Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Infrastruktura brány Aplikace Azure zahrnuje virtuální síť, podsítě, skupiny zabezpečení sítě (NSGs) a trasy definované uživatelem.
Virtuální síť a vyhrazená podsíť
Aplikační brána je specializované nasazení ve vaší virtuální síti. Ve vaší virtuální síti se pro aplikační bránu vyžaduje vyhrazená podsíť. V podsíti můžete mít několik instancí konkrétního nasazení služby Application Gateway. V podsíti můžete také nasadit další aplikační brány. V podsíti služby Application Gateway ale nemůžete nasadit žádný jiný prostředek. Skladové položky služby Application Gateway v1 a v2 nemůžete kombinovat ve stejné podsíti.
Poznámka:
Zásady koncového bodu služby virtuální sítě nejsou v současné době podporovány v podsíti služby Application Gateway.
Velikost podsítě
Služba Application Gateway používá jednu privátní IP adresu na instanci a další privátní IP adresu, pokud je nakonfigurovaná privátní IP adresa front-endu.
Azure také vyhrazuje pět IP adres v každé podsíti pro interní použití. Jedná se o první čtyři adresy a poslední IP adresy. Představte si například 15 instancí služby Application Gateway bez privátní IP adresy front-endu. Pro tuto podsíť potřebujete aspoň 20 IP adres. Pro interní použití potřebujete 5 a 15 pro instance služby Application Gateway.
Představte si podsíť, která má 27 instancí služby Application Gateway a privátní front-endovou IP adresu. V takovém případě potřebujete 33 IP adres. Potřebujete 27 pro instance služby Application Gateway, jednu pro privátní front-end a 5 pro interní použití.
Application Gateway (SKU Standard nebo WAF) může podporovat až 32 instancí (32 IP adres instancí + konfiguraci jedné soukromé IP adresy front-endu + 5 vyhrazených Azure). Doporučujeme minimální velikost podsítě /26.
Application Gateway (Standard_v2 nebo WAF_v2 SKU) může podporovat až 125 instancí (125 IP adres instancí, 1 konfigurace privátní IP adresy front-endu a 5 vyhrazených pro Azure). Doporučujeme minimální velikost podsítě /24.
Pokud chcete zjistit dostupnou kapacitu podsítě, která má zřízené existující aplikační brány, vezměte velikost podsítě a odečtěte pět rezervovaných IP adres podsítě rezervované platformou. Dále vezměte každou bránu a u každé odečtěte maximální počet instancí. Pro každou bránu, která má konfiguraci privátní front-endové IP adresy, odečtěte ještě jednu IP adresu na každou bránu.
Tady je příklad, jak vypočítat dostupné adresování podsítě se třemi bránami různých velikostí:
- Brána 1: Maximálně 10 instancí. Používá konfiguraci privátní front-endové IP adresy.
- Brána 2: Maximálně 2 instance. Žádná konfigurace privátní front-endové IP adresy.
- Brána 3: Maximálně 15 případů. Používá konfiguraci privátní front-endové IP adresy.
-
Velikost podsítě: /24
- Velikost podsítě /24 = 256 IP adres – 5 rezervované z platformy = 251 dostupných adres
- 251: Brána 1 (10) – 1 konfigurace front-endu s privátní IP adresou = 240
- 240: Brána 2 (2) = 238
- 238: Brána 3 (15) – 1 konfigurace privátní IP adresy frontendu = 222
Důležité
Přestože se pro nasazení skladové položky Application Gateway v2 nevyžaduje podsíť /24, důrazně ji doporučujeme. Podsíť /24 zajišťuje, že služba Application Gateway v2 má dostatek místa pro automatické škálování a upgrady údržby.
Měli byste zajistit, aby podsíť služby Application Gateway v2 měla dostatečný adresní prostor pro přizpůsobení počtu instancí potřebných k poskytování maximálního očekávaného provozu. Pokud zadáte maximální počet instancí, měla by mít podsíť kapacitu alespoň pro tolik adres. Pro plánování kapacity týkající se počtu instancí najdete informace v Podrobnostech o počtu instancí.
Pojmenovaná GatewaySubnet podsíť je vyhrazená pro brány VPN. Prostředky služby Application Gateway v1, které používají GatewaySubnet podsíť, je potřeba přesunout do jiné podsítě nebo migrovat do SKU v2 před 30. zářím 2023, aby nedošlo k selhání řídicí roviny a nekonzistencím platformy. Informace o změně podsítě existující instance služby Application Gateway najdete v tématu Nejčastější dotazy týkající se služby Application Gateway.
Návod
IP adresy se přidělují od začátku definovaného prostoru podsítě pro instance brány. Při vytváření a odstraňování instancí v důsledku vytváření bran nebo škálovacích akcí může být obtížné zjistit, která adresa je další dostupná v rámci podsítě. Aby bylo možné určit další adresu k použití pro budoucí bránu a mít ucelený systém adresace frontendových IP adres, zvažte přiřazení frontendových IP adres z horní poloviny definovaného prostoru podmnožiny.
Pokud je například adresní prostor podsítě 10.5.5.0/24, zvažte nastavení konfigurace privátní ip adresy front-endu vašich bran počínaje verzí 10.5.5.254 a poté 10.5.5.253, 10.5.5.252, 10.5.5.251 a tak dále pro budoucí brány.
Je možné změnit podsíť existující instance služby Application Gateway ve stejné virtuální síti. K provedení této změny použijte Azure PowerShell nebo Azure CLI. Další informace najdete v tématu Nejčastější dotazy ke službě Application Gateway.
Servery DNS pro rozlišení názvů
Prostředek virtuální sítě podporuje konfiguraci serveru DNS, která umožňuje zvolit mezi výchozími nebo vlastními servery DNS poskytovanými v Azure. Instancí vaší aplikační brány také respektují tuto konfiguraci DNS pro jakékoli řešení názvů. Po změně tohoto nastavení je nutné restartovat (zastavit a spustit) službu Application Gateway, aby se tyto změny projevily na instancích.
Když instance vaší služby Application Gateway vydá dotaz DNS, použije hodnotu ze serveru, který odpoví jako první.
Poznámka:
Pokud ve virtuální síti služby Application Gateway používáte vlastní servery DNS, musí být server DNS schopný přeložit veřejné internetové názvy. Application Gateway vyžaduje tuto funkci.
Oprávnění k přístupu virtuální sítě
Prostředek služby Application Gateway se nasadí ve virtuální síti, takže se prověří také oprávnění k prostředku virtuální sítě. Toto ověření se provádí během operací vytváření a správy služeb a vztahuje se také na spravované identity kontroleru (Ingress Controller) v rámci služby Application Gateway.
Zkontrolujte řízení přístupu na základě rolí Azure, abyste ověřili, že uživatelé a služební identity, které spravují aplikační brány, mají alespoň následující oprávnění ve virtuální síti nebo podsíti:
- Microsoft.Network/virtualNetworks/subnets/join/action
- Microsoft.Network/virtualNetworks/subnets/read
Můžete použít předdefinované role, například přispěvatel sítě, které už tato oprávnění podporují. Pokud předdefinovaná role neposkytuje správné oprávnění, můžete vytvořit a přiřadit vlastní roli. Přečtěte si další informace o správě oprávnění podsítě.
Oprávnění
V závislosti na tom, jestli vytváříte nové prostředky nebo používáte existující prostředky, přidejte příslušná oprávnění z následujícího seznamu:
| Zdroj | Stav zdroje | Vyžadovaná oprávnění Azure |
|---|---|---|
| Podsíť | Vytvořit nový | Microsoft.Network/virtualNetworks/subnets/write' <br> 'Microsoft.Network/virtualNetworks/subnets/join/action |
| Podsíť | Použít existující | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| Adresy IP | Vytvořit nový | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| Adresy IP | Použít existující | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Zásady aplikační brány firewallu webových aplikací | Vytvoření nové / aktualizovat existující | Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/write Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/read Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/join/action |
Další informace najdete v tématu Oprávnění Azure pro síťové služby a oprávnění virtuální sítě.
Poznámka:
Při nasazování služby Application Gateway jako součást spravované aplikace Azure se ujistěte, že všechna přiřazení zamítnutí nejsou v konfliktu s přiřazením role vlastníka RBAC, protože přiřazení zamítnutí mají přednost před oprávněními RBAC.
