Konfigurace komponent brány Aplikace Azure

  • 5 min

Aplikace Azure Gateway obsahuje řadu komponent, které kombinují směrování požadavků do fondu webových serverů a ke kontrole stavu těchto webových serverů. Mezi tyto komponenty patří front-endová IP adresa, back-endové fondy, pravidla směrování, sondy stavu a naslouchací procesy. Jako možnost může brána také implementovat bránu firewall.

Co je potřeba vědět o komponentách služby Application Gateway

Pojďme se podívat, jak komponenty aplikační brány spolupracují.

  • Front-endová IP adresa přijímá požadavky klientů.

  • Volitelná brána firewall webových aplikací kontroluje příchozí provoz u běžných hrozeb, než se požadavky dostanou k naslouchacím procesům.

  • Jeden nebo více naslouchacích procesů přijímá provoz a směruje požadavky do back-endového fondu.

  • Pravidla směrování definují, jak analyzovat požadavek tak, aby požadavek směril do příslušného back-endového fondu.

  • Back-endový fond obsahuje webové servery pro prostředky, jako jsou virtuální počítače nebo škálovací sady virtuálních počítačů. Každý fond má nástroj pro vyrovnávání zatížení pro distribuci úloh mezi prostředky.

  • Sondy stavu určují, které servery back-endového fondu jsou k dispozici pro vyrovnávání zatížení.

Následující vývojový diagram ukazuje, jak komponenty služby Application Gateway spolupracují a směrují požadavky na provoz mezi front-endovými a back-endovými fondy ve vaší konfiguraci.

Flowchart that demonstrates how Application Gateway components direct traffic requests between the frontend and back-end pools.

Front-endová IP adresa

Požadavky klientů se přijímají prostřednictvím front-endové IP adresy. Vaše aplikační brána může mít veřejnou nebo privátní IP adresu nebo obojí. Můžete mít jenom jednu veřejnou IP adresu a jenom jednu privátní IP adresu.

Firewall webových aplikací (volitelné)

Bránu firewall webových aplikací Azure můžete povolit, aby služba Aplikace Azure Gateway zpracovávala příchozí požadavky předtím, než se dostanou k naslouchacímu procesu. Brána firewall kontroluje jednotlivé požadavky na hrozby na základě projektu OWASP (Open Web Application Security Project). Mezi běžné hrozby patří injektáž SQL, skriptování mezi weby, injektáž příkazů, pašování požadavků HTTP a rozdělení odpovědí a vzdálené zahrnutí souborů. Další hrozby můžou pocházet z robotů, prohledávacích objektů, skenerů a porušení protokolu HTTP a anomálií.

OWASP definuje sadu obecných pravidel pro detekci útoků. Tato pravidla jsou označována jako CRS (Core Rule Set). Tyto sady pravidel se průběžně revidují v souvislosti s tím, jak se vyvíjí sofistikovanost útoků. Azure Web Application Firewall podporuje dvě sady pravidel: CRS 2.2.9 a CRS 3.0. Z těchto sad pravidel je CRS 3.0 výchozí a novější. V případě potřeby můžete zvolit pouze konkrétní pravidla v sadě pravidel, která budou cílit na určité hrozby. Kromě toho můžete bránu firewall upravit a určit, které prvky požadavků se mají zkoumat, a omezit velikost zpráv, abyste zabránili zahlcení vašich serverů masivním nahráváním.

Naslouchací procesy

Naslouchací procesy přijímají provoz přicházející na zadanou kombinaci protokolu, portu, hostitele a IP adresy. Každý naslouchací proces směruje požadavky na back-endový fond serverů podle vašich pravidel směrování. Naslouchací proces může být základní nebo vícewebový (pro více lokalit). Základní naslouchací proces směruje požadavky pouze na základě cesty v adrese URL. Naslouchací proces s více weby může také směrovat požadavky pomocí elementu názvu hostitele adresy URL. Naslouchací procesy také zpracovávají certifikáty TLS/SSL pro zabezpečení aplikace mezi uživatelem a službou Application Gateway.

Pravidla směrování

Pravidlo směrování sváže vaše naslouchací procesy s back-endovými fondy. Pravidlo určuje, jak interpretovat elementy názvu hostitele a cesty v adrese URL požadavku a pak požadavek směrovat do příslušného back-endového fondu. Pravidlo směrování má také přidruženou sadu nastavení HTTP. Tato nastavení HTTP určují, jestli je provoz mezi službou Application Gateway a back-endovými servery šifrovaný (a jak). Mezi další informace o konfiguraci patří protokol, odolnost relace, vyprazdňování připojení, doba časového limitu požadavku a sondy stavu.

Back-endové fondy

Back-endový fond odkazuje na kolekci webových serverů. Při konfiguraci fondu zadáte IP adresu každého webového serveru a port, na kterém má naslouchat požadavkům. Každý fond může určit pevnou sadu virtuálních počítačů, škálovací sady virtuálních počítačů, aplikaci hostované službou Aplikace Azure Services nebo kolekci místních serverů. Každý back-endový fond má přidružený nástroj pro vyrovnávání zatížení, který distribuuje práci napříč fondem.

Sondy stavu

Sondy stavu určují, které servery ve vašem back-end fondu jsou k dispozici pro vyrovnávání zatížení. Brána Application Gateway používá sondy stavu k posílání požadavků na server. Když server vrátí odpověď HTTP se stavovým kódem mezi 200 a 399, považuje se server za v pořádku. Pokud sondu stavu nenakonfigurujete, služba Application Gateway vytvoří výchozí sondu, která čeká 30 sekund, než identifikuje server jako nedostupný (není v pořádku).