Konfigurieren des Application Gateway mit einer öffentlichen IPv6-Front-End-Adresse mithilfe des Azure-Portals
Das Azure Application Gateway unterstützt Dualstape-(IPv4- und IPv6)-Frontend-Verbindungen von Clients. Um die IPv6-Frontend-Konnektivität zu verwenden, müssen Sie ein neues Application Gateway erstellen. Derzeit können Sie bestehende IPv4-Anwendungs-Gateways nicht zu Dual-Stack-Anwendungs-Gateways (IPv4 und IPv6) aktualisieren. Außerdem werden derzeit keine IPv6-Adressen im Back-End unterstützt.
In diesem Artikel erstellen und testen Sie im Azure-Portal ein IPv6 Azure Application Gateway, um seine ordnungsgemäße Funktion sicherzustellen. Sie weisen den Ports Listener zu, erstellen Regeln und fügen Ressourcen zu einem Back-End-Pool hinzu. Zur Vereinfachung wird in diesem Artikel ein einfaches Setup mit zwei öffentlichen Front-End-IP-Adressen (IPv4 und IPv6), einem einfachen Listener zum Hosten einer einzelnen Website auf dem Anwendungsgateway, einer Routingregel für einfache Anforderungen und zwei virtuellen Computern im Back-End-Pool verwendet.
Zur Unterstützung der IPv6-Konnektivität müssen Sie ein VNet mit dualem Stapel erstellen. Dieses duale Stapel-VNet verfügt über Subnetze für IPv4 und IPv6. Azure VNets bieten bereits Dual-Stack-Funktionen.
Weitere Informationen zu den Komponenten eines Anwendungsgateways finden Sie unter Anwendungsgateway-Komponenten.
Übersicht
Das Azure-Portal wird verwendet, um ein IPv6 Azure-Application Gateway zu erstellen. Tests werden durchgeführt, um zu überprüfen, ob sie ordnungsgemäß funktioniert.
Folgendes wird vermittelt:
- Einrichten eines Dual-Stack-Netzwerks
- Erstellen eines Anwendungsgateways mit IPv6-Frontend
- Erstellen eines virtuellen Computers und Installieren von IIS zum Testen
Sie können diese Schnellstartanleitung auch mit Azure PowerShell durcharbeiten.
Regionen und Verfügbarkeit
Das IPv6 Application Gateway ist für alle öffentlichen Cloudregionen verfügbar, in denen Application Gateway v2 SKU unterstützt wird. Verfügbar ist es auch in Microsoft Azure, betrieben von 21Vianet und Azure Government
Begrenzungen
- Nur v2-SKU unterstützt ein Frontend mit IPv4- und IPv6-Adressen
- IPv6-Back-Ends werden derzeit nicht unterstützt
- Private IPv6-Verknüpfung wird derzeit nicht unterstützt
- IPv6-only-Application Gateway wird derzeit nicht unterstützt. Application Gateway muss ein dualer Stapel sein (IPv6 und IPv4)
- Die IPv6-Konfiguration wird vom Application Gateway-Eingangscontroller (Application Gateway Ingress Controller, AGIC) nicht unterstützt
- Vorhandene IPv4-Anwendungsgateways können nicht auf Dual Stack-Anwendungsgateways aktualisiert werden
- Benutzerdefinierte WAF-Regeln mit einer IPv6-Übereinstimmungsbedingung werden derzeit nicht unterstützt
Voraussetzungen
Ein Azure-Konto mit einem aktiven Abonnement ist erforderlich. Wenn Sie noch kein Konto haben, können Sie kostenlos ein Konto erstellen.
Melden Sie sich mit Ihrem Azure-Konto beim Azure-Portal an.
Erstellen eines Anwendungsgateways
Erstellen Sie das Anwendungsgateway über die Registerkarten der Seite Anwendungsgateway erstellen.
- Wählen Sie im Menü des Azure-Portals oder auf der Startseite die Option Ressource erstellen aus.
- Wählen Sie unter Kategorien die Option Netzwerk und dann in der Liste Beliebte Azure-Dienste den Eintrag Application Gateway aus.
Registerkarte „Grundlagen“
Geben Sie auf der Registerkarte Grundlagen folgende Werte für die Einstellungen des Anwendungsgateways ein:
Abonnement: Wählen Sie Ihr Abonnement aus. Beispiel: _mysubscription.
Ressourcengruppe: Wählen Sie eine Ressourcengruppe aus. Falls diese Gruppe nicht vorhanden ist, wählen Sie Neu erstellen aus, um sie zu erstellen. Beispiel: myresourcegroupAG.
Name des Anwendungsgateways: Geben Sie einen Namen für das Anwendungsgateway ein. Beispiel: myappgw.
IP-Adresstyp: Wählen Sie Dualer Stapel (IPv4 und IPv6) aus.
Konfigurieren des virtuellen Netzwerks: Damit Azure zwischen den von Ihnen erstellten Ressourcen kommunizieren kann, ist ein virtuelles Dualstapel-Netzwerk erforderlich. Sie können entweder ein neues virtuelles Netzwerk mit dualem Stapel erstellen oder ein vorhandenes duales Stapelnetzwerk auswählen. In diesem Beispiel erstellen Sie parallel zum Anwendungsgateway ein neues virtuelles Dualstapel-Netzwerk.
Application Gateway-Instanzen werden in separaten Subnetzen erstellt. In diesem Beispiel werden ein Dualstapel-Subnetz und ein einziges IPv4-Subnetz erstellt: Dem Anwendungsgateway werden die Subnetze IPv4 und IPv6 (als ein Dualstapel-Subnetz bereitgestellt) zugewiesen. Das IPv4-Subnetz ist für die Back-End-Server vorgesehen.
Hinweis
Richtlinien für VNET-Dienstendpunkte werden derzeit in einem Application Gateway-Subnetz nicht unterstützt. Unter Virtuelles Netzwerk konfigurieren erstellen Sie ein neues virtuelles Netzwerk durch Auswahl von Neu erstellen. Geben Sie im geöffneten Fenster Virtuelles Netzwerk erstellen folgende Werte ein, um das virtuelle Netzwerk und zwei Subnetze zu erstellen:
- Name: Geben Sie einen Namen für Ihr virtuelles Netzwerk ein. Beispiel: myVNet.
- Subnetzname (Application Gateway-Subnetz): Im Raster Subnetze wird ein Subnetz namens Default (Standard) angezeigt. Ändern Sie den Namen dieses Subnetzes in myAGSubnet.
- Adressbereich – Die standardmäßigen IPv4-Adressbereiche für das VNet und das Subnetz sind 10.0.0.0/16 bzw. 10.0.0.0/24. Die standardmäßigen IPv6-Adressbereiche für das VNet und das Subnetz sind ace:cab::/48 und ace:cab:deca::/64. Wenn unterschiedliche Standardwerte angezeigt werden, verfügen Sie möglicherweise über ein vorhandenes Subnetz, das sich mit diesen Bereichen überlappt.
Hinweis
Das Subnetz für das Anwendungsgateway kann nur Anwendungsgateways enthalten. Andere Ressourcen sind nicht zulässig.
Wählen Sie OK aus, um das Fenster Virtuelles Netzwerk erstellen zu schließen und die Einstellungen für das neue virtuelle Netzwerk und Subnetz zu speichern.
Wählen Sie Weiter: Front-Ends aus.
Registerkarte „Front-Ends“
Vergewissern Sie sich auf der Registerkarte Front-Ends, dass der Typ der Front-End-IP-Adresse auf Öffentlich festgelegt ist.
Wichtig
Für die Application Gateway v2-SKU muss eine öffentliche Front-End-IP-Konfiguration vorhanden sein. Für die IPv6-Application Gateway wird derzeit keine private IPv6-Frontend-IP-Konfiguration (Nur ILB-Modus) unterstützt.
Wählen Sie Neu hinzufügenfür die Öffentliche IP-Adresseaus, geben Sie einen Namen für die öffentliche IP-Adresse ein und klicken Sie auf OK. Beispiel: myAGPublicIPAddress.
Hinweis
IPv6 Application Gateway unterstützt bis zu 4 Frontend-IP-Adressen: zwei IPv6- und zwei IPv4-Adressen (jeweils öffentlich und privat)
Klicken Sie auf Weiter: Back-Ends.
Registerkarte Back-Ends
Der Back-End-Pool wird zum Weiterleiten von Anforderungen an die Back-End-Server verwendet, die die Anforderung verarbeiten. Back-End-Pools können Netzwerkkarten, VM-Skalierungsgruppen, öffentliche IP-Adressen, interne IP-Adressen, vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) und Back-Ends mit mehreren Mandanten (beispielsweise Azure App Service) umfassen. In diesem Beispiel erstellen Sie mit Ihrem Anwendungsgateway einen leeren Back-End-Pool und fügen dann Back-End-Ziele zum Back-End-Pool hinzu.
Wählen Sie auf der Registerkarte Back-Ends die Option Back-End-Pool hinzufügen aus.
Geben Sie im Fenster Back-End-Pool hinzufügen folgende Werte ein, um einen leeren Back-End-Pool zu erstellen:
- Name: Geben Sie einen Namen für den Back-End-Pool ein. Beispielsweise myBackendPool.
- Back-End-Pool ohne Ziele hinzufügen: Wählen Sie Ja aus, um einen Back-End-Pool ohne Ziele zu erstellen. Back-End-Ziele werden nach dem Erstellen des Anwendungsgateways hinzugefügt.
Wählen Sie Hinzufügen aus, um die Konfiguration des Back-End-Pools zu speichern, und wechseln Sie zurück zur Registerkarte Back-Ends.
Wählen Sie auf der Registerkarte Back-Ends die Option Weiter: Konfiguration aus.
Registerkarte „Konfiguration“
Auf der Registrierkarte Konfiguration sind der Frontend- und der Back-End-Pool mit einer Routingregel verbunden.
Wählen Sie unter Routingregeln den Eintrag Routingregel hinzufügen aus.
Geben Sie im Bereich Routingregel hinzufügenfolgende Werte ein:
- Regelname: Geben Sie einen Namen für die Regel ein. Beispiel: myRoutingRule.
- Priorität: Geben Sie einen Wert zwischen 1 und 20000 ein, wobei 1 die höchste und 20000 die niedrigste Priorität darstellt. Geben Sie beispielsweise eine Priorität von 100ein.
Eine Routingregel erfordert einen Listener. Geben Sie auf der Registerkarte Listener folgende Werte ein:
Listenername: Geben Sie einen Namen für den Listener ein. Beispiel: myListener.
Frontend-IP: Wählen Sie öffentliche IPv6aus.
Übernehmen Sie auf der Registerkarte Listener die Standardwerte für die übrigen Einstellungen. Wählen Sie dann die Registerkarte Back-End-Ziele aus.
Wählen Sie auf der Registerkarte Back-End-Ziele Ihren Back-End-Pool für das Back-End-Ziel aus. Beispielsweise myBackendPool.
Wählen Sie für die Back-End-Einstellungen"Neu hinzufügen" aus. Diese Back-End-Einstellung bestimmt das Verhalten der Routingregel. Geben Sie im Bereich Back-End-Einstellungen hinzufügen einen Namen für Back-End-Einstellungen ein. Beispiel: myBackendSetting.
Übernehmen Sie die Standardwerte für die anderen Einstellungen, und klicken Sie dann auf Hinzufügen.
Wählen Sie im Bereich Routingregel hinzufügen die Option Hinzufügen aus, um die Routingregel zu speichern und zur Registerkarte Konfiguration zurückzukehren.
Wählen Sie Weiter: Tags, dann Weiter: Überprüfen und Erstellen und anschließend Erstellen. Die Bereitstellung des Anwendungsgateways dauert einige Minuten.
Zuweisen eines DNS-Namens zur Front-End-IPv6-Adresse
Ein DNS-Name erleichtert das Testen des IPv6-Anwendungsgateways. Sie können einen öffentlichen DNS-Namen mit Ihrer eigenen Domäne und Registrierungsstelle zuweisen oder einen Namen in azure.com erstellen. So weisen Sie in azure.com einen Namen zu:
Suchen Sie auf der Startseite des Azure-Portals nach öffentlichen IP-Adressen.
Wählen Sie "MyAGPublicIPv6Address aus.
Klicken Sie unter Einstellungen auf Konfiguration.
Geben Sie unter DNS-Namensbezeichnung (optional)einen Namen ein. Beispiel: myipv6appgw.
Wählen Sie Speichern.
Kopieren Sie den FQDN später in einen Text-Editor für den Zugriff. Im folgenden Beispiel ist FQDN myipv6appgw.westcentralus.cloudapp.azure.com.
Fügen Sie ein Backend-Subnetz hinzu
Ein Back-End-IPv4-Subnetz ist für die Back-End-Ziele erforderlich. Das Back-End-Subnetz ist nur IPv4.
Suchen Sie auf der Startseite des Portals nach virtuellen Netzwerken, und wählen Sie das virtuelle Netzwerk MyVNet aus.
Wählen Sie neben dem Adressraum10.0.0.0/16 aus.
Wählen Sie unter Einstellungen die Option Subnetze aus.
Wählen Sie +Subnetz aus, um ein neues Subnetz hinzuzufügen.
Geben Sie unter Name MyBackendSubnet ein.
Der Standardadressraum ist 10.0.1.0/24. Wählen Sie Speichern aus, um dies und alle anderen Standardeinstellungen anzunehmen.
Hinzufügen von Back-End-Zielen
Als Nächstes wird ein Back-End-Ziel hinzugefügt, um das Anwendungsgateway zu testen:
- Eine VM wird erstellt: myVM und wird als Back-End-Ziel verwendet. Sie können auch vorhandene virtuelle Computer verwenden, wenn sie verfügbar sind.
- Auf den virtuellen Computern ist IIS installiert, um zu überprüfen, ob das Application Gateway erfolgreich erstellt wurde.
- Der Back-End-Server (VM) wird dem Back-End-Poolhinzugefügt.
Hinweis
Hier wird nur ein virtueller Computer als Back-End-Ziel bereitgestellt, da nur Konnektivität getestet wird. Sie können mehrere virtuelle Computer hinzufügen, wenn Sie auch den Lastenausgleich testen möchten.
Erstellen eines virtuellen Computers
Application Gateway kann Datenverkehr an jeden beliebigen virtuellen Computer weiterleiten, der im Back-End-Pool verwendet wird. In diesem Beispiel wird ein virtueller Windows- Server 2019 Datacenter-Computer verwendet.
- Wählen Sie im Menü des Azure-Portals oder auf der Startseite die Option Ressource erstellen aus.
- Wählen Sie in der Liste Beliebt die Option Windows Server 2019 Datacenter aus. Die Seite Virtuellen Computer erstellen wird angezeigt.
- Geben Sie auf der Registerkarte Grundeinstellungen folgende Werte ein:
- Ressourcengruppe: Wählen Sie myResourceGroup aus.
- Name des virtuellen Computers: Geben Sie myVM ein.
- Region: Wählen Sie die Region aus, in der Sie auch das Anwendungsgateway erstellt haben.
- Benutzername: Geben Sie einen Benutzernamen für den Administrator ein.
- Kennwort: Geben Sie ein Kennwort ein.
- Öffentliche Eingangsports: Keine.
- Übernehmen Sie für die anderen Einstellungen die Standardwerte, und klicken Sie auf Weiter: Datenträger.
- Übernehmen Sie auf der Registerkarte Datenträger die Standardwerte, und klicken Sie auf Weiter: Netzwerk.
- Neben Virtuelles Netzwerk überprüfen Sie, ob myVNet ausgewählt ist.
- Neben Subnetz überprüfen Sie, ob myBackendSubnet ausgewählt ist.
- Neben Öffentliche IP wählen Sie Keine aus.
- Wählen Sie Weiter: Verwaltung, Weiter: Überwachung, und dann neben Startdiagnose die Option Deaktivieren.
- Klicken Sie auf Überprüfen + erstellen.
- Überprüfen Sie auf der Registerkarte Bewerten + erstellen die Einstellungen, beheben Sie alle Validierungsfehler, und wählen Sie dann Erstellen aus.
- Warten Sie, bis die Erstellung des virtuellen Computers abgeschlossen ist, bevor Sie fortfahren.
Installieren von IIS für Testzwecke
In diesem Beispiel installieren Sie IIS auf den virtuellen Computern, um zu überprüfen, ob Azure das Anwendungsgateway erfolgreich erstellt hat.
Öffnen Sie Azure PowerShell.
Wählen Sie auf der oberen Navigationsleiste des Azure-Portals Cloud Shell und anschließend in der Dropdownliste PowerShell aus.
Führen Sie den folgenden Befehl aus, um IIS auf dem virtuellen Computer zu installieren. Ändern Sie bei Bedarf den Parameter Location:
Set-AzVMExtension ` -ResourceGroupName myResourceGroupAG ` -ExtensionName IIS ` -VMName myVM ` -Publisher Microsoft.Compute ` -ExtensionType CustomScriptExtension ` -TypeHandlerVersion 1.4 ` -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' ` -Location WestCentralUS
Siehe folgendes Beispiel:
Hinzufügen von Back-End-Servern zu Back-End-Pools
Im Azure-Portalmenü wählen Sie Application Gateways oder suchen und wählen Sie *Application Gateways. Wählen Sie anschließend myAppGateway aus.
Wählen Sie unter Einstellungen die Option Back-End-Pools und anschließend myBackendPool aus.
Wählen Sie unter Back-End-Ziele > Zieltyp in der Dropdownliste die Option Virtueller Computer aus.
Unter Ziel wählen Sie in der Dropdownliste die Netzwerkschnittstelle myVM aus.
Wählen Sie Speichern.
Warten Sie, bis die Bereitstellung abgeschlossen ist, bevor Sie mit dem nächsten Schritt fortfahren. Die Bereitstellung nimmt einige Minuten in Anspruch.
Testen der Application Gateway-Instanz
IIS ist nicht erforderlich, um das Anwendungsgateway zu erstellen. Es ist hier installiert, um zu überprüfen, ob Sie eine Verbindung mit der IPv6-Schnittstelle des Anwendungsgateways erfolgreich herstellen können.
Zuvor wurde der DNS-Name myipv6appgw.westcentralus.cloudapp.azure.com der öffentlichen IPv6-Adresse des Anwendungsgateways zugewiesen. So testen Sie diese Verbindung:
Fügen Sie den DNS-Namen in die Adressleiste Ihres Browsers ein, um eine Verbindung damit herzustellen.
Überprüfen Sie die Antwort. Eine gültige Antwort von myVMbestätigt, dass das Anwendungsgateway erfolgreich erstellt wurde und eine Verbindung mit dem Back-End herstellen kann.
Wichtig
Wenn die Verbindung mit dem DNS-Namen oder der IPv6-Adresse fehlschlägt, liegt dies möglicherweise daran, dass Sie die IPv6-Adressen von Ihrem Gerät nicht browsen können. Um zu überprüfen, ob es der Fall ist, testen Sie auch die IPv4-Adresse des Anwendungsgateways. Wenn die IPv4-Adresse erfolgreich eine Verbindung herstellt, ist es wahrscheinlich, dass Ihrem Gerät keine öffentliche IPv6-Adresse zugewiesen ist. Wenn dies der Fall ist, können Sie versuchen, die Verbindung mit Dualstapel-VMzu testen.
Bereinigen von Ressourcen
Wenn Sie die mit dem Anwendungsgateway erstellten Ressourcen nicht mehr benötigen, löschen Sie die Ressourcengruppe. Wenn Sie die Ressourcengruppe löschen, werden auch das Anwendungsgateway und alle zugehörigen Ressourcen entfernt.
So löschen Sie die Ressourcengruppe:
- Wählen Sie im Menü des Azure-Portals die Option Ressourcengruppen aus, oder suchen Sie nach Ressourcengruppen, und wählen Sie die entsprechende Option aus.
- Suchen Sie auf der Seite Ressourcengruppen in der Liste nach myResourceGroupAG, und wählen Sie den Eintrag aus.
- Wählen Sie auf der Seite für die Ressourcengruppe die Option Ressourcengruppe löschen aus.
- Geben Sie myResourceGroupAG unter RESSOURCENGRUPPENNAMEN EINGEBEN ein, und wählen Sie Löschen aus.