Sdílet prostřednictvím

Ochrana webových aplikací ve službě Azure VMware Solution pomocí služby Azure Application Gateway

Azure Application Gateway je nástroj pro vyrovnávání zatížení webového provozu vrstvy 7, který umožňuje spravovat provoz do webových aplikací nabízených ve službě Azure VMware Solution v1.0 i v2.0. Obě verze testované s webovými aplikacemi běžícími ve službě Azure VMware Solution

Mezi možnosti patří:

  • Spřažení relací na základě souborů cookie
  • Směrování na základě adresy URL
  • Firewall webových aplikací (WAF)

Úplný seznam funkcí najdete v tématu Funkce služby Azure Application Gateway.

V tomto článku se dozvíte, jak pomocí služby Application Gateway před farmou webových serverů chránit webovou aplikaci spuštěnou v řešení Azure VMware.

Topologie

Diagram znázorňuje, jak se služba Application Gateway používá k ochraně virtuálních počítačů Azure IaaS, škálovacích sad virtuálních počítačů Azure nebo místních serverů. Application Gateway považuje virtuální počítače Azure VMware Solution za místní servery.

Diagram znázorňující, jak Application Gateway chrání virtuální počítače Azure IaaS, Škálovací sady virtuálních počítačů Azure nebo místní servery

Důležité

Azure Application Gateway je upřednostňovaná metoda zveřejnění webových aplikací spuštěných na virtuálních počítačích Azure VMware Solution.

Diagram znázorňuje testovací scénář použitý k ověření služby Application Gateway pomocí webových aplikací Azure VMware Solution.

Diagram znázorňující scénář testování použitý k ověření služby Application Gateway s webovými aplikacemi Azure VMware Solution

Instance služby Application Gateway se nasadí do centra ve vyhrazené podsíti s veřejnou IP adresou Azure. Doporučujeme aktivovat službu Azure DDoS Protection pro virtuální síť. Webový server je hostovaný v privátním cloudu Azure VMware Solution za bránami NSX T0 a T1. Kromě toho Azure VMware Solution využívá ExpressRoute Global Reach k povolení komunikace s centrem a místními systémy.

Požadavky

  • Účet Azure s aktivním předplatným.
  • Privátní cloud Azure VMware Solution je nasazený a spuštěný.

Nasazení a konfigurace

  1. Na webu Azure Portal vyhledejte Application Gateway a vyberte Vytvořit aplikační bránu.

  2. Zadejte základní podrobnosti jako na následujícím obrázku; pak vyberte Další: Front-endy>.

    Snímek obrazovky se stránkou Vytvořit aplikační bránu na webu Azure Portal

  3. Zvolte typ IP adresy front-endu. Pro veřejnost zvolte existující veřejnou IP adresu nebo vytvořte novou. Vyberte Další: Základní služby>.

    Poznámka:

    Pro privátní frontendy jsou podporovány pouze standardní SKU a SKU Web Application Firewall (WAF).

  4. Přidejte back-endový fond virtuálních počítačů, které běží v infrastruktuře Azure VMware Solution. Zadejte podrobnosti o webových serverech, které běží v privátním cloudu Azure VMware Solution, a vyberte Přidat. Pak vyberte Další: Konfigurace>.

  5. Na kartě Konfigurace vyberte Přidat pravidlo směrování.

  6. Na kartě Posluchač zadejte podrobnosti pro posluchač. Pokud je vybrán protokol HTTPS, musíte zadat certifikát, a to buď ze souboru PFX, nebo z existujícího certifikátu služby Azure Key Vault.

  7. Vyberte kartu Cíle back-endu a vyberte dříve vytvořený back-endový fond. U pole nastavení HTTP vyberte Přidat nový.

  8. Nakonfigurujte parametry pro nastavení HTTP. Vyberte Přidat.

  9. Pokud chcete nakonfigurovat pravidla založená na cestě, vyberte Přidat více cílů a vytvořte pravidlo založené na cestě.

  10. Přidejte pravidlo založené na cestě a vyberte Přidat. Opakujte pro přidání dalších pravidel založených na cestě.

  11. Po dokončení přidávání pravidel založených na cestě znovu vyberte Přidat a pak vyberte Další: Značky>.

  12. Přidejte značky a pak vyberte Další: Zkontrolovat a vytvořit>.

  13. Ve službě Application Gateway se spustí ověření. Pokud je to úspěšné, vyberte Vytvořit, abyste ho mohli nasadit.

Příklady konfigurace

Nakonfigurujte nyní Application Gateway s virtuálními počítači Azure VMware Solution jako základní fondy pro následující případy použití:

Hostování více webů

Tento postup ukazuje, jak definovat back-endové fondy adres pomocí virtuálních počítačů spuštěných v privátním cloudu Azure VMware Solution ve stávající službě Application Gateway.

Poznámka:

Tento postup předpokládá, že máte více domén, takže použijeme příklady www.contoso.com a www.contoso2.com.

  1. V privátním cloudu vytvořte dva různé fondy virtuálních počítačů. Jedna představuje Contoso a druhou contoso2.

    Snímek obrazovky zobrazující souhrn podrobností webového serveru v Nástroji VMware vSphere Client

    Použili jsme Windows Server 2016 s nainstalovanou rolí Internetová informační služba (IIS). Po instalaci virtuálních počítačů spusťte následující příkazy PowerShellu, které nakonfigurují službu IIS na jednotlivých virtuálních počítačích.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

  2. V existující instanci služby Application Gateway vyberte back-endové fondy z levé nabídky, vyberte Přidat a zadejte podrobnosti o nových fondech. V pravém podokně vyberte Přidat .

    Snímek obrazovky se stránkou back-endových fondů pro přidání back-endových fondů

  3. V části Posluchači vytvořte pro každý web nový posluchač. Zadejte podrobnosti pro každého posluchače a vyberte Přidat.

  4. Na levé straně vyberte nastavení HTTP a v levém podokně vyberte Přidat . Vyplňte podrobnosti a vytvořte nové nastavení HTTP a vyberte Uložit.

    Snímek obrazovky se stránkou nastavení HTTP pro vytvoření nového nastavení HTTP

  5. Vytvořte pravidla v části Pravidla v levé nabídce. Přidružte každé pravidlo k odpovídajícímu posluchači. Vyberte Přidat.

  6. Nakonfigurujte odpovídající backendový fond a nastavení protokolu HTTP. Vyberte Přidat.

  7. Otestujte připojení. Otevřete preferovaný prohlížeč a přejděte na různé weby hostované v prostředí Azure VMware Solution.

    Snímek obrazovky se stránkou prohlížeče zobrazující úspěšné otestování připojení

Směrování podle adresy URL

Následující kroky definují back-endové fondy adres pomocí virtuálních počítačů spuštěných v privátním cloudu Azure VMware Solution. Privátní cloud je ve stávající aplikační bráně. Pak vytvoříte pravidla směrování, která zajistí, že webový provoz dorazí na příslušné servery v poolu.

  1. V privátním cloudu vytvořte fond virtuálních počítačů, který bude představovat webovou farmu.

    Snímek obrazovky se stránkou v nástroji VMware vSphere Client zobrazující souhrn jiného virtuálního počítače

    K ilustraci tohoto kurzu jsme použili Windows Server 2016 s nainstalovanou rolí IIS. Po instalaci virtuálních počítačů spusťte následující příkazy PowerShellu a nakonfigurujte službu IIS pro každý kurz virtuálního počítače.

    První virtuální počítač contoso-web-01 hostuje hlavní web.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

    Druhý virtuální počítač contoso-web-02 má na starosti web s obrázky.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "images" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\images\test.htm -Value $($env:computername)

    Třetí virtuální počítač contoso-web-03 hostuje videoweb.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "video" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\video\test.htm -Value $($env:computername)

  2. Přidejte do existující instance služby Application Gateway tři nové back-endové fondy.

    1. V nabídce vlevo vyberte Backend pools.
    2. Vyberte Přidat a zadejte podrobnosti o prvním fondu contoso-web.
    3. Přidejte jeden virtuální počítač jako cíl.
    4. Vyberte Přidat.
    5. Tento postup zopakujte pro obrázky contoso a contoso-video, a přidejte jeden jedinečný virtuální počítač jako cílový.

    Snímek obrazovky se stránkou Back-endové fondy zobrazující přidání tří nových back-endových fondů

  3. V části Naslouchací procesy vytvořte nový naslouchací proces typu Basic pomocí portu 8080.

  4. V levém navigačním panelu vyberte nastavení HTTP a v levém podokně vyberte Přidat . Vyplňte podrobnosti a vytvořte nové nastavení HTTP a vyberte Uložit.

    Snímek obrazovky se stránkou Přidat nastavení HTTP zobrazující konfiguraci nastavení HTTP

  5. Vytvořte pravidla v sekci Pravidla v levé nabídce a přidružte každé pravidlo k dříve vytvořenému posluchači. Pak nakonfigurujte hlavní back-endový fond a nastavení HTTP a pak vyberte Přidat.

    Snímek obrazovky se stránkou Přidat pravidlo směrování pro konfiguraci pravidel směrování do back-endového cíle

  6. Otestujte konfiguraci. Přejděte ke službě Application Gateway na webu Azure Portal a zkopírujte veřejnou IP adresu v části Přehled .

    1. Otevřete nové okno prohlížeče a zadejte adresu URL http://<app-gw-ip-address>:8080.

      Snímek obrazovky se stránkou prohlížeče zobrazující úspěšný test konfigurace

    2. Změňte adresu URL na http://<app-gw-ip-address>:8080/images/test.htm.

      Snímek obrazovky s dalším úspěšným testem s novou adresou URL

    3. Znovu změňte adresu URL na http://<app-gw-ip-address>:8080/video/test.htm.

      Snímek obrazovky s úspěšným testem s konečnou adresou URL

Další kroky

Teď, když jste probrali použití služby Application Gateway k ochraně webové aplikace spuštěné ve službě Azure VMware Solution, přečtěte si další informace: