IP SSL kullanma

Şunlar için geçerlidir: Azure Paketi'Windows

IP SSL, Sunucu Adı Göstergesi'ni desteklemeyen istemciler (eski tarayıcılar, işletim sistemleri veya mobil cihazlar) için bir sertifika güvenlik modudur. Bu modda, belirli bir DNS ana bilgisayar adı için bir sertifika ayrılmış bir sanal IP adresine eşlenir.

Windows Azure Paketi: Web siteleri bölümünde, bir kullanıcı kiracılar için yönetim portalında IP SSL ile ilgili eylemler gerçekleştirdiğinde bir dizi belirli adım gerçekleşir:

1. Kullanıcı portal içinde bir sertifikayı karşıya yüklediğinde, portal sağlanan sertifika dosyasını (pfx) doğrular ve şifrelenmiş bayt dizisi (blob) olarak veritabanına kaydeder.

2. Kullanıcı belirli bir ana bilgisayar adı için portalda IP SSL'yi etkinleştirdiğinde Azure Paketi: Web siteleri: Windows:

   1. Sertifikanın pfx blobunu veritabanından alır, yeni bir parolayla güvenliğini sağlar ve pfx dosyasını her FrontEnd sunucusundaki her IIS'nin erişebildiği bir klasöre yükler.

   2. Her FrontEnd sunucusundaki ilgili ana bilgisayar adı için eşleşen bir IP adresi ve bağlantı noktası numarası IIS bağlaması oluşturur.

   FrontEnd sunucuları arasındaki trafiğin yükünü dengelemek için bir dış ön yük dengeleyici kullanılıyorsa Azure Paketi: Web siteleri: Windows:

   1. Dış ön yük dengeleyicide bu ana bilgisayar adıyla ilgili her IP adresine ve bağlantı noktası bağlamasına ayrılmış bir genel sanal IP adresi Haritalar.

   2. DNS kayıtlarını güncelleştirebilmeleri için son kullanıcılara bir genel sanal IP adresi döndürür.

VIP eşlemeleri ile yerel adres eşlemeleri karşılaştırması

DNS ana bilgisayar adlarını eşlemenin iki yolu vardır: sanal IP adresi (VIP) eşlemeleri ve yerel adres eşlemeleri.

Kiracı açısından yerel adres eşlemeleri VIP eşlemeleriyle aynı görünür. FrontEnd sunucuları arasındaki trafiğin yük dengelemesinin ayrıntıları kiracılara gösterilmez, yalnızca DNS kaydında kullanılacak sanal IP adresini görür.

VIP eşlemeleri

IP SSL modunda, belirli bir DNS ana bilgisayar adına ait bir sertifika ayrılmış bir sanal IP Adresine eşlenir. Ancak, IP SSL'nin çalışması için, ayrılmış ve benzersiz adresler yalnızca IP adresiyle değil, IP adresi ve bağlantı noktası numarası bileşimleriyle temsil edilen IP yuvaları kullanmalıdır. Tüm tarayıcılar ve diğer istemci yazılımları varsayılan olarak SSL için 443 numaralı bağlantı noktasını kullanır. Bu nedenle Azure Paketi'ni Windows: Adres genel kullanıma sunulduğunda web siteleri, 443 numaralı varsayılan bağlantı noktasını benzersiz bir IP adresiyle birlikte kullanmalıdır. Bu nedenle dahili olarak, bir yük dengeleyicinin arkasında, özel IP adresleriyle birleştirilmiş standart olmayan bağlantı noktalarını kullanmak mümkündür ve daha uygundur.

FrontEnd'ler ön yük dengeleyicinin arkasındaysa desteklenen tek yöntem, ön yük dengeleyicide 443 numaralı bağlantı noktasıyla benzersiz sanal IP adresleri kullanmak ve bunu FrontEnd'lerdeki standart olmayan bağlantı noktalarıyla (443 değil) eşlemektir. Buna VIP Eşlemeleri adı verilir.

