مشاركة عبر

دمج بيئة خدمة تطبيق ILB مع Azure Application Gateway

  • مقالة

تُعد App Service Environment عملية نشر لـ Azure App Service في الشبكة الفرعية لشبكة Azure الظاهرية للعميل. يمكن نشرها باستخدام نقطة نهاية خارجية أو داخلية للوصول إلى التطبيق. يسمى نشر App Service Environment مع نقطة نهاية داخلية بيئة App Service لموازن التحميل الداخلي (ILB).

تساعد جدران حماية تطبيقات الويب في تأمين تطبيقات الويب الخاصة بك عن طريق فحص حركة مرور الويب الواردة لحظر حقن SQL والبرمجة النصية عبر المواقع وتحميلات البرامج الضارة وتطبيق DDoS وغيرها من الهجمات. يمكنك الحصول على جهاز WAF من Azure Marketplace أو يمكنك استخدام بوابة تطبيق Azure.

بوابة تطبيق Azure هو جهاز ظاهري يوفر موازنة تحميل الطبقة 7، وإيقاف تحميل TLS، وحماية جدار حماية تطبيق الويب (WAF). يمكنه الاستماع إلى عنوان IP عام وتوجيه نسبة استخدام الشبكة إلى نقطة نهاية التطبيق خاصتك. توضح المعلومات التالية كيفية دمج بوابة تطبيق تم تكوينها بواسطة WAF مع تطبيق في بيئة خدمة تطبيق ILB.

تكامل بوابة التطبيق مع بيئة خدمة تطبيق ILB على مستوى التطبيق. عند تكوين بوابة التطبيق مع بيئة خدمة تطبيق ILB، فإنك تفعل ذلك لتطبيقات معينة في بيئة خدمة تطبيق ILB.

لقطة شاشة لمخطط الدمج عالي المستوى

في هذه الإرشادات التفصيلية، سوف تقوم بما يلي:

  • إنشاء Azure Application Gateway.
  • تكوين بوابة التطبيق للإشارة إلى تطبيق في بيئة خدمة تطبيق ILB.
  • تحرير اسم مضيف DNS العام الذي يشير إلى بوابة التطبيق خاصتك.

المتطلبات الأساسية

لدمج بوابة التطبيق الخاصة بك مع بيئة خدمة تطبيق ILB، تحتاج إلى:

  • بيئة خدمة تطبيق ILB.
  • منطقة DNS خاصة لبيئة خدمة تطبيق ILB.
  • تطبيق يعمل في بيئة خدمة تطبيق ILB.
  • اسم DNS عام لبوابة التطبيق الخاص بك.
  • إذا كنت بحاجة إلى استخدام تشفير TLS إلى بوابة التطبيق، يلزم وجود شهادة عامة صالحة تستخدم للربط ببوابة التطبيق.

بيئة خدمة تطبيق ILB

للحصول على تفاصيل حول كيفية إنشاء بيئة خدمة تطبيق ILB، راجع إنشاء بيئة خدمة التطبيقات في مدخل Microsoft Azure وإنشاء بيئة خدمة التطبيقات باستخدام قالب Azure Resource Manager.

  • بعد إنشاء بيئة خدمة تطبيق ILB، يكون المجال الافتراضي هو <YourAseName>.appserviceenvironment.net.

    لقطة شاشة لنظرة عامة على بيئة خدمة تطبيق ILB.

  • يتم توفير موازنة تحميل داخلية للوصول الوارد. يمكنك التحقق من العنوان الوارد في عناوين IP ضمن App Service Environment Settings. يمكنك إنشاء منطقة DNS خاصة تم تعيينها إلى عنوان IP هذا لاحقًا.

    لقطة شاشة للحصول على العنوان الوارد من إعدادات عناوين IP لبيئة خدمة تطبيقات ILB.

منطقة DNS خاصة

تحتاج إلى منطقة DNS خاصة لتحليل الاسم الداخلي. قم بإنشائه باستخدام اسم App Service Environment باستخدام مجموعات السجلات الموضحة في الجدول التالي (للحصول على الإرشادات، راجع التشغيل السريع - إنشاء منطقة DNS خاصة ل Azure باستخدام مدخل Microsoft Azure).

