Konfigurace infrastruktury služby Application Gateway
Infrastruktura brány Aplikace Azure zahrnuje virtuální síť, podsítě, skupiny zabezpečení sítě (NSG) a trasy definované uživatelem.
Virtuální síť a vyhrazená podsíť
Aplikační brána je vyhrazené nasazení ve vaší virtuální síti. Ve vaší virtuální síti se pro aplikační bránu vyžaduje vyhrazená podsíť. V podsíti můžete mít několik instancí konkrétního nasazení služby Application Gateway. V podsíti můžete také nasadit další aplikační brány. V podsíti služby Application Gateway ale nemůžete nasadit žádný jiný prostředek. Skladové položky služby Application Gateway v1 a v2 nemůžete kombinovat ve stejné podsíti.
Poznámka:
Zásady koncového bodu služby virtuální sítě se v současné době nepodporují v podsíti služby Application Gateway.
Velikost podsítě
Služba Application Gateway používá jednu privátní IP adresu na instanci a další privátní IP adresu, pokud je nakonfigurovaná privátní IP adresa front-endu.
Azure také vyhrazuje pět IP adres v každé podsíti pro interní použití. Jedná se o první čtyři adresy a poslední IP adresy. Představte si například 15 instancí služby Application Gateway bez privátní IP adresy front-endu. Pro tuto podsíť potřebujete aspoň 20 IP adres. Pro interní použití potřebujete 5 a 15 pro instance služby Application Gateway.
Představte si podsíť, která má 27 instancí služby Application Gateway a IP adresu privátní front-endové IP adresy. V takovém případě potřebujete 33 IP adres. Potřebujete 27 pro instance služby Application Gateway, jednu pro privátní front-end a 5 pro interní použití.
Application Gateway (skladová položka Standard nebo WAF) může podporovat až 32 instancí (32 IP adres instancí + 1 konfigurace privátní ip adresy front-endu + 5 rezervovaných Azure). Doporučujeme minimální velikost podsítě /26.
Application Gateway (Standard_v2 nebo SKU WAF_v2) může podporovat až 125 instancí (125 IP adres instancí, 1 konfigurace privátní IP adresy front-endu a 5 vyhrazených Azure). Doporučujeme minimální velikost podsítě /24.
Pokud chcete zjistit dostupnou kapacitu podsítě, která má zřízené existující aplikační brány, vezměte velikost podsítě a odečtěte pět rezervovaných IP adres podsítě rezervované platformou. Dále vezměte každou bránu a odečtěte maximální počet instancí. Pro každou bránu, která má konfiguraci privátní ip adresy front-endu, odečtěte jednu další IP adresu na bránu.
Tady je příklad, jak vypočítat dostupné adresování podsítě se třemi bránami různých velikostí:
- Brána 1: Maximálně 10 instancí. Používá konfiguraci privátní front-endové IP adresy.
- Brána 2: Maximálně 2 instance. Žádná konfigurace privátní front-endové IP adresy.
- Brána 3: Maximálně 15 instancí. Používá konfiguraci privátní front-endové IP adresy.
- Velikost podsítě: /24
- Velikost podsítě /24 = 256 IP adres – 5 rezervované z platformy = 251 dostupných adres
- 251: Brána 1 (10) – 1 konfigurace privátní ip adresy front-endu = 240
- 240: Brána 2 (2) = 238
- 238: Brána 3 (15) – 1 konfigurace privátní ip adresy front-endu = 222
Důležité
Přestože se pro nasazení skladové položky Application Gateway v2 nevyžaduje podsíť /24, důrazně ji doporučujeme. Podsíť /24 zajišťuje, aby služba Application Gateway v2 byla dostatek místa pro upgrady automatického rozšíření a údržby.
Měli byste zajistit, aby podsíť služby Application Gateway v2 měla dostatečný adresní prostor pro přizpůsobení počtu instancí potřebných k poskytování maximálního očekávaného provozu. Pokud zadáte maximální počet instancí, měla by mít podsíť kapacitu alespoň pro tolik adres. Informace o plánování kapacity týkající se počtu instancí najdete v podrobnostech počtu instancí.
Pojmenovaná GatewaySubnet podsíť je vyhrazená pro brány VPN. Prostředky služby Application Gateway v1, které používají GatewaySubnet podsíť, je potřeba přesunout do jiné podsítě nebo migrovat do skladové položky v2 před 30. zářím 2023, aby nedocházelo k chybám řídicí roviny a nekonzistence platformy. Informace o změně podsítě existující instance služby Application Gateway najdete v tématu Nejčastější dotazy týkající se služby Application Gateway.