Rozsah rolí
Při definování vlastní role můžete zadat obor přiřazení role na čtyřech úrovních: správcovská skupina, předplatné, skupina zdrojů a zdroje. Chcete-li udělit přístup, přiřaďte role uživatelům, skupinám, instančním objektům nebo spravovaným identitám v konkrétním rozsahu. Tyto obory jsou strukturovány ve vztahu nadřazenosti a podřízenosti, přičemž každá úroveň hierarchie zpřístupňuje obor konkrétněji. Role můžete přiřadit na kterékoli z těchto úrovní oboru a úroveň, kterou vyberete, určuje, jak široce se role použije. Například role přiřazená na úrovni předplatného se může kaskádově snížit na všechny prostředky v rámci daného předplatného, zatímco role přiřazená na úrovni skupiny prostředků se bude vztahovat pouze na prostředky v rámci této konkrétní skupiny. Další informace o úrovni oboru Další informace najdete v tématu Úrovně oboru.
Poznámka:
Po změně přiřazení role možná budete muset povolit dostatek času na aktualizaci mezipaměti Azure Resource Manageru.
Identifikujte ovlivněné uživatele nebo principály služby pro vaše předplatné.
Když navštívíte Azure Advisor ke svému účtu, můžete ověřit, jestli ve vašem předplatném nejsou nějací uživatelé nebo služební principály s nedostatečným oprávněním. Podrobnosti o doporučení jsou následující:
Název: Aktualizace oprávnění VNet pro uživatele služby Application Gateway
Kategorie: Spolehlivost
Dopad: Vysoký
Použijte dočasný příznak AFEC (Azure Feature Exposure Control)
Jako dočasné rozšíření jsme zavedli řízení expozice funkcí Azure na úrovni předplatného (AFEC). Můžete se zaregistrovat pro AFEC a používat ho, dokud neopravíte oprávnění pro všechny uživatele a služební principály. Zaregistrujte se k této funkci podle stejných kroků jako registrace funkcí ve verzi Preview pro vaše předplatné Azure.
Název: Microsoft.Network/DisableApplicationGatewaySubnetPermissionCheck
Description: Disable Application Gateway Subnet Permission Check
ProviderNamespace: Microsoft.Network
EnrollmentType: AutoApprove
Poznámka:
Doporučujeme použít zřízení AFEC pouze jako dočasné zmírnění, dokud nepřiřadíte správná oprávnění. Musíte upřednostnit opravu oprávnění pro všechny příslušné uživatele (a služební účty) a pak zrušit registraci tohoto příznaku AFEC, aby bylo možné obnovit ověřování oprávnění u prostředku virtuální sítě. Doporučujeme, abyste trvale nepočítali s touto metodou AFEC, protože v budoucnu bude zrušena.
Azure Virtual Network Manager
Azure Virtual Network Manager je služba pro správu, která umožňuje seskupovat, konfigurovat, nasazovat a spravovat virtuální sítě globálně napříč předplatnými. Pomocí nástroje Virtual Network Manager můžete definovat skupiny sítí, které identifikují a logicky segmentuje virtuální sítě. Potom můžete určit požadované možnosti připojení a zabezpečení a použít je ve všech vybraných virtuálních sítích ve skupinách sítě najednou.
Konfigurace pravidla správce zabezpečení ve službě Azure Virtual Network Manager umožňuje definovat zásady zabezpečení ve velkém měřítku a aplikovat je na více virtuálních sítí najednou.
Poznámka:
Pravidla správce zabezpečení Azure Virtual Network Manageru se vztahují jenom na podsítě služby Application Gateway, které obsahují aplikační brány s povolenou izolací sítě. Podsítě s aplikačními bránami, které mají zakázanou izolaci sítě, nemají pravidla správce zabezpečení.
Skupiny zabezpečení sítě
Skupiny zabezpečení sítě můžete použít pro podsíť služby Application Gateway, ale mějte na paměti některé klíčové body a omezení.
Důležité
Tato omezení NSG jsou uvolněná, když používáte nasazení privátní služby Application Gateway.
Požadovaná pravidla zabezpečení
Pokud chcete použít NSG se službou Application Gateway, musíte vytvořit nebo zachovat některá nezbytná pravidla zabezpečení. Prioritu můžete nastavit ve stejném pořadí.
Příchozí pravidla
Klientský provoz: Povolte příchozí provoz z očekávaných klientů (jako zdrojové IP adresy nebo rozsahu IP adres) a zadejte jako cíl celou předponu IP podsítě vaší aplikační brány a příchozí přístupové porty. Pokud například máte naslouchací procesy nakonfigurované pro porty 80 a 443, musíte tyto porty povolit. Toto pravidlo můžete také nastavit na Any.
| Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Přístup |
|---|---|---|---|---|---|
<as per need> |
Jakýkoliv | <Subnet IP Prefix> |
<listener ports> |
protokol TCP | Povolit |
Jakmile nakonfigurujete aktivní veřejné a privátní naslouchací procesy (s pravidly) se stejným číslem portu, vaše aplikační brána změní cíl všech příchozích toků na IP adresy front-endu vaší brány. Tato změna nastává i u posluchačů, kteří nesdílejí žádný port. Pokud použijete stejnou konfiguraci portů, musíte do cíle příchozího pravidla zahrnout veřejné i privátní IP adresy rozhraní vaší brány.
| Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Přístup |
|---|---|---|---|---|---|
<as per need> |
Jakýkoliv | <Public and Private frontend IPs> |
<listener ports> |
protokol TCP | Povolit |
Porty infrastruktury: Povolí příchozí požadavky ze zdroje jako značku služby GatewayManager a jakýkoli cíl. Rozsah cílových portů se liší podle skladové položky a vyžaduje se pro komunikaci stavu back-endu. Tyto porty jsou chráněné nebo uzamčené certifikáty Azure. Externí entity nemůžou v těchto koncových bodech zahajovat změny bez příslušných certifikátů.
- V2: Porty 65200-65535
- V1: Porty 65503-65534
| Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Přístup |
|---|---|---|---|---|---|
| GatewayManager | Jakýkoliv | Jakýkoliv | <as per SKU given above> |
protokol TCP | Povolit |
Návod
Komunikace se službou Gateway Manager je ve výchozím nastavení regionální.
Sondy Azure Load Balancer: Povolí příchozí provoz ze zdroje s tagem služby AzureLoadBalancer. Toto pravidlo se ve výchozím nastavení vytvoří pro NSG (skupiny zabezpečení sítě). Nesmíte ho přepsat ručním pravidlem zamítnutí, abyste zajistili hladké fungování služby Application Gateway.
| Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Přístup |
|---|---|---|---|---|---|
| Vyvažovač zatížení Azure | Jakýkoliv | Jakýkoliv | Jakýkoliv | Jakýkoliv | Povolit |
Všechny ostatní příchozí přenosy můžete blokovat pomocí pravidla Odepřít vše .
Pravidla odchozích přenosů
Odchozí provoz na internet: Povolí odchozí provoz na internet pro všechny destinace. Toto pravidlo se ve výchozím nastavení vytvoří pro NSG (skupiny zabezpečení sítě). Nesmíte ho přepsat ručním pravidlem zamítnutí, abyste zajistili hladké fungování služby Application Gateway. Pravidla odchozí skupiny zabezpečení sítě, která zakazují jakékoli odchozí připojení, se nesmí vytvářet.
| Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Přístup |
|---|---|---|---|---|---|
| Jakýkoliv | Jakýkoliv | internet | Jakýkoliv | Jakýkoliv | Povolit |
Poznámka:
Brány aplikační brány, které nemají povolenou izolaci sítě, nedovolují odesílání provozu mezi propojenými virtuálními sítěmi, pokud je zakázán provoz do vzdálené virtuální sítě.
Podporované trasy definované uživatelem
Podrobná kontrola podsítě služby Application Gateway prostřednictvím pravidel směrovací tabulky je možná ve verzi Public Preview. Další informace najdete v tématu Nasazení privátní služby Application Gateway (Preview).
U aktuálních funkcí platí určitá omezení:
Důležité
Použití tras definovaných uživatelem (UDR) v podsíti služby Application Gateway může způsobit, že se stav v zobrazení zdraví back-endu zobrazí jako Neznámý. Může také způsobit selhání generování protokolů a metrik služby Application Gateway. Doporučujeme nepoužívat trasy definované uživatelem v podsíti služby Application Gateway, abyste mohli zobrazit stav back-endu, protokoly a metriky.
v1: Pro SKU v1 se uživatelsky definované trasy podporují v podsíti Application Gateway, pokud nemění komunikaci mezi požadavky a odpověďmi od začátku do konce. Například můžete nastavit UDR v podsíti služby Application Gateway tak, aby odkazovalo na firewallové zařízení pro inspekci paketů. Musíte se ale ujistit, že paket může po kontrole dosáhnout požadovaného cíle. Pokud to neuděláte, může to způsobit nesprávné chování zdravotní sondy nebo směrování provozu. Zahrnuté jsou také naučené trasy nebo výchozí trasy 0.0.0.0/0, které se šíří službou Azure ExpressRoute nebo bránami VPN ve virtuální síti.
v2: Pro skladovou položku v2 existují podporované a nepodporované scénáře.
Podporované scénáře v2
Varování
Nesprávná konfigurace směrovací tabulky může vést k asymetrického směrování ve službě Application Gateway v2. Ujistěte se, že je veškerý provoz správy a řízení odesílán přímo na internet a ne přes virtuální zařízení. Protokolování, kontroly seznamu CRL a metriky mohou být také ovlivněny.
Scénář 1: UDR pro zakázání propagace tras protokolu BGP (Border Gateway Protocol) k podsíti Application Gateway
Někdy se výchozí trasa brány (0.0.0.0/0) inzeruje prostřednictvím bran ExpressRoute nebo VPN přidružených k virtuální síti služby Application Gateway. Toto chování přeruší provoz v řídicí rovině, který vyžaduje přímou cestu k internetu. V takových scénářích můžete pomocí UDR zakázat šíření tras BGP.
Zakázání šíření tras protokolu BGP:
- Vytvořte prostředek směrovací tabulky v Azure.
- Zakažte parametr šíření tras brány virtuální sítě.
- Přidružte směrovací tabulku k příslušné podsíti.
Povolení uživatelsky definované směrovací tabulky pro tento scénář by nemělo narušit žádná existující nastavení.
Scénář 2: UDR směrovat 0.0.0.0/0 na internet
Můžete vytvořit trasu definovanou uživatelem (UDR), která směřuje veškerý provoz 0.0.0.0/0 přímo na internet.
Scénář 3: Trasy definované uživatelem pro Azure Kubernetes Service (AKS) s využitím kubenetu
Pokud používáte kubenet s kontrolerem příchozího přenosu dat AKS a služby Application Gateway, potřebujete směrovací tabulku, která umožní směrování provozu do podů ze služby Application Gateway do správného uzlu. Pokud používáte rozhraní Azure Container Networking Interface, nemusíte používat směrovací tabulku.
Použití směrovací tabulky k povolení fungování kubenetu:
Přejděte do skupiny prostředků vytvořené AKS. Název skupiny prostředků by měl začínat
MC_.Najděte směrovací tabulku, kterou vytvořil AKS, v této skupině prostředků. Směrovací tabulka by měla být naplněna následujícími informacemi:
- Předpona adresy by měla být rozsahem IP adres podů, které chcete v AKS dosáhnout.
- Typ dalšího hopu by měl být virtuální appliance.
- Adresa dalšího segmentu směrování by měla být IP adresa uzlu, který hostí pody.
Přidružte tuto tabulku směrování k podsíti služby Application Gateway.
Nepodporované scénáře v2
Scénář 1: UDR pro virtuální zařízení
V případě položky v2 se nepodporují žádné scénáře vyžadující směrování trasy 0.0.0.0/0 přes jakékoli virtuální zařízení, virtuální síť centra, paprskovou virtuální síť nebo místní prostředí (vynucené tunelování).
Další služby
Pokud chcete zobrazit role a oprávnění pro jiné služby, podívejte se na následující odkazy: