Cvičení – konfigurace naslouchacího procesu aplikační brány pro šifrování

  • 10 min

Po nakonfigurování certifikátů pro Azure Application Gateway a back-endového fondu můžete vytvořit naslouchací proces, který bude zpracovávat příchozí požadavky. Naslouchací proces čeká na zprávy, dešifruje je pomocí privátního klíče a pak tyto zprávy směruje do back-endového fondu.

V této lekci nastavíte naslouchací proces pomocí portu 443 a certifikátu SSL, který jste vytvořili v prvním cvičení. Následující obrázek zvýrazňuje prvky, které jste v tomto cvičení nastavili.

Diagram that highlights the elements (frontend port, SSL certificate for Application Gateway, listener, and rule) created in this exercise.

Konfigurace naslouchacího procesu

  1. Spuštěním následujícího příkazu vytvořte nový front-endový port (443) pro bránu:

    az network application-gateway frontend-port create \
  --resource-group $rgName \
  --gateway-name gw-shipping \
  --name https-port \
  --port 8443

  2. Nahrajte certifikát SSL pro Application Gateway. Tento certifikát se vygeneroval pomocí instalačního skriptu v předchozím cvičení. Je uložený v souboru appgateway.pfx ve složce server-config.

    Heslo vygenerované pro soubor .pfx je somepassword. V příkazu uvedeném níže ho neměňte.

    az network application-gateway ssl-cert create \
   --resource-group $rgName \
   --gateway-name gw-shipping \
   --name appgateway-cert \
   --cert-file server-config/appgateway.pfx \
   --cert-password somepassword

  3. Spuštěním následujícího příkazu vytvořte nový naslouchací proces, který bude přijímat příchozí provoz na portu 443. Tento naslouchací proces použije k dešifrování zpráv certifikát appgateway-cert.

    az network application-gateway http-listener create \
  --resource-group $rgName \
  --gateway-name gw-shipping \
  --name https-listener \
  --frontend-port https-port \
  --ssl-cert appgateway-cert

  4. Spuštěním následujícího příkazu vytvořte pravidlo, které bude směrovat provoz přijatý prostřednictvím nového naslouchacího procesu do back-endového fondu. Dokončení tohoto příkazu může trvat jednu až dvě minuty.

    az network application-gateway rule create \
    --resource-group $rgName \
    --gateway-name gw-shipping \
    --name https-rule \
    --address-pool ap-backend \
    --http-listener https-listener \
    --http-settings https-settings \
    --rule-type Basic \
    --priority 102

Otestování aplikační brány

  1. Načtěte veřejnou adresu URL aplikační brány.

    echo https://$(az network public-ip show \
  --resource-group $rgName \
  --name appgwipaddr \
  --query ipAddress \
  --output tsv)

  2. Ve webovém prohlížeči přejděte na adresu URL.

    Prohlížeč může stejně jako předtím zobrazit zprávu s upozorněním, že připojení SSL používá neověřený certifikát. Toto upozornění se zobrazí, protože certifikát je podepsaný svým držitelem. Můžete toto upozornění ignorovat a pokračovat na web.

  3. Ověřte, že se zobrazila domovská stránka expedičního portálu.

Naslouchací proces jste nakonfigurovali tak, aby naslouchal na portu 443 a dešifroval data, která jsou připravená k předání do back-endového fondu. Při přenosu z brány na server v back-endovém fondu se data znovu zašifrují. S tímto naslouchacím procesem jste nastavili kompletní šifrování pro expediční portál.

Tyto prostředky můžete v případě potřeby odstranit. Nejjednodušší způsob, jak odstranit všechny prostředky vytvořené v tomto modulu, je jednoduše odstranit skupinu prostředků.