Geleneksel ADC ve reverse proxy mimarilerinde her yeni domain çoğu zaman yeni listener, yeni sanal servis, yeni IP veya karmaşık yönlendirme kuralı anlamına gelir. Küçük yapılarda bu yönetilebilir görünür; ancak onlarca domain, yüzlerce tenant veya çoklu ortam ayrımı başladığında operasyon hızla dağılır.
TLS tarafında problem daha da belirgindir. HTTP Host header bilgisi TLS çözülmeden görünmez; bu yüzden TLS trafiğini doğru servise yönlendirmek için SNI seviyesinde karar vermek gerekir. SNI ayrımı düzgün yapılmazsa aynı IP üzerindeki domain'ler birbirine karışır, yanlış sertifika sunulur veya yanlış kurum servisine trafik gider.
Wildcard domain yönetimi de ayrı bir yük oluşturur. `*.tenant.app` gibi alan adları SaaS ve MSP senaryolarında çok yaygındır; fakat her subdomain'i manuel tanımlamak sürdürülebilir değildir. Wildcard eşlemenin doğru regex'e çevrilmesi, escape edilmesi ve yanlış domain'leri yakalamaması gerekir.
HTTP/2 ve modern TLS davranışları da yanlış domain eşleşmelerini daha hassas hale getirir. SNI ile Host header uyumsuzluğu gibi durumlarda istemciye doğru davranışı göstermek gerekir; aksi halde bağlantı doğru pool'a gitmez veya güvenlik kontrolleri atlanabilir.
TR7 ADC, sanal sunucuları domain + matcher + pool ilişkisi olarak ele alır. Aynı IP ve port üzerinde SNI veya Host header ile domain ayrımı yapar, wildcard domain'leri otomatik işler ve her domain'i kendi servis politikasına bağlar.
TR7, sanal sunucu yönetimini manuel listener çoğaltma işi olmaktan çıkarır; domain tabanlı yönlendirmeyi obje modeli, otomatik matcher üretimi ve kesintisiz reload süreciyle yönetir.
TLS trafiğinde karar SNI üzerinden verilir; HTTP trafiğinde Host header kullanılır. Böylece hem TLS passthrough/erken ayrım senaryoları hem de klasik HTTP reverse proxy senaryoları aynı sanal sunucu modeli altında yönetilir.
`*.example.com` gibi wildcard domain'ler otomatik olarak güvenli eşleme kalıbına çevrilir. Operatör regex yazmak zorunda kalmaz. Tek bir wildcard tanımıyla sınırsız subdomain doğru pool'a yönlendirilebilir.
Aynı VIP üzerinde çalışan her domain farklı pool'a gidebilir. Bu sayede bir domain için WAAP, başka bir domain için mTLS, diğer domain için cache veya özel log profili uygulanabilir. Domain ayrımı sadece routing değil, policy ayrımıdır.
TR7 sanal sunucu konfigürasyonunu sıralı ve deterministik üretir. Aynı girdi aynı çıktıyı verdiği için gereksiz reload yapılmaz. Sadece gerçek değişiklik olduğunda yumuşak reload uygulanır; mevcut bağlantılar korunur.
Sanal Sunucular, aynı IP ve port üzerinde domain bazlı ayrım, wildcard yönetimi, sertifika eşlemesi, tenant izolasyonu ve kesintisiz güncelleme sağlar.
TLS trafiğinde istemcinin sunduğu SNI değeri okunur ve ilgili domain doğru pool'a yönlendirilir. Bu yöntem TLS bağlantısının erken aşamasında domain ayrımı yapılmasını sağlar. Aynı 443 portunda birden fazla TLS servisi çalıştırmak için temel mekanizmadır.
HTTP modunda TR7, `Host` header değerini sanal sunucu eşlemesi için kullanır. Plain HTTP veya TLS terminasyonu sonrası HTTP trafiğinde klasik vhost davranışı elde edilir. Aynı IP ve port üzerinde farklı domain'ler farklı servis havuzlarına taşınır.
`*.example.com` gibi wildcard alan adları otomatik olarak eşleme kuralına dönüştürülür. Operatör her subdomain için ayrı kural yazmaz. Bu özellikle SaaS tenant domain'leri, müşteri subdomain'leri ve çoklu ortam ayrımı için güçlüdür.
Her sanal domain bir pool ID'ye bağlanır. Aynı VIP üzerindeki `shop.example.com`, `api.example.com` ve `admin.example.com` farklı kurum servislerine yönlendirilebilir. Her pool kendi kurum servisi listesi, health check, WAAP ve trafik kurallarıyla bağımsız yönetilir.
Sanal sunucu sadece yönlendirme kararı değildir; domain'in bağlı olduğu pool üzerinden güvenlik ve operasyon politikaları da ayrışır. Bir domain sıkı WAAP profili kullanırken başka bir domain cache profiliyle hızlandırılabilir. Log formatı ve raporlama da domain/pool ayrımına göre düzenlenebilir.
Aynı IP ve port üzerinde çoklu sertifika kullanıldığında TR7 SNI değerine göre doğru sertifika/pool zincirini çalıştırır. Wildcard sertifika ve wildcard vhost birlikte kullanılabilir. Bu yapı çoklu domain TLS operasyonunu sadeleştirir.
Sanal sunucu katmanı, trafik yönlendirme sırasında istemci ve coğrafi bağlam bilgisinin sonraki katmanlara aktarılmasını destekler. Böylece kurum servisi pool'u, loglama, geo tabanlı karar veya policy zinciri domain ayrımından sonra da gerekli bağlamı kullanabilir.
