Konfigurace služby Application Gateway s veřejnou IPv6 adresou front-endu pomocí webu Azure Portal

  • Článek

Aplikace Azure Gateway podporuje připojení front-endu duálního zásobníku (IPv4 a IPv6) z klientů. Pokud chcete používat připojení front-endu IPv6, musíte vytvořit novou službu Application Gateway. V současné době nemůžete upgradovat stávající protokolY IPv4 pouze služby Application Gateway na duální zásobník (IPv4 a IPv6) služby Application Gateway. V současné době se také nepodporují adresy IPv6 back-endu.

V tomto článku pomocí webu Azure Portal vytvoříte bránu Aplikace Azure IPv6 a otestujete ji, abyste měli jistotu, že funguje správně. Přiřadíte naslouchací procesy k portům, vytvoříte pravidla a přidáte prostředky do back-endového fondu. Kvůli jednoduchosti se jednoduché nastavení používá se dvěma veřejnými front-endovými IP adresami (IPv4 a IPv6), základním naslouchacím procesem pro hostování jedné lokality ve službě Application Gateway, základním pravidlem směrování požadavků a dvěma virtuálními počítači v back-endovém fondu.

Pokud chcete podporovat připojení IPv6, musíte vytvořit virtuální síť se dvěma zásobníky. Tato virtuální síť se dvěma zásobníky má podsítě pro IPv4 i IPv6. Virtuální sítě Azure již poskytují možnosti duálního zásobníku.

Další informace o komponentách aplikační brány najdete v tématu Komponenty služby Application Gateway.

Přehled

Azure Portal slouží k vytvoření brány Aplikace Azure IPv6. Testování se provádí a ověří, jestli funguje správně.

Získáte informace pro:

Tento rychlý start můžete dokončit také pomocí Azure PowerShellu.

Oblasti a dostupnost

Služba Application Gateway IPv6 je dostupná pro všechny oblasti veřejného cloudu, ve kterých je podporovaná skladová položka služby Application Gateway v2. Je také k dispozici v Microsoft Azure provozovaném společností 21Vianet a Azure Government.

Omezení

  • Pouze skladová položka v2 podporuje front-end s adresami IPv4 i IPv6.
  • Back-endy IPv6 se v současné době nepodporují.
  • Privátní propojení IPv6 se v současné době nepodporuje.
  • Služba Application Gateway pouze s protokolem IPv6 se v současné době nepodporuje. Application Gateway musí být duální zásobník (IPv6 a IPv4).
  • Kontroler příchozího přenosu dat služby Application Gateway (AGIC) nepodporuje konfiguraci protokolu IPv6
  • Stávající aplikační brány IPv4 se nedají upgradovat na služby Application Gateway se dvěma zásobníky.
  • Vlastní pravidla WAF s podmínkou shody IPv6 se v současné době nepodporují.

Požadavky

Vyžaduje se účet Azure s aktivním předplatným. Pokud ještě účet nemáte, můžete si ho zdarma vytvořit.

Přihlaste se k webu Azure Portal pomocí svého účtu Azure.

Vytvoření brány Application Gateway

Vytvořte aplikační bránu pomocí karet na stránce Vytvořit aplikační bránu.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.
  2. V části Kategorie vyberte Sítě a pak v seznamu oblíbených služeb Azure vyberte Application Gateway.

Karta Základní informace

  1. Na kartě Základy zadejte následující hodnoty pro nastavení služby Application Gateway:

    • Předplatné: Vyberte předplatné. Například _mysubscription.

    • Skupina prostředků: Vyberte skupinu prostředků. Pokud neexistuje, vyberte Vytvořit nový a vytvořte ho. Například myresourcegroupAG.

    • Název aplikační brány: Zadejte název aplikační brány. Například myappgw.

    • Typ IP adresy: Vyberte duální zásobník (IPv4 a IPv6).

      Snímek obrazovky s vytvořením nové aplikační brány: Základy

  2. Konfigurace virtuální sítě: Aby Azure komunikovali mezi prostředky, které vytvoříte, je potřeba virtuální síť se dvěma zásobníky. Můžete buď vytvořit novou virtuální síť se dvěma zásobníky, nebo zvolit existující síť se dvěma zásobníky. V tomto příkladu vytvoříte novou virtuální síť se dvěma zásobníky současně, ve které vytvoříte aplikační bránu.

