Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Application Gateway-infrastruktúra magában foglalja a virtuális hálózatot, az alhálózatokat, a hálózati biztonsági csoportokat (NSG-ket) és a felhasználó által definiált útvonalakat (UDR-eket).
Virtuális hálózat és dedikált alhálózat
Az Application Gateway egy dedikált üzembe helyezés a virtuális hálózaton. A virtuális hálózaton belül dedikált alhálózatra van szükség az Application Gatewayhez. Egy adott Application Gateway-példány több példánya is lehet egy alhálózatban. Az alhálózaton más alkalmazásátjárókat is üzembe helyezhet. Az Application Gateway alhálózatán azonban nem helyezhet üzembe más erőforrásokat. Ugyanazon az alhálózaton nem keverheti az 1- és a 2-s verziós Application Gateway termékváltozatokat.
Megjegyzés:
A virtuális hálózati szolgáltatás végpontszabályzatai jelenleg nem támogatottak az Application Gateway alhálózatában.
Az alhálózat mérete
Az Application Gateway példányonként egy privát IP-címet használ, valamint egy másik privát IP-címet, ha egy privát előtérbeli IP-cím van konfigurálva.
Az Azure emellett minden alhálózatban öt IP-címet foglal le belső használatra. Ezek az első négy cím és az utolsó IP-címek. Fontolja meg például 15 Application Gateway-példányt, amely nem rendelkezik privát előtérbeli IP-címmel. Ehhez az alhálózathoz legalább 20 IP-cím szükséges. Belső használatra 5-re és az Application Gateway-példányokhoz 15-re van szükség.
Fontolja meg egy olyan alhálózatot, amely 27 Application Gateway-példányt és egy IP-címet biztosít egy privát előtérbeli IP-címhez. Ebben az esetben 33 IP-címre van szüksége. Az Application Gateway-példányokhoz 27 példány szükséges, egy a privát előtérhez, és 5 belső használatra.
Az Application Gateway (Standard vagy WAF SKU) legfeljebb 32 példányt támogat (32 példányhoz tartozó IP-címek + 1 privát frontend IP konfiguráció + 5 Azure által fenntartott). Javasoljuk, hogy legalább /26 alhálózatméretet adjon meg.
Az Application Gateway (Standard_v2 vagy WAF_v2 SKU) legfeljebb 125 példány támogatására képes, amely magában foglalja a 125 példány IP-címét, egy privát frontend IP-konfigurációt, valamint 5 Azure által fenntartott címet. Javasoljuk egy minimális alhálózat méretet, amely /24.
Egy olyan alhálózat rendelkezésre álló kapacitásának meghatározásához, amely rendelkezik meglévő alkalmazásátjárókkal, vegye fel az alhálózat méretét, és vonja ki a platform által fenntartott alhálózat öt fenntartott IP-címét. Ezután vegye fel az egyes átjárók számát, és vonja ki a példányok maximális számát. Minden privát előtérbeli IP-konfigurációval rendelkező átjáró esetében vonjon ki átjárónként egy újabb IP-címet.
Az alábbiakban például kiszámíthatja egy három különböző méretű átjáróval rendelkező alhálózat elérhető címzését:
- 1. átjáró: Legfeljebb 10 példány. Privát előtérbeli IP-konfigurációt használ.
- 2. átjáró: Legfeljebb 2 példány. Nincs privát előtérbeli IP-konfiguráció.
- Gateway 3: Legfeljebb 15 példány. Privát előtérbeli IP-konfigurációt használ.
-
Alhálózat mérete: /24
- Alhálózat mérete /24 = 256 IP-cím – 5 cím fenntartva a platform által = 251 elérhető IP-cím
- 251: Gateway 1 (10) – 1 privát előtérbeli IP-konfiguráció = 240
- 240: Átjáró 2 (2) = 238
- 238: 3. átjáró (15) – 1 privát előtérbeli IP-konfiguráció = 222
Fontos
Bár az Application Gateway v2 termékváltozatának telepítése nem igényel /24 alhálózatot, erősen ajánljuk. A /24 alhálózat biztosítja, hogy az Application Gateway v2-ben elegendő hely legyen a bővítési és karbantartási frissítések automatikus skálázására.
Győződjön meg arról, hogy az Application Gateway v2 alhálózata elegendő címtérrel rendelkezik a maximálisan várt forgalom kiszolgálásához szükséges példányok számának elhelyezéséhez. Ha megadja a példányok maximális számát, az alhálózatnak legalább ennyi címhez kapacitással kell rendelkeznie. A példányszámra vonatkozó kapacitástervezéshez lásd: Példányszám részletei.
A névvel ellátott GatewaySubnet alhálózat VPN-átjárók számára van fenntartva. Azok az erőforrások, amelyek az GatewaySubnet alhálózatot használják, és az Application Gateway v1-hez tartoznak, át kell kerüljenek egy másik alhálózatra, vagy migrálva kell legyenek a v2 SKU-ra 2023. szeptember 30-a előtt, hogy elkerülje a vezérlősík meghibásodásait és platform inkonzisztenciákat. A meglévő Application Gateway-példány alhálózatának módosításáról további információt az Application Gateway szolgáltatással kapcsolatos gyakori kérdésekben talál.
Jótanács
Az IP-címek a gateway példányok számára meghatározott alhálózati tér elejétől vannak lefoglalva. Mivel a példányok átjárók létrehozása vagy skálázási események miatt jönnek létre és távolíthatók el, nehéz lehet megérteni, hogy mi a következő elérhető cím az alhálózatban. Ha meg szeretné tudni határozni a jövőbeli átjáróhoz használni kívánt következő címet, és egy összefüggő címzési témát szeretne használni az előtérbeli IP-címekhez, fontolja meg az előtérbeli IP-címek hozzárendelését a megadott részhalmazterület felső feléből.
Ha például az alhálózat címtere 10.5.5.0/24, Fontolja meg az átjárók privát előtérbeli IP-konfigurációjának beállítását a 10.5.5.254-től kezdődően, majd a 10.5.5.253,10.5.5.252- és 10.5.5.251-től kezdődően, és így tovább a jövőbeli átjárók esetében.
Egy meglévő Application Gateway-példány alhálózata módosítható ugyanazon a virtuális hálózaton belül. A módosításhoz használja az Azure PowerShellt vagy az Azure CLI-t. További információ: Az Application Gateway szolgáltatással kapcsolatos gyakori kérdések.
DNS-kiszolgálók névfeloldáshoz
A virtuális hálózati erőforrás támogatja a DNS-kiszolgáló konfigurációját, amely lehetővé teszi az Azure által biztosított alapértelmezett vagy egyéni DNS-kiszolgálók közötti választást. Az Application Gateway példányai is tiszteletben tartják ezt a DNS-konfigurációt bármilyen névfeloldás esetén. A beállítás módosítása után újra kell indítania (leállítás és indítás) az application gatewayt, hogy ezek a módosítások érvénybe lépjenek a példányokon.
Amikor az Application Gateway egy példánya DNS-lekérdezést ad ki, a kiszolgálótól kapott értéket használja, amely először válaszol.
Megjegyzés:
Ha egyéni DNS-kiszolgálókat használ az Application Gateway virtuális hálózatában, a DNS-kiszolgálónak képesnek kell lennie a nyilvános internetes nevek feloldására. Az Application Gateway megköveteli ezt a képességet.
Virtuális hálózati engedély
Az Application Gateway-erőforrás egy virtuális hálózaton belül van üzembe helyezve, ezért a rendszer ellenőrzi a virtuális hálózati erőforrás engedélyét is. Ez az ellenőrzés mind a létrehozási, mind a felügyeleti műveletek során történik, és az Application Gateway bejövőforgalom-vezérlőjének felügyelt identitására is vonatkozik.
Ellenőrizze az Azure szerepköralapú hozzáférés-vezérlését annak ellenőrzéséhez, hogy az application gatewayeket üzemeltető felhasználók és szolgáltatásnevek rendelkeznek-e legalább a következő engedélyekkel a virtuális hálózaton vagy alhálózaton:
- Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet
- Microsoft.Network/virtualNetworks/alhálózatok/olvasás
Használhatja a beépített szerepköröket, például a hálózati közreműködőt, amely már támogatja ezeket az engedélyeket. Ha egy beépített szerepkör nem adja meg a megfelelő engedélyt, létrehozhat és hozzárendelhet egy egyéni szerepkört. További információ az alhálózati engedélyek kezeléséről.
Engedélyek
Attól függően, hogy új erőforrásokat hoz létre vagy meglévőket használ, adja hozzá a megfelelő engedélyeket a következő listából:
| erőforrás | Erőforrás állapota | Szükséges Azure-engedélyek |
|---|---|---|
| Alhálózat | Új elem létrehozása | - Microsoft.Network/virtualNetworks/alhálózatok/írás - Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet |
| Alhálózat | Meglévőt használni | - Microsoft.Network/virtualNetworks/alhálózatok/olvasás - Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet |
| IP-címek | Új elem létrehozása | - Microsoft.Network/publicIPAddresses/write - Microsoft.Network/publicIPAddresses/join/action |
| IP-címek | Meglévőt használni | - Microsoft.Network/publicIPAddresses/read - Microsoft.Network/publicIPAddresses/join/action |
| ApplicationGatewayWebApplicationFirewallPolicies | Új/ meglévő frissítés létrehozása | - Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/write -Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/read - Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/join/action |
További információ: Azure-engedélyek a hálózatkezeléshez és a virtuális hálózati engedélyekhez.
Megjegyzés:
Az Application Gateway azure-beli felügyelt alkalmazás részeként történő üzembe helyezésekor győződjön meg arról, hogy a megtagadási hozzárendelések nem ütköznek az RBAC-tulajdonos szerepkör-hozzárendelésével, mivel a megtagadási hozzárendelések elsőbbséget élveznek az RBAC-engedélyekkel szemben.
Szerepkörök hatóköre
Az egyéni szerepkördefiníció folyamatában négy szinten adhat meg szerepkör-hozzárendelési hatókört: felügyeleti csoport, előfizetés, erőforráscsoport és erőforrások. A hozzáférés biztosításához szerepköröket rendelhet hozzá egy adott hatókörben lévő felhasználókhoz, csoportokhoz, szolgáltatásnevekhez vagy felügyelt identitásokhoz. Ezeket a hatásköröket szülő-gyermek kapcsolatban strukturálják, ahol a hierarchia minden egyes szintje konkrétabbá teszi a hatáskört. A szerepköröket a hatókör bármelyik szintjén hozzárendelheti, és a kiválasztott szint határozza meg, hogy a szerepkör milyen széles körben legyen alkalmazva. Az előfizetés szintjén hozzárendelt szerepkörök például az előfizetés összes erőforrására lekonkkádhatók, míg az erőforráscsoport szintjén hozzárendelt szerepkörök csak az adott csoporton belüli erőforrásokra vonatkoznak. Tudjon meg többet a hatókör szintjeiről. További információért lásd: Hatókör szintek.
Megjegyzés:
Előfordulhat, hogy elegendő időt kell hagynia az Azure Resource Manager gyorsítótárának frissítésére a szerepkör-hozzárendelés módosítása után.
Az előfizetés érintett felhasználóinak vagy szolgáltatásneveinek azonosítása
A fiókjához tartozó Azure Advisor felkeresésével ellenőrizheti, hogy az előfizetése rendelkezik-e nem megfelelő engedélyekkel rendelkező felhasználókkal vagy szolgáltatásnevekkel. A javaslat részletei a következők:
Cím: Az Alkalmazásátjáró felhasználók VNet jogosultságainak frissítése
Kategória: Megbízhatóság
Hatás: Magas
Az Azure Feature Exposure Control (AFEC) ideiglenes jelzőjének használata
Ideiglenes bővítményként bevezettünk egy előfizetésszintű Azure Feature Exposure Control (AFEC) szolgáltatást. Regisztrálhat az AFEC-re, és használhatja addig, amíg meg nem oldja az összes felhasználó és szolgáltatásfőelem engedélyeinek problémáját. Regisztráljon a szolgáltatásra az Azure-előfizetés előzetes verziójú szolgáltatásregisztrációjával megegyező lépésekkel.
Név: Microsoft.Network/DisableApplicationGatewaySubnetPermissionCheck
Description: Disable Application Gateway Subnet Permission Check
ProviderNamespace: Microsoft.Network
EnrollmentType: AutoApprove
Megjegyzés:
Javasoljuk, hogy az AFEC-rendelkezést csak ideiglenes megoldásként használja, amíg a megfelelő engedélyt nem rendeli hozzá. Fontossági sorrendbe kell állítania az összes érintett felhasználó (és szolgáltatásnév) engedélyeinek javítását, majd meg kell szüntetnie az AFEC-jelző regisztrációját a virtuális hálózati erőforrás engedélyellenőrzésének újbóli bevezetéséhez. Javasoljuk, hogy ne függjön véglegesen az AFEC metódustól, mert a jövőben el lesz távolítva.
Azure Virtual Network Manager
Az Azure Virtual Network Manager egy felügyeleti szolgáltatás, amely lehetővé teszi a virtuális hálózatok globális csoportosítását, konfigurálását, üzembe helyezését és kezelését az előfizetések között. A Virtual Network Managerrel hálózati csoportokat határozhat meg a virtuális hálózatok azonosításához és logikai szegmentálásához. Ezt követően meghatározhatja a kívánt kapcsolati és biztonsági konfigurációkat, és alkalmazhatja őket a hálózati csoportokban lévő összes kiválasztott virtuális hálózatra.
Az Azure Virtual Network Manager biztonsági rendszergazdai szabálykonfigurációja lehetővé teszi a biztonsági szabályzatok méretezését, és egyszerre több virtuális hálózatra való alkalmazását.
Megjegyzés:
Az Azure Virtual Network Manager biztonsági rendszergazdai szabályai csak azokra az Application Gateway-alhálózatokra vonatkoznak, amelyek engedélyezve van a hálózati elkülönítéssel rendelkező alkalmazásátjárókat tartalmazzák. A hálózatelkülönítést letiltó alkalmazásátjárókkal rendelkező alhálózatok nem rendelkeznek biztonsági rendszergazdai szabályokkal.
Hálózati biztonsági csoportok
Használhat NSG-ket az Application Gateway-alhálózathoz, de tisztában kell lennie néhány fontos ponttal és korlátozásokkal.
Fontos
Ezek az NSG-korlátozások a Privát Application Gateway üzembe helyezésekor enyhülnek.
Kötelező biztonsági szabályok
Ha NSG-t szeretne használni az Application Gateway használatával, létre kell hoznia vagy meg kell őriznie néhány alapvető biztonsági szabályt. A prioritást ugyanabban a sorrendben állíthatja be.
Bejövő szabályok
Ügyfélforgalom: Bejövő forgalom engedélyezése a várt ügyfelekről (forrás IP-címként vagy IP-címtartományként), valamint a cél számára, mint az Application Gateway teljes alhálózati IP-előtagja és bejövő hozzáférési portja. Ha például figyelők vannak konfigurálva a 80-s és a 443-as portokhoz, engedélyeznie kell ezeket a portokat. Ezt a szabályt a következőre is beállíthatja: Any.
| Forrás | Forrásportok | Úti cél | Célportok | Protokoll | Hozzáférés |
|---|---|---|---|---|---|
<as per need> |
Bármely | <Subnet IP Prefix> |
<listener ports> |
TCP | Engedélyezve |
Miután az aktív nyilvános és privát figyelőket ( szabályokkal) ugyanazzal a portszámmal konfigurálta, az Application Gateway az összes bejövő folyamat célhelyét az átjáró előtérbeli IP-címére módosítja. Ez a változás olyan figyelők esetében is előfordul, akik nem osztanak meg portot. Ha ugyanazt a portkonfigurációt használja, meg kell adnia az átjáró előtérbeli nyilvános és privát IP-címét a bejövő szabály célhelyén .
