Sdílet prostřednictvím


Konfigurace služby App Service se službou Application Gateway

Azure Application Gateway umožňuje mít jako člena back-endového fondu aplikaci App Service nebo jinou víceklientovou službu. V tomto článku se dozvíte, jak nakonfigurovat aplikaci služby App Service se službou Application Gateway. Konfigurace služby Application Gateway se liší v závislosti na tom, jak je služba App Service přístupná:

  • První možnost využívá vlastní doménu ve službě Application Gateway i ve službě App Service v back-endu.
  • Druhou možností je, aby služba Application Gateway měla přístup ke službě App Service pomocí výchozí domény s příponou .azurewebsite.net.

Tato konfigurace se doporučuje pro scénáře na úrovni produkčního prostředí a splňuje postup, kdy se v toku požadavků nemění název hostitele. Abyste nemuseli spoléhat na výchozí doménu, musíte mít k dispozici vlastní doménu (a přidružený certifikát). Doména Azurewebsite.

Pro stejný název domény pro službu Application Gateway a App Service v back-endovém fondu není nutné, aby tok požadavků přepisoval název hostitele. Back-endová webová aplikace vidí původního hostitele, jak ho používal klient.

Přehled scénáře pro službu Application Gateway do app Service s použitím stejné vlastní domény pro oba

V tomto článku získáte informace o těchto tématech:

  • Konfigurace služby DNS
  • Přidání služby App Service jako back-endového fondu do služby Application Gateway
  • Konfigurace nastavení HTTP pro připojení ke službě App Service
  • Konfigurace naslouchacího procesu HTTP
  • Konfigurace pravidla směrování požadavků

Požadavky

Konfigurace DNS

V kontextu tohoto scénáře je DNS relevantní na dvou místech:

  • Název DNS, který uživatel nebo klient používá ke službě Application Gateway a co se zobrazuje v prohlížeči
  • Název DNS, který služba Application Gateway interně používá pro přístup ke službě App Service v back-endu

Přesměrujte uživatele nebo klienta do služby Application Gateway pomocí vlastní domény. Nastavte DNS pomocí aliasu CNAME odkazovaného na DNS pro Službu Application Gateway. Adresa DNS služby Application Gateway se zobrazuje na stránce přehledu přidružené veřejné IP adresy. Případně můžete vytvořit záznam A odkazující přímo na IP adresu. (U služby Application Gateway V1 se virtuální IP adresa může změnit, pokud službu zastavíte a spustíte, takže tato možnost není požadovaná.)

Služba App Service by měla být nakonfigurovaná tak, aby přijímala provoz ze služby Application Gateway pomocí vlastního názvu domény jako příchozího hostitele. Další informace o tom, jak namapovat vlastní doménu na službu App Service, najdete v kurzu: Mapování existujícího vlastního názvu DNS na službu Aplikace Azure Service k ověření domény vyžaduje App Service pouze přidání záznamu TXT. U CNAME nebo A-records se nevyžaduje žádná změna. Konfigurace DNS pro vlastní doménu zůstává směrovaná na službu Application Gateway.

Pokud chcete přijímat připojení ke službě App Service přes HTTPS, nakonfigurujte vazbu protokolu TLS. Další informace najdete v tématu Zabezpečení vlastního názvu DNS pomocí vazby TLS/SSL ve službě Azure App Service Configure App Service pro vyžádání certifikátu pro vlastní doménu ze služby Azure Key Vault.

Přidání služby App Service jako back-endový fond

  1. Na webu Azure Portal vyberte svou službu Application Gateway.

  2. V části Back-endové fondy vyberte back-endový fond.

  3. V části Typ cíle vyberte App Services.

  4. V části Cíl vyberte službu App Service.

    Back-end služby App Service

    Poznámka:

    Rozevírací seznam naplní jenom ty aplikační služby, které jsou ve stejném předplatném jako vaše aplikační brána. Pokud chcete použít službu App Service, která je v jiném předplatném než v jiném předplatném, než je služba Application Gateway, pak místo výběru služby App Services v rozevíracím seznamu Cíle zvolte IP adresu nebo název hostitele a zadejte název hostitele (example.azurewebsites.net) služby App Service. Pokud ve službě App Service používáte privátní koncové body, měli byste místo toho použít plně kvalifikovaný název domény nebo IP adresu privátního koncového bodu.

  5. Zvolte Uložit.

Úprava nastavení HTTP pro App Service

Vyžaduje se nastavení HTTP, které službě Application Gateway dává pokyn, aby přistupovala k back-endu služby App Service pomocí vlastního názvu domény. Nastavení HTTP ve výchozím nastavení používá výchozí sondu stavu. Přestože výchozí sondy stavu předávají požadavky s názvem hostitele, pod kterým se přijímá provoz, mohou sondy stavu k backendovému fondu používat jako název hostitele 127.0.0.1, jelikož nebyl explicitně definován žádný název hostitele. Z tohoto důvodu potřebujeme vytvořit vlastní sondu stavu, která je nakonfigurovaná se správným názvem vlastní domény jako názvem hostitele.

K back-endu se připojujeme pomocí protokolu HTTPS.

  1. V části Nastavení HTTP vyberte existující nastavení HTTP nebo přidejte nové.
  2. Při vytváření nového nastavení HTTP ho pojmenujte.
  3. Jako požadovaný back-endový protokol vyberte HTTPS pomocí portu 443.
  4. Pokud je certifikát podepsán dobře známou autoritou, vyberte "Ano" pro "Dobře známý uživatelský certifikát CA". Alternativně můžete přidat ověřovací nebo důvěryhodné kořenové certifikáty backendových serverů.
  5. Ujistěte se, že jste nastavili možnost Přepsat novým názvem hostitele na Ne.
  6. V rozevíracím seznamu vyberte možnost vlastní sondu stavu HTTPS pro "Vlastní sondu."

Konfigurace nastavení H T T P pro použití vlastní domény k back-endu služby App Service pomocí bez přepsání

Konfigurace naslouchacího procesu HTTP

Abychom mohli přijímat provoz, musíme nakonfigurovat posluchač. Další informace o naslouchacím procesu najdete v tématu Konfigurace naslouchacího procesu služby Application Gateway.

  1. Otevřete část Naslouchací procesy a zvolte Přidat naslouchací proces nebo vyberte existující, který chcete upravit.
  2. Pro nový naslouchací proces: pojmenujte ho
  3. V části Front-endová IP adresa vyberte IP adresu, na které chcete naslouchat.
  4. V části Port vyberte 443.
  5. V části Protokol vyberte HTTPS.
  6. V části Zvolit certifikát vyberte Zvolit certifikát ze služby Key Vault. Další informace najdete v tématu Použití služby Key Vault , kde najdete další informace o tom, jak přiřadit spravovanou identitu a poskytnout jí práva ke službě Key Vault.
    1. Zadejte název certifikátu.
    2. Výběr spravované identity
    3. Vyberte službu Key Vault, ze které se má certifikát získat.
    4. Výběr certifikátu
  7. V části "Typ posluchače" vyberte "Základní."
  8. Vyberte "Přidat" a přidejte posluchače.

Přidání naslouchacího procesu pro provoz H T T P S

Konfigurace pravidla směrování požadavků

Dříve nakonfigurovaný zpětný fond a nastavení HTTP mohou být použity k nastavení pravidla směrování požadavků tak, aby přesměroval provoz od posluchače do zpětného fondu prostřednictvím nastavení HTTP. Ujistěte se, že máte k dispozici naslouchač HTTP nebo HTTPS, který ještě není svázaný s existujícím pravidlem směrování.

  1. V části Pravidla vyberte, že chcete přidat nové pravidlo směrování požadavku.
  2. Zadejte pravidlo s názvem.
  3. Vyberte posluchač HTTP nebo HTTPS, který ještě není svázán s existujícím pravidlem směrování.
  4. V části Cíle back-endu zvolte back-endový fond, ve kterém je služba App Service nakonfigurovaná.
  5. Nakonfigurujte nastavení HTTP, pomocí kterého se má služba Application Gateway připojit k back-endu služby App Service.
  6. Výběrem možnosti Přidat uložte tuto konfiguraci.

Přidání nového pravidla směrování z naslouchacího procesu do back-endového fondu služby App Service pomocí nakonfigurovaného nastavení H T T P

Testování

Než to uděláme, ujistěte se, že se stav back-endu zobrazuje jako v pořádku:

Otevřete část Stav back-endu a ujistěte se, že sloupec Stav označuje kombinaci nastavení HTTP a back-endového fondu jako V pořádku.

Kontrola stavu back-endu na webu Azure Portal

Teď přejděte k webové aplikaci pomocí vlastní domény, kterou jste přidružili ke službě Application Gateway i app Service v back-endu.

Omezení přístupu

Webové aplikace nasazené v těchto příkladech používají veřejné IP adresy, ke kterým je možné přistupovat přímo z internetu. To vám pomůže při řešení potíží, když se seznámíte s novou funkcí a zkoušíte nové věci. Pokud ale máte v úmyslu nasadit funkci do produkčního prostředí, chcete přidat další omezení. Zvažte následující možnosti:

  • Nakonfigurujte pravidla omezení přístupu na základě koncových bodů služby. To vám umožní uzamknout příchozí přístup k aplikaci a ujistit se, že zdrojová adresa pochází ze služby Application Gateway.
  • Použijte omezení statické IP adresy služby Aplikace Azure. Webovou aplikaci můžete například omezit tak, aby přijímala pouze provoz ze služby Application Gateway. Pomocí funkce omezení IP adres služby App Service vypíšete virtuální IP adresu služby Application Gateway jako jedinou adresu s přístupem.