    Instance služby Application Gateway se vytvářejí v samostatných podsítích. V tomto příkladu se vytvoří jedna podsíť se dvěma zásobníky a jedna jenom IPv4: Podsítě IPv4 a IPv6 (zřízené jako jedna podsíť se dvěma zásobníky) se přiřazují k aplikační bráně. Podsíť IPv4 je určená pro back-endové servery.

    Poznámka:

    Zásady koncového bodu služby virtuální sítě se v současné době nepodporují v podsíti služby Application Gateway. V části Konfigurovat virtuální síť vytvořte novou virtuální síť výběrem možnosti Vytvořit novou. V podokně Vytvořit virtuální síť zadejte následující hodnoty a vytvořte virtuální síť a dvě podsítě:

    • Název: Zadejte název virtuální sítě. Například myVNet.
    • Název podsítě (podsíť služby Application Gateway): Mřížka podsítí zobrazuje výchozí podsíť. Změňte název této podsítě na myAGSubnet.
    • Rozsah adres – výchozí rozsahy adres IPv4 pro virtuální síť a podsíť jsou 10.0.0.0/16 a 10.0.0.0/24. Výchozí rozsahy adres IPv6 pro virtuální síť a podsíť jsou ace:cab:deca::/48 a ace:cab:deca::/64. Pokud se zobrazí jiné výchozí hodnoty, můžete mít existující podsíť, která se s těmito rozsahy překrývají.

    Snímek obrazovky s vytvořením nové aplikační brány: virtuální síť

    Poznámka:

    Podsíť aplikační brány může obsahovat pouze aplikační brány. Nejsou povoleny žádné další prostředky.

    Výběrem možnosti OK zavřete okno Vytvořit virtuální síť a uložte nové nastavení virtuální sítě a podsítě.

  3. Vyberte Další: Front-endy.

Karta Front-endy

  1. Na kartě Front-endy ověřte, že je typ IP adresy front-endu nastavený na Veřejný.

    Důležité

    Pro skladovou položku Application Gateway v2 musí existovat konfigurace veřejné front-endové IP adresy. Pro službu Application Gateway IPv6 se v současné době nepodporuje konfigurace privátní ip adresy IPv6 (pouze režim interního nástroje pro vyrovnávání zatížení).

  2. Vyberte Přidat nový pro veřejnou IP adresu, zadejte název veřejné IP adresy a vyberte OK. Například myAGPublicIPAddress.

    Snímek obrazovky s vytvořením nové aplikační brány: front-endy

    Poznámka:

    IPv6 Application Gateway podporuje až 4 front-endové IP adresy: dvě IPv4 adresy (veřejné a privátní) a dvě IPv6 adresy (veřejné a privátní)

  3. Vyberte Další: Back-endy.

Karta Back-endy

Back-endový fond se používá ke směrování požadavků na back-endové servery, které požadavek obsluhují. Back-endové fondy se dají skládat z síťových karet, škálovacích sad virtuálních počítačů, veřejných IP adres, interních IP adres, plně kvalifikovaných názvů domén (FQDN) a back-endů s více tenanty, jako je Aplikace Azure Service. V tomto příkladu vytvoříte prázdný back-endový fond se službou Application Gateway a pak přidáte cíle back-endu do back-endového fondu.

  1. Na kartě Back-endy vyberte Přidat back-endový fond.

  2. V podokně Přidat back-endový fond zadejte následující hodnoty pro vytvoření prázdného back-endového fondu:

    • Název: Zadejte název back-endového fondu. Například myBackendPool.
    • Přidání back-endového fondu bez cílů: Výběrem možnosti Ano vytvořte back-endový fond bez cílů. Cíle back-endu se přidají po vytvoření aplikační brány.

  3. Výběrem možnosti Přidat uložte konfiguraci back-endového fondu a vraťte se na kartu Back-endy .

    Snímek obrazovky s vytvořením nové aplikační brány: back-endy

  4. Na kartě Back-endy vyberte Další: Konfigurace.

Karta konfigurace

Na kartě Konfigurace jsou front-endový a back-endový fond připojeny k pravidlu směrování.

  1. V části Pravidla směrování vyberte Přidat pravidlo směrování.

  2. V podokně Přidat pravidlo směrování zadejte následující hodnoty:

    • Název pravidla: Zadejte název pravidla. Například myRoutingRule.
    • Priorita: Zadejte hodnotu mezi 1 a 20000, kde 1 představuje nejvyšší prioritu a 20000 představuje nejnižší. Zadejte například prioritu 100.

