مشاركة عبر

البرنامج التعليمي: تكوين بوابة تطبيق مع إنهاء TLS باستخدام مدخل Microsoft Azure

يمكنك استخدام مدخل Microsoft Azure لتكوين بوابة تطبيق بشهادة لإنهاء TLS تستخدم الأجهزة الظاهرية لخوادم الواجهة الخلفية.

في هذا البرنامج التعليمي، تتعلم كيفية:

  • إنشاء شهادة موقَّعة ذاتيًا
  • إنشاء بوابة تطبيق من خلال استخدام الشهادة
  • إنشاء الأجهزة الظاهرية المستخدمة كخوادم خلفية
  • اختبار بوابة التطبيق

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

إشعار

نوصي باستخدام الوحدة النمطية Azure Az PowerShell للتفاعل مع Azure. للبدء، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

Prerequisites

  • اشتراك Azure

إنشاء شهادة موقَّعة ذاتيًا

في هذا القسم، يمكنك استخدام New-SelfSignedCertificate لإنشاء شهادة موقعة ذاتيا. يمكنك تحميل الشهادة إلى مدخل Microsoft Azure عند إنشاء مستمع لبوابة التطبيق.

على الكمبيوتر المحلي، افتح نافذة Windows PowerShell كمسؤول. قم بتشغيل الأمر التالي لإنشاء الشهادة:

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

يجب أن ترى شيئا مثل هذا الرد:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

استخدم Export-PfxCertificate مع بصمة الإبهام التي تم إرجاعها لتصدير ملف pfx من الشهادة. يتم سرد خوارزميات PFX المدعومة في وظيفة PFXImportCertStore. تأكد من أن كلمة المرور الخاصة بك تتكون من 4 إلى 12 حرفا:

$pwd = ConvertTo-SecureString -String <your password> -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

تسجيل الدخول إلى Azure

قم بتسجيل الدخول إلى بوابة Azure.

إنشاء بوابة تطبيق

  1. من قائمة مدخل Microsoft Azure، حدد + إنشاء مورد>بوابة تطبيق>، أو ابحث عن Application Gateway في مربع البحث في المدخل.

  2. حدد إنشاء.

علامة تبويبBasics

  1. في علامة التبويب الأساسيات ، أدخل القيم التالية أو حددها:

    • مجموعة الموارد: حدد myResourceGroupAG لمجموعة الموارد. إذا لم يكن موجودا، فحدد إنشاء جديد لإنشائه.

    • اسم بوابة التطبيق: أدخل myAppGateway لاسم بوابة التطبيق.

      لقطة شاشة لإنشاء أساسيات بوابة تطبيق جديدة.

  2. لكي يتواصل Azure بين الموارد التي تنشئها، فإنه يحتاج إلى شبكة ظاهرية. يمكنك إما إنشاء شبكة ظاهرية جديدة أو استخدام شبكة موجودة. في هذا المثال، ستقوم بإنشاء شبكة ظاهرية جديدة في نفس الوقت الذي تقوم فيه بإنشاء بوابة التطبيق. يتم إنشاء مثيلات Application Gateway في شبكات فرعية منفصلة. تُنشئ شبكتين فرعيتين في هذا المثال: واحدة لـ application gateway، والأخرى للخوادم الخلفية.

    ضمن تكوين شبكة ظاهرية، قم بإنشاء شبكة ظاهرية جديدة عن طريق تحديد إنشاء جديد. في نافذة إنشاء شبكة ظاهرية التي تفتح، أدخل القيم التالية لإنشاء الشبكة الظاهرية وشبكتين فرعيتين:

    • الاسم: أدخل myVNet لاسم الشبكة الظاهرية.

    • اسم الشبكة الفرعية (الشبكة الفرعية لبوابة التطبيق): ستعرض شبكة الشبكات الفرعية شبكة فرعية تسمى افتراضي. قم بتغيير اسم هذه الشبكة الفرعية إلى myAGSubnet.
      قد لا تحتوي الشبكة الفرعية لبوابة التطبيق إلا على بوابات تطبيق ما. لا يسمح بأي موارد أخرى.

    • اسم الشبكة الفرعية (الشبكة الفرعية لخادم الواجهة الخلفية): في الصف الثاني من شبكة الشبكات الفرعية ، أدخل myBackendSubnet في عمود اسم الشبكة الفرعية .

