Az ILB App Service Environment és az Azure Application Gateway integrációja

  • Cikk

Az App Service-környezet a Azure-alkalmazás Szolgáltatás üzembe helyezése az ügyfél Azure-beli virtuális hálózatának alhálózatán. Az alkalmazáshoz való hozzáféréshez külső vagy belső végponttal is üzembe helyezhető. Az App Service-környezet belső végponttal való üzembe helyezését belső terheléselosztó (ILB) App Service-környezetnek (A Standard kiadás) nevezzük.

A webalkalmazási tűzfalak a bejövő webes forgalom vizsgálatával segítenek biztonságossá tenni a webalkalmazásokat, hogy blokkolják az SQL-injektálást, a helyek közötti szkriptelést, a kártevőfeltöltéseket és az alkalmazás DDoS-t és más támadásokat. WAF-eszközt az Azure Marketplace-ről, vagy a Azure-alkalmazás Átjárót is használhatja.

A Azure-alkalmazás Átjáró egy virtuális berendezés, amely 7. rétegbeli terheléselosztást, TLS/SSL-kiszervezést és webalkalmazási tűzfalat (WAF) biztosít. Figyelhet egy nyilvános IP-címet, és átirányíthatja a forgalmat az alkalmazásvégpontra. Az alábbi információk azt ismertetik, hogyan integrálható egy WAF-konfigurált alkalmazásátjáró egy alkalmazással egy ILB App Service-környezetben.

Az application gateway integrálása az ILB App Service-környezettel alkalmazásszinten történik. Amikor az Application Gatewayt az ILB App Service-környezettel konfigurálja, azt az ILB App Service-környezet adott alkalmazásaihoz használja. Ez a technika lehetővé teszi a biztonságos több-bérlős alkalmazások üzemeltetését egyetlen ILB App Service-környezetben.

Screenshot of High level integration diagram

A bemutató keretében a következő lépéseket fogja végrehajtani:

  • Hozzon létre egy Azure-alkalmazás-átjárót.
  • Konfigurálja az application gatewayt úgy, hogy egy alkalmazásra mutasson az ILB App Service-környezetben.
  • Szerkessze az application gatewayre ható nyilvános DNS-gazdagép nevét.

Előfeltételek

Az Application Gatewaynek az ILB App Service-környezettel való integrálásához a következőkre van szüksége:

  • ILB App Service-környezet.
  • Privát DNS-zóna az ILB App Service-környezethez.
  • Az ILB App Service-környezetben futó alkalmazás.
  • Egy nyilvános DNS-név, amely később az application gatewayre mutat.
  • Ha TLS-/SSL-titkosítást kell használnia az application gatewayhez, érvényes nyilvános tanúsítványra van szükség, amelyet az application gatewayhez való kötéshez használnak.

ILB App Service-környezet

Az ILB App Service-környezetek létrehozásával kapcsolatos részletekért lásd: A Standard kiadás létrehozása az Azure Portalon és A Standard kiadás LÉTREHOZÁSA ARM-sablonnal.

  • Az ILB A Standard kiadás létrehozása után az alapértelmezett tartomány a .<YourAseName>.appserviceenvironment.net

    Screenshot of ILB ASE Overview

  • A belső terheléselosztó ki van építve a bejövő hozzáféréshez. Az A Standard kiadás Gépház alatti IP-címeken ellenőrizheti a bejövő címet. Később létrehozhat egy erre az IP-címre leképezett privát DNS-zónát.

    Screenshot of getting the inbound address from ILB ASE IP addresses settings.

Privát DNS-zóna

A belső névfeloldáshoz privát DNS-zónára van szükség. Hozza létre az A Standard kiadás névvel az alábbi táblázatban látható rekordkészletek használatával (az utasításokért tekintse meg a rövid útmutatót – Azure-beli privát DNS-zóna létrehozása az Azure Portal használatával).

Név Típus Érték
* A A Standard kiadás bejövő cím
@ A A Standard kiadás bejövő cím
@ SOA A Standard kiadás DNS-név
*.Scm A A Standard kiadás bejövő cím

App Service az ILB A-n Standard kiadás

Létre kell hoznia egy App Service-csomagot és egy alkalmazást az ILB A-ben Standard kiadás. Az alkalmazás portálon való létrehozásakor válassza ki az ILB A Standard kiadás régióként.

Az application gateway nyilvános DNS-neve

Ahhoz, hogy az alkalmazásátjáróhoz az internetről csatlakozzon, egy nem módosítható tartománynévre van szüksége. Ebben az esetben egy routable tartománynevet asabuludemo.com használtam, és azt terveztem, hogy ezzel a tartománynévvel app.asabuludemo.comcsatlakozom egy App Service-hez. Az alkalmazástartománynévhez hozzárendelt IP-címet az Application Gateway nyilvános IP-címére kell beállítani az Application Gateway létrehozása után. Az Application Gatewayre leképezett nyilvános tartomány esetén nem kell egyéni tartományt konfigurálnia az App Service-ben. Egyéni tartománynevet az App Service Domains használatával vásárolhat.

Érvényes nyilvános tanúsítvány

A biztonság javítása érdekében ajánlott TLS-/SSL-tanúsítványt kötni a munkamenet-titkosításhoz. A TLS/SSL-tanúsítványnak az Application Gatewayhez való kötéséhez érvényes nyilvános tanúsítványra van szükség az alábbi információkkal. Az App Service-tanúsítványokkal TLS-/SSL-tanúsítványt vásárolhat, és .pfx formátumban exportálhatja.

Név szerint Érték Leírás
Köznapi név <yourappname>.<yourdomainname>például: app.asabuludemo.com
vagy *.<yourdomainname>például: *.asabuludemo.com		 Az Application Gateway standard tanúsítványa vagy helyettesítő tanúsítványa
Tulajdonos alternatív neve <yourappname>.scm.<yourdomainname>például: app.scm.asabuludemo.com
vagy *.scm.<yourdomainname>például: *.scm.asabuludemo.com		 Az App Service kudu szolgáltatáshoz való csatlakozást lehetővé tevő san. Ez egy opcionális beállítás, ha nem szeretné közzétenni az App Service kudu szolgáltatást az interneten.

A tanúsítványfájlnak titkos kulccsal kell rendelkeznie, és .pfx formátumban kell mentenie, a rendszer később importálja azt az Application Gatewaybe.

Application Gateway létrehozása

Az alkalmazásátjáró alapszintű létrehozásához tekintse meg a következő oktatóanyagot: Alkalmazásátjáró létrehozása webalkalmazási tűzfallal az Azure Portal használatával.

Ebben az oktatóanyagban az Azure Portal használatával hozunk létre egy alkalmazásátjárót az ILB App Service-környezettel.

Az Azure Portalon válassza az Új>hálózati>alkalmazásátjáró lehetőséget egy alkalmazásátjáró létrehozásához.

  1. Alapszintű beállítások

    A Réteg legördülő listában a Standard V2 vagy WAF V2 lehetőséget választva engedélyezheti a WAF szolgáltatást az application gatewayen.

  2. Előtérbeli beállítások

    Válassza az előtérbeli IP-címtípust nyilvános, privát vagy mindkettőre . Ha Privát vagy Mindkettő értékre van állítva, statikus IP-címet kell hozzárendelnie az Application Gateway alhálózati tartományához. Ebben az esetben csak nyilvános végpont esetén állítjuk be a nyilvános IP-címet.

    • Nyilvános IP-cím – Nyilvános IP-címet kell társítania az Application Gateway nyilvános hozzáféréséhez. Rögzítse ezt az IP-címet, később hozzá kell adnia egy rekordot a DNS-szolgáltatáshoz.

      Screenshot of getting a public IP address from the application gateway frontends setting.

  3. Háttérrendszer beállítása

    Adjon meg egy háttérkészletnevet, és válassza ki az App Services- vagy IP-címet vagy teljes tartománynevet céltípusban. Ebben az esetben az App Servicest állítjuk be, és a cél legördülő listából kiválasztjuk az App Service nevét.

    Screenshot of adding a backend pool name in backends setting.

  4. Konfigurációs beállítás

    A Konfiguráció beállításban útválasztási szabályt kell hozzáadnia az Útválasztási szabály hozzáadása ikon kiválasztásával.

    Screenshot of adding a routing rule in configuration setting.

    Egy útválasztási szabályban konfigurálnia kell egy figyelő- és háttérbeli célokat. Hozzáadhat egy HTTP-figyelőt a koncepció üzembe helyezésének ellenőrzéséhez, vagy hozzáadhat egy HTTPS-figyelőt a biztonsági fejlesztésekhez.

    • Ha HTTP protokollal szeretne csatlakozni az Application Gatewayhez, létrehozhat egy figyelőt a következő beállításokkal:

      Paraméter Érték Leírás
      Szabály neve Például: http-routingrule Útválasztás neve
      Figyelő neve Például: http-listener Figyelő neve
      Előtérbeli IP-cím Nyilvános Internet-hozzáférés esetén állítsa a Nyilvános értékre
      Protokoll HTTP Ne használjon TLS-/SSL-titkosítást
      Kikötő 80 Alapértelmezett HTTP-port
      Figyelő típusa Többhelyes Többhelyes figyelés engedélyezése az Application Gatewayen
      Gazdagép típusa Többszörös/helyettesítő karakter Ha a figyelő típusa több webhelyre van állítva, állítsa több vagy helyettesítő webhelynévre.
      Gazdagép neve Például: app.asabuludemo.com Beállítható tartománynév az App Service-hez

      Screenshot of HTTP Listener of the application gateway Routing Rule.

    • Ha TLS/SSL-titkosítással szeretne csatlakozni az application gatewayhez, létrehozhat egy figyelőt a következő beállításokkal:

      Paraméter Érték Leírás
      Szabály neve Például: https-routingrule Útválasztás neve
      Figyelő neve Például: https-listener Figyelő neve
      Előtérbeli IP-cím Nyilvános Internet-hozzáférés esetén állítsa a Nyilvános értékre
      Protokoll HTTPS TLS/SSL-titkosítás használata
      Kikötő 443 Alapértelmezett HTTPS-port
      HTTPS-beállítások Tanúsítvány feltöltése A tanúsítvány feltöltése tartalmazza a CN-t és a titkos kulcsot .pfx formátumban.
      Figyelő típusa Többhelyes Többhelyes figyelés engedélyezése az Application Gatewayen
      Gazdagép típusa Többszörös/helyettesítő karakter Ha a figyelő típusa több webhelyre van állítva, állítsa több vagy helyettesítő webhelynévre.
      Gazdagép neve Például: app.asabuludemo.com Beállítható tartománynév az App Service-hez

      HTTPS listener of the application gateway Routing Rule.

    • Háttérkészletet és HTTP-beállítást kell konfigurálnia a háttérbeli célokban. A háttérkészlet a korábbi lépésekben lett konfigurálva. HTTP-beállítás hozzáadásához válassza az Új hivatkozás hozzáadása lehetőséget.

      Screenshot of adding new link to add an H T T P setting.

    • HTTP-beállítások az alábbiak szerint:

      Paraméter Érték Leírás
      HTTP-beállítás neve Például: https-setting HTTP-beállítás neve
      Háttérprotokoll HTTPS TLS/SSL-titkosítás használata
      Háttérport 443 Alapértelmezett HTTPS-port
      Jól ismert hitelesítésszolgáltatói tanúsítvány használata Igen Az ILB A alapértelmezett tartományneve Standard kiadás a .appserviceenvironment.nettartomány tanúsítványát egy nyilvánosan megbízható legfelső szintű szolgáltató állítja ki. A Megbízható főtanúsítvány beállításban beállíthatja, hogy jól ismert megbízható hitelesítésszolgáltatói főtanúsítványt használjon.
      Felülbírálás új gazdagépnévvel Igen A gazdagépnév fejléce felülírva lesz az alkalmazáshoz való csatlakozáskor az ILB A-n Standard kiadás
      Állomásnév felülbírálása Gazdagépnév kiválasztása a háttérbeli célhelyről Ha a háttérkészletet App Service-re állítja, kiválaszthatja a gazdagépet a háttérbeli célhelyről
      Egyéni mintavételek létrehozása Nem Alapértelmezett állapotadat-mintavétel használata

      Screenshot of **Add an H T T P setting** dialog.

Application Gateway-integráció konfigurálása az ILB A-vel Standard kiadás

Az ILB A Standard kiadás az application gatewayről való eléréséhez ellenőriznie kell, hogy van-e virtuális hálózati kapcsolat a privát DNS-zónához. Ha nincs virtuális hálózat csatolva az application gateway virtuális hálózatához, adjon hozzá egy virtuális hálózati kapcsolatot a következő lépésekkel.

  • A virtuális hálózati kapcsolat privát DNS-zónával való konfigurálásához lépjen a privát DNS-zóna konfigurációs síkjára. Válassza ki a Virtuális hálózati hivatkozások>hozzáadása lehetőséget

Add a virtual network link to private DNS zone.

  • Adja meg a hivatkozás nevét , és válassza ki azt az előfizetést és virtuális hálózatot, amelyben az application gateway található.

Screenshot of input link name details to virtual network links setting in private DNS zone.

  • A háttérrendszer állapotának megerősítéséhez a háttérrendszer állapota az Application Gateway síkon található.

Screenshot of confirm the backend health status from backend health.

Nyilvános DNS-rekord hozzáadása

Megfelelő DNS-megfeleltetést kell konfigurálnia az application gateway internetről való elérésekor.

  • Az application gateway nyilvános IP-címe az Application Gateway síkjának előtérbeli IP-konfigurációiban található.

Application gateway frontend IP address can be found in Frontend IP configuration.

  • Használja például az Azure DNS szolgáltatást, hozzáadhat egy rekordkészletet, amely megfelelteti az alkalmazás tartománynevét az application gateway nyilvános IP-címére.

Screenshot of adding a record set to map the app domain name to the public IP address of the application gateway.

Kapcsolat ellenőrzése

  • Az internetről való gépi hozzáférés esetén ellenőrizheti az alkalmazás tartománynevének névfeloldásának értékét az Application Gateway nyilvános IP-címére.

validate the name resolution from a command prompt.

  • Az internetről való gépi hozzáférésen tesztelje a webes hozzáférést egy böngészőből.

Screenshot of opening a browser, access to the web.