Tip
IP adresy se přidělují od začátku definovaného prostoru podsítě pro instance brány. Při vytváření a odebírání instancí kvůli vytváření bran nebo škálování událostí může být obtížné pochopit, jaká je další dostupná adresa v podsíti. Abyste mohli určit další adresu, která se má použít pro budoucí bránu, a mít souvislý motiv adresování front-endových IP adres, zvažte přiřazení IP adres front-endu z horní poloviny definovaného prostoru podmnožina.
Pokud je například adresní prostor podsítě 10.5.5.0/24, zvažte nastavení konfigurace privátní ip adresy front-endu vašich bran počínaje verzí 10.5.5.254 a poté 10.5.5.253, 10.5.5.252, 10.5.5.251 a tak dále pro budoucí brány.
Je možné změnit podsíť existující instance služby Application Gateway ve stejné virtuální síti. K provedení této změny použijte Azure PowerShell nebo Azure CLI. Další informace najdete v tématu Nejčastější dotazy ke službě Application Gateway.
Servery DNS pro překlad názvů
Prostředek virtuální sítě podporuje konfiguraci serveru DNS, která umožňuje zvolit mezi výchozími nebo vlastními servery DNS poskytovanými v Azure. Instance vaší aplikační brány také respektují tuto konfiguraci DNS pro jakýkoli překlad ip adres. Po změně tohoto nastavení je nutné restartovat (zastavit a spustit) službu Application Gateway, aby se tyto změny projevily na instancích.
Poznámka:
Pokud ve virtuální síti služby Application Gateway používáte vlastní servery DNS, musí být server DNS schopný přeložit veřejné internetové názvy. Application Gateway vyžaduje tuto funkci.
Oprávnění virtuální sítě
Prostředek služby Application Gateway se nasadí ve virtuální síti, takže se prověří také oprávnění k prostředku virtuální sítě. Toto ověření se provádí během operací vytváření a správy a vztahuje se také na spravované identity kontroleru příchozího přenosu dat služby Application Gateway.
Zkontrolujte řízení přístupu na základě role Azure a ověřte, že uživatelé (a instanční objekty), kteří provozují aplikační brány, mají také alespoň oprávnění Microsoft.Network/virtualNetworks/subnets/join/action ve virtuální síti nebo podsíti. Toto ověření platí také pro spravované identity kontroleru příchozího přenosu dat služby Application Gateway.
Můžete použít předdefinované role, například přispěvatel sítě, které už tato oprávnění podporují. Pokud předdefinovaná role neposkytuje správné oprávnění, můžete vytvořit a přiřadit vlastní roli. Přečtěte si další informace o správě oprávnění podsítě.
Poznámka:
Po změně přiřazení role možná budete muset povolit dostatek času na aktualizaci mezipaměti Azure Resource Manageru.
Identifikace ovlivněných uživatelů nebo instančních objektů pro vaše předplatné
Když navštívíte Azure Advisor pro váš účet, můžete ověřit, jestli vaše předplatné má nějaké uživatele nebo instanční objekty s nedostatečným oprávněním. Podrobnosti o doporučení jsou následující:
Název: Aktualizace oprávnění virtuální sítě pro uživatele služby Application Gateway Category: Reliability Impact: High
Použití dočasného příznaku AFEC (Azure Feature Exposure Control)
Jako dočasné rozšíření jsme zavedli řízení expozice funkcí Azure na úrovni předplatného (AFEC). Můžete se zaregistrovat pro AFEC a používat ho, dokud neopravíte oprávnění pro všechny uživatele a instanční objekty. Zaregistrujte se k této funkci podle stejných kroků jako registrace funkcí ve verzi Preview pro vaše předplatné Azure.
Název: Microsoft.Network/DisableApplicationGatewaySubnetPermissionCheck Description: Disable Application Gateway Subnet Permission Check ProviderNamespace: Microsoft.Network EnrollmentType: AutoApprove
Poznámka:
Doporučujeme použít zřízení AFEC pouze jako dočasné zmírnění, dokud nepřiřadíte správná oprávnění. Musíte určit prioritu opravy oprávnění pro všechny příslušné uživatele (a instanční objekty) a pak zrušit registraci tohoto příznaku AFEC, aby bylo možné znovu vytvořit ověření oprávnění u prostředku virtuální sítě. Doporučujeme, abyste na této metodě AFEC nezávisí trvale, protože se v budoucnu odebere.
Azure Virtual Network Manager
Azure Virtual Network Manager je služba pro správu, která umožňuje seskupovat, konfigurovat, nasazovat a spravovat virtuální sítě globálně napříč předplatnými. Pomocí nástroje Virtual Network Manager můžete definovat skupiny sítí, které identifikují a logicky segmentuje virtuální sítě. Potom můžete určit požadované možnosti připojení a zabezpečení a použít je ve všech vybraných virtuálních sítích ve skupinách sítě najednou.
Konfigurace pravidla správce zabezpečení ve službě Azure Virtual Network Manager umožňuje definovat zásady zabezpečení ve velkém měřítku a aplikovat je na více virtuálních sítí najednou.
Poznámka:
Pravidla správce zabezpečení Azure Virtual Network Manageru se vztahují jenom na podsítě služby Application Gateway, které obsahují aplikační brány s povolenou izolací sítě. Podsítě s aplikačními bránami, které mají zakázanou izolaci sítě, nemají pravidla správce zabezpečení.
Skupiny zabezpečení sítě
Skupiny zabezpečení sítě můžete použít pro podsíť služby Application Gateway, ale mějte na paměti některé klíčové body a omezení.
Důležité
Tato omezení NSG jsou uvolněná, když používáte nasazení privátní služby Application Gateway (Preview).
Požadovaná pravidla zabezpečení
Pokud chcete použít skupinu zabezpečení sítě se službou Application Gateway, musíte vytvořit nebo zachovat některá základní pravidla zabezpečení. Prioritu můžete nastavit ve stejném pořadí.
Příchozí pravidla
Klientský provoz: Povolte příchozí provoz z očekávaných klientů (jako zdrojové IP adresy nebo rozsahu IP adres) a jako cíl jako předponu IP celé podsítě služby Application Gateway a příchozí přístupové porty. Pokud máte například naslouchací procesy nakonfigurované pro porty 80 a 443, musíte tyto porty povolit. Toto pravidlo můžete také nastavit na Any.
| Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Access |
|---|---|---|---|---|---|
<as per need> |
Všechny | <Subnet IP Prefix> |
<listener ports> |
TCP | Povolit |
Jakmile nakonfigurujete aktivní veřejné a privátní naslouchací procesy (s pravidly) se stejným číslem portu, vaše aplikační brána změní cíl všech příchozích toků na IP adresy front-endu vaší brány. K této změně dochází i u naslouchacích procesů, které nesdílejí žádný port. Pokud použijete stejnou konfiguraci portu, musíte do cíle příchozího pravidla zahrnout front-endové veřejné a privátní IP adresy vaší brány.
| Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Access |
|---|---|---|---|---|---|
<as per need> |
Všechny | <Public and Private<br/>frontend IPs> |
<listener ports> |
TCP | Povolit |
Porty infrastruktury: Povolí příchozí požadavky ze zdroje jako značku služby GatewayManager a jakýkoli cíl. Rozsah cílových portů se liší podle skladové položky a vyžaduje se pro komunikaci stavu back-endu. Tyto porty jsou chráněné nebo uzamčené certifikáty Azure. Externí entity nemůžou v těchto koncových bodech zahajovat změny bez příslušných certifikátů.
- V2: Porty 65200-65535
- V1: Porty 65503-65534
| Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Access |
|---|---|---|---|---|---|
| GatewayManager | Všechny | Všechny | <as per SKU given above> |
TCP | Povolit |
Sondy Azure Load Balanceru: Povolí příchozí provoz ze zdroje jako značku služby AzureLoadBalancer . Toto pravidlo se ve výchozím nastavení vytvoří pro skupiny zabezpečení sítě. Abyste zajistili hladké operace služby Application Gateway, nesmíte ho přepsat ručním pravidlem zamítnutí .
| Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Access |
|---|---|---|---|---|---|
| AzureLoadBalancer | Všechny | Všechny | Všechny | Všechny | Povolit |
Všechny ostatní příchozí přenosy můžete blokovat pomocí pravidla Odepřít vše .
Pravidla odchozích přenosů
Odchozí provoz na internet: Povolí odchozí provoz do internetu pro všechny cíle. Toto pravidlo se ve výchozím nastavení vytvoří pro skupiny zabezpečení sítě. Abyste zajistili hladké operace služby Application Gateway, nesmíte ho přepsat ručním pravidlem zamítnutí . Pravidla odchozí skupiny zabezpečení sítě, která zakazují jakékoli odchozí připojení, se nesmí vytvářet.
| Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Access |
|---|---|---|---|---|---|
| Všechny | Všechny | Internet | Všechny | Všechny | Povolit |
Poznámka:
Brány Application Gateway, které nemají povolenou izolaci sítě, neumožňují odesílání provozu mezi partnerskými virtuálními sítěmi, když je zakázaný provoz do vzdálené virtuální sítě .
Podporované trasy definované uživatelem
Podrobná kontrola podsítě služby Application Gateway prostřednictvím pravidel směrovací tabulky je možná ve verzi Public Preview. Další informace najdete v tématu Nasazení privátní služby Application Gateway (Preview).
U aktuálních funkcí platí určitá omezení:
Důležité
Použití trasy definované uživatelem v podsíti služby Application Gateway může způsobit, že se stav v zobrazení stavu back-endu zobrazí jako Neznámý. Může také způsobit selhání generování protokolů a metrik služby Application Gateway. Doporučujeme v podsíti služby Application Gateway nepoužít trasy definované uživatelem, abyste mohli zobrazit stav back-endu, protokoly a metriky.
v1: U skladové položky v1 se trasy definované uživatelem podporují v podsíti služby Application Gateway, pokud nemění komunikaci mezi koncovými požadavky a odpověďmi. Můžete například nastavit trasy UDR v podsíti služby Application Gateway tak, aby odkazovaly na zařízení brány firewall pro kontrolu paketů. Musíte se ale ujistit, že paket může po kontrole dosáhnout požadovaného cíle. Pokud to neuděláte, může to způsobit nesprávné chování sondy stavu nebo směrování provozu. Zahrnuté jsou také naučené trasy nebo výchozí trasy 0.0.0.0/0, které se šíří službou Azure ExpressRoute nebo bránami VPN ve virtuální síti.
v2: Pro skladovou položku v2 existují podporované a nepodporované scénáře.
Podporované scénáře v2
Upozorňující
Nesprávná konfigurace směrovací tabulky může vést k asymetrického směrování ve službě Application Gateway v2. Ujistěte se, že se veškerý provoz roviny správy a řídicí roviny odesílá přímo na internet, a ne přes virtuální zařízení. Může to mít vliv také na protokolování, metriky a kontroly seznamu CRL.
Scénář 1: Trasa definovaná uživatelem pro zakázání šíření trasy protokolu BGP (Border Gateway Protocol) do podsítě služby Application Gateway
Někdy se výchozí trasa brány (0.0.0.0/0) inzeruje prostřednictvím bran ExpressRoute nebo VPN přidružených k virtuální síti služby Application Gateway. Toto chování přeruší provoz roviny správy, který vyžaduje přímou cestu k internetu. V takových scénářích můžete pomocí trasy definované uživatelem zakázat šíření tras protokolu BGP.
Zakázání šíření tras protokolu BGP:
- Vytvořte prostředek směrovací tabulky v Azure.
- Zakažte parametr šíření tras brány virtuální sítě.
- Přidružte směrovací tabulku k příslušné podsíti.
Povolení trasy definované uživatelem pro tento scénář by nemělo narušit žádná existující nastavení.
Scénář 2: Trasy definované uživatelem směrovat na internet 0.0.0.0/0
Můžete vytvořit trasu definovanou uživatelem, která odešle provoz 0.0.0.0/0 přímo na internet.
Scénář 3: Trasy definované uživatelem pro Azure Kubernetes Service (AKS) s využitím kubenetu
Pokud používáte kubenet s kontrolerem příchozího přenosu dat AKS a služby Application Gateway, potřebujete směrovací tabulku, která umožní směrování provozu do podů ze služby Application Gateway do správného uzlu. Pokud používáte rozhraní Azure Container Networking Interface, nemusíte používat směrovací tabulku.
Použití směrovací tabulky k povolení fungování kubenetu:
Přejděte do skupiny prostředků vytvořené službou AKS. Název skupiny prostředků by měl začínat
MC_.Najděte směrovací tabulku vytvořenou službou AKS v této skupině prostředků. Směrovací tabulka by měla být naplněna následujícími informacemi:
- Předpona adresy by měla být rozsahEM IP podů, které chcete v AKS dosáhnout.
- Typ dalšího segmentu směrování by měl být virtuální zařízení.
- Adresa dalšího segmentu směrování by měla být IP adresa uzlu, který je hostitelem podů.
Přidružte tuto směrovací tabulku k podsíti služby Application Gateway.
Nepodporované scénáře v2
Scénář 1: Trasy definované uživatelem pro virtuální zařízení
Jakýkoli scénář, ve kterém je potřeba přesměrovat 0.0.0.0/0 přes virtuální zařízení, hvězdicovou virtuální síť nebo místní (vynucené tunelování) není pro v2 podporované.