Ochrana webových aplikací ve službě Azure VMware Solution pomocí služby Aplikace Azure Gateway

  • Článek

Aplikace Azure Gateway je nástroj pro vyrovnávání zatížení webového provozu vrstvy 7, který umožňuje spravovat provoz do webových aplikací nabízených ve službě Azure VMware Solution v1.0 i v2.0. Obě verze testované s webovými aplikacemi běžícími ve službě Azure VMware Solution

Mezi možnosti patří:

  • Spřažení relací na základě souborů cookie
  • Směrování na základě adresy URL
  • Web Application Firewall (WAF)

Úplný seznam funkcí najdete v tématu Aplikace Azure Funkce brány.

V tomto článku se dozvíte, jak pomocí služby Application Gateway před farmou webových serverů chránit webovou aplikaci spuštěnou v řešení Azure VMware.

Topologie

Diagram znázorňuje, jak se služba Application Gateway používá k ochraně virtuálních počítačů Azure IaaS, škálovacích sad virtuálních počítačů Azure nebo místních serverů. Application Gateway považuje virtuální počítače Azure VMware Solution za místní servery.

Diagram showing how Application Gateway protects Azure IaaS virtual machines (VMs), Azure Virtual Machine Scale Sets, or on-premises servers.

Důležité

Aplikace Azure Gateway je upřednostňovanou metodou zveřejnění webových aplikací spuštěných na virtuálních počítačích Azure VMware Solution.

Diagram znázorňuje testovací scénář použitý k ověření služby Application Gateway pomocí webových aplikací Azure VMware Solution.

Diagram showing the testing scenario used to validate the Application Gateway with Azure VMware Solution web applications.

Instance služby Application Gateway se nasadí do centra ve vyhrazené podsíti s veřejnou IP adresou Azure. Doporučujeme aktivovat službu Azure DDoS Protection pro virtuální síť. Webový server je hostovaný v privátním cloudu Azure VMware Solution za bránami NSX T0 a T1. Kromě toho Azure VMware Solution využívá ExpressRoute Global Reach k povolení komunikace s centrem a místními systémy.

Požadavky

  • Účet Azure s aktivním předplatným.
  • Privátní cloud Azure VMware Solution je nasazený a spuštěný.

Nasazení a konfigurace

  1. Na webu Azure Portal vyhledejte Application Gateway a vyberte Vytvořit aplikační bránu.

  2. Zadejte základní podrobnosti jako na následujícím obrázku; pak vyberte Další: Front-endy>.

    Screenshot showing Create application gateway page in Azure portal.

  3. Zvolte typ IP adresy front-endu. Pro veřejnost zvolte existující veřejnou IP adresu nebo vytvořte novou. Vyberte Další: Back-endy>.

    Poznámka:

    Pro privátní front-endy se podporují jenom standardní skladové položky a skladové položky firewallu webových aplikací (WAF).

  4. Přidejte back-endový fond virtuálních počítačů, které běží v infrastruktuře Azure VMware Solution. Zadejte podrobnosti o webových serverech, které běží v privátním cloudu Azure VMware Solution, a vyberte Přidat. Pak vyberte Další: Konfigurace>.

  5. Na kartě Konfigurace vyberte Přidat pravidlo směrování.

  6. Na kartě Naslouchací proces zadejte podrobnosti pro naslouchací proces. Pokud je vybrán protokol HTTPS, musíte zadat certifikát, a to buď ze souboru PFX, nebo z existujícího certifikátu služby Azure Key Vault.

  7. Vyberte kartu Cíle back-endu a vyberte dříve vytvořený back-endový fond. U pole nastavení HTTP vyberte Přidat nový.

  8. Nakonfigurujte parametry pro nastavení HTTP. Vyberte Přidat.

  9. Pokud chcete nakonfigurovat pravidla založená na cestě, vyberte Přidat více cílů a vytvořte pravidlo založené na cestě.

  10. Přidejte pravidlo založené na cestě a vyberte Přidat. Opakováním přidáte další pravidla založená na cestě.

  11. Po dokončení přidávání pravidel založených na cestě znovu vyberte Přidat a pak vyberte Další: Značky>.

  12. Přidejte značky a pak vyberte Další: Zkontrolovat a vytvořit>.

  13. Ve službě Application Gateway se spustí ověření. Pokud je úspěšné, vyberte Vytvořit , abyste ho nasadí.

Příklady konfigurace

Teď nakonfigurujte Službu Application Gateway s virtuálními počítači Azure VMware Solution jako back-endové fondy pro následující případy použití:

Hostování více webů

Tento postup ukazuje, jak definovat back-endové fondy adres pomocí virtuálních počítačů spuštěných v privátním cloudu Azure VMware Solution ve stávající službě Application Gateway.

Poznámka:

Tento postup předpokládá, že máte více domén, takže použijeme příklady www.contoso.com a www.contoso2.com.

  1. V privátním cloudu vytvořte dva různé fondy virtuálních počítačů. Jedna představuje Contoso a druhou contoso2.

    Screenshot showing summary of a web server's details in VMware vSphere Client.

    Použili jsme Windows Server 2016 s nainstalovanou rolí Internetová informační služba (IIS). Po instalaci virtuálních počítačů spusťte následující příkazy PowerShellu, které nakonfigurují službu IIS na jednotlivých virtuálních počítačích.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

  2. V existující instanci služby Application Gateway vyberte back-endové fondy z levé nabídky, vyberte Přidat a zadejte podrobnosti o nových fondech. V pravém podokně vyberte Přidat .

    Screenshot of Backend pools page for adding backend pools.

  3. V části Naslouchací procesy vytvořte pro každý web nový naslouchací proces. Zadejte podrobnosti pro každý naslouchací proces a vyberte Přidat.

  4. Na levé straně vyberte nastavení HTTP a v levém podokně vyberte Přidat . Vyplňte podrobnosti a vytvořte nové nastavení HTTP a vyberte Uložit.

    Screenshot of HTTP settings page to create a new HTTP setting.

  5. Vytvořte pravidla v části Pravidla v levé nabídce. Přidružte každé pravidlo k odpovídajícímu naslouchacímu procesu. Vyberte Přidat.

  6. Nakonfigurujte odpovídající back-endový fond a nastavení HTTP. Vyberte Přidat.

  7. Otestujte připojení. Otevřete preferovaný prohlížeč a přejděte na různé weby hostované v prostředí Azure VMware Solution.

    Screenshot of browser page showing successful test the connection.

Směrování podle adresy URL

Následující kroky definují back-endové fondy adres pomocí virtuálních počítačů spuštěných v privátním cloudu Azure VMware Solution. Privátní cloud je ve stávající aplikační bráně. Pak vytvoříte pravidla směrování, která zajistí, že webový provoz dorazí na příslušné servery ve fondech.

  1. V privátním cloudu vytvořte fond virtuálních počítačů, který bude představovat webovou farmu.

    Screenshot of page in VMware vSphere Client showing summary of another VM.

    K ilustraci tohoto kurzu jsme použili Windows Server 2016 s nainstalovanou rolí IIS. Po instalaci virtuálních počítačů spusťte následující příkazy PowerShellu a nakonfigurujte službu IIS pro každý kurz virtuálního počítače.

    První virtuální počítač contoso-web-01 hostuje hlavní web.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

    Druhý virtuální počítač contoso-web-02 hostuje web imagí.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "images" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\images\test.htm -Value $($env:computername)

    Třetí virtuální počítač contoso-web-03 hostuje videoweb.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "video" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\video\test.htm -Value $($env:computername)

  2. Přidejte do existující instance služby Application Gateway tři nové back-endové fondy.

    1. V nabídce vlevo vyberte back-endové fondy .
    2. Vyberte Přidat a zadejte podrobnosti o prvním fondu contoso-web.
    3. Přidejte jeden virtuální počítač jako cíl.
    4. Vyberte Přidat.
    5. Tento postup zopakujte u imagí contoso a contoso-video a přidejte jeden jedinečný virtuální počítač jako cíl.

    Screenshot of Backend pools page showing the addition of three new backend pools.

  3. V části Naslouchací procesy vytvořte nový naslouchací proces typu Basic pomocí portu 8080.

  4. V levém navigačním panelu vyberte nastavení HTTP a v levém podokně vyberte Přidat . Vyplňte podrobnosti a vytvořte nové nastavení HTTP a vyberte Uložit.

    Screenshot of Add HTTP setting page showing HTTP settings configuration.

  5. Vytvořte pravidla v části Pravidla v levé nabídce a přidružte každé pravidlo k dříve vytvořenému naslouchacímu procesu. Pak nakonfigurujte hlavní back-endový fond a nastavení HTTP a pak vyberte Přidat.

    Screenshot of Add a routing rule page to configure routing rules to a backend target.

  6. Otestujte konfiguraci. Přejděte ke službě Application Gateway na webu Azure Portal a zkopírujte veřejnou IP adresu v části Přehled .

    1. Otevřete nové okno prohlížeče a zadejte adresu URL http://<app-gw-ip-address>:8080.

      Screenshot of browser page showing successful test of the configuration.

    2. Změňte adresu URL na http://<app-gw-ip-address>:8080/images/test.htm.

      Screenshot of another successful test with the new URL.

    3. Znovu změňte adresu URL na http://<app-gw-ip-address>:8080/video/test.htm.

      Screenshot of successful test with the final URL.

Další kroky

Teď, když jste probrali použití služby Application Gateway k ochraně webové aplikace spuštěné ve službě Azure VMware Solution, přečtěte si další informace: