Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Introduction
V minulosti, skladové položky služby Application Gateway v2 a v určitém rozsahu v1 vyžadovaly přidělování veřejných IP adres, aby bylo možné spravovat službu. Tento požadavek vynutil několik omezení při používání jemně odstupňovaných ovládacích prvků ve skupinách zabezpečení sítě a směrovacích tabulkách. Konkrétně byly pozorovány následující výzvy:
- Všechna nasazení služby Application Gateway v2 musí obsahovat konfiguraci veřejné front-endové IP adresy, aby bylo možné komunikovat se značkou služby Gateway Manager .
- Přidružení skupin zabezpečení sítě vyžadují pravidla, která povolují příchozí přístup z GatewayManageru, a odchozí přístup k internetu.
- Když zavádíte výchozí trasu (0.0.0.0/0), která bude směrovat provoz někam jinam než na Internet, metriky, monitorování a aktualizace brány mají za následek selhání stavu.
Služba Application Gateway v2 teď může řešit každou z těchto položek, aby dále eliminovala riziko exfiltrace dat a kontrolovala ochranu osobních údajů komunikace z virtuální sítě. Mezi tyto změny patří následující možnosti:
- Konfigurace front-endové IP adresy pouze s privátní IP adresou
- Není potřeba žádný prostředek pro veřejnou IP adresu.
- Odstranění příchozího provozu ze značky služby GatewayManager prostřednictvím skupiny zabezpečení sítě
- Možnost definovat pravidlo pro odchozí skupinu zabezpečení sítě (NSG) Odepřít všechny pro omezení odchozího provozu na internet
- Možnost nahradit výchozí trasu na internet (0.0.0.0/0)
- Překlad DNS prostřednictvím definovaných resolverů ve virtuální síti Další informace, včetně zón privátního DNS pro privátní propojení.
Každá z těchto funkcí se dá nakonfigurovat nezávisle. Veřejnou IP adresu můžete například použít k povolení příchozího provozu z internetu a v konfiguraci skupiny zabezpečení sítě můžete definovat pravidlo Odepřít všechny odchozí přenosy , které zabrání exfiltraci dat.
Zahájení používání funkce
Funkce nových ovládacích prvků konfigurace front-endu privátníCH IP adres, řízení pravidel NSG a řízení směrovacích tabulek jsou obecně dostupné a podporované v produkčním prostředí. Pokud chcete používat funkce, musíte se přihlásit k prostředí pomocí webu Azure Portal, PowerShellu, rozhraní příkazového řádku nebo rozhraní REST API.
Při registraci se všechny nové služby typu Application Gateway zřídí s možností definovat libovolnou kombinaci funkcí, jako je NSG, směrovací tabulka nebo konfigurace soukromé IP adresy. Pokud se chcete odhlásit z nové funkce, můžete to udělat zrušením registrace této funkce.
Registrace funkce
Pomocí následujících kroků se zaregistrujte do funkce pro vylepšené síťové ovládací prvky služby Application Gateway prostřednictvím webu Azure Portal:
Přihlaste se do Azure Portalu.
Do vyhledávacího pole zadejte předplatná a vyberte Předplatná.
Vyberte odkaz pro název předplatného.
V nabídce vlevo v části Nastavení vyberte funkce náhledu.
Zobrazí se seznam dostupných funkcí a aktuální stav registrace.
Ve verzi Preview zadejte do pole filtru EnableApplicationGatewayNetworkIsolation, zaškrtněte tuto funkci a klikněte na Zaregistrovat.
Note
Registrace funkce může trvat až 30 minut, než přejde ze stavu Registrace do stavu Zaregistrováno.
Zrušení registrace funkce
Pokud chcete tuto funkci zrušit u vylepšených síťových ovládacích prvků služby Application Gateway prostřednictvím portálu, postupujte následovně:
Přihlaste se do Azure Portalu.
Do vyhledávacího pole zadejte předplatná a vyberte Předplatná.
Vyberte odkaz pro název předplatného.
V nabídce vlevo v části Nastavení vyberte funkce náhledu.
Zobrazí se seznam dostupných funkcí a aktuální stav registrace.
Ve verzi Preview zadejte do pole filtru EnableApplicationGatewayNetworkIsolation, zaškrtněte tuto funkci a klikněte na Zrušit registraci.
Konfigurace síťových ovládacích prvků
Po registraci funkce je možné konfiguraci skupiny zabezpečení sítě, směrovací tabulky a konfigurace front-endu privátní IP adresy provádět pomocí libovolných metod. Příklad: REST API, šablona ARM, nasazení Bicep, Terraform, PowerShell, rozhraní příkazového řádku nebo portál.
Podsíť služby Application Gateway
Podsíť služby Application Gateway je podsíť ve virtuální síti, ve které se nasadí prostředky služby Application Gateway. V konfiguraci privátní IP adresy front-endu je důležité, aby tato podsíť měla možnost soukromě se připojit k prostředkům, které se chtějí připojit k vaší vystavené aplikaci nebo webu.
Note
Od 5. května 2025 vyžadují nová a stávající nasazení služby Private Application Gateway delegování podsítě do Microsoft.Network/applicationGateways.
Při konfiguraci delegování podsítě postupujte podle těchto kroků .
Odchozí připojení k internetu
Nasazení služby Application Gateway, která obsahují pouze konfiguraci privátní ip adresy front-endu (nemají přidruženou konfiguraci front-endu veřejné IP adresy k pravidlu směrování požadavků), nemůžou směrovat odchozí provoz směřující do internetu. Tato konfigurace má vliv na komunikaci s backendovými cíli, které jsou veřejně přístupné přes Internet.
Pokud chcete povolit odchozí připojení ze služby Application Gateway k cíli back-endu přístupnému z Internetu, můžete využít překlad adres (NAT) virtuální sítě nebo směrovat provoz do virtuálního zařízení, které má přístup k Internetu.
Virtuální síť NAT nabízí kontrolu nad tím, která IP adresa nebo předpona by měla být použita, a také konfigurovatelný časový limit při nečinnosti. Pokud chcete nakonfigurovat, vytvořte novou službu NAT Gateway s veřejnou IP adresou nebo veřejnou předponou a přidružte ji k podsíti, která obsahuje službu Application Gateway.
Pokud je pro výstup na internet vyžadována virtuální appliance, přečtěte si část řízení směrovací tabulky v tomto dokumentu.
Běžné scénáře, kdy je potřeba použít veřejnou IP adresu:
- Komunikace s trezorem klíčů bez použití privátních koncových bodů nebo koncových bodů služby
- Odchozí komunikace se nevyžaduje pro soubory pfx nahrané přímo do služby Application Gateway.
- Komunikace s backendovými cíli přes internet
- Komunikace s internetovými koncovými body CRL nebo OCSP
Řízení skupiny zabezpečení sítě
Skupiny zabezpečení sítě přidružené k podsíti služby Application Gateway už nevyžadují příchozí pravidla pro Správce brány a nevyžadují odchozí přístup k internetu. Jediné povinné pravidlo je Povolit příchozí provoz z Azure Load Balanceru, aby se zajistilo, že se zdravotní sondy dostanou k bráně.
Následující konfigurace je příkladem nejomezenější sady příchozích pravidel, která zakazuje veškerý provoz kromě kontrol stavu Azure. Kromě definovaných pravidel jsou definována explicitní pravidla, která umožňují klientskému provozu dosáhnout posluchače brány.
Note
Služba Application Gateway zobrazí upozornění s žádostí o zajištění, aby bylo zadáno Povolit loadBalanceRule, pokud pravidlo DenyAll neúmyslně omezuje přístup k zdravotním sondám.
Ukázkový scénář
Tento příklad vás provede vytvořením skupiny zabezpečení sítě pomocí webu Azure Portal s následujícími pravidly:
- Povolit příchozí provoz na port 80 a 8080 do služby Application Gateway z požadavků klientů pocházejících z internetu
- Odepřít veškerý ostatní příchozí provoz
- Povolit odchozí provoz do backendového cíle v jiné virtuální síti
- Povolit odchozí provoz do backendového cíle, který je přístupný z internetu
- Zablokovat veškerý ostatní odchozí provoz
Nejprve vytvořte skupinu zabezpečení sítě. Tato skupina zabezpečení obsahuje příchozí a odchozí pravidla.