Name نوع القيمة‬
* ش العنوان الوارد لبيئة خدمة التطبيقات
@ ش العنوان الوارد لبيئة خدمة التطبيقات
@ SOA اسم DNS لبيئة خدمة التطبيقات
*.scm ش العنوان الوارد لبيئة خدمة التطبيقات

App Service على بيئة خدمة تطبيق ILB

تحتاج إلى إنشاء خطة App Service وتطبيق في بيئة خدمة تطبيق ILB. عند إنشاء التطبيق في المدخل، حدد بيئة خدمة تطبيق ILB كمنطقة.

اسم DNS عام لبوابة التطبيق

للاتصال ببوابة التطبيق من الإنترنت، تحتاج إلى اسم مجال قابل للتوجيه. في هذه الحالة، استخدمت اسم المجال القابل للتوجيه asabuludemo.com وأخطط للاتصال بـ App Service باستخدام اسم المجال هذا app.asabuludemo.com. يجب تعيين عنوان IP المعين لاسم مجال التطبيق هذا إلى عنوان IP العام لبوابة التطبيق بعد إنشاء بوابة التطبيق. باستخدام مجال عام تم تعيينه إلى بوابة التطبيق، لن تحتاج إلى تكوين مجال مخصص في App Service. يمكنك شراء اسم مجال مخصص باستخدام App Service Domains.

شهادة عامة صالحة

لتحسين الأمان، اربط شهادة TLS لتشفير جلسة العمل. لربط شهادة TLS ببوابة التطبيق، يلزم وجود شهادة عامة صالحة بالمعلومات التالية. باستخدام شهادات App Service، يمكنك شراء شهادة TLS وتصديرها .pfx بتنسيق.

الاسم قيمة ‏‏الوصف
الاسم الشائع <yourappname>.<yourdomainname>على سبيل المثال: app.asabuludemo.com
أو *.<yourdomainname>، على سبيل المثال: *.asabuludemo.com		 شهادة قياسية أو شهادة بدل لبوابة التطبيق
الاسم البديل للموضوع <yourappname>.scm.<yourdomainname>على سبيل المثال: app.scm.asabuludemo.com
أو *.scm.<yourdomainname>، على سبيل المثال: *.scm.asabuludemo.com		 شبكة منطقة النظام (SAN) التي تسمح بالاتصال بخدمة App Service kudu. إنها إعداد اختياري، إذا كنت لا ترغب في نشر خدمة App Service kudu على الإنترنت.

يجب أن يحتوي ملف الشهادة على مفتاح خاص وحفظه بتنسيق .pfx . يتم استيراد الشهادة إلى بوابة التطبيق لاحقا.

إنشاء بوابة تطبيق

لإنشاء بوابة التطبيق الأساسية، راجع البرنامج التعليمي: إنشاء بوابة تطبيق باستخدام جدار حماية تطبيق ويب باستخدام مدخل Microsoft Azure.

في هذا البرنامج التعليمي، نستخدم مدخل Microsoft Azure لإنشاء بوابة تطبيق باستخدام بيئة خدمة تطبيق ILB.

في مدخل Microsoft Azure، حدد جديد>الشبكة>بوابة التطبيق لإنشاء بوابة تطبيق.

  1. إعداد الأساسيات

    في القائمة المنسدلة الطبقة، يمكنك تحديد Standard V2 أو WAF V2 لتمكين ميزة WAF على بوابة التطبيق.

  2. إعداد الواجهات الأمامية

    حدد نوع عنوان IP للواجهة الأمامية إلى عام أو خاص أو كلاهما . إذا قمت بتعيين خاص أو كلاهما، فستحتاج إلى تعيين عنوان IP ثابت في نطاق الشبكة الفرعية لبوابة التطبيق. في هذه الحالة، نقوم بتعيين عنوان IP عام لنقطة النهاية العامة فقط.

    • عنوان IP العام - تحتاج إلى إقران عنوان IP عام للوصول العام لبوابة التطبيق. سجل عنوان IP هذا، تحتاج إلى إضافة سجل في خدمة DNS الخاصة بك لاحقًا.

      لقطة شاشة للحصول على عنوان IP عام من إعداد الواجهات الأمامية لبوابة التطبيق.

  3. إعداد الواجهات الخلفية

    أدخل اسم تجمع الواجهة الخلفية وحدد خدمات التطبيقات أو عنوان IP أو FQDN في نوع الهدف. في هذه الحالة، قمنا بتعيين خدمات التطبيقات وحددنا اسم App Service من القائمة المنسدلة الهدف.

    لقطة شاشة لإضافة اسم تجمع واجهة خلفية في إعداد الواجهات الخلفية.

  4. إعداد التكوين

    في إعداد التكوين ، تحتاج إلى إضافة قاعدة توجيه عن طريق تحديد إضافة أيقونة قاعدة التحويل.

    لقطة شاشة لإضافة قاعدة تحويل في إعداد التكوين.

    تحتاج إلى تكوين المستمع وأهداف الواجهة الخلفية في قاعدة التحويل. يمكنك إضافة مستمع HTTP لنشر إثبات المبدأ أو إضافة مستمع HTTPS لتحسين الأمان.

    • للاتصال ببوابة التطبيق باستخدام بروتوكول HTTP، يمكنك إنشاء مستمع بالإعدادات التالية،

      المعلمة قيمة ‏‏الوصف
      اسم القاعدة على سبيل المثال: http-routingrule اسم التحويل
      اسم وحدة الاستماع على سبيل المثال: http-listener اسم وحدة الاستماع
      IP أمامي ‏‏عامة للوصول إلى الإنترنت، اضبط على عام
      البروتوكول HTTP عدم استخدام تشفير TLS
      المنفذ 80 منفذ HTTP الافتراضي
      نوع وحدة الاستماع مواقع عديدة السماح بالاستماع إلى مواقع متعددة على بوابة التطبيق
      نوع المضيف متعدد/حرف بدل قم بالتعيين إلى اسم موقع ويب متعدد أو حرف بدل إذا تم تعيين نوع المستمع إلى مواقع متعددة.
      اسم المضيف على سبيل المثال: app.asabuludemo.com تعيين اسم مجال قابل للتوجيه لـ App Service

      لقطة شاشة لمستمع HTTP لقاعدة التحويل لبوابة التطبيق.

    • للاتصال ببوابة التطبيق باستخدام تشفير TLS، يمكنك إنشاء وحدة استماع بالإعدادات التالية:

      المعلمة قيمة ‏‏الوصف
      اسم القاعدة على سبيل المثال: https-routingrule اسم التحويل
      اسم وحدة الاستماع على سبيل المثال: https-listener اسم وحدة الاستماع
      IP أمامي ‏‏عامة للوصول إلى الإنترنت، اضبط على عام
      البروتوكول HTTPS استخدام تشفير TLS
      المنفذ 443 منفذ HTTPS الافتراضي
      إعدادات Https تحميل شهادة قم بتحميل شهادة تحتوي على CN والمفتاح الخاص بتنسيق .pfx.
      نوع وحدة الاستماع مواقع عديدة السماح بالاستماع إلى مواقع متعددة على بوابة التطبيق
      نوع المضيف متعدد/حرف بدل قم بالتعيين إلى اسم موقع ويب متعدد أو حرف بدل إذا تم تعيين نوع المستمع إلى مواقع متعددة.
      اسم المضيف على سبيل المثال: app.asabuludemo.com تعيين اسم مجال قابل للتوجيه لـ App Service

      مستمع HTTPS لقاعدة توجيه بوابة التطبيق.

    • يجب عليك تكوين تجمع الواجهة الخلفية وإعداد HTTP في أهداف الواجهة الخلفية. تم تكوين تجمع الواجهة الخلفية في الخطوات السابقة. حدد إضافة ارتباط جديد لإضافة إعداد HTTP.

      لقطة شاشة لإضافة ارتباط جديد لإضافة إعداد H T T P.

    • إعدادات HTTP المدرجة في الجدول التالي:

      المعلمة قيمة ‏‏الوصف
      اسم إعداد HTTP على سبيل المثال: https-setting اسم إعداد HTTP
      بروتوكول الواجهة الخلفية HTTPS استخدام تشفير TLS
      منفذ خلفي 443 منفذ HTTPS الافتراضي
      استخدام شهادة CA المعروفة ‏‏نعم‬ اسم المجال الافتراضي لبيئة خدمة تطبيق ILB هو .appserviceenvironment.net. يتم إصدار شهادة هذا المجال من قبل مرجع جذر موثوق به عام. في إعداد شهادة الجذر الموثوق بها، يمكنك التعيين لاستخدام شهادة الجذر الموثوق بها المعروفة من CA.
      التجاوز باسم المضيف الجديد ‏‏نعم‬ تتم الكتابة فوق عنوان اسم المضيف عند الاتصال بتطبيق ILB App Service Environment
      تجاوز اسم مضيف اختيار اسم المضيف من هدف الواجهة الخلفية عند تعيين تجمع الواجهة الخلفية إلى App Service، يمكنك اختيار المضيف من هدف الواجهة الخلفية
      إنشاء فحوصات مخصصة لا استخدام فحص السلامة الافتراضي

      لقطة شاشة لمربع حوار **إضافة إعداد H T T P**.

تكوين تكامل بوابة التطبيق مع بيئة خدمة تطبيق ILB

للوصول إلى بيئة خدمة تطبيق ILB من بوابة التطبيق، تحتاج إلى التحقق مما إذا كان هناك ارتباط شبكة ظاهرية بمنطقة DNS الخاصة. إذا لم تكن هناك شبكة ظاهرية مرتبطة بالشبكة الظاهرية لبوابة التطبيق، أضف ارتباط شبكة ظاهرية بالخطوات التالية.

  • لتكوين ارتباط الشبكة الظاهرية مع منطقة DNS الخاصة، انتقل إلى مستوى تكوين منطقة DNS الخاصة. حدد ارتباطات الشبكة الظاهرية>إضافة

أضف ارتباط شبكة ظاهرية إلى منطقة DNS خاصة.

  • أدخل اسم الارتباط وحدد الاشتراك المعنيّ والشبكة الظاهرية التي توجد فيها بوابة التطبيق.

لقطة شاشة لإدخال تفاصيل اسم الارتباط إلى إعداد ارتباطات الشبكة الظاهرية في منطقة DNS الخاصة.

  • يمكنك تأكيد الحالة الصحية للواجهة الخلفية من صحة الواجهة الخلفية في مستوى بوابة التطبيق.

لقطة شاشة لتأكيد الحالة الصحية للواجهة الخلفية من صحة الواجهة الخلفية.

إضافة سجل DNS عام

تحتاج إلى تكوين تعيين DNS مناسب عند الوصول إلى بوابة التطبيق من الإنترنت.

  • يمكن العثور على عنوان IP العام لبوابة التطبيق في تكوينات IP للواجهة الأمامية في مستوى بوابة التطبيق.

يمكن العثور على عنوان IP للواجهة الأمامية لبوابة التطبيق في تكوين IP للواجهة الأمامية.

  • استخدم خدمة Azure DNS على سبيل المثال، يمكنك إضافة مجموعة سجلات لتعيين اسم مجال التطبيق إلى عنوان IP العام لبوابة التطبيق.

لقطة شاشة لإضافة مجموعة سجلات لتعيين اسم مجال التطبيق إلى عنوان IP العام لبوابة التطبيق.

التحقق من صحة الاتصال

  • عند الوصول إلى الجهاز من الإنترنت، يمكنك التحقق من صحة تحليل الاسم لاسم مجال التطبيق إلى عنوان IP العام لبوابة التطبيق.

التحقق من صحة تحليل الاسم من موجه الأوامر.

  • عند الوصول إلى جهاز من الإنترنت، اختبر الوصول إلى الويب من مستعرض.

لقطة شاشة لفتح مستعرض، والوصول إلى الويب.