Kurz: Konfigurace Application Gateway s ukončením protokolu TLS pomocí Azure Portal

  • Článek

Azure Portal můžete použít ke konfiguraci aplikační brány s certifikátem pro ukončení protokolu TLS, který pro back-endové servery používá virtuální počítače.

V tomto kurzu se naučíte:

  • Vytvoření certifikátu podepsaného svým držitelem (self-signed certificate)
  • Vytvořit aplikační bránu s certifikátem
  • Vytvoření virtuálních počítačů používaných jako back-endové servery
  • Otestování aplikační brány

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Poznámka

K interakci s Azure doporučujeme použít modul Azure Az PowerShell. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Předpoklady

  • Předplatné Azure

Vytvoření certifikátu podepsaného svým držitelem (self-signed certificate)

V této části použijete New-SelfSignedCertificate k vytvoření certifikátu podepsaného svým držitelem. Certifikát nahrajete do Azure Portal při vytváření naslouchacího procesu pro aplikační bránu.

V místním počítači otevřete okno Windows PowerShell jako správce. Spuštěním následujícího příkazu vytvořte certifikát:

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

Měla by se zobrazit podobná tato odpověď:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

K exportu souboru pfx z certifikátu použijte příkaz Export-PfxCertificate s vráceným kryptografickým otiskem. Podporované algoritmy PFX jsou uvedené ve funkci PFXImportCertStore. Ujistěte se, že vaše heslo má délku 4 až 12 znaků:

$pwd = ConvertTo-SecureString -String <your password> -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Přihlášení k Azure

Přihlaste se k webu Azure Portal.

Vytvoření brány Application Gateway

  1. V nabídce Azure Portal vyberte + Vytvořit prostředek>Sítě>Application Gateway nebo vyhledejte Application Gateway do vyhledávacího pole portálu.

  2. Vyberte Vytvořit.

Karta Základní informace

  1. Na kartě Základy zadejte nebo vyberte tyto hodnoty:

    • Skupina prostředků: Jako skupinu prostředků vyberte myResourceGroupAG . Pokud neexistuje, vyberte Vytvořit nový a vytvořte ho.

    • Název aplikační brány: Jako název aplikační brány zadejte myAppGateway .

      Vytvoření nové aplikační brány: Základy

  2. Aby azure mohlo komunikovat mezi prostředky, které vytvoříte, potřebuje virtuální síť. Můžete vytvořit novou virtuální síť nebo použít existující. V tomto příkladu vytvoříte novou virtuální síť současně s vytvořením aplikační brány. Application Gateway instance se vytvářejí v samostatných podsítích. V tomto příkladu vytvoříte dvě podsítě: jednu pro aplikační bránu a druhou pro back-endové servery.

    V části Konfigurovat virtuální síť vytvořte novou virtuální síť výběrem možnosti Vytvořit novou. V okně Vytvořit virtuální síť , které se otevře, zadejte následující hodnoty pro vytvoření virtuální sítě a dvou podsítí:

    • Název: Jako název virtuální sítě zadejte myVNet .

    • Název podsítě (Application Gateway podsíť): V mřížce Podsítě se zobrazí podsíť s názvem Výchozí. Změňte název této podsítě na myAGSubnet.
      Podsíť aplikační brány může obsahovat pouze aplikační brány. Nejsou povoleny žádné další prostředky.

    • Název podsítě (podsíť back-endového serveru): Do druhého řádku mřížky Podsítě zadejte myBackendSubnet do sloupce Název podsítě .

    • Rozsah adres (podsíť back-endového serveru): Do druhého řádku mřížky podsítí zadejte rozsah adres, který se nepřekrývá s rozsahem adres podsítě myAGSubnet. Pokud je například rozsah adres podsítě myAGSubnet 10.0.0.0/24, jako rozsah adres podsítě myBackendSubnet zadejte 10.0.1.0/24.

    Výběrem OKzavřete okno Vytvořit virtuální síť a uložte nastavení virtuální sítě.

    Vytvoření nové aplikační brány: virtuální síť

  3. Na kartě Základy přijměte výchozí hodnoty pro ostatní nastavení a pak vyberte Další: Front-endy.

Karta Front-endy

  1. Na kartě Front-endy ověřte, že typ IP adresy front-endu je nastavený na Veřejné.
    Podle vašeho případu použití můžete nakonfigurovat ip adresu front-endu tak, aby byla veřejná nebo privátní. V tomto příkladu zvolíte veřejnou front-endovou IP adresu.

    Poznámka

    Pro skladovou položku Application Gateway v2 můžete zvolit pouze konfiguraci veřejné front-endové IP adresy. Konfigurace privátních front-endových IP adres není pro tuto skladovou položku v2 aktuálně povolená.

  2. V části Veřejná IP adresa zvolte Přidat novou, jako název veřejné IP adresy zadejte myAGPublicIPAddress a pak vyberte OK.

    Vytvoření nové aplikační brány: front-endy

  3. Vyberte Další: Back-endy.

Karta Back-endy

Back-endový fond se používá ke směrování požadavků na back-endové servery, které požadavek obsluhují. Back-endové fondy se můžou skládat z síťových karet, škálovacích sad virtuálních počítačů, veřejných IP adres, interních IP adres, plně kvalifikovaných názvů domén (FQDN) a back-endů s více tenanty, jako jsou Azure App Service. V tomto příkladu vytvoříte se službou Application Gateway prázdný back-endový fond a pak do back-endového fondu přidáte cíle back-endu.

  1. Na kartě Back-endy vyberte Přidat back-endový fond.

  2. V okně Přidat back-endový fond , které se otevře, zadejte následující hodnoty pro vytvoření prázdného back-endového fondu:

    • Název: Jako název back-endového fondu zadejte myBackendPool .
    • Přidat back-endový fond bez cílů: Pokud chcete vytvořit back-endový fond bez cílů, vyberte Ano . Cíle back-endu přidáte po vytvoření aplikační brány.

  3. V okně Přidat back-endový fond vyberte Přidat , uložte konfiguraci back-endového fondu a vraťte se na kartu Back-endy .

    Vytvoření nové aplikační brány: back-endy

  4. Na kartě Back-endy vyberte Další: Konfigurace.

Karta Konfigurace

Na kartě Konfigurace připojíte front-endový a back-endový fond, který jste vytvořili pomocí pravidla směrování.

  1. Ve sloupci Pravidlasměrování vyberte Přidat pravidlo směrování.

  2. V okně Přidat pravidlo směrování, které se otevře, jako název pravidla zadejte myRoutingRule.

  3. Pravidlo směrování vyžaduje naslouchací proces. Na kartě Naslouchací proces v okně Přidat pravidlo směrování zadejte následující hodnoty pro naslouchací proces:

    • Název naslouchacího procesu: Jako název naslouchacího procesu zadejte myListener .
    • IP adresa front-endu: Vyberte Veřejná a zvolte veřejnou IP adresu, kterou jste vytvořili pro front-end.
    • Protokol: Vyberte HTTPS.
    • Port: Ověřte, že je pro port zadaný kód 443.

    V části Nastavení HTTPS:

    • Zvolte certifikát – Vyberte Nahrát certifikát.

    • Soubor certifikátu PFX – Vyhledejte a vyberte soubor c:\appgwcert.pfx, který jste vytvořili dříve.

    • Název certifikátu – jako název certifikátu zadejte mycert1 .

    • Heslo – zadejte heslo, které jste použili k vytvoření certifikátu.

      Přijměte výchozí hodnoty pro ostatní nastavení na kartě Naslouchací proces a pak vyberte kartu Cíle back-endu a nakonfigurujte zbytek pravidla směrování.

    Vytvoření nové aplikační brány: naslouchací proces

  4. Na kartě Cíle back-endu vyberte myBackendPool jako cíl back-endu.

  5. Pro nastavení HTTP vyberte Přidat nový a vytvořte nové nastavení HTTP. Nastavení HTTP určuje chování pravidla směrování. V okně Přidat nastavení HTTP, které se otevře, jako název nastavení HTTP zadejte myHTTPSetting. Přijměte výchozí hodnoty pro ostatní nastavení v okně Přidat nastavení HTTP a pak se výběrem možnosti Přidat vraťte do okna Přidat pravidlo směrování .

    Snímek obrazovky s přidáním nastavení H T T P z karty Konfigurace v okně Vytvořit nový Application Gateway

  6. V okně Přidat pravidlo směrování vyberte Přidat , aby se pravidlo směrování uložilo a vrátilo se na kartu Konfigurace .

    Vytvoření nové aplikační brány: pravidlo směrování

  7. Vyberte Další: Značky a pak Další: Zkontrolovat a vytvořit.

Karta Zkontrolovat a vytvořit

Zkontrolujte nastavení na kartě Zkontrolovat a vytvořit a pak výběrem možnosti Vytvořit vytvořte virtuální síť, veřejnou IP adresu a službu Application Gateway. Vytvoření aplikační brány může Azure trvat několik minut. Počkejte, až se nasazení úspěšně dokončí, a teprve pak přejděte k další části.

Přidání cílů back-endu

V tomto příkladu použijete jako cílový back-end virtuální počítače. Můžete buď použít existující virtuální počítače, nebo vytvořit nové. Vytvoříte dva virtuální počítače, které Azure používá jako back-endové servery pro aplikační bránu.

Uděláte to takto:

  1. Vytvořte dva nové virtuální počítače , myVM a myVM2, které se použijí jako back-endové servery.
  2. Nainstalujte na virtuální počítače službu IIS a ověřte, že se aplikační brána úspěšně vytvořila.
  3. Přidejte back-endové servery do back-endového fondu.

Vytvoření virtuálního počítače

  1. V nabídce Azure Portal vyberte + Vytvořit prostředek>Compute>Windows Server 2016 Datacenter nebo vyhledejte Windows Server ve vyhledávacím poli portálu a vyberte Windows Server 2016 Datacenter.

  2. Vyberte Vytvořit.

    Application Gateway může směrovat provoz na jakýkoli typ virtuálního počítače, který se používá v jeho back-endovém fondu. V tomto příkladu použijete Windows Server 2016 Datacenter.

  3. Na kartě Základy zadejte tyto hodnoty pro následující nastavení virtuálního počítače:

    • Skupina prostředků: Jako název skupiny prostředků vyberte myResourceGroupAG .
    • Název virtuálního počítače: Jako název virtuálního počítače zadejte myVM .
    • Uživatelské jméno: Zadejte uživatelské jméno správce.
    • Heslo: Zadejte heslo k účtu správce.

  4. Přijměte ostatní výchozí hodnoty a pak vyberte Další: Disky.

  5. Přijměte výchozí hodnoty karty Disky a pak vyberte Další: Sítě.

  6. Na kartě Sítě ověřte, že je pro virtuální síť vybraná možnost myVNet a že je podsíť nastavená na myBackendSubnet. Přijměte ostatní výchozí hodnoty a pak vyberte Další: Správa.

    Application Gateway může komunikovat s instancemi mimo virtuální síť, ve které se nachází, ale musíte zajistit připojení IP.

  7. Na kartě Správa nastavte Možnost Diagnostika spouštění na Zakázat. Přijměte ostatní výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

  8. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení, opravte případné chyby ověřování a pak vyberte Vytvořit.

  9. Než budete pokračovat, počkejte, dokud nasazování neskončí.

Instalace služby IIS pro testování

V tomto příkladu nainstalujete službu IIS na virtuální počítače, abyste ověřili, že Služba Azure úspěšně vytvořila aplikační bránu.

  1. Otevřete Azure PowerShell. Uděláte to tak, že v horním navigačním panelu Azure Portal vyberete Cloud Shell a v rozevíracím seznamu vyberete PowerShell.

    Instalace vlastního rozšíření

  2. Změňte nastavení umístění pro vaše prostředí a spuštěním následujícího příkazu nainstalujte službu IIS na virtuální počítač:

           Set-AzVMExtension `
         -ResourceGroupName myResourceGroupAG `
         -ExtensionName IIS `
         -VMName myVM `
         -Publisher Microsoft.Compute `
         -ExtensionType CustomScriptExtension `
         -TypeHandlerVersion 1.4 `
         -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
         -Location <location>

  3. Vytvořte druhý virtuální počítač a pomocí kroků, které jste předtím provedli, nainstalujte službu IIS. Jako název virtuálního počítače použijte myVM2 a pro nastavení VMName rutiny Set-AzVMExtension .

Přidání back-endových serverů do back-endového fondu

  1. Vyberte Všechny prostředky a pak vyberte myAppGateway.

  2. V nabídce vlevo vyberte Back-endové fondy .

  3. Vyberte myBackendPool.

  4. V části Typ cíle vyberte v rozevíracím seznamu Virtuální počítač .

  5. V části Cíl vyberte v rozevíracím seznamu síťové rozhraní myVM .

  6. Opakováním přidejte síťové rozhraní pro myVM2.

    Přidání back-endových serverů

  7. Vyberte Uložit.

  8. Než přejdete k dalšímu kroku, počkejte na dokončení nasazení.

Otestování aplikační brány

  1. Vyberte Všechny prostředky a pak vyberte myAGPublicIPAddress.

    Záznam veřejné IP adresy aplikační brány

  2. Do adresního řádku prohlížeče zadejte https://< vaše ip adresa> služby Application Gateway.

    Pokud chcete přijmout upozornění zabezpečení, pokud jste použili certifikát podepsaný svým držitelem, vyberte Podrobnosti (nebo Upřesnit v Chromu) a pak přejděte na webovou stránku:

    Zabezpečené upozornění

    Potom se zobrazí váš zabezpečený web služby IIS, jak je znázorněno v následujícím příkladu:

    Testování základní adresy URL v aplikační bráně

Vyčištění prostředků

Pokud už je nepotřebujete, odstraňte skupinu prostředků a všechny související prostředky. Uděláte to tak, že vyberete skupinu prostředků a vyberete Odstranit skupinu prostředků.

Další kroky

V tomto kurzu jste:

  • Vytvoření certifikátu podepsaného svým držitelem
  • Vytvoření aplikační brány s certifikátem

Další informace o podpoře protokolu TLS Application Gateway najdete v tématu věnovaném koncovým protokolům TLS s Application Gateway a Application Gateway zásad protokolu TLS.

Pokud chcete zjistit, jak vytvořit a nakonfigurovat Application Gateway pro hostování více webů pomocí Azure Portal, přejděte k dalšímu kurzu.

Hostování několika webů