  3. Pravidlo směrování vyžaduje naslouchací proces. Na kartě Naslouchací proces zadejte následující hodnoty:

    • Název naslouchacího procesu: Zadejte název naslouchacího procesu. Například myListener.

    • Front-endová IP adresa: Vyberte veřejný protokol IPv6.

      Přijměte výchozí hodnoty pro ostatní nastavení na kartě Naslouchací proces a pak vyberte kartu Cíle back-endu.

    Snímek obrazovky s vytvořením nové aplikační brány: naslouchací proces

  4. Na kartě Cíle back-endu vyberte back-endový fond pro cíl back-endu. Například myBackendPool.

  5. U nastavení Back-endu vyberte Přidat nový. Nastavení back-endu určuje chování pravidla směrování. V podokně nastavení Přidat back-end zadejte název nastavení back-endu. Například myBackendSetting.

  6. Přijměte výchozí hodnoty pro jiná nastavení a pak vyberte Přidat.

    Snímek obrazovky s vytvořením nové aplikační brány: nastavení back-endu

  7. V podokně Přidat pravidlo směrování vyberte Přidat, chcete-li pravidlo směrování uložit, a vraťte se na kartu Konfigurace.

    Snímek obrazovky s vytvořením nové aplikační brány: pravidlo směrování

  8. Vyberte Další: Značky, vyberte Další: Zkontrolovat a vytvořit a pak vyberte Vytvořit. Nasazení aplikační brány trvá několik minut.

Přiřazení názvu DNS k adrese IPv6 front-endu

Název DNS usnadňuje testování aplikační brány IPv6. Veřejný název DNS můžete přiřadit pomocí vlastní domény a registrátora nebo můžete vytvořit název v azure.com. Přiřazení názvu v azure.com:

  1. Na domovské stránce webu Azure Portal vyhledejte veřejné IP adresy.

  2. Vyberte MyAGPublicIPv6Address.

  3. V části Nastavení vyberte Konfigurace.

  4. V části Popisek názvu DNS (volitelné) zadejte název. Například myipv6appgw.

  5. Zvolte Uložit.

  6. Zkopírujte plně kvalifikovaný název domény do textového editoru pro pozdější přístup. V následujícím příkladu je plně kvalifikovaný název domény myipv6appgw.westcentralus.cloudapp.azure.com.

    Snímek obrazovky s přiřazením názvu DNS

Přidání back-endové podsítě

Pro cíle back-endu se vyžaduje podsíť IPv4 back-endu. Back-endová podsíť je jenom IPv4.

  1. Na domovské stránce portálu vyhledejte virtuální sítě a vyberte virtuální síť MyVNet .

  2. Vedle adresního prostoru vyberte 10.0.0.0/16.

  3. V části Nastavení vyberte Podsítě.

  4. Vyberte + Podsíť a přidejte novou podsíť .

  5. V části Název zadejte MyBackendSubnet.

  6. Výchozí adresní prostor je 10.0.1.0/24. Chcete-li tuto možnost přijmout, vyberte uložit a všechna ostatní výchozí nastavení.

    Vytvoření back-endové podsítě

Přidání back-endových cílů

Dále se přidá back-endový cíl pro otestování aplikační brány:

  1. Vytvoří se jeden virtuální počítač: myVM a použije se jako cíl back-endu. Existující virtuální počítače můžete použít také v případě, že jsou dostupné.
  2. Služba IIS je nainstalovaná na virtuálním počítači, aby se ověřilo, že se aplikační brána úspěšně vytvořila.
  3. Back-endový server (virtuální počítač) se přidá do back-endového fondu.

Poznámka:

Jako cíl back-endu se nasadí jenom jeden virtuální počítač, protože testujeme pouze připojení. Pokud chcete také otestovat vyrovnávání zatížení, můžete přidat více virtuálních počítačů.

Vytvoření virtuálního počítače

Application Gateway může směrovat provoz do libovolného typu virtuálního počítače používaného v back-endovém fondu. V tomto příkladu se používá virtuální počítač s Windows Serverem 2019 Datacenter.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.
  2. V seznamu Oblíbené vyberte Windows Server 2019 Datacenter. Zobrazí se stránka Vytvořit virtuální počítač .
  3. Na kartě Základy zadejte následující hodnoty:
    • Skupina prostředků: Vyberte myResourceGroupAG.
    • Název virtuálního počítače: Zadejte myVM.
    • Oblast: Vyberte stejnou oblast, ve které jste vytvořili aplikační bránu.
    • Uživatelské jméno: Zadejte jméno pro uživatelské jméno správce.
    • Heslo: Zadejte heslo.
    • Veřejné příchozí porty: Žádné.
  4. Přijměte ostatní výchozí hodnoty a pak vyberte Další: Disky.
  5. Přijměte výchozí hodnoty na kartě Disky a pak vyberte Další: Sítě.
  6. Vedle virtuální sítě ověřte, že je vybraná síť myVNet.
  7. Vedle podsítě ověřte, že je vybraná podsíť myBackendSubnet.
  8. Vedle veřejné IP adresy vyberte Žádné.
  9. Vyberte Další: Správa, Další: Monitorování a pak vedle možnosti Diagnostika spouštění vyberte Zakázat.
  10. Vyberte Zkontrolovat a vytvořit.
  11. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení, opravte případné chyby ověření a pak vyberte Vytvořit.
  12. Než budete pokračovat, počkejte, než se vytvoření virtuálního počítače dokončí.

Instalace služby IIS pro testování

V tomto příkladu nainstalujete službu IIS na virtuální počítače, abyste ověřili, že Azure úspěšně vytvořila aplikační bránu.

  1. Otevřete Azure PowerShell.

    V horním navigačním panelu webu Azure Portal vyberte Cloud Shell a v rozevíracím seznamu vyberte PowerShell .

  2. Spuštěním následujícího příkazu nainstalujte službu IIS na virtuální počítač. V případě potřeby změňte parametr Location:

    Set-AzVMExtension `
  -ResourceGroupName myResourceGroupAG `
  -ExtensionName IIS `
  -VMName myVM `
  -Publisher Microsoft.Compute `
  -ExtensionType CustomScriptExtension `
  -TypeHandlerVersion 1.4 `
  -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
  -Location WestCentralUS

    Prohlédněte si následující příklad:

    Snímek obrazovky s instalací vlastního rozšíření

Přidání back-endových serverů do back-endovém fondu

  1. V nabídce webu Azure Portal vyberte Application Gateways nebo vyhledejte a vyberte *Application Gateways. Pak vyberte myAppGateway.

  2. V části Nastavení vyberte back-endové fondy a pak vyberte myBackendPool.

  3. V části Cíle back-endu vyberte Typ cíle v rozevíracím seznamu virtuální počítač.

  4. V části Cíl vyberte v rozevíracím seznamu síťové rozhraní myVM.

    Přidání back-endového serveru

  5. Zvolte Uložit.

  6. Než budete pokračovat k dalšímu kroku, počkejte na dokončení nasazení. Nasazení trvá několik minut.

Otestování aplikační brány

K vytvoření aplikační brány se nevyžaduje služba IIS. Tady je nainstalovaný, abyste ověřili, že se můžete úspěšně připojit k rozhraní IPv6 aplikační brány.

Dříve jsme přiřadili název DNS myipv6appgw.westcentralus.cloudapp.azure.com veřejné adrese IPv6 aplikační brány. Postup otestování tohoto připojení:

  1. Vložte název DNS do adresního řádku prohlížeče a připojte se k němu.

  2. Zkontrolujte odpověď. Platná odpověď virtuálního počítače myVM ověří úspěšné vytvoření aplikační brány a úspěšně se připojí k back-endu.

    Otestování připojení IPv6

    Důležité

    Pokud připojení k názvu DNS nebo adrese IPv6 selže, může to být proto, že nemůžete procházet adresy IPv6 ze svého zařízení. Pokud chcete zkontrolovat, jestli se jedná o váš problém, otestujte také adresu IPv4 aplikační brány. Pokud se adresa IPv4 úspěšně připojí, pravděpodobně nemáte přiřazenou veřejnou adresu IPv6 k vašemu zařízení. V takovém případě můžete zkusit otestovat připojení s virtuálním počítačem se dvěma zásobníky.

Vyčištění prostředků

Pokud už nepotřebujete prostředky, které jste vytvořili pomocí aplikační brány, odstraňte skupinu prostředků. Když odstraníte skupinu prostředků, odeberete také aplikační bránu a všechny související prostředky.

Odstranění skupiny prostředků:

  1. V nabídce webu Azure Portal vyberte Skupiny prostředků nebo vyhledejte a vyberte Skupiny prostředků.
  2. Na stránce Skupiny prostředků vyhledejte v seznamu myResourceGroupAG a pak ho vyberte.
  3. Na stránce Skupina prostředků vyberte Odstranit skupinu prostředků.
  4. Zadejte myResourceGroupAG v části ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ a pak vyberte Odstranit.

Další kroky