Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Aplikační brána slouží jako jediný kontaktní bod pro klienty. Distribuuje příchozí provoz aplikací napříč několika back-endovými fondy, mezi které patří virtuální počítače Azure, škálovací sady virtuálních počítačů, Azure App Service a místní nebo externí servery. K distribuci provozu používá služba Application Gateway několik komponent popsaných v tomto článku.
IP adresy front-endu
Front-endová IP adresa je IP adresa přidružená ke službě Application Gateway. Aplikační bránu můžete nakonfigurovat tak, aby měla veřejnou IP adresu, privátní IP adresu nebo obojí. Aplikační brána podporuje jednu veřejnou nebo jednu privátní IP adresu. Vaše virtuální síť a veřejná IP adresa musí být ve stejném umístění jako vaše aplikační brána. Po vytvoření se front-end IP adresa přidruží k naslouchacímu modulu.
Statická a dynamická veřejná IP adresa
Skladovou položku azure Application Gateway V2 je možné nakonfigurovat tak, aby podporovala statickou interní IP adresu i statickou veřejnou IP adresu nebo pouze statickou veřejnou IP adresu. Není možné ji nakonfigurovat tak, aby podporovala pouze statickou interní IP adresu.
Skladovou položku V1 je možné nakonfigurovat tak, aby podporovala statickou nebo dynamickou interní IP adresu a dynamickou veřejnou IP adresu. Dynamická IP adresa služby Application Gateway se u spuštěné brány nemění. Může se změnit jenom v případech, kdy bránu zastavíte nebo spustíte. Nemění se při selháních systému, aktualizacích, aktualizacích hostitelů Azure atd.
Název DNS přidružený ke službě Application Gateway se v průběhu životního cyklu brány nezmění. V důsledku toho byste měli použít alias CNAME a nasměrovat ho na adresu DNS aplikační brány.
Posluchači
Naslouchací je logická entita, která kontroluje příchozí požadavky na připojení. Naslouchací proces přijímá požadavek, pokud protokol, port, název hostitele a IP adresa přidružené k požadavku odpovídají stejným prvkům přidruženým ke konfiguraci naslouchacího procesu.
Před použitím aplikační brány musíte přidat aspoň jeden naslouchací modul. Ke službě Application Gateway může být připojeno více naslouchacích služeb a mohou být použity pro stejný protokol.
Jakmile naslouchací proces zjistí příchozí požadavky od klientů, služba Application Gateway tyto požadavky směruje na členy v back-endovém fondu nakonfigurovaného v pravidle.
Naslouchací procesy podporují následující porty a protokoly.
Přístavy
Port je místo, kde posluchač naslouchá na požadavky klientů. Porty pro skladové položky v1 a v2 můžete nakonfigurovat podle následujícího postupu.
| skladová jednotka (SKU) | Podporovaný rozsah portů | Výjimky |
|---|---|---|
| V2 | 1 až 64999 | Použití portu 22 není podporováno u bran s podporou služby Private Link. Port 53 |
| V1 | 1 až 65502 | Port 3389 |
Protokoly
Application Gateway poskytuje podporu webových protokolů HTTP, HTTPS, HTTP/2 a WebSocket prostřednictvím proxy serveru vrstvy 7. Kromě toho podporuje protokoly TLS a TCP prostřednictvím proxy serveru vrstvy 4 ve verzi Preview, které je možné nakonfigurovat na stejném prostředku.
- V konfiguraci naslouchacího procesu si můžete vybrat mezi protokoly HTTP, HTTPS, TLS nebo TCP.
- K ukončení TLS můžete použít posluchač HTTPS nebo TLS. Naslouchací proces HTTPS/TLS přesměruje šifrování a dešifrování do vaší aplikační brány, takže vaše servery nejsou zatížené režií na výpočty TLS.
- Podpora protokolů WebSockets a HTTP/2 se poskytuje nativně a podpora protokolu WebSocket je ve výchozím nastavení povolená. Neexistuje žádné uživatelsky konfigurovatelné nastavení pro selektivní povolení nebo zakázání podpory protokolu WebSocket. Použijte webSockety s naslouchacími procesy HTTP i HTTPS.
Poznámka:
Podpora protokolu HTTP/2 je dostupná jenom pro klienty připojující se k naslouchacím procesům aplikační brány. Komunikace s backendovými pooly serverů je vždy přes protokol HTTP/1.1. Ve výchozím nastavení je podpora HTTP/2 zakázaná. Můžete ho povolit.
Vlastní chybové stránky
Application Gateway umožňuje vytvářet vlastní chybové stránky místo zobrazování výchozích chybových stránek. Pomocí vlastní chybové stránky můžete použít vlastní branding a rozložení. Služba Application Gateway zobrazí vlastní chybovou stránku, když se požadavek nemůže spojit s back-endem.
Další informace najdete v tématu Vlastní chybové stránky pro vaši aplikační bránu.
Typy posluchačů
Existují dva typy posluchačů.
Základní. Tento typ nasluchače naslouchá jedné doméně, kde má jedno mapování DNS na IP adresu aplikační brány. Konfigurace naslouchacího zařízení je vyžadována, když hostujete jedinou lokalitu za aplikační bránou.
Vícestránkový. Tato konfigurace naslouchacího procesu se vyžaduje, pokud chcete nakonfigurovat směrování na základě názvu hostitele nebo názvu domény pro více než jednu webovou aplikaci ve stejné aplikační bráně. Díky možnosti přidat do jedné služby Application Gateway více než 100 webů můžete nakonfigurovat efektivnější topologii vašich nasazení. Každou webovou stránku lze přesměrovat na vlastní backendový pool. Příklad: na IP adresu služby Application Gateway odkazují tři domény – contoso.com, fabrikam.com a adatum.com. Vytvořili byste tři naslouchací procesy pro více webů a naslouchací proces nakonfigurujete pro příslušné nastavení portu a protokolu.
V víceúčelovém posluchači můžete také definovat názvy hostitelů se zástupnými znaky a až 5 názvů hostitelů na každý posluchač. Další informace najdete v zástupných názvech hostitelů u posluchače.
Další informace o tom, jak nakonfigurovat naslouchací proces pro více webů, najdete v tématu Hostování více webů ve službě Application Gateway pomocí webu Azure Portal.
Po vytvoření nasluchače jej přidružíte k pravidlu směrování požadavků. Toto pravidlo určuje, jak se má požadavek přijatý posluchačem směrovat do backendu. Pravidlo směrování požadavku obsahuje také back-endový fond, do kterého se má směrovat, a nastavení HTTP, ve kterém jsou uvedeny back-endový port, protokol atd.
Vyžádání pravidel směrování
Pravidlo směrování požadavků je klíčovou součástí aplikační brány, protože určuje, jak směrovat provoz na posluchači. Pravidlo propojuje posluchače, bazén backend serverů a nastavení backendu HTTP.
Když posluchač přijme požadavek, pravidlo směrování požadavku pošle požadavek na backend nebo ho přesměruje jinam. Pokud se požadavek předá do back-endu, pravidlo směrování požadavků definuje, do kterého fondu back-endového serveru se má předat. Pravidlo směrování požadavku také určuje, jestli se hlavičky v požadavku mají přepsat. Jeden posluchač může být připojen k jednomu pravidlu.
Existují dva typy pravidel směrování požadavků:
Základní. Všechny požadavky přidruženého naslouchacího procesu (například blog.contoso.com/*) se přeposílají do přidruženého back-endového fondu pomocí přidruženého nastavení HTTP.
Založená na cestě. Toto pravidlo směrování umožňuje směrovat požadavky přidruženého naslouchacího procesu do konkrétního back-endového fondu na základě adresy URL v požadavku. Pokud cesta adresy URL v požadavku odpovídá vzoru cesty v pravidle na základě cesty, toto pravidlo daný požadavek směruje. Použije vzor cesty pouze na cestu URL, ne na parametry dotazu. Pokud cesta URL v požadavku posluchače neodpovídá žádnému z pravidel založených na cestě, směruje požadavek do výchozí backendové skupiny a nastavení HTTP.
Další informace najdete v tématu Směrování na základě adresy URL.
Podpora přesměrování
Pravidlo směrování požadavků také umožňuje přesměrovat provoz ve službě Application Gateway. Jedná se o obecný mechanismus přesměrování, takže můžete přesměrovat na libovolný port, který definujete pomocí pravidel.
Cíl přesměrování můžete zvolit jako jiný posluchač (což může pomoct povolit automatické přesměrování HTTP na HTTPS) nebo externí webové stránky. Můžete se také rozhodnout, že přesměrování bude dočasné nebo trvalé, nebo připojit cestu URI a řetězec dotazu k přesměrované adrese URL.
Další informace najdete v tématu Přesměrování provozu ve službě Application Gateway.
Přepsání hlaviček HTTP a adres URL
Pomocí pravidel přepsání můžete přidávat, odebírat nebo aktualizovat hlavičky požadavků a odpovědí HTTP(S), stejně jako URL cesty a parametry řetězců dotazů, jak se pakety požadavků a odpovědí přesouvají mezi klientem a backendovými fondy prostřednictvím aplikační brány.
Hlavičky a parametry adresy URL lze nastavit na statické hodnoty nebo na jiné hlavičky a proměnné serveru. To pomáhá s důležitými případy použití, jako je extrakce IP adres klientů, odebrání citlivých informací o back-endu, přidání dalšího zabezpečení atd.
Další informace najdete v tématu Přepsání hlaviček HTTP a adresy URL ve službě Application Gateway.
Nastavení HTTP
Aplikační brána směruje provoz na back-endové servery (zadané v pravidle směrování požadavků, které zahrnuje nastavení HTTP) pomocí čísla portu, protokolu a dalších nastavení podrobně popsaných v této komponentě.
Port a protokol použitý v nastavení HTTP určují, jestli je provoz mezi aplikační bránou a back-endovými servery šifrovaný (poskytuje kompletní tls) nebo nešifrovaný.
Tato komponenta se také používá k:
Použijte spřažení relací založené na cookies, abyste určili, zda má být uživatelská relace udržována na stejném serveru.
Šetrně odeberte členy back-endových skupin pomocí odčerpání připojení.
Přidružte vlastní sondu k monitorování zdraví back-endu, nastavte interval časového limitu požadavku, přepište hostitelský název a cestu v rámci požadavku a snadno zadejte nastavení back-endu služby App Service pomocí jediného kliknutí.
Back-endové fondy
Backendový fond směruje požadavky na backendové servery, které požadavky obsluhují. Backendové fondy mohou obsahovat:
- Síťové karty
- Sady pro škálování virtuálních strojů
- Veřejné IP adresy
- Interní IP adresy
- FQDN
- Víceklientní back-endy (například App Service)
Členové back-endového fondu služby Application Gateway nejsou svázaní se sadou dostupnosti. Aplikační brána může komunikovat s instancemi mimo virtuální síť, ve které je. V důsledku toho můžou být členové back-endových fondů mezi clustery, v datových centrech nebo mimo Azure, pokud je zajištěno připojení přes IP.
Pokud jako členy back-endového poolu používáte interní IP adresy, musíte použít partnerský vztah virtuální sítě nebo bránu VPN. Propojení virtuálních sítí je podporované a výhodné pro rozkládání zatížení provozu v jiných virtuálních sítích.
Aplikační brána může také komunikovat s místními servery, když jsou připojené pomocí tunelů Azure ExpressRoute nebo VPN, pokud je povolený provoz.
Pro různé typy požadavků můžete vytvořit různé backendové fondy. Můžete například vytvořit jeden back-endový fond pro obecné požadavky a druhý back-endový fond pro žádosti o mikroslužby pro vaši aplikaci.
Po přidání škálovacích sad virtuálních počítačů jako člena back-endového fondu je potřeba upgradovat instance škálovacích sad virtuálních počítačů. Dokud neupgradujete instance škálovacích sad, back-end nebude v pořádku.
Sondy stavu
Ve výchozím nastavení služba Application Gateway monitoruje stav všech prostředků ve svém back-endovém fondu a automaticky odebere ty, které nejsou v pořádku. Potom monitoruje instance, které nejsou v pořádku, a přidá je zpět do zdravé back-endové skupiny, jakmile budou dostupné a reagují na sondy stavu.
Kromě použití výchozího monitorování stavu můžete také nastavit sondu stavu tak, aby vyhovovala požadavkům vaší aplikace. Vlastní sondy umožňují podrobnější kontrolu nad monitorováním stavu. Při použití vlastních sond můžete nakonfigurovat vlastní název hostitele, cestu url, interval sondy a počet neúspěšných odpovědí, které se mají přijmout, než označíte instanci back-endového fondu jako poškozenou, vlastní stavové kódy a shodu textu odpovědi atd. Doporučujeme nakonfigurovat vlastní sondy pro monitorování stavu každého back-endového fondu.
Další informace najdete v tématu Monitorování stavu služby Application Gateway.
Další kroky
Vytvoření aplikační brány: