Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento dokument vám pomůže nastavit ukázkovou aplikaci, která používá následující prostředky z rozhraní API brány. Jsou poskytovány kroky pro:
- Vytvořte prostředek Gateway s jedním HTTPS listenerem.
- Vytvořte httpRoute , který odkazuje na back-endovou službu.
Background
Application Gateway pro kontejnery umožňuje kompletní tls pro lepší ochranu osobních údajů a zabezpečení. V tomto návrhu se provoz mezi klientem a front-endem služby Application Gateway for Containers šifruje a přenosy dat směrované ze služby Application Gateway pro kontejnery do back-endového cíle se zašifrují. Podívejte se na následující ukázkový scénář:
Prerequisites
Pokud se řídíte strategií nasazení BYO, ujistěte se, že jste nakonfigurovali prostředky Application Gateway pro kontejnery a kontroler ALB.
Pokud se řídíte ALB řízenou strategií nasazení, ujistěte se, že prostřednictvím vlastního prostředku ApplicationLoadBalancer zřídíte ALB Controller a službu Application Gateway for Containers.
Nasadit ukázkovou HTTPS aplikaci Použijte následující soubor deployment.yaml ve vašem clusteru k vytvoření ukázkové webové aplikace, která demonstruje odlehčení zpracování TLS/SSL.
kubectl apply -f https://raw.githubusercontent.com/MicrosoftDocs/azure-docs/refs/heads/main/articles/application-gateway/for-containers/examples/https-scenario/end-to-end-tls/deployment.yamlTento příkaz vytvoří v clusteru následující:
- jmenný prostor nazvaný
test-infra - jedna služba nazvaná
https-appv oboru názvůtest-infra - jedno nasazení nazvané
https-appvtest-infraoboru názvů - jeden ConfigMap nazvaný
https-app-cmvtest-infranamespace - jeden tajemství nazývaný
contoso.comvtest-infrajmenném prostoru - jeden tajemství nazývaný
contoso.xyzvtest-infrajmenném prostoru
- jmenný prostor nazvaný
Nasadit požadované prostředky rozhraní Gateway API
Vytvoření brány
kubectl apply -f - <<EOF apiVersion: gateway.networking.k8s.io/v1 kind: Gateway metadata: name: gateway-01 namespace: test-infra annotations: alb.networking.azure.io/alb-namespace: alb-test-infra alb.networking.azure.io/alb-name: alb-test spec: gatewayClassName: azure-alb-external listeners: - name: https-listener port: 443 protocol: HTTPS allowedRoutes: namespaces: from: Same tls: mode: Terminate certificateRefs: - kind : Secret group: "" name: contoso.com EOF
Note
Když kontroler ALB vytvoří prostředky Application Gateway pro kontejnery v Azure Resource Manageru, použije pro front-endový prostředek následující zásady vytváření názvů: fe-<eight randomly generated characters>
Pokud chcete změnit název front-endového prostředku vytvořeného v Azure, zvažte použití vlastní strategie nasazení.
Po vytvoření prostředku brány se ujistěte, že je stav platný, naslouchací proces se naprogramuje a bráně se přiřadí adresa.
kubectl get gateway gateway-01 -n test-infra -o yaml
Příklad výstupu úspěšného vytvoření brány
status:
addresses:
- type: Hostname
value: xxxx.yyyy.alb.azure.com
conditions:
- lastTransitionTime: "2023-06-19T21:04:55Z"
message: Valid Gateway
observedGeneration: 1
reason: Accepted
status: "True"
type: Accepted
- lastTransitionTime: "2023-06-19T21:04:55Z"
message: Application Gateway For Containers resource has been successfully updated.
observedGeneration: 1
reason: Programmed
status: "True"
type: Programmed
listeners:
- attachedRoutes: 0
conditions:
- lastTransitionTime: "2023-06-19T21:04:55Z"
message: ""
observedGeneration: 1
reason: ResolvedRefs
status: "True"
type: ResolvedRefs
- lastTransitionTime: "2023-06-19T21:04:55Z"
message: Listener is accepted
observedGeneration: 1
reason: Accepted
status: "True"
type: Accepted
- lastTransitionTime: "2023-06-19T21:04:55Z"
message: Application Gateway For Containers resource has been successfully updated.
observedGeneration: 1
reason: Programmed
status: "True"
type: Programmed
name: https-listener
supportedKinds:
- group: gateway.networking.k8s.io
kind: HTTPRoute
Po vytvoření brány vytvořte prostředek HTTPRoute.
kubectl apply -f - <<EOF
apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
name: https-route
namespace: test-infra
spec:
parentRefs:
- name: gateway-01
rules:
- backendRefs:
- name: https-app
port: 443
EOF
Po vytvoření prostředku HTTPRoute se ujistěte, že je trasa Přijata a prostředek Application Gateway pro kontejnery je naprogramován.
kubectl get httproute https-route -n test-infra -o yaml
Ověřte, že se prostředek Application Gateway for Containers úspěšně aktualizoval.
status:
parents:
- conditions:
- lastTransitionTime: "2023-06-19T22:18:23Z"
message: ""
observedGeneration: 1
reason: ResolvedRefs
status: "True"
type: ResolvedRefs
- lastTransitionTime: "2023-06-19T22:18:23Z"
message: Route is Accepted
observedGeneration: 1
reason: Accepted
status: "True"
type: Accepted
- lastTransitionTime: "2023-06-19T22:18:23Z"
message: Application Gateway For Containers resource has been successfully updated.
observedGeneration: 1
reason: Programmed
status: "True"
type: Programmed
controllerName: alb.networking.azure.io/alb-controller
parentRef:
group: gateway.networking.k8s.io
kind: Gateway
name: gateway-01
namespace: test-infra
Vytvořit BackendTLSPolicy
kubectl apply -f - <<EOF
apiVersion: alb.networking.azure.io/v1
kind: BackendTLSPolicy
metadata:
name: https-app-tls-policy
namespace: test-infra
spec:
targetRef:
group: ""
kind: Service
name: https-app
namespace: test-infra
default:
sni: contoso.xyz
ports:
- port: 443
EOF
Po vytvoření objektu BackendTLSPolicy zkontrolujte stav objektu a ujistěte se, že je zásada platná:
kubectl get backendtlspolicy -n test-infra https-app-tls-policy -o yaml
Příklad výstupu platného vytvoření objektu BackendTLSPolicy:
status:
conditions:
- lastTransitionTime: "2023-06-29T16:54:42Z"
message: Valid BackendTLSPolicy
observedGeneration: 1
reason: Accepted
status: "True"
type: Accepted
Otestování přístupu k aplikaci
Nyní jsme připraveni směrovat provoz do naší ukázkové aplikace prostřednictvím plně kvalifikovaného názvu domény přiřazeného k frontendu. K získání plně kvalifikovaného názvu domény použijte následující příkaz.
fqdn=$(kubectl get gateway gateway-01 -n test-infra -o jsonpath='{.status.addresses[0].value}')
Curling tohoto FQDN by měl vracet odpovědi z back-endu, jak je nakonfigurováno na HTTPRoute.
fqdnIp=$(dig +short $fqdn)
curl -k --resolve contoso.com:443:$fqdnIp https://contoso.com --insecure
Měl by existovat následující výsledek:
Hello world!
Blahopřejeme, nainstalovali jste kontroler ALB, nasadili back-endovou aplikaci a směrovali provoz do aplikace prostřednictvím příchozího přenosu dat ve službě Application Gateway for Containers.