Komponenty Application Gateway
Aplikační brána slouží jako jediný kontaktní bod pro klienty. Distribuuje příchozí provoz aplikací napříč několika back-endovými fondy, mezi které patří virtuální počítače Azure, škálovací sady virtuálních počítačů, služba Aplikace Azure a místní/externí servery. K distribuci provozu používá služba Application Gateway několik komponent popsaných v tomto článku.
IP adresy front-endu
Front-endová IP adresa je IP adresa přidružená ke službě Application Gateway. Aplikační bránu můžete nakonfigurovat tak, aby měla veřejnou IP adresu, privátní IP adresu nebo obojí. Aplikační brána podporuje jednu veřejnou nebo jednu privátní IP adresu. Vaše virtuální síť a veřejná IP adresa musí být ve stejném umístění jako vaše aplikační brána. Po vytvoření se front-endová IP adresa přidružuje k naslouchacímu procesu.
Statická a dynamická veřejná IP adresa
Skladovou položku Aplikace Azure Gateway V2 je možné nakonfigurovat tak, aby podporovala jak statickou interní IP adresu, tak statickou veřejnou IP adresu, nebo jenom statickou veřejnou IP adresu. Není možné ji nakonfigurovat tak, aby podporovala pouze statickou interní IP adresu.
Skladovou položku V1 je možné nakonfigurovat tak, aby podporovala statickou nebo dynamickou interní IP adresu a dynamickou veřejnou IP adresu. Dynamická IP adresa služby Application Gateway se u spuštěné brány nemění. Může se změnit jenom v případech, kdy bránu zastavíte nebo spustíte. Nemění se při selháních systému, aktualizacích, aktualizacích hostitelů Azure atd.
Název DNS přidružený ke službě Application Gateway se v průběhu životního cyklu brány nezmění. V důsledku toho byste měli použít alias CNAME a nasměrovat ho na adresu DNS aplikační brány.
Naslouchací procesy
Naslouchací proces je logická entita, která kontroluje příchozí požadavky na připojení. Naslouchací proces přijímá požadavek, pokud protokol, port, název hostitele a IP adresa přidružené k požadavku odpovídají stejným prvkům přidruženým ke konfiguraci naslouchacího procesu.
Před použitím aplikační brány musíte přidat aspoň jeden naslouchací proces. Ke službě Application Gateway může být připojeno více naslouchacích procesů a lze je použít pro stejný protokol.
Jakmile naslouchací proces zjistí příchozí požadavky od klientů, služba Application Gateway tyto požadavky směruje na členy v back-endovém fondu nakonfigurovaného v pravidle.
Naslouchací procesy podporují následující porty a protokoly.
Porty
Port je místo, kde naslouchací proces naslouchá požadavku klienta. Porty pro skladové položky v1 a v2 můžete nakonfigurovat podle následujícího postupu.
| Skladová jednotka (SKU) | Podporovaný rozsah portů | Výjimky |
|---|---|---|
| V2 | 1 až 64999 | 22 |
| V1 | 1 až 65502 | 3389 |
Protokoly
Application Gateway podporuje čtyři protokoly: HTTP, HTTPS, HTTP/2 a WebSocket:
Poznámka:
Podpora protokolu HTTP/2 je dostupná jenom pro klienty připojující se k naslouchacím procesům aplikační brány. Komunikace s back-endovými fondy serverů je vždy přes protokol HTTP/1.1. Ve výchozím nastavení je podpora HTTP/2 zakázaná. Můžete ho povolit.
- Zadejte mezi protokoly HTTP a HTTPS v konfiguraci naslouchacího procesu.
- Podpora protokolů WebSockets a HTTP/2 se poskytuje nativně a podpora protokolu WebSocket je ve výchozím nastavení povolená. Neexistuje žádné uživatelsky konfigurovatelné nastavení pro selektivní povolení nebo zakázání podpory protokolu WebSocket. Použijte webSockety s naslouchacími procesy HTTP i HTTPS.
Pro ukončení protokolu TLS použijte naslouchací proces HTTPS. Naslouchací proces HTTPS přesměruje šifrování a dešifrování do vaší aplikační brány, takže vaše webové servery nejsou zatížené režií.
Stránky vlastních chyb
Application Gateway umožňuje vytvářet vlastní chybové stránky místo zobrazování výchozích chybových stránek. U vlastní chybové stránky můžete použít vlastní branding a rozložení. Služba Application Gateway zobrazí vlastní chybovou stránku, když se požadavek nemůže spojit s back-endem.
Další informace najdete v tématu Vlastní chybové stránky pro vaši aplikační bránu.
Typy naslouchacích procesů
Existují dva typy naslouchacích procesů:
Basic. Tento typ naslouchacího procesu naslouchá jedné lokalitě domény, kde má jedno mapování DNS na IP adresu aplikační brány. Tato konfigurace naslouchacího procesu se vyžaduje, když hostujete jednu lokalitu za aplikační bránou.
Více lokalit. Tato konfigurace naslouchacího procesu se vyžaduje, pokud chcete nakonfigurovat směrování na základě názvu hostitele nebo názvu domény pro více než jednu webovou aplikaci ve stejné aplikační bráně. Díky možnosti přidat do jedné služby Application Gateway více než 100 webů můžete nakonfigurovat efektivnější topologii vašich nasazení. Každou stránku lze přesměrovat na vlastní back-endový fond. Příklad: na IP adresu služby Application Gateway odkazují tři domény – contoso.com, fabrikam.com a adatum.com. Vytvořili byste tři naslouchací procesy pro více webů a naslouchací proces nakonfigurujete pro příslušné nastavení portu a protokolu.
V naslouchacím procesu pro více webů můžete také definovat názvy hostitelů se zástupnými znaky a až 5 názvů hostitelů na naslouchací proces. Další informace najdete v naslouchacím procesu v názvech hostitelůsech
Další informace o tom, jak nakonfigurovat naslouchací proces pro více webů, najdete v tématu Hostování více webů ve službě Application Gateway pomocí webu Azure Portal.
Po vytvoření naslouchacího procesu ho přidružíte k pravidlu směrování požadavku. Toto pravidlo určuje, jak se má požadavek přijatý v naslouchacím procesu směrovat do back-endu. Pravidlo směrování požadavku obsahuje také back-endový fond, do kterého se má směrovat, a nastavení HTTP, do kterého se uvádí back-endový port, protokol atd.
Vyžádání pravidel směrování
Pravidlo směrování požadavků je klíčovou součástí aplikační brány, protože určuje, jak směrovat provoz na naslouchacím procesu. Pravidlo vytvoří vazbu naslouchacího procesu, fondu back-endového serveru a nastavení protokolu HTTP back-endu.
Když naslouchací proces přijme požadavek, pravidlo směrování požadavku předá požadavek back-endu nebo ho přesměruje jinam. Pokud se požadavek předá do back-endu, pravidlo směrování požadavků definuje, do kterého fondu back-endového serveru se má předat. Pravidlo směrování požadavku také určuje, jestli se hlavičky v požadavku mají přepsat. Jeden naslouchací proces lze připojit k jednomu pravidlu.
Existují dva typy pravidel směrování požadavků:
Basic. Všechny požadavky přidruženého naslouchacího procesu (například blog.contoso.com/*) se přeposílají do přidruženého back-endového fondu pomocí přidruženého nastavení HTTP.
Založená na cestě. Toto pravidlo směrování umožňuje směrovat požadavky přidruženého naslouchacího procesu do konkrétního back-endového fondu na základě adresy URL v požadavku. Pokud cesta adresy URL v požadavku odpovídá vzoru cesty v pravidle založeném na cestě, směruje daný požadavek pravidlo. Použije vzor cesty pouze na cestu URL, ne na parametry dotazu. Pokud cesta URL v požadavku naslouchacího procesu neodpovídá žádnému z pravidel založených na cestě, směruje požadavek do výchozího back-endového fondu a nastavení HTTP.
Další informace najdete v tématu Směrování na základě adresy URL.
Podpora přesměrování
Pravidlo směrování požadavků také umožňuje přesměrovat provoz ve službě Application Gateway. Jedná se o obecný mechanismus přesměrování, takže můžete přesměrovat na libovolný port, který definujete pomocí pravidel.
Cíl přesměrování můžete zvolit jako jiný naslouchací proces (což může pomoct povolit automatické přesměrování HTTP na HTTPS) nebo externí web. Můžete se také rozhodnout, že přesměrování bude dočasné nebo trvalé, nebo připojit cestu URI a řetězec dotazu k přesměrované adrese URL.
Další informace najdete v tématu Přesměrování provozu ve službě Application Gateway.
Přepsání hlaviček HTTP a adres URL
Pomocí pravidel přepsání můžete přidávat, odebírat nebo aktualizovat hlavičky požadavků HTTP a odpovědí a také parametry cesty url a řetězce dotazu, protože pakety požadavků a odpovědí se přesouvají mezi klientem a back-endovými fondy prostřednictvím aplikační brány.
Hlavičky a parametry adresy URL lze nastavit na statické hodnoty nebo na jiné hlavičky a proměnné serveru. To pomáhá s důležitými případy použití, jako je extrakce IP adres klientů, odebrání citlivých informací o back-endu, přidání dalšího zabezpečení atd.
Další informace najdete v tématu Přepsání hlaviček HTTP a adresy URL ve službě Application Gateway.
Nastavení HTTP
Aplikační brána směruje provoz na back-endové servery (zadané v pravidle směrování požadavků, které zahrnuje nastavení HTTP) pomocí čísla portu, protokolu a dalších nastavení podrobně popsaných v této komponentě.
Port a protokol použitý v nastavení HTTP určují, jestli je provoz mezi aplikační bránou a back-endovými servery šifrovaný (poskytuje kompletní tls) nebo nešifrovaný.
Tato komponenta se také používá k:
Pomocí spřažení relací na základě souborů cookie určete, jestli se má relace uživatele uchovávat na stejném serveru.
Řádně odeberte členy back-endových fondů pomocí vyprazdňování připojení.
Přidružte vlastní sondu ke sledování stavu back-endu, nastavte interval časového limitu požadavku, přepište název hostitele a cestu v požadavku a zadejte snadné kliknutí a zadejte nastavení back-endu služby App Service.
Back-endové fondy
Back-endový fond směruje požadavek na back-endové servery, které požadavek obsluhuje. Back-endové fondy můžou obsahovat:
- Síťové karty
- Škálovací sady virtuálních počítačů
- veřejné IP adresy,
- Interní IP adresy
- FQDN
- Víceklientní back-endy (například App Service)
Členové back-endového fondu služby Application Gateway nejsou svázaní se sadou dostupnosti. Aplikační brána může komunikovat s instancemi mimo virtuální síť, ve které je. V důsledku toho můžou být členové back-endových fondů mezi clustery, datovými centry nebo mimo Azure, pokud existuje připojení IP.
Pokud jako členy back-endového fondu používáte interní IP adresy, musíte použít partnerský vztah virtuální sítě nebo bránu VPN. Partnerský vztah virtuálních sítí je podporovaný a výhodný pro vyrovnávání zatížení v jiných virtuálních sítích.
Aplikační brána může také komunikovat s místními servery, když jsou připojené pomocí tunelů Azure ExpressRoute nebo VPN, pokud je povolený provoz.
Pro různé typy požadavků můžete vytvořit různé back-endové fondy. Můžete například vytvořit jeden back-endový fond pro obecné požadavky a druhý back-endový fond pro žádosti o mikroslužby pro vaši aplikaci.
Po přidání škálovacích sad virtuálních počítačů jako člena back-endového fondu je potřeba upgradovat instance škálovacích sad virtuálních počítačů. Dokud neupgradujete instance škálovacích sad, back-end nebude v pořádku.
Sondy stavu
Ve výchozím nastavení služba Application Gateway monitoruje stav všech prostředků ve svém back-endovém fondu a automaticky odebere ty, které nejsou v pořádku. Potom monitoruje instance, které nejsou v pořádku, a přidá je zpět do back-endového fondu, jakmile budou dostupné a reagují na sondy stavu.
Kromě použití výchozího monitorování sond stavu můžete také přizpůsobit sondu stavu tak, aby vyhovovala požadavkům vaší aplikace. Vlastní sondy umožňují podrobnější kontrolu nad monitorováním stavu. Při použití vlastních sond můžete nakonfigurovat vlastní název hostitele, cestu url, interval sondy a počet neúspěšných odpovědí, které se mají přijmout, než označíte instanci back-endového fondu jako poškozenou, vlastní stavové kódy a shodu textu odpovědi atd. Doporučujeme nakonfigurovat vlastní sondy pro monitorování stavu každého back-endového fondu.
Další informace najdete v tématu Monitorování stavu služby Application Gateway.
Další kroky
Vytvoření aplikační brány: