Partager via


Protéger des applications web sur Azure VMware Solution avec Azure Application Gateway

Azure Application Gateway est un équilibreur de charge de trafic web de couche 7 qui vous permet de gérer le trafic vers vos applications web, proposé dans Azure VMware Solution v1.0 et v2.0. Les deux versions testées avec des applications web s’exécutant sur Azure VMware Solution.

Les fonctionnalités sont notamment :

  • Affinité de session basée sur les cookies
  • Routage basé sur des URL
  • Pare-feu d’applications web (WAF)

Pour obtenir la liste complète des fonctionnalités, consultez les fonctionnalités d’Azure Application Gateway.

Cet article vous montre comment utiliser Application Gateway devant une batterie de serveurs web pour protéger une application web s’exécutant sur Azure VMware Solution.

Topologie

Le diagramme montre comment Application Gateway est utilisé pour protéger les machines virtuelles Azure IaaS, les groupes de machines virtuelles identiques Azure ou les serveurs locaux. Application Gateway traite les machines virtuelles Azure VMware Solution en tant que serveurs locaux.

Diagramme montrant comment Application Gateway protège les machines virtuelles Azure IaaS, les groupes de machines virtuelles identiques Azure ou les serveurs locaux.

Important

Azure Application Gateway est la méthode recommandée pour exposer les applications web s’exécutant sur des machines virtuelles Azure VMware Solution.

Le diagramme montre le scénario de test utilisé pour valider Application Gateway avec des applications web Azure VMware Solution.

Diagramme montrant le scénario de test utilisé pour valider Application Gateway avec des applications web Azure VMware Solution.

L’instance Application Gateway est déployée sur le hub dans un sous-réseau dédié avec une adresse IP publique Azure. L’activation d’Azure DDoS Protection pour le réseau virtuel est recommandée. Le serveur web est hébergé sur un cloud privé Azure VMware Solution derrière les passerelles NSX T0 et T1. En outre, Azure VMware Solution utilise ExpressRoute Global Reach pour permettre la communication avec le hub et les systèmes locaux.

Conditions préalables

  • Un compte Azure avec un abonnement actif.
  • Un cloud privé Azure VMware Solution déployé et en cours d’exécution.

Déploiement et configuration

  1. Dans le portail Azure, recherchez Application Gateway et sélectionnez Créer une passerelle d’application.

  2. Fournissez les détails de base comme dans la figure suivante ; puis sélectionnez Suivant : Frontends>.

    Capture d’écran montrant la page Créer une passerelle d’application dans le portail Azure.

  3. Choisissez le type d’adresse IP frontale. Pour public, choisissez une adresse IP publique existante ou créez-en une. Sélectionnez Suivant : Backends>.

    Remarque

    Seules les références SKU Standard et WAF (Web Application Firewall) sont prises en charge pour les serveurs frontaux privés.

  4. Ajoutez un pool principal des machines virtuelles qui s’exécutent sur l’infrastructure Azure VMware Solution. Fournissez les détails des serveurs web qui s’exécutent sur le cloud privé Azure VMware Solution, puis sélectionnez Ajouter. Ensuite, sélectionnez Suivant : Configuration>.

  5. Sous l’onglet Configuration , sélectionnez Ajouter une règle de routage.

  6. Sous l’onglet Écouteur , fournissez les détails de l’écouteur. Si HTTPS est sélectionné, vous devez fournir un certificat, à partir d’un fichier PFX ou d’un certificat Azure Key Vault existant.

  7. Sélectionnez l’onglet Cibles du serveur principal et sélectionnez le pool principal précédemment créé. Pour le champ paramètres HTTP , sélectionnez Ajouter nouveau.

  8. Configurez les paramètres des paramètres HTTP. Sélectionnez Ajouter.

  9. Si vous souhaitez configurer des règles basées sur le chemin d’accès, sélectionnez Ajouter plusieurs cibles pour créer une règle basée sur le chemin d’accès.

  10. Ajoutez une règle basée sur le chemin d’accès, puis sélectionnez Ajouter. Répétez cette opération pour ajouter d’autres règles basées sur le chemin d’accès.

  11. Lorsque vous avez terminé d’ajouter des règles basées sur le chemin d’accès, sélectionnez Ajouter à nouveau, puis sélectionnez Suivant : Balises>.

  12. Ajoutez des balises, puis sélectionnez Suivant : Vérifier + Créer>.

  13. Une validation s’exécute sur votre application Gateway. Si elle réussit, sélectionnez Créer pour déployer.

Exemples de configuration

À présent, configurez Application Gateway avec des machines virtuelles Azure VMware Solution en tant que pools principaux pour les cas d’usage suivants :

Hébergement de plusieurs sites

Cette procédure vous montre comment définir des pools d’adresses back-end à l’aide de machines virtuelles s’exécutant sur un cloud privé Azure VMware Solution sur une passerelle d’application existante.

Remarque

Cette procédure suppose que vous avez plusieurs domaines, nous allons donc utiliser des exemples de www.contoso.com et www.contoso2.com.

  1. Dans votre cloud privé, créez deux pools de machines virtuelles différents. L’un représente Contoso et le deuxième contoso2.

    Capture d’écran montrant le résumé des détails d’un serveur web dans le client VMware vSphere.

    Nous avons utilisé Windows Server 2016 avec le rôle Iis (Internet Information Services) installé. Une fois les machines virtuelles installées, exécutez les commandes PowerShell suivantes pour configurer IIS sur chacune des machines virtuelles.

    Install-WindowsFeature -Name Web-Server
    Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)
    
  2. Dans une instance de passerelle d’application existante, sélectionnez Pools principaux dans le menu de gauche, sélectionnez Ajouter et entrez les détails des nouveaux pools. Sélectionnez Ajouter dans le volet droit.

    Capture d’écran de la page Pools de backend pour ajouter des pools de backend.

  3. Dans la section Écouteurs , créez un écouteur pour chaque site web. Entrez les détails de chaque écouteur, puis sélectionnez Ajouter.

  4. Sur la gauche, sélectionnez paramètres HTTP et sélectionnez Ajouter dans le volet gauche. Renseignez les détails pour créer un paramètre HTTP et sélectionnez Enregistrer.

    Capture d’écran de la page paramètres HTTP pour créer un paramètre HTTP.

  5. Créez les règles dans la section Règles du menu de gauche. Associez chaque règle à l’écouteur correspondant. Sélectionnez Ajouter.

  6. Configurez le pool principal et les paramètres HTTP correspondants. Sélectionnez Ajouter.

  7. Testez la connexion. Ouvrez votre navigateur préféré et accédez aux différents sites web hébergés dans votre environnement Azure VMware Solution.

    Capture d’écran de la page du navigateur montrant la réussite du test de la connexion.

Routage par URL

Les étapes suivantes définissent des pools d’adresses back-end à l’aide de machines virtuelles s’exécutant sur un cloud privé Azure VMware Solution. Le cloud privé se trouve sur une passerelle d’application existante. Il permet ensuite de définir des règles d’acheminement qui font en sorte que le trafic web arrive sur les serveurs voulus dans les pools.

  1. Dans votre cloud privé, créez un pool de machines virtuelles pour représenter la batterie de serveurs web.

    Capture d’écran de la page dans le client VMware vSphere montrant le résumé d’une autre machine virtuelle.

    Windows Server 2016 avec le rôle IIS installé a été utilisé pour illustrer ce didacticiel. Une fois les machines virtuelles installées, exécutez les commandes PowerShell suivantes pour configurer IIS pour chaque didacticiel sur les machines virtuelles.

    La première machine virtuelle, contoso-web-01, héberge le site web principal.

    Install-WindowsFeature -Name Web-Server
    Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)
    

    La deuxième machine virtuelle, contoso-web-02, héberge le site d’images.

    Install-WindowsFeature -Name Web-Server
    New-Item -Path "C:\inetpub\wwwroot\" -Name "images" -ItemType "directory"
    Add-Content -Path C:\inetpub\wwwroot\images\test.htm -Value $($env:computername)
    

    La troisième machine virtuelle, contoso-web-03, héberge le site vidéo.

    Install-WindowsFeature -Name Web-Server
    New-Item -Path "C:\inetpub\wwwroot\" -Name "video" -ItemType "directory"
    Add-Content -Path C:\inetpub\wwwroot\video\test.htm -Value $($env:computername)
    
  2. Ajoutez trois nouveaux pools principaux dans une instance de passerelle d’application existante.

    1. Sélectionnez Pools de back-ends dans le menu de gauche.
    2. Sélectionnez Ajouter et entrer les détails du premier pool, contoso-web.
    3. Ajoutez une machine virtuelle en tant que cible.
    4. Sélectionnez Ajouter.
    5. Répétez ce processus pour contoso-images et contoso-video, en ajoutant une machine virtuelle unique en tant que cible.

    Capture d’écran de la page Pools principaux montrant l’ajout de trois nouveaux pools principaux.

  3. Dans la section Écouteurs , créez un écouteur de type Basic à l’aide du port 8080.

  4. Dans le volet de navigation gauche, sélectionnez paramètres HTTP et sélectionnez Ajouter dans le volet gauche. Renseignez les détails pour créer un paramètre HTTP et sélectionnez Enregistrer.

    Capture d’écran de la page Ajouter un paramètre HTTP montrant la configuration des paramètres HTTP.

  5. Créez les règles dans la section Règles du menu de gauche et associez chaque règle à l’écouteur créé précédemment. Configurez ensuite le pool principal et les paramètres HTTP, puis sélectionnez Ajouter.

    Capture d’écran de la page Ajouter une règle de routage pour configurer des règles de routage sur une cible back-end.

  6. Testez la configuration. Accédez à la passerelle d’application sur le portail Azure et copiez l’adresse IP publique dans la section Vue d’ensemble .

    1. Ouvrez une nouvelle fenêtre de navigateur et entrez l’URL http://<app-gw-ip-address>:8080.

      Capture d’écran de la page du navigateur montrant le test réussi de la configuration.

    2. Changez l’URL en http://<app-gw-ip-address>:8080/images/test.htm.

      Capture d’écran d’un autre test réussi avec la nouvelle URL.

    3. Remplacez l’URL par http://<app-gw-ip-address>:8080/video/test.htm.

      Capture d’écran du test réussi avec l’URL finale.

Étapes suivantes

Maintenant que vous avez abordé l’utilisation d’Application Gateway pour protéger une application web s’exécutant sur Azure VMware Solution, en savoir plus sur :