دمج بيئة خدمة تطبيق ILB مع Azure Application Gateway
تُعد App Service Environment عملية نشر لـ Azure App Service في الشبكة الفرعية لشبكة Azure الظاهرية للعميل. يمكن نشرها باستخدام نقطة نهاية خارجية أو داخلية للوصول إلى التطبيق. يسمى نشر App Service Environment مع نقطة نهاية داخلية بيئة App Service لموازن التحميل الداخلي (ILB).
تساعد جدران حماية تطبيقات الويب في تأمين تطبيقات الويب الخاصة بك عن طريق فحص حركة مرور الويب الواردة لحظر حقن SQL والبرمجة النصية عبر المواقع وتحميلات البرامج الضارة وتطبيق DDoS وغيرها من الهجمات. يمكنك الحصول على جهاز WAF من Azure Marketplace أو يمكنك استخدام بوابة تطبيق Azure.
بوابة تطبيق Azure هو جهاز ظاهري يوفر موازنة تحميل الطبقة 7، وإيقاف تحميل TLS، وحماية جدار حماية تطبيق الويب (WAF). يمكنه الاستماع إلى عنوان IP عام وتوجيه نسبة استخدام الشبكة إلى نقطة نهاية التطبيق خاصتك. توضح المعلومات التالية كيفية دمج بوابة تطبيق تم تكوينها بواسطة WAF مع تطبيق في بيئة خدمة تطبيق ILB.
تكامل بوابة التطبيق مع بيئة خدمة تطبيق ILB على مستوى التطبيق. عند تكوين بوابة التطبيق مع بيئة خدمة تطبيق ILB، فإنك تفعل ذلك لتطبيقات معينة في بيئة خدمة تطبيق ILB.
في هذه الإرشادات التفصيلية، سوف تقوم بما يلي:
- إنشاء Azure Application Gateway.
- تكوين بوابة التطبيق للإشارة إلى تطبيق في بيئة خدمة تطبيق ILB.
- تحرير اسم مضيف DNS العام الذي يشير إلى بوابة التطبيق خاصتك.
المتطلبات الأساسية
لدمج بوابة التطبيق الخاصة بك مع بيئة خدمة تطبيق ILB، تحتاج إلى:
- بيئة خدمة تطبيق ILB.
- منطقة DNS خاصة لبيئة خدمة تطبيق ILB.
- تطبيق يعمل في بيئة خدمة تطبيق ILB.
- اسم DNS عام لبوابة التطبيق الخاص بك.
- إذا كنت بحاجة إلى استخدام تشفير TLS إلى بوابة التطبيق، يلزم وجود شهادة عامة صالحة تستخدم للربط ببوابة التطبيق.
بيئة خدمة تطبيق ILB
للحصول على تفاصيل حول كيفية إنشاء بيئة خدمة تطبيق ILB، راجع إنشاء بيئة خدمة التطبيقات في مدخل Microsoft Azure وإنشاء بيئة خدمة التطبيقات باستخدام قالب Azure Resource Manager.
بعد إنشاء بيئة خدمة تطبيق ILB، يكون المجال الافتراضي هو
<YourAseName>.appserviceenvironment.net
.يتم توفير موازنة تحميل داخلية للوصول الوارد. يمكنك التحقق من العنوان الوارد في عناوين IP ضمن App Service Environment Settings. يمكنك إنشاء منطقة DNS خاصة تم تعيينها إلى عنوان IP هذا لاحقًا.
منطقة DNS خاصة
تحتاج إلى منطقة DNS خاصة لتحليل الاسم الداخلي. قم بإنشائه باستخدام اسم App Service Environment باستخدام مجموعات السجلات الموضحة في الجدول التالي (للحصول على الإرشادات، راجع التشغيل السريع - إنشاء منطقة DNS خاصة ل Azure باستخدام مدخل Microsoft Azure).
Name | نوع | القيمة |
---|---|---|
* | ش | العنوان الوارد لبيئة خدمة التطبيقات |
@ | ش | العنوان الوارد لبيئة خدمة التطبيقات |
@ | SOA | اسم DNS لبيئة خدمة التطبيقات |
*.scm | ش | العنوان الوارد لبيئة خدمة التطبيقات |
App Service على بيئة خدمة تطبيق ILB
تحتاج إلى إنشاء خطة App Service وتطبيق في بيئة خدمة تطبيق ILB. عند إنشاء التطبيق في المدخل، حدد بيئة خدمة تطبيق ILB كمنطقة.
اسم DNS عام لبوابة التطبيق
للاتصال ببوابة التطبيق من الإنترنت، تحتاج إلى اسم مجال قابل للتوجيه. في هذه الحالة، استخدمت اسم المجال القابل للتوجيه asabuludemo.com
وأخطط للاتصال بـ App Service باستخدام اسم المجال هذا app.asabuludemo.com
. يجب تعيين عنوان IP المعين لاسم مجال التطبيق هذا إلى عنوان IP العام لبوابة التطبيق بعد إنشاء بوابة التطبيق.
