Sdílet prostřednictvím


Konfigurace služby App Service se službou Application Gateway

Application Gateway umožňuje mít aplikaci služby App Service nebo jinou službu s více tenanty jako člena back-endového fondu. V tomto článku se dozvíte, jak nakonfigurovat aplikaci služby App Service se službou Application Gateway. Konfigurace služby Application Gateway se bude lišit v závislosti na tom, jak bude služba App Service přístupná:

  • První možnost využívá vlastní doménu ve službě Application Gateway i ve službě App Service v back-endu.
  • Druhou možností je, aby služba Application Gateway měla přístup ke službě App Service pomocí výchozí domény s příponou .azurewebsites.net.

Tato konfigurace se doporučuje pro scénáře na úrovni produkčního prostředí a splňuje postup, kdy se v toku požadavků nemění název hostitele. Abyste nemuseli spoléhat na výchozí doménu ".azurewebsites", musíte mít k dispozici vlastní doménu (a přidružený certifikát).

Přidružením stejného názvu domény ke službě Application Gateway i službě App Service v back-endovém fondu nemusí tok požadavku přepsat název hostitele. Back-endová webová aplikace uvidí původního hostitele, jak ho používal klient.

Přehled scénáře pro službu Application Gateway do app Service s použitím stejné vlastní domény pro oba

V tomto článku se dozvíte, jak:

  • Konfigurace služby DNS
  • Přidání služby App Service jako back-endového fondu do služby Application Gateway
  • Konfigurace nastavení HTTP pro připojení ke službě App Service
  • Konfigurace naslouchacího procesu HTTP
  • Konfigurace pravidla směrování požadavků

Požadavky

Konfigurace DNS

V kontextu tohoto scénáře je DNS relevantní na dvou místech:

  • Název DNS, který uživatel nebo klient používá ke službě Application Gateway a co se zobrazuje v prohlížeči
  • Název DNS, který služba Application Gateway interně používá pro přístup ke službě App Service v back-endu

Přesměrujte uživatele nebo klienta do služby Application Gateway pomocí vlastní domény. Nastavte DNS pomocí aliasu CNAME odkazovaného na DNS pro Službu Application Gateway. Adresa DNS služby Application Gateway se zobrazuje na stránce přehledu přidružené veřejné IP adresy. Případně můžete vytvořit záznam A odkazující přímo na IP adresu. (U služby Application Gateway V1 se virtuální IP adresa může změnit, pokud službu zastavíte a spustíte, takže tato možnost není požadovaná.)

Služba App Service by měla být nakonfigurovaná tak, aby přijímala provoz ze služby Application Gateway pomocí vlastního názvu domény jako příchozího hostitele. Další informace o tom, jak namapovat vlastní doménu na službu App Service, najdete v kurzu: Mapování existujícího vlastního názvu DNS na službu Aplikace Azure Service k ověření domény vyžaduje App Service pouze přidání záznamu TXT. U CNAME nebo A-records se nevyžaduje žádná změna. Konfigurace DNS pro vlastní doménu zůstane směrovaná na službu Application Gateway.

Pokud chcete přijímat připojení ke službě App Service přes HTTPS, nakonfigurujte vazbu protokolu TLS. Další informace najdete v tématu Zabezpečení vlastního názvu DNS pomocí vazby TLS/SSL ve službě Aplikace Azure Service Configure App Service pro vyžádání certifikátu pro vlastní doménu ze služby Azure Key Vault.

Přidání služby App Service jako back-endový fond

  1. Na webu Azure Portal vyberte svou službu Application Gateway.

  2. V části Back-endové fondy vyberte back-endový fond.

  3. V části Typ cíle vyberte App Services.

  4. V části Cíl vyberte službu App Service.

    Back-end služby App Service

    Poznámka:

    Rozevírací seznam naplní jenom služby App Services, které jsou ve stejném předplatném jako služba Application Gateway. Pokud chcete použít službu App Service, která je v jiném předplatném než v jiném předplatném, než je služba Application Gateway, pak místo výběru služby App Services v rozevíracím seznamu Cíle zvolte IP adresu nebo název hostitele a zadejte název hostitele (example.azurewebsites.net) služby App Service.

  5. Zvolte Uložit.

Úprava nastavení HTTP pro App Service

Vyžaduje se nastavení HTTP, které službě Application Gateway dává pokyn, aby přistupovala k back-endu služby App Service pomocí vlastního názvu domény. Nastavení HTTP ve výchozím nastavení použije výchozí sondu stavu. I když výchozí sondy stavu budou předávat požadavky s názvem hostitele, ve kterém se provoz přijímá, budou sondy stavu využívat jako název hostitele back-endového fondu 127.0.0.1, protože nebyly explicitně definovány žádné názvy hostitelů. Z tohoto důvodu potřebujeme vytvořit vlastní sondu stavu, která je nakonfigurovaná se správným názvem vlastní domény jako názvem hostitele.

Připojíme se k back-endu pomocí protokolu HTTPS.

  1. V části Nastavení HTTP vyberte existující nastavení HTTP nebo přidejte nové.
  2. Při vytváření nového nastavení HTTP ho pojmenujte.
  3. Jako požadovaný back-endový protokol vyberte HTTPS pomocí portu 443.
  4. Pokud je certifikát podepsaný známou autoritou, jako "Certifikát dobře známé certifikační autority uživatele" vyberte Ano. Případně můžete přidat ověřování nebo důvěryhodné kořenové certifikáty back-endových serverů.
  5. Ujistěte se, že jste nastavili možnost Přepsat novým názvem hostitele na Ne.
  6. V rozevíracím seznamu vyberte vlastní sondu stavu HTTPS pro vlastní sondu.

Konfigurace nastavení H T T P pro použití vlastní domény k back-endu služby App Service pomocí bez přepsání

Konfigurace naslouchacího procesu HTTP

Abychom mohli přijímat provoz, musíme nakonfigurovat naslouchací proces. Další informace o této konfiguraci najdete v tématu Konfigurace naslouchacího procesu služby Application Gateway.

  1. Otevřete část Naslouchací procesy a zvolte Přidat naslouchací proces nebo klikněte na existující naslouchací proces, který chcete upravit.
  2. Pro nový naslouchací proces: pojmenujte ho
  3. V části Front-endová IP adresa vyberte IP adresu, na které chcete naslouchat.
  4. V části Port vyberte 443.
  5. V části Protokol vyberte HTTPS.
  6. V části Zvolit certifikát vyberte Zvolit certifikát ze služby Key Vault. Další informace najdete v tématu Použití služby Key Vault , kde najdete další informace o tom, jak přiřadit spravovanou identitu a poskytnout jí práva ke službě Key Vault.
    1. Zadejte název certifikátu.
    2. Výběr spravované identity
    3. Vyberte službu Key Vault, ze které se má certifikát získat.
    4. Výběr certifikátu
  7. V části Typ naslouchacího procesu vyberte Základní.
  8. Kliknutím na Přidat přidáte naslouchací proces.

Přidání naslouchacího procesu pro provoz H T T P S

Konfigurace pravidla směrování požadavků

Pomocí dříve nakonfigurovaného back-endového fondu a nastavení HTTP je možné nastavit pravidlo směrování požadavků tak, aby přebít provoz z naslouchacího procesu a směroval ho do back-endového fondu pomocí nastavení HTTP. Ujistěte se, že máte k dispozici naslouchací proces HTTP nebo HTTPS, který ještě není svázán s existujícím pravidlem směrování.

  1. V části Pravidla kliknutím přidejte nové pravidlo směrování požadavku.
  2. Zadejte pravidlo s názvem.
  3. Vyberte naslouchací proces HTTP nebo HTTPS, který ještě není svázaný s existujícím pravidlem směrování.
  4. V části Cíle back-endu zvolte back-endový fond, ve kterém je služba App Service nakonfigurovaná.
  5. Nakonfigurujte nastavení HTTP, pomocí kterého se má služba Application Gateway připojit k back-endu služby App Service.
  6. Výběrem možnosti Přidat uložte tuto konfiguraci.

Přidání nového pravidla směrování z naslouchacího procesu do back-endového fondu služby App Service pomocí nakonfigurovaného nastavení H T T P

Testování

Než to uděláme, ujistěte se, že se stav back-endu zobrazuje jako v pořádku:

Otevřete část Stav back-endu a ujistěte se, že sloupec Stav označuje kombinaci nastavení HTTP a back-endového fondu jako V pořádku.

Kontrola stavu back-endu na webu Azure Portal

Teď přejděte k webové aplikaci pomocí vlastní domény, kterou jste přidružili ke službě Application Gateway i app Service v back-endu.

Omezení přístupu

Webové aplikace nasazené v těchto příkladech používají veřejné IP adresy, ke kterým je možné přistupovat přímo z internetu. To vám pomůže při řešení potíží, když se seznámíte s novou funkcí a zkoušíte nové věci. Pokud ale chcete nasadit funkci do produkčního prostředí, budete chtít přidat další omezení. Zvažte následující možnosti:

  • Nakonfigurujte pravidla omezení přístupu na základě koncových bodů služby. To vám umožní uzamknout příchozí přístup k aplikaci a ujistit se, že zdrojová adresa pochází ze služby Application Gateway.
  • Použijte omezení statické IP adresy služby Aplikace Azure. Webovou aplikaci můžete například omezit tak, aby přijímala pouze provoz ze služby Application Gateway. Pomocí funkce omezení IP adres služby App Service vypíšete virtuální IP adresu služby Application Gateway jako jedinou adresu s přístupem.