Příchozí pravidla
Ve skupině zabezpečení jsou již zřízena tři příchozí předdefinovaná pravidla. Podívejte se na následující příklad:
Dále vytvořte následující čtyři nová příchozí pravidla zabezpečení:
- Povolit příchozí port 80, tcp, z Internetu (libovolný)
- Povolit příchozí port 8080, tcp, z Internetu (libovolný)
- Povolit příchozí provoz z AzureLoadBalancer
- Odepřít všechny příchozí
Vytvoření těchto pravidel:
- Výběr příchozích pravidel zabezpečení
- Vyberte Přidat.
- Do podokna Přidat příchozí pravidlo zabezpečení zadejte následující informace pro každé pravidlo.
- Po zadání informací vyberte Přidat a vytvořte pravidlo.
- Vytvoření každého pravidla chvíli trvá.
| Pravidlo # | Source | Značka zdrojové služby | Rozsahy zdrojových portů | Destination | Service | Rozsahy portů dest | Protocol | Action | Priority | Name |
|---|---|---|---|---|---|---|---|---|---|---|
| 1 | Any | * | Any | HTTP | 80 | protokol TCP | Allow | 1028 | AllowWeb | |
| 2 | Any | * | Any | Custom | 8080 | protokol TCP | Allow | 1029 | AllowWeb8080 | |
| 3 | Značka služby | AzureLoadBalancer | * | Any | Custom | * | Any | Allow | 1045 | AllowLB |
| 4 | Any | * | Any | Custom | * | Any | Deny | 4095 | DenyAllInbound |
Po dokončení zřizování vyberte Aktualizovat a zkontrolujte všechna pravidla.
Pravidla odchozí komunikace
Už jsou zřízená tři výchozí pravidla odchozích přenosů s prioritou 65000, 65001 a 65500.
Vytvořte následující tři nová pravidla zabezpečení odchozích přenosů:
- Povolit TCP 443 z 10.10.4.0/24 do backendového cíle 203.0.113.1
- Povolit TCP 80 ze zdroje 10.10.4.0/24 do cíle 10.13.0.4
- Pravidlo pro odepření veškerého provozu
Tato pravidla mají přiřazenou prioritu 400, 401 a 4096.
Note
- 10.10.4.0/24 je adresní prostor podsítě služby Application Gateway.
- 10.13.0.4 je virtuální počítač v partnerské virtuální síti.
- 203.0.113.1 je back-endový cílový virtuální počítač.
Vytvoření těchto pravidel:
- Výběr pravidel zabezpečení odchozích přenosů
- Vyberte Přidat.
- Do podokna Přidat pravidlo odchozího zabezpečení zadejte následující informace pro každé pravidlo.
- Po zadání informací vyberte Přidat a vytvořte pravidlo.
- Vytvoření každého pravidla chvíli trvá.
| Pravidlo # | Source | Zdrojové IP adresy/rozsahy CIDR | Rozsahy zdrojových portů | Destination | Cílové IP adresy nebo rozsahy CIDR | Service | Rozsahy portů dest | Protocol | Action | Priority | Name |
|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | IP adresy | 10.10.4.0/24 | * | IP adresy | 203.0.113.1 | HTTPS | 443 | protokol TCP | Allow | 400 | AllowToBackendTarget |
| 2 | IP adresy | 10.10.4.0/24 | * | IP adresy | 10.13.0.4 | HTTP | 80 | protokol TCP | Allow | 401 | AllowToPeeredVnetVM |
| 3 | Any | * | Any | Custom | * | Any | Deny | 4096 | DenyAll |
Po dokončení zřizování vyberte Aktualizovat a zkontrolujte všechna pravidla.
Přidružit skupinu zabezpečení sítě k podsíti
Posledním krokem je přidružení skupiny zabezpečení sítě k podsíti , která obsahuje vaši službu Application Gateway.
Result:
Important
Při definování pravidel DenyAll buďte opatrní, protože můžete neúmyslně odepřít příchozí provoz z klientů, ke kterým máte v úmyslu povolit přístup. Můžete také neúmyslně odepřít odchozí provoz do cíle backendu, což způsobí selhání stavu backendu a odpovědí 5XX.
Ovládání směrovací tabulky
V aktuální nabídce služby Application Gateway není přidružení směrovací tabulky k pravidlu (nebo vytvoření pravidla) definovanému jako 0.0.0.0/0 s dalším směrováním jako virtuální appliance podporováno, aby byla zajištěna správná správa služby Application Gateway.
Po registraci funkce je nyní možné předávat provoz do virtuálního zařízení prostřednictvím definice pravidla směrovací tabulky, které definuje 0.0.0.0/0 s dalším skokem do virtuálního zařízení.
Vynucené tunelování nebo učení trasy 0.0.0.0/0 prostřednictvím propagace protokolu BGP nemá vliv na stav služby Application Gateway a je zajištěn pro tok provozu. Tento scénář se dá použít při použití sítě VPN, ExpressRoute, směrového serveru nebo služby Virtual WAN.
Ukázkový scénář
V následujícím příkladu vytvoříme tabulku směrování a přidružíme ji k podsíti služby Application Gateway, abychom zajistili, že odchozí přístup z podsítě bude procházet přes virtuální zařízení. Na vysoké úrovni je následující návrh shrnutý na obrázku 1:
- Služba Application Gateway je ve větvené virtuální síti.
- V síti rozbočovače je síťové virtuální zařízení (virtuální počítač).
- Směrovací tabulka s výchozí trasou (0.0.0.0/0) k virtuálnímu zařízení je přidružená k podsíti služby Application Gateway.
Obrázek 1: Odchozí přístup k internetu přes virtuální zařízení
Vytvoření směrovací tabulky a jeho přidružení k podsíti služby Application Gateway:
- Vyberte Trasy a vytvořte pravidlo dalšího směrování pro 0.0.0.0/0 a nakonfigurujte cíl tak, aby byl IP adresou vašeho virtuálního počítače:
- Vyberte podsítě a přidružte směrovací tabulku k podsíti služby Application Gateway:
- Ověřte, že provoz prochází virtuálním zařízením.
Omezení / známé problémy
Platí následující omezení:
Konfigurace služby Private Link
Podpora konfigurace privátního propojení pro tunelování provozu prostřednictvím privátních koncových bodů směrem ke službě Application Gateway není možná u brány s privátním režimem.
Omezování rychlosti WAF
Vlastní pravidla omezení rychlosti pro WAF služby Application Gateway v2 se v současné době nepodporují.
Konfigurace rozhraní privátních IP adres pouze s AGIC
AGIC v1.7 se musí použít k zavedení podpory pouze privátní front-endové IP adresy.
Připojení privátního koncového bodu prostřednictvím globálního VNet peeringu
Pokud má služba Application Gateway odkaz na back-endový cíl nebo Key Vault, který je součástí privátního koncového bodu umístěného ve virtuální síti, která je přístupná prostřednictvím globálního partnerského propojení virtuálních sítí, provoz se zahodí, což má za následek nezdravý stav.
Integrace služby Network Watcher
Řešení potíží s připojením a diagnostika NSG vrací chybu při spouštění kontrol a diagnostických testů.
Spoluexistující služby Application Gateway v2 vytvořené před povolením rozšířeného řízení sítě
Pokud podsíť sdílí nasazení služby Application Gateway v2, která byla vytvořena před i po povolení rozšířené funkčnosti řízení sítě, je skupina zabezpečení sítě (NSG) a funkce směrovací tabulky omezené na předchozí nasazení brány. Brány Application Gateway poskytnuté před povolením nové funkčnosti musí být buď znovu zřízeny, nebo nově vytvořené brány musí používat jinou podsíť, aby bylo možné povolit rozšířené funkce skupin zabezpečení sítě a směrovacích tabulek.
- Pokud brána nasazená před povolením nové funkce existuje v podsíti, můžou se zobrazit chyby, například:
For routes associated to subnet containing Application Gateway V2, please ensure '0.0.0.0/0' uses Next Hop Type as 'Internet'při přidávání položek směrovací tabulky. - Při přidávání pravidel skupiny zabezpečení sítě do podsítě se může zobrazit:
Failed to create security rule 'DenyAnyCustomAnyOutbound'. Error: Network security group \<NSG-name\> blocks outgoing Internet traffic on subnet \<AppGWSubnetId\>, associated with Application Gateway \<AppGWResourceId\>. This isn't permitted for Application Gateways that have fast update enabled or have V2 Sku.
Další kroky
- Přečtěte si další osvědčené postupy zabezpečení v bezpečnostním základu pro Application Gateway.