Vytvoření aplikační brány s přesměrováním HTTP na HTTPS pomocí webu Azure Portal

Pomocí webu Azure Portal můžete vytvořit aplikační bránu s certifikátem pro ukončení protokolu TLS. Pravidlo směrování se používá k přesměrování provozu HTTP na port HTTPS ve vaší aplikační bráně. V tomto příkladu vytvoříte také škálovací sadu virtuálních počítačů pro back-endový fond služby Application Gateway, která obsahuje dvě instance virtuálních počítačů.

V tomto článku získáte informace o těchto tématech:

• Vytvoření certifikátu podepsaného jeho držitelem (self-signed certificate)
• Nastavit síť
• Vytvořit aplikační bránu s certifikátem
• Přidání pravidla naslouchacího procesu a přesměrování
• Vytvořit škálovací sadu virtuálních počítačů s výchozím back-endovým fondem

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Tento kurz vyžaduje modul Azure PowerShell verze 1.0.0 nebo novější k vytvoření certifikátu a instalaci služby IIS. Verzi zjistíte spuštěním příkazu Get-Module -ListAvailable Az. Pokud potřebujete upgrade, přečtěte si téma Instalace modulu Azure PowerShell. Pokud chcete spustit příkazy v tomto kurzu, musíte také spustit Login-AzAccount , abyste vytvořili připojení k Azure.

Vytvoření certifikátu podepsaného jeho držitelem (self-signed certificate)

Pro produkční použití byste měli importovat platný certifikát podepsaný důvěryhodným poskytovatelem. Pro účely tohoto kurzu vytvoříte certifikát podepsaný svým držitelem (self-signed certificate) pomocí rutiny New-SelfSignedCertificate. K exportu souboru pfx z certifikátu můžete použít rutinu Export-PfxCertificate s vráceným kryptografickým otiskem.

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

Měli byste získat podobný výsledek:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Použití kryptografického otisku k vytvoření souboru pfx:

$pwd = ConvertTo-SecureString -String "Azure123456!" -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Vytvoření brány Application Gateway

Pro komunikaci mezi prostředky, které vytvoříte, je potřeba virtuální síť. V tomto příkladu jsou vytvořeny dvě podsítě: jedna pro aplikační bránu a druhá pro back-endové servery. Virtuální síť můžete vytvořit současně s aplikační bránou.

1. Přihlaste se k portálu Azure.

2. Klikněte na Vytvořit prostředek v levém horním rohu portálu Azure Portal.

3. Vyberte Sítě a potom v seznamu Doporučené vyberte Application Gateway.

4. Pro aplikační bránu zadejte tyto hodnoty:

   • myAppGateway – tuto hodnotu zadejte jako název aplikační brány.

   • myResourceGroupAG – tuto hodnotu zadejte jako skupinu prostředků.

     

5. U ostatních nastavení ponechejte výchozí hodnoty a potom klikněte na OK.

6. Klepněte na tlačítko Zvolit virtuální síť, klepněte na tlačítko Vytvořit nový a zadejte tyto hodnoty pro virtuální síť:

   • myVNet – tuto hodnotu zadejte jako název virtuální sítě.

   • 10.0.0.0/16 – tuto hodnotu zadejte jako adresní prostor virtuální sítě.

   • myBackendSubnet – tuto hodnotu zadejte jako název podsítě.

   • 10.0.0.0/24 – tuto hodnotu zadejte jako adresní prostor podsítě.

     

7. Kliknutím na OK vytvořte virtuální síť a podsíť.

8. V části Konfigurace IP adresy front-endu se ujistěte, že je typ IP adresy veřejný a je vybraná možnost Vytvořit novou. Jako název zadejte myAGPublicIPAddress . U ostatních nastavení ponechejte výchozí hodnoty a potom klikněte na OK.

9. V části Konfigurace naslouchacího procesu vyberte HTTPS, pak vyberte Vybrat soubor a přejděte do souboru c:\appgwcert.pfx a vyberte Otevřít.

10. Jako název certifikátu zadejte appgwcert a jako heslo zadejte Azure123456! .

11. Ponechte bránu firewall webových aplikací zakázanou a pak vyberte OK.

12. Zkontrolujte nastavení na stránce souhrnu a pak výběrem ok vytvořte síťové prostředky a aplikační bránu. Vytvoření aplikační brány může trvat několik minut, než se nasazení úspěšně dokončí, než přejdete k další části.

Přidání podsítě

1. V nabídce vlevo vyberte Všechny prostředky a pak ze seznamu prostředků vyberte myVNet .

2. Vyberte podsítě a potom klikněte na Podsíť.

   

3. Jako název podsítě zadejte myBackendSubnet .

4. Jako rozsah adres zadejte 10.0.2.0/24 a pak vyberte OK.

Přidání pravidla naslouchacího procesu a přesměrování

Přidání naslouchacího procesu

Nejprve přidejte naslouchací proces myListener pro port 80.

1. Otevřete skupinu prostředků myResourceGroupAG a vyberte myAppGateway.
2. Vyberte naslouchací procesy a pak vyberte + Základní.
3. Jako název zadejte MyListener .
4. Jako název nového front-endového portu zadejte httpPort a port 80 .
5. Ujistěte se, že je protokol nastavený na HTTP, a pak vyberte OK.

Přidání pravidla směrování s konfigurací přesměrování

1. Na myAppGateway vyberte Pravidla a pak vyberte +Request routing rule.
2. Jako název pravidla zadejte Rule2.
3. Ujistěte se, že je pro naslouchací proces vybraný myListener .
4. Klikněte na kartu Cíle back-endu a jako přesměrování vyberte Typcíle.
5. Jako typ přesměrování vyberte Trvalý.
6. Jako cíl přesměrování vyberte Naslouchací proces.
7. Ujistěte se, že je cílový naslouchací proces nastavený na appGatewayHttpListener.
8. U řetězce dotazu Include a Zahrnout cestu vyberte Ano.
9. Vyberte Přidat.

Poznámka:

appGatewayHttpListener je výchozí název naslouchacího procesu. Další informace najdete v tématu Konfigurace naslouchacího procesu služby Application Gateway.

Vytvoření škálovací sady virtuálních počítačů

V tomto příkladu vytvoříte škálovací sadu virtuálních počítačů, která v aplikační bráně bude poskytovat servery pro back-endový fond.

1. V levém horním rohu portálu vyberte +Vytvořit prostředek.
2. Vyberte Compute.
3. Do vyhledávacího pole zadejte škálovací sadu a stiskněte Enter.
4. Vyberte škálovací sadu virtuálních počítačů a pak vyberte Vytvořit.
5. Jako název škálovací sady virtuálních počítačů zadejte myvmss.
6. V případě image disku s operačním systémem se ujistěte, že je vybraný Windows Server 2016 Datacenter .
7. V případě skupiny prostředků vyberte myResourceGroupAG.
8. Do pole Uživatelské jméno zadejte azureuser.
9. Jako heslo zadejte Azure123456! a potvrďte heslo.
10. V případě počtu instancí se ujistěte, že je hodnota 2.
11. Jako velikost instance vyberte D2s_v3.
12. V části Sítě se ujistěte, že je možnost Zvolit vyrovnávání zatížení nastavená na Application Gateway.
13. Ujistěte se, že je služba Application Gateway nastavená na myAppGateway.
14. Ujistěte se, že je podsíť nastavená na myBackendSubnet.
15. Vyberte Vytvořit.

Přidružení škálovací sady ke správnému back-endovému fondu

Uživatelské rozhraní portálu škálovací sady virtuálních počítačů vytvoří nový back-endový fond pro škálovací sadu, ale chcete ho přidružit k existujícímu fondu appGatewayBackendPool.

1. Otevřete skupinu prostředků myResourceGroupAg.
2. Vyberte myAppGateway.
3. Vyberte back-endové fondy.
4. Vyberte myAppGatewaymyvmss.
5. Vyberte Odebrat všechny cíle z back-endového fondu.
6. Zvolte Uložit.
7. Po dokončení tohoto procesu vyberte back-endový fond myAppGatewaymyvmss , vyberte Odstranit a potvrďte akci OK .
8. Vyberte appGatewayBackendPool.
9. V části Cíle vyberte VMSS.
10. V části VMSS vyberte myvmss.
11. V části Konfigurace síťového rozhraní vyberte myvmssNic.
12. Zvolte Uložit.

Upgrade škálovací sady

Nakonec musíte škálovací sadu upgradovat pomocí těchto změn.

1. Vyberte škálovací sadu myvmss.
2. V části Nastavení vyberte Instance.
3. Vyberte obě instance a pak vyberte Upgradovat.
4. Potvrďte výběrem možnosti Ano.
5. Po dokončení se vraťte do myAppGateway a vyberte back-endové fondy. Teď byste měli vidět, že appGatewayBackendPool má dva cíle a myAppGatewaymyvmss má nulové cíle.
6. Vyberte myAppGatewaymyvmss a pak vyberte Odstranit.
7. Potvrďte tlačítkem OK.

instalace IIS

Snadný způsob instalace služby IIS ve škálovací sadě je použití PowerShellu. Na portálu klikněte na ikonu Cloud Shellu a ujistěte se, že je vybraný PowerShell .

Do okna PowerShellu vložte následující kód a stiskněte Enter.

$publicSettings = @{ "fileUris" = (,"https://raw.githubusercontent.com/Azure/azure-docs-powershell-samples/master/application-gateway/iis/appgatewayurl.ps1"); 
  "commandToExecute" = "powershell -ExecutionPolicy Unrestricted -File appgatewayurl.ps1" }
$vmss = Get-AzVmss -ResourceGroupName myResourceGroupAG -VMScaleSetName myvmss
Add-AzVmssExtension -VirtualMachineScaleSet $vmss `
  -Name "customScript" `
  -Publisher "Microsoft.Compute" `
  -Type "CustomScriptExtension" `
  -TypeHandlerVersion 1.8 `
  -Setting $publicSettings
Update-AzVmss `
  -ResourceGroupName myResourceGroupAG `
  -Name myvmss `
  -VirtualMachineScaleSet $vmss

Upgrade škálovací sady

Po změně instancí pomocí služby IIS je nutné znovu upgradovat škálovací sadu touto změnou.

1. Vyberte škálovací sadu myvmss.
2. V části Nastavení vyberte Instance.
3. Vyberte obě instance a pak vyberte Upgradovat.
4. Potvrďte výběrem možnosti Ano.

Otestování aplikační brány

Veřejnou IP adresu aplikace můžete získat ze stránky Přehled služby Application Gateway.

1. Vyberte myAppGateway.

2. Na stránce Přehled si poznamenejte IP adresu pod veřejnou IP adresou front-endu.

3. Zkopírujte veřejnou IP adresu a pak ji vložte do adresního řádku svého prohlížeče. Například http://52.170.203.149

   

4. Pokud chcete přijímat upozornění zabezpečení v případě použití certifikátu podepsaného svým držitelem (self-signed certificate), vyberte Podrobnosti a potom Pokračovat na web. Potom se zobrazí váš zabezpečený web služby IIS, jak je znázorněno v následujícím příkladu:

   

Další kroky

Zjistěte, jak vytvořit aplikační bránu s interním přesměrováním.