve işleneceğini denetlemesine olanak sağladığından özgün istemci IP adresi gereklidir. Bu olmadan, eksik veya yanıltıcı veriler nedeniyle arka uç uygulaması çalışmayabilir. İstemci IP adresini gerektirmeye yönelik kullanım örnekleri şunlardır, ancak bunlarla sınırlı değildir:
- Uygulama mantığı: Arka uç sunucusu uygulamasının oturum yönetimi, erişim denetimi veya kişiselleştirilmiş yanıt gibi bir iş süreci uygulamak için kaynak IP'ye duyarlı olması gerekir.
- Güvenlik ve Denetim – İzlenebilirlik için IP bilgilerine ihtiyaç duyar veya denetim amacıyla günlükleri korur.
- Yasal veya Uyumluluk gereksinimleri - Bazı düzenlemeler, veri erişimi izleme veya olay yanıtı için istemci IP'lerinin günlüğe kaydedilmesini gerektirebilir.
- Analiz ve İzleme – Trafik deseni içgörüleri elde etmek için
Katman 4 ara sunucusu ile istemci IP'sinin korunmasının ayrıntıları
Katman 7 proxy'si [HTTP(S)] için istemci IP koruması varsayılan olarak etkindir. Application Gateway, arka uç sunucularına ilettiği tüm isteklere otomatik olarak özgün istemci IP adresini içeren x-forwarded-for üst bilgisini ekler.
Buna karşılık, Application Gateway'in Katman 4 proxy özelliği varsayılan olarak hiçbir istemci IP'sini korumaz. Sonuç olarak, arka uç sunucusu uygulama ağ geçidinin genel IP adresini veya hizmet veren örneklerden birinin özel IP adresini görür. İstemci IP'sini Katman 4 ara sunucusuyla korumak için Application Gateway, Proxy Protokol Başlığı V1'i kullanır. Bu üst bilgi tabanlı protokol, gelen ön uç bağlantısının (kaynak IP, hedef IP ve bağlantı noktaları) temel meta verilerini taşır ve arka uç TCP bağlantısı sırasında gönderilir. Ara sunucu protokolü üst bilgisi TLS veya TCP protokolü için Arka Uç Ayarları'nda etkinleştirilmelidir.
Etkinleştirildiğinde Application Gateway kaynağınız arka uç sunucusuna bir Proxy protokolü üst bilgisi gönderir. Bu üst bilgi, TCP el sıkışması tamamlandıktan hemen sonra ve TCP veri akışı başlamadan önce gönderilir. TLS protokolü Arka Uç Ayarları kullanılırken, PROXY protokolü üst bilgisi TLS el sıkışma işleminden önce gelir.
TCP (İletim Denetimi Protokolü) protokolü için akış:TCP handshake --> Proxy protocol header --> Data stream
TLS (Aktarım Katmanı Güvenliği) protokolü için akış:TCP handshake --> Proxy protocol header --> TLS handshake --> Data stream
Tip
- İstemci IP'lerinin korunması hem IPv4 hem de IPv6 istemci adresleriyle çalışır.
- Application Gateway dinleyicilerde Proxy protokolü başlıklarını ayrıştırmıyor. Uygulama ağ geçidi kaynağının önüne başka bir ara sunucu yerleştirildiğinde, gelen proxy üst bilgisi veri akışının bir parçası olarak arka uç sunucularına iletilir. Application Gateway gelen ara sunucu protokolü üst bilgisini bırakmaz veya değiştirmez, bu nedenle arka uç sunucuları bu durumlarda birden çok proxy protokolü üst bilgisi alabilir.
Configurations
Application Gateway'de ara sunucu protokolü üst bilgileri için aşağıdaki yapılandırmalar desteklenir.
Arka Uç Ayarları – TLS veya TCP protokollerini kullanırken arka uç ayarlarında İstemci IP Koruması'nı etkinleştirebilirsiniz. Bu yapılandırmayla, istemcilerden kaynaklanan tüm canlı trafik için arka uç sunucularına proxy protokolü üst bilgisi gönderilir.
Sistem durumu yoklamaları – Application Gateway yoklamaları ara sunucu protokolü üst bilgisini de destekler. Arka uç ayarlarında ara sunucu protokolü ayarı etkinleştirildiğinde, varsayılan sistem durumu yoklamaları arka uç sunucularına yönelik isteklerinde bu üst bilgiyi içerir. Özel yoklamalar için, bu ayarı özellikle bu yoklama için etkinleştirebilir ve gerekirse yoklama için farklı bir bağlantı noktası kullanabilirsiniz.
Özellik ayrıntıları
| Özellik Adı | Ana özellik adı | Değer |
|---|---|---|
| EnableClientIpPreservation (İstemci IP Korumasını Etkinleştir) | ApplicationGatewayBackendSettings | Boolean |
| ProbeProxyProtocolBaşlığınıEtkinleştir | ApplicationGatewayProbe (UygulamaAğ Geçidi Probebesi) | Boolean |
Proxy Protokolü üst bilgisinin biçimi
Application Gateway'deki Proxy protokolü üst bilgisi V1, aşağıdaki biçimde yapılandırılmış, kullanıcı tarafından okunabilir tek bir metin satırıdır:
Canlı trafik
PROXY TCP4 <client-ip> <backend-server-ip> <client-port> <backend-server-port> \r\n
- Protokol sürümü: Protokol sürümünü gösteren dize.
- IPv4 veya IPv6 protokolü: IPv4 üzerinden TCP veya IPv6 üzerinden TCP. Buna göre, meta veriler kullanılabilir olmadığında değeri TCP4, TCP6 veya BILINMIYOR olabilir.
- Kaynak IP: Özgün istemci IP'sinin adresi.
- Hedef IP: Bu, .... IP adresidir.
- Kaynak bağlantı noktası: Özgün istemcinin bağlantı noktası numarası.
- Hedef bağlantı noktası: Bağlantının alındığı dinleyici bağlantı noktası numarası.
- Satır sonunu gösteren \r\n
Prova trafiği
PROXY UNKNOWN\r\n Uygulama ağ geçidi yoklamalarında olduğu gibi istemci ip'si bilinmediğinde arka uçlar proxy protokolü üst bilgisini bilinmiyor olarak görür.