تكوين وحدة استماع Application Gateway
إشعار
نوصي باستخدام الوحدة النمطية Azure Az PowerShell للتفاعل مع Azure. راجع تثبيت Azure PowerShell للبدء. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.
وحدة الاستماع هي كيان منطقي يتحقق من طلبات الاتصال الواردة باستخدام المنفذ والبروتوكول والمضيف وعنوان IP. عند تكوين وحدة الاستماع، يجب إدخال قيم لهذه التي تتماشى مع القيم المطابقة في الطلب الوارد على البوابة.
عندما تنشئ application gateway باستخدام مدخل Azure، يمكنك أيضاً إنشاء وحدة استماع افتراضية عن طريق اختيار البروتوكول والمنفذ لوحدة الاستماع. يمكنك اختيار ما إذا كان يمكنك تمكين دعم HTTP2 على وحدة الاستماع. بعد إنشاء بوابة التطبيق، يمكنك تحرير إعدادات وحدة الاستماع الافتراضية (appGatewayHttpListener) أو إنشاء وحدات استماع جديدة.
نوع وحدة الاستماع
عند إنشاء وحدة استماع جديدة، يمكنك الاختيار بين الأساسية ومتعددة المواقع.
إذا كنت تريد قبول جميع طلباتك (لأي مجال) وإعادة توجيهها إلى مجموعات الخلفية، فاختر أساسي. تعرف على كيفية إنشاء بوابة تطبيق باستخدام وحدة استماع أساسية.
إذا كنت ترغب في إعادة توجيه الطلبات إلى تجمعات خلفية مختلفة استنادا إلى عنوان المضيف أو أسماء المضيفين، فاختر وحدة استماع متعددة المواقع. تعتمد بوابة التطبيق على عنوان المضيف HTTP 1.1 لتستضيف أكثر من موقع ويب واحد على نفس عنوان IP ونفس المنفذ. لتمييز الطلبات على نفس المنفذ، يجب تحديد اسم مضيف يتطابق مع الطلب الوارد. لمعرفة المزيد، راجع استضافة مواقع متعددة باستخدام بوابة التطبيق.
ترتيب معالجة وحدات الاستماع
بالنسبة إلى وحدة حفظ المخزون v1، تُطابق الطلبات وفقاً لترتيب وحدة الاستماع ونوعها. إذا جاءت قاعدة مع وحدة استماع أساسية أولاً في الترتيب، فسيجري معالجتها أولاً وستقبل أي طلب لهذه المجموعة المكونة من المنفذ وعنوان IP. لتجنب ذلك، كوِّن القواعد مع وحدات الاستماع متعددة المواقع أولاً وادفع القاعدة مع وحدة الاستماع الأساسية إلى الأخير في القائمة.
بالنسبة ل v2 SKU، تتم معالجة وحدات الاستماع متعددة المواقع قبل وحدات الاستماع الأساسية، ما لم يتم تحديد أولوية القاعدة. إذا كنت تستخدم أولوية القاعدة، يجب تحديد أولوية مستمعي أحرف البدل برقم أكبر من مستمعي أحرف البدل غير، لضمان تنفيذ وحدات استماع غير حرف البدل قبل مستمعي أحرف البدل.
عنوان IP للواجهة الأمامية
اختر عنوان IP للواجهة الأمامية الذي تخطط لإقرانه مع وحدة الاستماع هذه. تستمع وحدة الاستماع إلى الطلبات الواردة على IP هذا.
إشعار
تدعم الواجهة الأمامية لبوابة التطبيق عناوين IP مزدوجة المكدس. يمكنك إنشاء ما يصل إلى أربعة عناوين IP أمامية: عنوانان IPv4 (عام وخاصة) وعنوانين IPv6 (عام وخاصة).
منفذ أمامي
إقران منفذ الواجهة الأمامية. يمكنك تحديد منفذ موجود أو إنشاء منفذ جديد. اختر أي قيمة من النطاق المسموح به من المنافذ. لا يمكنك استخدام المنافذ المعروفة فقط، مثل 80 و443، ولكن يمكنك استخدام أي منفذ مخصص مسموح به ومناسب. يمكن استخدام نفس المنفذ للمستمعين العامين والخاصين.
إشعار
عند استخدام وحدات الاستماع الخاصة والعامة مع نفس رقم المنفذ، تقوم بوابة التطبيق بتغيير "وجهة" التدفق الوارد إلى عناوين IP الأمامية للبوابة الخاصة بك. ومن ثم، اعتمادا على تكوين مجموعة أمان الشبكة الخاصة بك، قد تحتاج إلى قاعدة واردة مع عناوين IP الوجهة كعناوين IP عامة وخاصة لبوابة التطبيق.
القاعدة الواردة:
- المصدر: (وفقا لمتطلباتك)
- عناوين IP الوجهة: عناوين IP للواجهة الأمامية العامة والخاصة لبوابة التطبيق الخاصة بك.
- منفذ الوجهة: (وفقا لتكوين وحدة الاستماع)
- Protocol: TCP
القاعدة الصادرة: (لا يوجد متطلبات محددة)
البروتوكول
اختر HTTP أو HTTPS:
إذا اخترت HTTP، ستكون نسبة استخدام الشبكة بين العميل وبوابة التطبيق غير مشفرة.
اختر HTTPS إذا كنت تريد إنهاء TLS أو تشفير TLS الشامل. يتم تشفير نسبة استخدام الشبكة بين العميل وبوابة التطبيق وسيتم إنهاء اتصال TLS في بوابة التطبيق. إذا كنت تريد تشفير TLS من طرف إلى طرف إلى هدف الواجهة الخلفية، يجب عليك اختيار HTTPS داخل إعداد HTTP الخلفي أيضا. وهذا يضمن تشفير نسبة استخدام الشبكة عند بدء بوابة التطبيق اتصالا بالهدف الخلفي.
لتكوين إنهاء TLS، يجب إضافة شهادة TLS/SSL إلى وحدة الاستماع. يسمح هذا لـ Application Gateway بفك تشفير نسبة استخدام الشبكة الواردة وتشفير نسبة استخدام الشبكة الخاصة بالاستجابة للعميل. يجب أن تكون الشهادة المقدمة لـ Application Gateway بتنسيق تبادل المعلومات الشخصية (PFX)، والذي يحتوي على كل من المفاتيح الخاصة والعامة.
إشعار
عند استخدام شهادة TLS من Key Vault لوحدة استماع، يجب عليك التأكد من أن بوابة التطبيق الخاصة بك لديها دائما حق الوصول إلى مورد key vault المرتبط وعنصر الشهادة داخله. وهذا يتيح العمليات السلسة لميزة إنهاء TLS ويحافظ على الصحة العامة لمورد البوابة. إذا اكتشف مورد بوابة التطبيق خزنة مفاتيح تم تكوينها بشكل خاطئ، فإنه يضع تلقائيا مستمع (وحدات) HTTPS المقترنة في حالة تعطيل. اعرف المزيد.
الشهادات المعتمدة
راجع نظرة عامة على إنهاء TLS وبروتوكول أمان طبقة النقل (TLS) المتطورة مع Application Gateway
دعم البروتوكول الإضافي
دعم HTTP2
يتوفر دعم بروتوكول HTTP/2 للعملاء الذين يتصلون بوحدات استماع بوابة التطبيق فقط. الاتصال بتجمعات الخادم الخلفي هو دائما HTTP/1.1. افتراضيًا، يتم تعطيل دعم HTTP/2. يوضح مقتطف التعليمات البرمجية Azure PowerShell التالي كيفية تمكين هذا:
$gw = Get-AzApplicationGateway -Name test -ResourceGroupName hm
$gw.EnableHttp2 = $true
Set-AzApplicationGateway -ApplicationGateway $gw
يمكنك أيضا تمكين دعم HTTP2 باستخدام مدخل Microsoft Azure عن طريق تحديد Enabled ضمن HTTP2 في Application gateway > Configuration.
دعم WebSocket
تمكين دعم WebSocket بشكل افتراضي. لا يوجد إعداد قابل للتكوين من قبل المستخدم لتمكينه أو تعطيله. يمكنك استخدام WebSockets مع كل من HTTP ووحدات استماع HTTPS.
صفحات الأخطاء المخصصة
يمكنك تعريف صفحات الخطأ المخصصة برموز الاستجابة المختلفة التي تم إرجاعها بواسطة بوابة التطبيق. رموز الاستجابة التي يمكنك تكوين صفحات الخطأ لها هي 400 و403 و405 و408 و500 و502 و503 و504. يمكنك استخدام تكوين صفحة الخطأ الخاصة بالمستوى العمومي أو المستمع لتعيينها بشكل دقيق لكل وحدة استماع. لمزيد من المعلومات، راجع إنشاء صفحات خطأ مخصصة لبوابة التطبيق.
إشعار
يتم تمرير خطأ ينشأ من الخادم الخلفي إلى جانب غير معدل بواسطة بوابة التطبيق إلى العميل.
سياسة TLS
يمكنك مركزية إدارة شهادات TLS/SSL وتقليل حمل فك تشفير لمزرعة خوادم خلفية. يتيح لك التعامل مع TLS المركزية أيضًا تحديد سياسة TLS المركزية التي تناسب متطلبات الأمان الخاصة بك. يمكنك اختيار نهج TLS المحدد مسبقا أو المخصص .
يمكنك تكوين نهج TLS للتحكم في إصدارات بروتوكول TLS. يمكنك تكوين بوابة تطبيق لاستخدام الحد الأدنى من إصدار البروتوكول لمصافحات TLS من TLS1.0 وTLS1.1 وTLS1.2 وTLS1.3. افتراضيًا، يتم تعطيل SSL 2.0 و3.0 ولا يمكن تكوينهما. لمزيد من المعلومات، راجع نظرة عامة على نهج TLS لبوابة التطبيق.
بعد إنشاء مستمع يمكنك إقرانه مع قاعدة تحويل طلب. تحدد هذه القاعدة كيفية توجيه الطلبات التي يتم تلقيها على المستمع إلى النهاية الخلفية.