Sanal sunucu katmanı, ilgili pool'a izole bir iç bağlantı üzerinden trafik aktarır. Bu mimari domain ayrımını merkezi noktada yaparken, her pool'un kendi çalışma alanını korumasını sağlar. Portal, AAM veya başka bir pool'dan gelen trafik de aynı modelle işlenebilir.
Çok kiracılı yapılarda her zone kendi sanal sunucu listesini yönetir. Bir tenant'ın domain listesi başka tenant'ın domain'leriyle karışmaz. Domain çakışması, yetki ayrımı ve görünürlük tenant sınırları içinde tutulur.
Sanal sunucu grupları yüksek bağlantı sayısı için ayrı çalışma alanlarında tutulur. Bu sayede çoklu domain trafiği tek noktada yönetilirken bağlantı kapasitesi geniş tutulur. Bir domain grubundaki operasyonel değişiklikler diğer grupları gereksiz etkilemez.
Domain, pool veya sertifika değişikliği olduğunda TR7 konfigürasyon farkını algılar. Sadece gerekli bileşen yumuşak şekilde yenilenir. Mevcut bağlantılar drain edilirken yeni trafik güncel konfigürasyonla alınır.
Tanımlı olmayan Host/SNI değerleri default kurum servisine, hata yanıtına veya güvenlik politikasına yönlendirilebilir. Bu, subdomain hijacking ve yanlış domain erişimi senaryolarında kontrollü davranış sağlar.
Sanal Sunucular özelliği, domain eşlemenin ötesinde reload stratejisi, tenant ayrımı, wildcard normalize etme ve yüksek bağlantı operasyonunu birlikte çözer.
Aynı IP, port ve çalışma tipi altındaki sanal sunucular bir grup olarak ele alınır. Grup içinde domain eşlemeleri sıralı ve deterministik biçimde üretilir. Bu yapı gereksiz konfigürasyon farklarını engeller.
Düz domain değerleri doğrudan string eşleşmesiyle, wildcard domain'ler ise otomatik kalıp eşleşmesiyle işlenir. Kullanıcı manuel regex yazmadığı için hata riski azalır. Domain karakterleri güvenli şekilde escape edilir.
TLS modunda karar SNI üzerinden, HTTP modunda Host header üzerinden alınır. Bu ayrım otomatik yapılır. Operatörün her senaryo için farklı yönlendirme mantığı yazmasına gerek kalmaz.
TR7 mevcut konfigürasyon ile üretilmesi gereken konfigürasyonu karşılaştırır. Sadece gerçek fark varsa reload veya restart kararı alınır. Hiçbir fark yoksa aksiyon alınmaz.
Yalnızca çalışan proxy konfigürasyonu değiştiyse yumuşak reload uygulanır. Bu, aktif bağlantıların gereksiz yere kesilmesini önler. Daha derin çalışma alanı değişikliği gerekiyorsa kontrollü yeniden başlatma yapılır.
Her zone kendi domain ve vhost yapılandırmasını görür. Çoklu müşteri veya çoklu departman yapılarında domain yönetimi ayrışır. Bu yaklaşım hem operasyon güvenliğini hem de yönetim sadeliğini artırır.
Sanal sunucu routing'i yalnızca ilgili pool aktif ve sağlıklıysa anlamlıdır. Pool health check, kurum servisi durumu, sertifika ve WAAP profili domain trafiğinin son karar zincirini belirler.
Modern istemcilerde SNI ve Host header uyumsuzluğu yanlış kurum servisi erişimine sebep olabilir. TR7 bu tür durumları sanal sunucu ve güvenlik profili zincirinde kontrol edilebilir hale getirir.
`tenant1.app.com`, `tenant2.app.com` ve `tenant3.app.com` aynı VIP üzerinde çalışır. Wildcard domain ile tüm tenant subdomain'leri tek kural altında yakalanır; her tenant kendi pool'una ve kendi WAAP profiline gider.
`shop.example.com` public mağaza pool'una, `admin.example.com` ise mTLS ve daha sıkı erişim politikası olan yönetim pool'una gider. Tek 443 portu kullanılır, güvenlik politikaları domain bazında ayrılır.
`api.example.com` yeni API pool'una, `api-v2.example.com` legacy pool'a yönlendirilir. Geçiş sürecinde iki servis aynı IP üzerinde çalışır; DNS ve firewall mimarisi değiştirilmez.
Sanal sunucu katmanı domain'i ayırır, sonraki pool katmanı coğrafi bilgiye göre farklı trafik kuralları veya güvenlik profilleri uygular. Böylece domain ve lokasyon bazlı karar zinciri birlikte çalışır.
Tanımsız veya beklenmeyen subdomain istekleri default güvenlik davranışına alınır. Wildcard sertifika kullanılsa bile her subdomain'in kontrolsüz kurum servisine düşmesi engellenir.
`portal.example.com` internet kullanıcılarına açık çalışırken, `partner-api.example.com` yalnızca mTLS ve IP allowlist ile erişilebilir olur. İki servis aynı IP ve port üzerinde, farklı güvenlik katmanlarıyla yönetilir.
SNI ve Host header bazlı ayrım, wildcard domain desteği, domain başına WAAP ve kesintisiz reload. Kendi altyapınızda canlı bir kurulumda gezdirelim.