    • نطاق العناوين (الشبكة الفرعية لخادم الواجهة الخلفية): في الصف الثاني من شبكة الشبكات الفرعية ، أدخل نطاق عناوين لا يتداخل مع نطاق عناوين myAGSubnet. على سبيل المثال، إذا كان نطاق عنوان myAGSubnet هو 10.0.0.0/24، فأدخل 10.0.1.0/24 لنطاق عناوين myBackendSubnet.

    حدد موافق لإغلاق نافذة إنشاء شبكة ظاهرية وحفظ إعدادات الشبكة الظاهرية.

    لقطة شاشة لإنشاء شبكة ظاهرية جديدة لبوابة التطبيق.

  3. في علامة التبويب الأساسيات ، اقبل القيم الافتراضية للإعدادات الأخرى، ثم حدد التالي: الواجهات الأمامية.

علامة التبويب الواجهات الأمامية

  1. في علامة التبويب الواجهات الأمامية، تحقق من تعيين نوع عنوان IP للواجهة الأمامية إلى عام.
    يمكنك تكوين عنوان IP للواجهة الأمامية ليكون عاما أو خاصا وفقا لحالة الاستخدام الخاصة بك. في هذا المثال، ستختار عنوان IP للواجهة الأمامية العامة.

    إشعار

    بالنسبة لSKU لبوابة التطبيق v2، يمكنك فقط اختيار تكوين IP للواجهة الأمامية العامة . تكوين IP للواجهة الأمامية الخاصة غير ممكن حاليا لوحدة SKU الإصدار 2 هذه.

  2. أختر إضافة جديدلعنوان IP العام وأدخل myAGPublicIPAddress لاسم عنوان IP العام، ثم حدد موافق.

    لقطة شاشة لإنشاء واجهات أمامية جديدة لبوابة التطبيق.

  3. حدد التالي: الخلفيات.

علامة التبويب الخلفيات

يتم استخدام تجمع الواجهة الخلفية لتوجيه الطلبات إلى خوادم الواجهة الخلفية التي تخدم الطلب. يمكن أن تتكون تجمعات الواجهة الخلفية من بطاقات واجهة الشبكة ومجموعات مقياس الجهاز الظاهري وعناوين IP العامة وعناوين IP الداخلية وأسماء المجالات المؤهلة بالكامل (FQDN) والخلفيات متعددة المستأجرين مثل Azure App Service. في هذا المثال، ستقوم بإنشاء تجمع خلفية فارغ باستخدام بوابة التطبيق ثم إضافة أهداف الواجهة الخلفية إلى تجمع الواجهة الخلفية.

  1. في علامة التبويب الخلفيات ، حدد إضافة تجمع خلفي.

  2. في نافذة إضافة تجمع خلفية التي تفتح، أدخل القيم التالية لإنشاء تجمع خلفي فارغ:

    • الاسم: أدخل myBackendPool لاسم تجمع الواجهة الخلفية.
    • إضافة تجمع الواجهة الخلفية بدون أهداف: حدد نعم لإنشاء تجمع خلفية بدون أهداف. ستضيف أهداف الواجهة الخلفية بعد إنشاء بوابة التطبيق.

  3. في نافذة إضافة تجمع خلفي ، حدد إضافة لحفظ تكوين تجمع الواجهة الخلفية والعودة إلى علامة التبويب الواجهات الخلفية .

    لقطة شاشة لإنشاء واجهات خلفية جديدة لبوابة التطبيق.

  4. في علامة التبويب الخلفيات ، حدد التالي: التكوين.

علامة تبويب التكوين

في علامة التبويب تكوين ، ستقوم بتوصيل تجمع الواجهة الأمامية والخلفية الذي قمت بإنشائه باستخدام قاعدة توجيه.

  1. حدد إضافة قاعدة توجيه في عمود قواعد التوجيه .

  2. في نافذة إضافة قاعدة توجيه التي تفتح، أدخل myRoutingRuleلاسم القاعدة.

  3. تتطلب قاعدة التوجيه مستمعا. في علامة التبويب المستمع داخل نافذة إضافة قاعدة توجيه ، أدخل القيم التالية للمستمع:

    • اسم المستمع: أدخل myListener لاسم المستمع.
    • عنوان IP للواجهة الأمامية: حدد عام لاختيار عنوان IP العام الذي أنشأته للواجهة الأمامية.
    • البروتوكول: حدد HTTPS.
    • المنفذ: تحقق من إدخال 443 للمنفذ.

    ضمن إعدادات HTTPS:

    • اختيار شهادة - حدد تحميل شهادة.