باستخدام مجال عام تم تعيينه إلى بوابة التطبيق، لن تحتاج إلى تكوين مجال مخصص في App Service. يمكنك شراء اسم مجال مخصص باستخدام App Service Domains.
شهادة عامة صالحة
لتحسين الأمان، اربط شهادة TLS لتشفير جلسة العمل. لربط شهادة TLS ببوابة التطبيق، يلزم وجود شهادة عامة صالحة بالمعلومات التالية. باستخدام شهادات App Service، يمكنك شراء شهادة TLS وتصديرها .pfx
بتنسيق.
الاسم | قيمة | الوصف |
---|---|---|
الاسم الشائع |
<yourappname>.<yourdomainname> على سبيل المثال: app.asabuludemo.com أو *.<yourdomainname> ، على سبيل المثال: *.asabuludemo.com |
شهادة قياسية أو شهادة بدل لبوابة التطبيق |
الاسم البديل للموضوع |
<yourappname>.scm.<yourdomainname> على سبيل المثال: app.scm.asabuludemo.com أو *.scm.<yourdomainname> ، على سبيل المثال: *.scm.asabuludemo.com |
شبكة منطقة النظام (SAN) التي تسمح بالاتصال بخدمة App Service kudu. إنها إعداد اختياري، إذا كنت لا ترغب في نشر خدمة App Service kudu على الإنترنت. |
يجب أن يحتوي ملف الشهادة على مفتاح خاص وحفظه بتنسيق .pfx
. يتم استيراد الشهادة إلى بوابة التطبيق لاحقا.
إنشاء بوابة تطبيق
لإنشاء بوابة التطبيق الأساسية، راجع البرنامج التعليمي: إنشاء بوابة تطبيق باستخدام جدار حماية تطبيق ويب باستخدام مدخل Microsoft Azure.
في هذا البرنامج التعليمي، نستخدم مدخل Microsoft Azure لإنشاء بوابة تطبيق باستخدام بيئة خدمة تطبيق ILB.
في مدخل Microsoft Azure، حدد جديد>الشبكة>بوابة التطبيق لإنشاء بوابة تطبيق.
إعداد الأساسيات
في القائمة المنسدلة الطبقة، يمكنك تحديد Standard V2 أو WAF V2 لتمكين ميزة WAF على بوابة التطبيق.
إعداد الواجهات الأمامية
حدد نوع عنوان IP للواجهة الأمامية إلى عام أو خاص أو كلاهما . إذا قمت بتعيين خاص أو كلاهما، فستحتاج إلى تعيين عنوان IP ثابت في نطاق الشبكة الفرعية لبوابة التطبيق. في هذه الحالة، نقوم بتعيين عنوان IP عام لنقطة النهاية العامة فقط.
عنوان IP العام - تحتاج إلى إقران عنوان IP عام للوصول العام لبوابة التطبيق. سجل عنوان IP هذا، تحتاج إلى إضافة سجل في خدمة DNS الخاصة بك لاحقًا.
إعداد الواجهات الخلفية
أدخل اسم تجمع الواجهة الخلفية وحدد خدمات التطبيقات أو عنوان IP أو FQDN في نوع الهدف. في هذه الحالة، قمنا بتعيين خدمات التطبيقات وحددنا اسم App Service من القائمة المنسدلة الهدف.
إعداد التكوين
في إعداد التكوين ، تحتاج إلى إضافة قاعدة توجيه عن طريق تحديد إضافة أيقونة قاعدة التحويل.
تحتاج إلى تكوين المستمع وأهداف الواجهة الخلفية في قاعدة التحويل. يمكنك إضافة مستمع HTTP لنشر إثبات المبدأ أو إضافة مستمع HTTPS لتحسين الأمان.
للاتصال ببوابة التطبيق باستخدام بروتوكول HTTP، يمكنك إنشاء مستمع بالإعدادات التالية،
المعلمة قيمة الوصف اسم القاعدة على سبيل المثال: http-routingrule
اسم التحويل اسم وحدة الاستماع على سبيل المثال: http-listener
اسم وحدة الاستماع IP أمامي عامة للوصول إلى الإنترنت، اضبط على عام البروتوكول HTTP عدم استخدام تشفير TLS المنفذ 80 منفذ HTTP الافتراضي نوع وحدة الاستماع مواقع عديدة السماح بالاستماع إلى مواقع متعددة على بوابة التطبيق نوع المضيف متعدد/حرف بدل قم بالتعيين إلى اسم موقع ويب متعدد أو حرف بدل إذا تم تعيين نوع المستمع إلى مواقع متعددة. اسم المضيف على سبيل المثال: app.asabuludemo.com
تعيين اسم مجال قابل للتوجيه لـ App Service للاتصال ببوابة التطبيق باستخدام تشفير TLS، يمكنك إنشاء وحدة استماع بالإعدادات التالية:
المعلمة قيمة الوصف اسم القاعدة على سبيل المثال: https-routingrule
اسم التحويل اسم وحدة الاستماع على سبيل المثال: https-listener
اسم وحدة الاستماع IP أمامي عامة للوصول إلى الإنترنت، اضبط على عام البروتوكول HTTPS استخدام تشفير TLS المنفذ 443 منفذ HTTPS الافتراضي إعدادات Https تحميل شهادة قم بتحميل شهادة تحتوي على CN والمفتاح الخاص بتنسيق .pfx. نوع وحدة الاستماع مواقع عديدة السماح بالاستماع إلى مواقع متعددة على بوابة التطبيق نوع المضيف متعدد/حرف بدل قم بالتعيين إلى اسم موقع ويب متعدد أو حرف بدل إذا تم تعيين نوع المستمع إلى مواقع متعددة. اسم المضيف على سبيل المثال: app.asabuludemo.com
تعيين اسم مجال قابل للتوجيه لـ App Service يجب عليك تكوين تجمع الواجهة الخلفية وإعداد HTTP في أهداف الواجهة الخلفية. تم تكوين تجمع الواجهة الخلفية في الخطوات السابقة. حدد إضافة ارتباط جديد لإضافة إعداد HTTP.
إعدادات HTTP المدرجة في الجدول التالي:
المعلمة قيمة الوصف اسم إعداد HTTP على سبيل المثال: https-setting
اسم إعداد HTTP بروتوكول الواجهة الخلفية HTTPS استخدام تشفير TLS منفذ خلفي 443 منفذ HTTPS الافتراضي استخدام شهادة CA المعروفة نعم اسم المجال الافتراضي لبيئة خدمة تطبيق ILB هو .appserviceenvironment.net
. يتم إصدار شهادة هذا المجال من قبل مرجع جذر موثوق به عام. في إعداد شهادة الجذر الموثوق بها، يمكنك التعيين لاستخدام شهادة الجذر الموثوق بها المعروفة من CA.التجاوز باسم المضيف الجديد نعم تتم الكتابة فوق عنوان اسم المضيف عند الاتصال بتطبيق ILB App Service Environment تجاوز اسم مضيف اختيار اسم المضيف من هدف الواجهة الخلفية عند تعيين تجمع الواجهة الخلفية إلى App Service، يمكنك اختيار المضيف من هدف الواجهة الخلفية إنشاء فحوصات مخصصة لا استخدام فحص السلامة الافتراضي
تكوين تكامل بوابة التطبيق مع بيئة خدمة تطبيق ILB
للوصول إلى بيئة خدمة تطبيق ILB من بوابة التطبيق، تحتاج إلى التحقق مما إذا كان هناك ارتباط شبكة ظاهرية بمنطقة DNS الخاصة. إذا لم تكن هناك شبكة ظاهرية مرتبطة بالشبكة الظاهرية لبوابة التطبيق، أضف ارتباط شبكة ظاهرية بالخطوات التالية.
تكوين ارتباطات الشبكة الظاهرية مع منطقة DNS خاصة
- لتكوين ارتباط الشبكة الظاهرية مع منطقة DNS الخاصة، انتقل إلى مستوى تكوين منطقة DNS الخاصة. حدد ارتباطات الشبكة الظاهرية>إضافة
- أدخل اسم الارتباط وحدد الاشتراك المعنيّ والشبكة الظاهرية التي توجد فيها بوابة التطبيق.
- يمكنك تأكيد الحالة الصحية للواجهة الخلفية من صحة الواجهة الخلفية في مستوى بوابة التطبيق.
إضافة سجل DNS عام
تحتاج إلى تكوين تعيين DNS مناسب عند الوصول إلى بوابة التطبيق من الإنترنت.
- يمكن العثور على عنوان IP العام لبوابة التطبيق في تكوينات IP للواجهة الأمامية في مستوى بوابة التطبيق.
- استخدم خدمة Azure DNS على سبيل المثال، يمكنك إضافة مجموعة سجلات لتعيين اسم مجال التطبيق إلى عنوان IP العام لبوابة التطبيق.
التحقق من صحة الاتصال
- عند الوصول إلى الجهاز من الإنترنت، يمكنك التحقق من صحة تحليل الاسم لاسم مجال التطبيق إلى عنوان IP العام لبوابة التطبيق.
- عند الوصول إلى جهاز من الإنترنت، اختبر الوصول إلى الويب من مستعرض.