VIP eşlemeleri örneği

WAP Yöneticisinin 443 numaralı bağlantı noktasıyla Load Balancer VIP'nin dışından özel FrontEnd IP adresleriyle standart olmayan bağlantı noktaları arasında eşlemeler oluşturması gerekir. Bu örnekte, 192.168.1.1:443'e gelen tüm trafik, özel IP adresleri ve bağlantı noktası 3001 olan tüm FrontEnd'lere iletilmelidir.

Windows Azure Paketi yöneticisinin http trafiği için standart olmayan bir bağlantı noktası kullanabileceğini ve ön yük dengeleyiciyi 192.168.1.1:80'e gelen tüm trafiği 4001 numaralı özel IP adreslerine sahip tüm FrontEnd'lere (örneğin) iletecek şekilde yapılandırabileceğini unutmayın. Azure Paketi Windows: Web siteleri IIS bağlamasını oluşturur ve bu trafiğe hizmet eder.

Ön yük dengeleyicide eşleme yapılandırıldıktan sonra, Azure Paketi: Web Siteleri Windows yapılandırma bölümündeki yönergelere göre, yöneticiler için yönetim portalının IP SSL bölümüne küme IP adreslerinin girilmesi gerekir.

Kiracı, aşağıdaki diyagramda gösterildiği gibi kiracı portalındaki pano sekmesinde Sanal IP Adreslerini Görüntüle'yi seçerek Web Sitesi ile ilişkili etki alanı adı için kullanılan sanal IP Adreslerini görebilir.

Yerel adres eşlemeleri

İnternet'ten adreslenebilen FrontEnd'ler için, genel sanal IP adresleri ve 443 numaralı bağlantı noktası ile IIS bağlamalarının yönetim portalı kullanılarak FrontEnds'de yönetici tarafından oluşturulması gerekir. Buna Yerel Adres Eşlemeleri adı verilir ve aşağıdaki tabloda gösterilmiştir. Desteklenen tek topoloji, her ana bilgisayar adı için her FrontEnd'de aynı sanal IP adresinin yapılandırılmasıdır. Her FrontEnd sunucusunda bu VIP'lerin yerel olarak yapılandırılması gerekir. Bunu başarmak için bir Windows Ağ Load Balancer (NLB) kümesinin dağıtılması ve tüm FrontEnd sunucularının buna katılması gerekir. IP SSL ile kullanılacak tüm sanal IP adresleri küme IP adresleri olarak eklenmelidir.

İnternet'ten adreslenebilir yerel adres eşlemesi

Yöneticinin bir Windows NLB kümesi oluşturması ve IP SSL bağlamaları için kullanılabilecek İnternet'e yönelik IP adresi sayısına eşit sayıda küme IP adresi eklemesi gerekir. Ardından tüm FrontEnd'lerin yeni Windows NLB kümesine katılması gerekir.

Kümelenmiş IP adresleri yapılandırıldıktan sonra, Yöneticiler için yönetim portalının IP SSL bölümüne Azure Paketi: Web Siteleri Windows yapılandırma makalesindeki yönergelere göre girilmelidir.

Tek bir FrontEnd ile yerel adres eşlemesi

Üretim dışı ortamlar veya yüksek kullanılabilirlik gerektirmeyen ortamlar için tek bir FrontEnd ile yerel adres eşlemesi yapılabilir.

Tek bir FrontEnd ile yerel adres eşlemesi

IP SSL önerileri

Dağıtımınız için en uygun IP SSL topolojisine karar vermek için aşağıdaki önerileri kullanın.

Güncelleştirme 4 ile Güncelleştirme 6 arasındaki IP SSL farkları

IP SSL'nin Güncelleştirme 4 ve Güncelleştirme 6 uygulamaları arasındaki farklar aşağıdaki bölümlerde numaralandırılır.

Güncelleştirme 4 IP SSL uygulaması

1. Pfx sertifika dosyaları FrontEnd sunucuları tarafından kullanılabilen merkezi bir paylaşımda depolandı.

2. Her FrontEnd'de belirli bir konak adı için oluşturulan IIS IP adresi ve bağlantı noktası numarası bağlamalarının aynı bağlantı noktasını veya IP adresini kullanması garanti edilmedi. Örneğin, "Bağlantı noktası tabanlı bağlamalar – V2U4" diyagramında, konak adı 1'de farklı FrontEnd'lerde hem 3001 hem de 3302 bağlantı noktaları kullanılır.

3. Ön yük dengeleyicilerin arkasında FrontEnds üzerinde bağlantı noktası 443 olan yerel adresler için topoloji desteklendi (bkz. "Ön yük dengeleyicinin arkasındaki yerel adres – V2U6 öncesi" diyagramı). Güncelleştirme 6 veya sonraki sürümlerde desteklenmez.

4. İnternet'ten adreslenebilen IP adreslerine sahip FrontEnds üzerinde bağlantı noktası 443 olan yerel adreslerin topolojisi desteklendi (bkz. "İnternet'ten yönlendirilebilen yerel adres – V2U6 öncesi" diyagramı). Bu, Güncelleştirme 6'da hala desteklenmektedir ancak NLB Windows veya tek Bir FrontEnd kullanımına geçiş gerektirir.

5. Güncelleştirme 4'te, bir ön yük dengeleyici kullanıldığında, Windows Azure Pack sistem yöneticisinin frontEnds üzerindeki tek bir VIP ve birden çok IP SSL bağlaması arasında ön yük dengeleyici eşlemelerini yapılandırmak için bir genişletilebilirlik betiğini değiştirmesi gerekir. Örneğin, aşağıdaki "VIP Eşlemeleri – V2U6 öncesi" tablosu VIP 192.168.1.101:443 ile 10.1.1.1:3001, 10.1.1.2:3002, 10.1.1.3:3001 arasındaki eşlemeleri gösterir. Bu eşleme, güncelleştirme 4'te ön yük dengeleyicide önceden oluşturulmadı. Yöneticinin özellikle ön yük dengeleyici için bir genişletilebilirlik betiğini değiştirmesi gerekiyordu ve bu betik, kullanıcı kiracı portalında IP SSL'yi her etkinleştirişinde ön yük dengeleyicide yeni eşlemeler oluşturdu.

   Genişletilebilirlik betiği, Ip SSL özellikli bir ana bilgisayar adı ve IIS bağlamaları FrontEnds üzerinde yapılandırıldığında azure paketi Windows tarafından çağrıldı. Bağlama verileri (IP adresleri ve bağlantı noktaları) ve konak adları betikte parametre olarak geçirildi. Betik kodu (Yönetici tarafından yazıldı) bu parametreleri aldı ve belirli bir ön yük dengeleyici tarafından anlaşılabilen betik dilini veya API yöntemlerini kullanarak ön yük dengeleyici eşlemeleri oluşturdu.

Güncelleştirme 6 IP SSL uygulaması

1. Pfx sertifikaları her FrontEnd sunucusundaki yerel bir klasörde depolanır.

2. Dış yük dengeleyici VIP'leri ile FrontEnd'lerdeki IIS bağlamaları arasındaki eşlemeler, kullanıcıların ana bilgisayar adları için IP SSL'yi etkinleştirmeye başlamadan önce yönetici tarafından oluşturulması gerekir. Bu, Güncelleştirme 4 ile ilgili temel bir farktır. VIP eşlemeleri, isteğe bağlı bir betik tarafından çağrılmak dışında kullanımdan önce oluşturulmalıdır.

   Örneğin, "VIP Eşlemeleri – V2U6'ya Yükseltildikten Sonra" tablosunda, tüm FrontEnd'lerde VIP 192.168.1.101:443 ile 3001 numaralı bağlantı noktası arasındaki eşleme, yönetici tarafından ön yük dengeleyicide oluşturulur. Daha sonra, WAP'nin IP SSL etkin olan her konak adına VIP eşlemesi ayırması için yöneticilerin yönetim portalına VIP eşlemelerinin girilmesi gerekir.

3. VIP eşleme kavramı nedeniyle, IIS bağlama düzeyinde bağlantı noktalarının (ve Windows NLB IP adresleri söz konusu olduğunda) belirli konak adı için aynı olması garanti edilir.

IP SSL yükseltme örnekleri

IP SSL örnekleriniz, aşağıda açıklandığı gibi Güncelleştirme 4'ten Güncelleştirme 6 işlevselliğine otomatik olarak yükseltilir.

Örnek 1

"VIP eşlemeleri –Güncelleştirme 6'den önce" tablosunda gösterilen senaryo, "VIP eşlemeleri – Yükseltme 6'den sonra" tablosunda gösterilen senaryoya yükseltilir.

VIP eşlemeleri – Güncelleştirme 6'ya geçmeden önce

VIP eşlemeleri – Güncelleştirme 6'nın ardından

Yukarıdaki tablolarda, yükseltmeden önce tüm FrontEnd sunucularındaki belirli bir konak adı için IIS bağlamaları arasında farklı bağlantı noktaları kullanılmıştır. Bu nedenle, yükseltme betiği en sık kullanılan bağlantı noktalarını (konakadı1 için 3001 ve konakadı2 için 3002) seçti ve bunları kullanmak için bir VIP eşlemesi oluşturdu.

Eski yapılandırmada FrontEnd2'de farklı bağlantı noktalarının kullanılacağı varsayılırdı. Yükseltmeden sonra, FrontEnd2 yeniden yapılandırılır ve 3001 numaralı bağlantı noktasındaki ana bilgisayar adı1 ve 3002 numaralı bağlantı noktasındaki konak adı2 için IP SSL'sini kullanıma hazırlar.

Kalan tek adım, trafiği doğru bir şekilde iletmek için ön yük dengeleyiciyi yeniden yapılandırmaktır:

• 192.168.1.1:443'ten 10.1.1.2:3001'e kadar.

• 192.168.1.2:443'ten 10.1.1.2:3002'ye kadar.

Ön yük dengeleyici, diğer FrontEnd'lerle ilgili olarak bu VIP için doğru yük dengeleme ayarlarına zaten sahiptir.

Örnek 2

"İnternet'ten adreslenebilir yerel adres eşlemesi – Güncelleştirme 6'dan önce" tablosunda gösterilen senaryo, "İnternet'ten adreslenebilir yerel adres eşlemesi – Güncelleştirme 6'dan sonra" tablosunda gösterilen senaryoya yükseltilecektir.

Yerel adres eşlemesi İnternet'ten adreslenebilir – Güncelleştirme 6'dan önce

Yerel adres eşlemesi İnternet'ten adreslenebilir – Güncelleştirme 6'dan sonra

Yukarıdaki tablolarda, yükseltmeden önce her FrontEnd farklı bir IP adresi kullanır. Tüm IP adresleri İnternet'ten adreslenebilir ve yöneticinin her biri için bir DNS kaydı oluşturması gerekir.

Yükseltme yordamı, belirli bir ana bilgisayar adı için tek bir IP adresi seçer ve diğerlerini kaldırır. Yükseltmeden sonra yalnızca FrontEnd1 ana bilgisayar adı1 ve konak adı2 için IP SSL isteklerine hizmet verebilir.

Yükseltmeden sonra yöneticinin el ile şunları yapması gerekir:

• Gereksiz DNS kayıtlarını kaldırın.

• bir Windows NLB kümesi ve gerekli küme IP adresleri ekleyin.

Yükseltme için desteklenmeyen senaryo

Aşağıdaki tabloda gösterilen senaryo "Ön yük dengeleyicinin arkasındaki yerel adres – Güncelleştirme 6'ya kadar" yükseltme için desteklenmez. Yükseltmeden önce "VIP Eşlemeleri – Güncelleştirme 6'den önce" öğesine el ile geçiş yapmanızı öneririz.

Ön yük dengeleyicinin arkasındaki yerel adres – Güncelleştirme 6'ya kadar