    • ملف شهادة PFX - استعرض وصولا إلى ملف c:\appgwcert.pfx الذي قمت بإنشائه مسبقا وحدده.

    • اسم الشهادة - اكتب mycert1 لاسم الشهادة.

    • كلمة المرور - اكتب كلمة المرور التي استخدمتها لإنشاء الشهادة.

      اقبل القيم الافتراضية للإعدادات الأخرى في علامة التبويب المستمع ، ثم حدد علامة التبويب أهداف الواجهة الخلفية لتكوين بقية قاعدة التوجيه.

    لقطة شاشة لإنشاء مستمع بوابة تطبيق جديد.

  4. في علامة التبويب أهداف الواجهة الخلفية ، حدد myBackendPoolلهدف الواجهة الخلفية.

  5. بالنسبة إلى إعداد HTTP، اختر إضافة جديد لإنشاء إعداد HTTP جديد. سيحدد إعداد HTTP سلوك قاعدة التوجيه. في نافذة إضافة إعداد HTTP التي تفتح، أدخل myHTTPSettingلاسم إعداد HTTP. اقبل القيم التلقائية للإعدادات الأخرى في نافذة إضافة إعداد HTTP ، ثم حدد إضافة للعودة إلى نافذة إضافة قاعدة توجيه .

    لقطة شاشة لإضافة إعداد H T T P من علامة التبويب التكوين في إنشاء بوابة تطبيق جديدة

  6. في نافذة إضافة قاعدة توجيه ، حدد إضافة لحفظ قاعدة التوجيه والعودة إلى علامة التبويب التكوين .

    لقطة شاشة لإنشاء قاعدة توجيه بوابة تطبيق جديدة.

  7. حدد التالي: العلامات ثم التالي: مراجعة + إنشاء.

مراجعة + إنشاء علامة التبويب

راجع الإعدادات في علامة التبويب مراجعة + إنشاء ، ثم حدد إنشاء لإنشاء الشبكة الظاهرية وعنوان IP العام وبوابة التطبيق. قد يستغرق Azure عدة دقائق لإنشاء بوابة التطبيق. انتظر حتى ينتهي النشر بنجاح قبل الانتقال إلى القسم التالي.

إضافة أهداف الواجهة الخلفية

في هذا المثال، ستستخدم الأجهزة الظاهرية كخلفية مستهدفة. يمكنك إما استخدام الأجهزة الظاهرية الموجودة أو إنشاء أجهزة جديدة. ستقوم بإنشاء جهازين ظاهريين يستخدمهما Azure كخوادم خلفية لبوابة التطبيق.

للقيام بذلك ، سوف:

  1. قم بإنشاء جهازين ظاهريين جديدين، myVMوmyVM2، لاستخدامهما كخوادم خلفية.
  2. قم بتثبيت IIS على الأجهزة الظاهرية للتحقق من إنشاء بوابة التطبيق بنجاح.
  3. أضف خوادم الواجهة الخلفية إلى تجمع الواجهة الخلفية.

إنشاء جهاز ظاهري

  1. من قائمة مدخل Microsoft Azure، حدد + إنشاء مورد>حساب>مركز بيانات Windows Server 2016، أو ابحث عن Windows Server في مربع بحث المدخل وحدد مركز بيانات Windows Server 2016.

  2. حدد إنشاء.

    يمكن ل Application Gateway توجيه نسبة استخدام الشبكة إلى أي نوع من الأجهزة الظاهرية المستخدمة في تجمع الواجهة الخلفية الخاص بها. في هذا المثال، يمكنك استخدام مركز بيانات Windows Server 2016.

  3. أدخل هذه القيم في علامة التبويب الأساسيات لإعدادات الجهاز الظاهري التالية:

    • مجموعة الموارد: حدد myResourceGroupAG لاسم مجموعة الموارد.
    • اسم الجهاز الظاهري: أدخل myVM لاسم الجهاز الظاهري.
    • اسم المستخدم: أدخل اسما لاسم مستخدم المسؤول.
    • كلمة المرور: أدخل كلمة مرور لحساب المسؤول.

  4. اقبل الإعدادات الافتراضية الأخرى ثم حدد التالي: الأقراص.

  5. اقبل الإعدادات الافتراضية لعلامة التبويب الأقراص ثم حدد التالي: الشبكات.

  6. في علامة التبويب الشبكات ، تحقق من تحديد myVNetللشبكة الظاهرية وتعيين الشبكة الفرعية إلى myBackendSubnet. اقبل الإعدادات الافتراضية الأخرى ثم حدد التالي: الإدارة.

    يمكن لبوابة التطبيق الاتصال بمثيلات خارج الشبكة الظاهرية الموجودة فيها، ولكن تحتاج إلى التأكد من وجود اتصال IP.

  7. في علامة التبويب الإدارة ، قم بتعيين تشخيصات التمهيد إلى تعطيل. اقبل الإعدادات الافتراضية الأخرى ثم حدد مراجعة + إنشاء.

  8. في علامة التبويب مراجعة + إنشاء ، راجع الإعدادات، وقم بتصحيح أي أخطاء في التحقق من الصحة، ثم حدد إنشاء.

  9. انتظر حتى يكتمل النشر قبل المتابعة.

تثبيت IIS للاختبار

في هذا المثال، يمكنك تثبيت IIS على الأجهزة الظاهرية فقط للتحقق من أن Azure أنشأ بوابة التطبيق بنجاح.

  1. افتح Azure PowerShell. للقيام بذلك، حدد Cloud Shell من شريط التنقل العلوي لمدخل Microsoft Azure ثم حدد PowerShell من القائمة المنسدلة.

    لقطة شاشة لتثبيت ملحق مخصص.

  2. قم بتغيير إعداد الموقع لبيئتك، ثم قم بتشغيل الأمر التالي لتثبيت IIS على الجهاز الظاهري:

           Set-AzVMExtension `
         -ResourceGroupName myResourceGroupAG `
         -ExtensionName IIS `
         -VMName myVM `
         -Publisher Microsoft.Compute `
         -ExtensionType CustomScriptExtension `
         -TypeHandlerVersion 1.4 `
         -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
         -Location <location>

  3. قم بإنشاء جهاز ظاهري ثان وقم بتثبيت IIS باستخدام الخطوات التي أكملتها مسبقا. استخدم myVM2 لاسم الجهاز الظاهري وإعداد VMName الخاص ب Set-AzVMExtension cmdlet.

إضافة خوادم الواجهة الخلفية إلى تجمع الواجهة الخلفية

  1. حدد جميع الموارد، ثم حدد myAppGateway.

  2. حدد تجمعات الواجهة الخلفية من القائمة اليمنى.

  3. حدد «myBackendPool».

  4. ضمن نوع الهدف، حدد الجهاز الظاهري من القائمة المنسدلة.

  5. ضمن الهدف، حدد واجهة الشبكة ضمن myVM من القائمة المنسدلة.

  6. كرر لإضافة واجهة الشبكة ل myVM2.

    لقطة شاشة لإضافة خوادم الواجهة الخلفية.

  7. حدد حفظ.

  8. انتظر حتى يكتمل النشر قبل المتابعة إلى الخطوة التالية.

اختبار بوابة التطبيق

  1. حدد جميع الموارد، ثم حدد myAGPublicIPAddress.

    لقطة شاشة للعثور على عنوان IP العام لبوابة التطبيق.

  2. في شريط العناوين في المستعرض، اكتب https://< عنوان> IP لبوابة التطبيق.

    لقبول تحذير الأمان إذا كنت تستخدم شهادة موقعة ذاتيا، اختر التفاصيل (أو خيارات متقدمة على Chrome) ثم انتقل إلى صفحة الويب:

    لقطة شاشة لتحذير أمان المتصفح.

    ثم يتم عرض موقع ويب IIS الآمن كما في المثال التالي:

    لقطة شاشة لاختبار عنوان URL الأساسي في بوابة التطبيق.

تنظيف الموارد

عندما لا تكون هناك حاجة إلى ذلك، احذف مجموعة الموارد وجميع الموارد ذات الصلة. للقيام بذلك، حدد مجموعة الموارد وحدد حذف مجموعة الموارد.

الخطوات التالية

في هذا البرنامج التعليمي، سوف تتعلّم:

  • إنشاء شهادة موقعة ذاتيا
  • إنشاء بوابة تطبيق بالشهادة

لمعرفة المزيد حول دعم طبقة النقل الآمنة لبوابة التطبيق، راجع TLS من طرف إلى طرف مع نهج طبقة النقل الآمنة لبوابة التطبيقوبوابة التطبيق.

لمعرفة كيفية إنشاء بوابة تطبيق وتكوينها لاستضافة مواقع ويب متعددة باستخدام مدخل Microsoft Azure، انتقل إلى البرنامج التعليمي التالي.

استضافة مواقع متعددة

  • Last updated on