Configuración de componentes de Azure Application Gateway

  • 5 minutos

Azure Application Gateway tiene una serie de componentes que se combinan para enrutar las solicitudes a un grupo de servidores web y para comprobar el estado de dichos servidores web. Estos componentes incluyen la dirección IP de front-end, los grupos de back-end, las reglas de enrutamiento, los sondeos de estado y los clientes de escucha. Como opción, la puerta de enlace también puede implementar un firewall.

Aspectos que se deben saber sobre los componentes de Application Gateway

Vamos a explorar cómo funcionan conjuntamente los componentes de una puerta de enlace de aplicaciones.

  • La dirección IP de front-end recibe las solicitudes del cliente.

  • Un firewall de aplicaciones web opcional comprueba el tráfico entrante en busca de amenazas comunes antes de que las solicitudes lleguen a los clientes de escucha.

  • Uno o varios clientes de escucha reciben el tráfico y enrutan las solicitudes al grupo de back-end.

  • Las reglas de enrutamiento definen cómo analizar la solicitud para dirigirla al grupo de back-end adecuado.

  • Un grupo de back-end contiene servidores web para recursos como máquinas virtuales o Virtual Machine Scale Sets. Cada grupo tiene un equilibrador de carga para distribuir la carga de trabajo entre los recursos.

  • Los sondeos de estado determinan qué servidores del grupo de back-end están disponibles para el equilibrio de carga.

En el diagrama de flujo siguiente se muestra cómo funcionan conjuntamente los componentes de Application Gateway para dirigir las solicitudes de tráfico entre los grupos de servidores front-end y back-end de la configuración.

Flowchart that demonstrates how Application Gateway components direct traffic requests between the frontend and back-end pools.

Dirección IP de front-end

Las solicitudes de cliente se reciben a través de una dirección IP de front-end. La puerta de enlace de aplicaciones puede tener una dirección IP pública o privada, o ambas. Solo puede tener una dirección IP pública y una dirección IP privada.

Firewall de aplicaciones web (opcional)

Puede habilitar Azure Web Application Firewall para que Azure Application Gateway controle las solicitudes entrantes antes de que lleguen al cliente de escucha. El firewall comprueba cada solicitud en busca de riesgos según Open Web Application Security Project (OWASP). Entre las amenazas comunes se incluyen la inyección de código SQL, scripting entre sitios, la inserción de comandos, el contrabando de solicitudes HTTP y la división de respuestas y la inclusión remota de archivos. Otras amenazas pueden provenir de bots, rastreadores, escáneres e infracciones y anomalías del protocolo HTTP.

OWASP define un conjunto de reglas genéricas para detectar ataques. Estas reglas se conocen como Core Rule Set (CRS). Los conjuntos de reglas están en continua revisión, puesto que los ataques son cada vez más sofisticados. Azure Web Application Firewall admite dos conjuntos de reglas: CRS 2.2.9 y CRS 3.0. CRS 3.0 es el valor predeterminado y más reciente de estos conjuntos de reglas. Si es necesario, puede optar por seleccionar únicamente determinadas reglas en un conjunto de reglas para atacar determinadas amenazas. Además, puede personalizar el firewall para que especifique qué elementos de una solicitud debe examinar y limitar el tamaño de los mensajes para evitar que cargas masivas sobrecarguen los servidores.

Agentes de escucha

Los clientes de escucha aceptan el tráfico que llega a una combinación especificada de protocolo, puerto, host y dirección IP. Cada cliente de escucha enruta las solicitudes a un grupo de back-end según las reglas de enrutamiento. Un agente de escucha puede ser básico o multisitio. Un agente de escucha básico solo enruta una solicitud según la ruta de acceso de la dirección URL. Un cliente de escucha multisitio también puede enrutar las solicitudes mediante el elemento de nombre de host de la dirección URL. Los agentes de escucha también controlan los certificados TLS/SSL para proteger la aplicación entre el usuario y Application Gateway.

Reglas de enrutamiento

Una regla de enrutamiento enlaza los clientes de escucha a los grupos de back-end. Una regla especifica cómo interpretar los elementos de nombre de host y ruta de la dirección URL de una solicitud y, después, dirigir la solicitud al grupo de servidores back-end adecuado. Una regla de enrutamiento también tiene un conjunto de configuración de HTTP asociado. Estas configuraciones de HTTP indican si se cifra el tráfico entre Application Gateway y los servidores back-end y cómo hacerlo. Entre las otras informaciones de configuración se incluye el protocolo, la permanencia de sesión, el drenaje de conexiones, el período de tiempo de espera de una solicitud y los sondeos de estado.

Grupos de servidores back-end

Un grupo de servidores back-end hace referencia a una colección de servidores web. Al configurar el grupo, proporciona la dirección IP de cada servidor web y el puerto en el que escucha las solicitudes. Cada grupo puede especificar un conjunto fijo de máquinas virtuales, Virtual Machine Scale Sets, una aplicación hospedada por Azure App Services o una colección de servidores locales. Cada grupo de servidores back-end tiene un equilibrador de carga asociado que distribuye el trabajo en el grupo.

Sondeos de estado

Los sondeos de estado determinan qué servidores del grupo de back-end están disponibles para el equilibrio de carga. Application Gateway usa un sondeo de estado para enviar una solicitud a un servidor. Cuando el servidor devuelve una respuesta HTTP con un código de estado entre 200 y 399, se considera que el servidor está en buen estado. Si no configura un sondeo de estado, Application Gateway crea un sondeo predeterminado que espera 30 segundos antes de identificar un servidor como no disponible (incorrecto).