Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Megjegyzés:
Javasoljuk az Azure Az PowerShell modult használni az Azure-val való interakcióhoz. Az első lépésekhez tekintse meg Az Azure PowerShell telepítése témakört. Az Az PowerShell-modulba való migrálásról további információt az Azure PowerShell migrálása az AzureRM-ből az Az-be című témakörben talál.
A figyelő egy logikai entitás, amely a port, protokoll, gazdagép és IP-cím használatával ellenőrzi a bejövő kapcsolatkéréseket. A figyelő konfigurálásakor olyan értékeket kell megadnia, amelyek megfelelnek az átjáró bejövő kérésében szereplő megfelelő értékeknek.
Amikor az Azure Portal használatával hoz létre alkalmazásátjárót, egy alapértelmezett figyelőt is létrehoz a figyelő protokolljának és portjának kiválasztásával. Eldöntheti, hogy engedélyezi-e a HTTP2-támogatást a figyelőn. Az Application Gateway létrehozása után szerkesztheti az alapértelmezett figyelő (appGatewayHttpListener) beállításait, vagy létrehozhat új figyelőket.
Figyelő típusa
Amikor új figyelőt hoz létre, az alapszintű és többhelyszínes közül választhat.
Ha azt szeretné, hogy az összes kérés (bármely tartomány esetében) elfogadva és továbbítva legyen a háttérkészletekbe, válassza az alapszintű lehetőséget. Megtudhatja, hogyan hozhat létre alkalmazásátjárót egy alapszintű figyelővel.
Ha a kéréseket a host fejléc vagy a gazdagép neve alapján szeretné továbbítani a különböző háttérkészleteknek, válassza a többhelyes figyelőt. Az Application Gateway a HTTP 1.1-állomásfejlécek segítségével üzemeltet egynél több webhelyet ugyanarról a nyilvános IP-címről és portról. Az ugyanazon a porton lévő kérések megkülönböztetéséhez meg kell adnia egy állomásnevet, amely megfelel a bejövő kérésnek. További információ: több webhely üzemeltetése az Application Gateway használatával.
A figyelők feldolgozásának sorrendje
Az 1-es verzió termékváltozata esetében a kérelmek a szabályok sorrendjének és a figyelő típusának megfelelően vannak egyeztetve. Ha egy alapszintű figyelővel rendelkező szabály elsőként kerül a sorrendbe, akkor az először feldolgozásra kerül, és elfogadja az adott port- és IP-kombinációra vonatkozó kéréseket. Ennek elkerülése érdekében először konfigurálja a szabályokat több helyszínes figyelőkkel, és helyezze át a szabályt az alapszintű figyelővel a lista utolsó helyére.
A v2 SKU esetében a szabály prioritása határozza meg a hallgatók feldolgozásának sorrendjét. A helyettesítő karaktereket és az alapvető figyelőket olyan számmal kell meghatározni, amely nagyobb, mint a helyspecifikus és a többhelyes figyelőké, hogy a helyspecifikus és a többhelyes figyelők a helyettesítő karakterek és az alapvető figyelők előtt kerüljenek végrehajtásra.
Frontend IP cím
Válassza ki a figyelőhöz társítani kívánt előtérbeli IP-címet. A figyelő meghallgatja a bejövő kéréseket ezen az IP-címen.
Megjegyzés:
Az Application Gateway előtere támogatja a kettős veremű IP-címeket. Legfeljebb négy előtérbeli IP-címet hozhat létre: két IPv4-címet (nyilvános és privát) és két IPv6-címet (nyilvános és privát).
Előtérbeli port
Egy frontend port összekapcsolása. Kiválaszthat egy meglévő portot, vagy létrehozhat egy újat. Válasszon bármilyen értéket az engedélyezett porttartományból. Nem csak a jól ismert portokat, például a 80-as és a 443-as portot használhatja, hanem bármilyen engedélyezett egyéni portot is, amely megfelelő. Ugyanez a port használható a nyilvános és a privát figyelők számára is.
Megjegyzés:
Ha ugyanazzal a portszámmal rendelkező magán- és nyilvános figyelőket használ, az application gateway a bejövő folyamat "célhelyét" az átjáró előtérbeli IP-címére módosítja. Ezért a hálózati biztonsági csoport konfigurációjától függően szükség lehet egy bejövő szabályra, amely cél IP-címekkel rendelkezik az Application Gateway nyilvános és privát előtérbeli IP-címeiként.
Bejövő szabály:
- Forrás: (a követelménynek megfelelően)
- Cél IP-címek: Az application gateway nyilvános és privát előtérbeli IP-címei.
- Célport: (a figyelő konfigurációjának megfelelően)
- Protokoll: TCP
Kimenő szabály: (nincs meghatározott követelmény)
Protokoll
Válassza a HTTP vagy a HTTPS lehetőséget:
Ha HTTP-t választ, az ügyfél és az application gateway közötti forgalom titkosítatlan.
Válassza a HTTPS-t, ha TLS-lezárás vagy teljes körű TLS-titkosítást szeretne. Az ügyfél és az application gateway közötti forgalom titkosítva van, és a TLS-kapcsolat megszakad az application gatewayen. Ha teljes körű TLS-titkosítást szeretne a háttérbeli célhoz, akkor a háttérBELI HTTP-beállításon belül a HTTPS-t is ki kell választania. Ez biztosítja, hogy a forgalom titkosítva legyen, amikor az Application Gateway kapcsolatot kezdeményez a háttérbeli célhoz.
A TLS-megszakítás konfigurálásához TLS-/SSL-tanúsítványt kell hozzáadni a figyelőhöz. Ez lehetővé teszi, hogy az Application Gateway visszafejtse a bejövő forgalmat, és titkosítsa az ügyfél válaszforgalmát. Az Application Gatewaynek biztosított tanúsítványnak személyes adatcsere (PFX) formátumban kell lennie, amely tartalmazza a titkos és a nyilvános kulcsokat is.
Megjegyzés:
Ha TLS-tanúsítványt használ a Key Vaultból egy figyelőhöz, győződjön meg arról, hogy az Application Gateway mindig hozzáfér a csatolt kulcstartó-erőforráshoz és a benne lévő tanúsítványobjektumhoz. Ez lehetővé teszi a TLS-megszüntetési funkció zökkenőmentes műveleteit, és fenntartja az átjáró-erőforrás általános állapotát. Ha egy Application Gateway-erőforrás helytelenül konfigurált kulcstartót észlel, automatikusan letiltott állapotba helyezi a társított HTTPS-figyelőket. További információ.
Támogatott tanúsítványok
Tekintse meg az Application Gateway TLS-leállításának és végpontok közötti TLS-ének áttekintését
További protokolltámogatás
HTTP2-támogatás
A HTTP/2 protokoll támogatása csak az Application Gateway-figyelőkhöz csatlakozó ügyfelek számára érhető el. A háttérkiszolgáló-készletek közötti kommunikáció mindig HTTP/1.1. Alapértelmezés szerint a HTTP/2 támogatása le van tiltva. Az alábbi Azure PowerShell-kódrészlet bemutatja, hogyan engedélyezheti ezt:
$gw = Get-AzApplicationGateway -Name test -ResourceGroupName hm
$gw.EnableHttp2 = $true
Set-AzApplicationGateway -ApplicationGateway $gw
Fontos
Ha az Azure Portalon keresztül hoz létre alkalmazásátjáró-erőforrást, a HTTP2 alapértelmezett beállítása engedélyezve van. Létrehozáskor választhatja a Letiltva opciót, majd később az Azure portálon az Application gateway konfiguráció> területén az Engedélyezve kiválasztásával újra engedélyezheti a HTTP2 támogatást.
Azokban az esetekben, ahol az ügyfél nem támogatja a HTTP2-t, a HTTP1.1 lesz használva. A HTTP2 engedélyezése nem tiltja le a HTTP1.1-et; mindkettőt támogatja.
Megjegyzés:
Az Application Gateway csak a HTTP/2-t támogatja TLS-en keresztül (HTTPS-figyelők). A HTTP/2 Cleartext (h2c) protokoll http/1.1-ről történő frissítési kísérletei nem támogatottak, és 403 Tiltott hibát eredményeznek. A h2c-frissítéseket megkísérlő ügyfeleknek natív HTTP/2-kapcsolatokat kell használniuk HTTPS-en keresztül, vagy http/1.1-en kell maradniuk.
WebSocket támogatás
A WebSocket támogatása alapértelmezés szerint engedélyezve van. Nincs felhasználó által konfigurálható beállítás az engedélyezéséhez vagy letiltásához. A WebSocketeket HTTP- és HTTPS-figyelőkkel is használhatja.
Egyéni hibalapok
Az Application Gateway által visszaadott különböző válaszkódokhoz testre szabott hibaoldalakat határozhat meg. A hibalapok konfigurálható válaszkódjai a következők: 400, 403, 405, 408, 500, 502, 503 és 504. Globális szintű vagy figyelőspecifikus hibaoldal-konfigurációval részletes beállításokat állíthat be az egyes figyelőkhöz. További információ: Egyéni Application Gateway-hibalapok létrehozása.
Megjegyzés:
A háttérkiszolgálóról származó hibát az Application Gateway nem módosítva továbbítja az ügyfélnek.
TLS-szabályzat
Központosíthatja a TLS/SSL-tanúsítványkezelést, és csökkentheti a háttérkiszolgáló-farm titkosítás-visszafejtési többletterhelését. A központosított TLS-kezelés lehetővé teszi a biztonsági követelményeknek megfelelő központi TLS-szabályzat megadását is. Választhat előre definiált vagy egyéni TLS-szabályzatot.
A TLS-szabályzatot a TLS protokollverziók szabályozására konfigurálja. Úgy konfigurálhatja az alkalmazás-átjárót, hogy a TLS-kézfogásokhoz a TLS1.0, TLS1.1, TLS1.2 vagy TLS1.3 minimális protokollverziót használja. Alapértelmezés szerint az SSL 2.0 és 3.0 le van tiltva, és nem konfigurálható. További információkért tekintse meg az Application Gateway TLS-szabályzatának áttekintését.
Miután létrehozott egy figyelőt, hozzárendeli egy kérésirányító szabályhoz. Ez a szabály határozza meg, hogyan legyenek a hallgató által fogadott kérések átirányítva a háttérbe.