| Forrás | Forrásportok | Úti cél | Célportok | Protokoll | Hozzáférés |
|---|---|---|---|---|---|
<as per need> |
Bármely | <Public and Private frontend IPs> |
<listener ports> |
TCP | Engedélyezve |
Infrastruktúra-portok: Engedélyezze a forrásból érkező bejövő kéréseket a GatewayManager szolgáltatáscímkéjeként és bármely célhelyként. A célportok tartománya a termékváltozattól függően eltérő, és a háttérrendszer állapotának közléséhez szükséges. Ezeket a portokat Azure-tanúsítványok védik/zárolják. A külső entitások nem kezdeményezhetnek módosításokat ezeken a végpontokon megfelelő tanúsítványok nélkül.
- V2: 65200-65535-ös portok
- V1: Portok 65503-65534
| Forrás | Forrásportok | Úti cél | Célportok | Protokoll | Hozzáférés |
|---|---|---|---|---|---|
| GatewayManager | Bármely | Bármely | <as per SKU given above> |
TCP | Engedélyezve |
Jótanács
A Gateway Manager szolgáltatással folytatott kommunikáció alapértelmezés szerint regionális.
Azure Load Balancer-próbák: Engedélyezi a forrásból érkező bejövő forgalmat az AzureLoadBalancer szolgáltatáscímkével. Ez a szabály alapértelmezés szerint az NSG-k számára jön létre. Nem szabad manuális tiltó szabállyal felülbírálnia az alkalmazás átjárót annak zökkenőmentes működésének biztosítása érdekében.
| Forrás | Forrásportok | Úti cél | Célportok | Protokoll | Hozzáférés |
|---|---|---|---|---|---|
| Azure Terheléselosztó | Bármely | Bármely | Bármely | Bármely | Engedélyezve |
Az összes többi bejövő forgalmat letilthatja egy Deny All szabály használatával.
Kimenő szabályok
Kimenő forgalom az internetre: Az internet felé irányuló kimenő forgalom engedélyezése az összes célhelyen. Ez a szabály alapértelmezés szerint az NSG-k számára jön létre. Nem szabad manuális tiltó szabállyal felülbírálnia az alkalmazás átjárót annak zökkenőmentes működésének biztosítása érdekében. A kimenő kapcsolatokat megtagadó kimenő NSG-szabályokat nem szabad létrehozni.
| Forrás | Forrásportok | Úti cél | Célportok | Protokoll | Hozzáférés |
|---|---|---|---|---|---|
| Bármely | Bármely | internet | Bármely | Bármely | Engedélyezve |
Megjegyzés:
A hálózatelkülönítést nem engedélyező Application Gateway-átjárók nem engedélyezik a társhálózatok közötti forgalom küldését, ha a távoli virtuális hálózat felé irányuló forgalom le van tiltva.
Támogatott, felhasználó által megadott útvonalak
Az Application Gateway alhálózatának részletes vezérlése útvonaltábla-szabályokon keresztül lehetséges. További információ: Privát Application Gateway üzembe helyezése.
A jelenlegi funkciókkal bizonyos korlátozások vannak érvényben.
Fontos
Az Application Gateway alhálózatán az UDR-ek használata miatt a háttérállapot-nézetben az állapot ismeretlenként jelenhet meg. Emellett az Application Gateway-naplók és metrikák létrehozása is meghiúsulhat. Javasoljuk, hogy ne használjunk UDR-eket az Application Gateway alhálózatán, hogy megtekinthesse a háttérrendszer állapotát, naplóit és metrikáit.
v1: A v1 termékváltozat esetében az Application Gateway alhálózatán az UDR-ek támogatottak, ha nem módosítják a végpontok közötti kérés-válasz kommunikációt. Beállíthat például egy olyan UDR-t az Application Gateway-alhálózaton, amely tűzfalberendezésre mutat csomagvizsgálathoz. Meg kell azonban győződnie arról, hogy a csomag el tudja érni a kívánt célállomást a vizsgálatot követően. Ennek elmulasztása helytelen állapottesztelési vagy forgalomirányítási működést eredményezhet. Az Azure ExpressRoute vagy a virtuális hálózat VPN-átjárói által propagált tanult útvonalak vagy alapértelmezett 0.0.0.0/0-s útvonalak is szerepelnek.
v2: A v2 termékváltozat esetében támogatott és nem támogatott forgatókönyvek vannak.
v2 támogatott forgatókönyvek
Figyelmeztetés
Az útvonaltábla helytelen konfigurációja aszimmetrikus útválasztást eredményezhet az Application Gateway 2-es verziójában. Győződjön meg arról, hogy az összes felügyeleti/vezérlősík-forgalmat közvetlenül az internetre küldi, nem pedig egy virtuális berendezésen keresztül. A naplózás, a metrikák és a CRL-ellenőrzések is érintettek lehetnek.
1. forgatókönyv: UDR a Border Gateway Protocol (BGP) útvonal-propagálásának letiltásához az Application Gateway alhálózatra
Előfordulhat, hogy az alapértelmezett átjáróútvonal (0.0.0.0/0) az Application Gateway virtuális hálózatához társított ExpressRoute- vagy VPN-átjárókon keresztül van meghirdetve. Ez a viselkedés megszakítja a felügyeleti sík adatforgalmát, amely közvetlen internetes útvonalat igényel. Ilyen esetekben UDR használatával letilthatja a BGP-útvonalak propagálását.
A BGP-útvonalak propagálásának letiltása:
- Útvonaltábla-erőforrás létrehozása az Azure-ban.
- Tiltsa le a virtuális hálózati átjáró útvonal-propagálási paraméterét .
- Társítsa az útvonaltáblát a megfelelő alhálózathoz.
Az UDR engedélyezése ebben a forgatókönyvben nem szakíthatja meg a meglévő beállításokat.
2. forgatókönyv: Az UDR a 0.0.0.0/0 címét közvetlenül az internetre irányítja.
Létrehozhat egy UDR-t, amellyel közvetlenül az internetre küldhet 0.0.0.0/0 forgalmat.
3. forgatókönyv: UDR az Azure Kubernetes Service (AKS) esetében a kubenet használatával
Ha kubenetet használ az AKS-sel és az Application Gateway bejövőforgalom-vezérlőjével, szüksége van egy útvonaltáblára, amely lehetővé teszi, hogy az Application Gatewayről a podokra küldött forgalom a megfelelő csomópontra legyen irányítva. Az Azure Container Networking Interface használata esetén nem kell útvonaltáblát használnia.
Az útvonaltábla használata a kubenet működésének engedélyezéséhez:
Nyissa meg az AKS által létrehozott erőforráscsoportot. Az erőforráscsoport nevének a következővel kell kezdődnie
MC_: .Keresse meg az AKS által az adott erőforráscsoportban létrehozott útvonaltáblát. Az útvonaltáblát a következő információkkal kell feltölteni:
- A címelőtagnak az AKS-ben elérni kívánt podok IP-tartományának kell lennie.
- A következő hop típusnak virtuális készüléknek kell lennie.
- A következő ugrási címnek a podokat üzemeltető csomópont IP-címének kell lennie.
Társítsa ezt az útvonaltáblát az Application Gateway alhálózatához.
v2 nem támogatott forgatókönyvek
1. forgatókönyv: UDR virtuális berendezésekhez
A v2 nem támogatja, ha a 0.0.0.0/0 átirányításra kerül virtuális eszközön, hub/spoke hálózaton vagy helyszíni hálózaton keresztül (kényszerített alagútkezelés).
Kiegészítő szolgáltatások
Más szolgáltatások szerepköreinek és engedélyeinek megtekintéséhez tekintse meg az alábbi hivatkozásokat: