Az ILB App Service Environment és az Azure Application Gateway integrációja
Az App Service-környezet a Azure-alkalmazás Szolgáltatás üzembe helyezése az ügyfél Azure-beli virtuális hálózatának alhálózatán. Az alkalmazáshoz való hozzáféréshez külső vagy belső végponttal is üzembe helyezhető. Az App Service-környezet belső végponttal való üzembe helyezését belső terheléselosztó (ILB) App Service-környezetnek (A Standard kiadás) nevezzük.
A webalkalmazási tűzfalak a bejövő webes forgalom vizsgálatával segítenek biztonságossá tenni a webalkalmazásokat, hogy blokkolják az SQL-injektálást, a helyek közötti szkriptelést, a kártevőfeltöltéseket és az alkalmazás DDoS-t és más támadásokat. WAF-eszközt az Azure Marketplace-ről, vagy a Azure-alkalmazás Átjárót is használhatja.
A Azure-alkalmazás Átjáró egy virtuális berendezés, amely 7. rétegbeli terheléselosztást, TLS/SSL-kiszervezést és webalkalmazási tűzfalat (WAF) biztosít. Figyelhet egy nyilvános IP-címet, és átirányíthatja a forgalmat az alkalmazásvégpontra. Az alábbi információk azt ismertetik, hogyan integrálható egy WAF-konfigurált alkalmazásátjáró egy alkalmazással egy ILB App Service-környezetben.
Az application gateway integrálása az ILB App Service-környezettel alkalmazásszinten történik. Amikor az Application Gatewayt az ILB App Service-környezettel konfigurálja, azt az ILB App Service-környezet adott alkalmazásaihoz használja. Ez a technika lehetővé teszi a biztonságos több-bérlős alkalmazások üzemeltetését egyetlen ILB App Service-környezetben.
A bemutató keretében a következő lépéseket fogja végrehajtani:
- Hozzon létre egy Azure-alkalmazás-átjárót.
- Konfigurálja az application gatewayt úgy, hogy egy alkalmazásra mutasson az ILB App Service-környezetben.
- Szerkessze az application gatewayre ható nyilvános DNS-gazdagép nevét.
Előfeltételek
Az Application Gatewaynek az ILB App Service-környezettel való integrálásához a következőkre van szüksége:
- ILB App Service-környezet.
- Privát DNS-zóna az ILB App Service-környezethez.
- Az ILB App Service-környezetben futó alkalmazás.
- Egy nyilvános DNS-név, amely később az application gatewayre mutat.
- Ha TLS-/SSL-titkosítást kell használnia az application gatewayhez, érvényes nyilvános tanúsítványra van szükség, amelyet az application gatewayhez való kötéshez használnak.
ILB App Service-környezet
Az ILB App Service-környezetek létrehozásával kapcsolatos részletekért lásd: A Standard kiadás létrehozása az Azure Portalon és A Standard kiadás LÉTREHOZÁSA ARM-sablonnal.
Az ILB A Standard kiadás létrehozása után az alapértelmezett tartomány a .
<YourAseName>.appserviceenvironment.net
A belső terheléselosztó ki van építve a bejövő hozzáféréshez. Az A Standard kiadás Gépház alatti IP-címeken ellenőrizheti a bejövő címet. Később létrehozhat egy erre az IP-címre leképezett privát DNS-zónát.
Privát DNS-zóna
A belső névfeloldáshoz privát DNS-zónára van szükség. Hozza létre az A Standard kiadás névvel az alábbi táblázatban látható rekordkészletek használatával (az utasításokért tekintse meg a rövid útmutatót – Azure-beli privát DNS-zóna létrehozása az Azure Portal használatával).
Név | Típus | Érték |
---|---|---|
* | A | A Standard kiadás bejövő cím |
@ | A | A Standard kiadás bejövő cím |
@ | SOA | A Standard kiadás DNS-név |
*.Scm | A | A Standard kiadás bejövő cím |
App Service az ILB A-n Standard kiadás
Létre kell hoznia egy App Service-csomagot és egy alkalmazást az ILB A-ben Standard kiadás. Az alkalmazás portálon való létrehozásakor válassza ki az ILB A Standard kiadás régióként.
Az application gateway nyilvános DNS-neve
Ahhoz, hogy az alkalmazásátjáróhoz az internetről csatlakozzon, egy nem módosítható tartománynévre van szüksége. Ebben az esetben egy routable tartománynevet asabuludemo.com
használtam, és azt terveztem, hogy ezzel a tartománynévvel app.asabuludemo.com
csatlakozom egy App Service-hez. Az alkalmazástartománynévhez hozzárendelt IP-címet az Application Gateway nyilvános IP-címére kell beállítani az Application Gateway létrehozása után.
Az Application Gatewayre leképezett nyilvános tartomány esetén nem kell egyéni tartományt konfigurálnia az App Service-ben. Egyéni tartománynevet az App Service Domains használatával vásárolhat.
Érvényes nyilvános tanúsítvány
A biztonság javítása érdekében ajánlott TLS-/SSL-tanúsítványt kötni a munkamenet-titkosításhoz. A TLS/SSL-tanúsítványnak az Application Gatewayhez való kötéséhez érvényes nyilvános tanúsítványra van szükség az alábbi információkkal. Az App Service-tanúsítványokkal TLS-/SSL-tanúsítványt vásárolhat, és .pfx formátumban exportálhatja.
Név szerint | Érték | Leírás |
---|---|---|
Köznapi név | <yourappname>.<yourdomainname> például: app.asabuludemo.com vagy *.<yourdomainname> például: *.asabuludemo.com |
Az Application Gateway standard tanúsítványa vagy helyettesítő tanúsítványa |
Tulajdonos alternatív neve | <yourappname>.scm.<yourdomainname> például: app.scm.asabuludemo.com vagy *.scm.<yourdomainname> például: *.scm.asabuludemo.com |
Az App Service kudu szolgáltatáshoz való csatlakozást lehetővé tevő san. Ez egy opcionális beállítás, ha nem szeretné közzétenni az App Service kudu szolgáltatást az interneten. |
A tanúsítványfájlnak titkos kulccsal kell rendelkeznie, és .pfx formátumban kell mentenie, a rendszer később importálja azt az Application Gatewaybe.
Application Gateway létrehozása
Az alkalmazásátjáró alapszintű létrehozásához tekintse meg a következő oktatóanyagot: Alkalmazásátjáró létrehozása webalkalmazási tűzfallal az Azure Portal használatával.
Ebben az oktatóanyagban az Azure Portal használatával hozunk létre egy alkalmazásátjárót az ILB App Service-környezettel.
Az Azure Portalon válassza az Új>hálózati>alkalmazásátjáró lehetőséget egy alkalmazásátjáró létrehozásához.
Alapszintű beállítások
A Réteg legördülő listában a Standard V2 vagy WAF V2 lehetőséget választva engedélyezheti a WAF szolgáltatást az application gatewayen.
Előtérbeli beállítások
Válassza az előtérbeli IP-címtípust nyilvános, privát vagy mindkettőre . Ha Privát vagy Mindkettő értékre van állítva, statikus IP-címet kell hozzárendelnie az Application Gateway alhálózati tartományához. Ebben az esetben csak nyilvános végpont esetén állítjuk be a nyilvános IP-címet.
Nyilvános IP-cím – Nyilvános IP-címet kell társítania az Application Gateway nyilvános hozzáféréséhez. Rögzítse ezt az IP-címet, később hozzá kell adnia egy rekordot a DNS-szolgáltatáshoz.
Háttérrendszer beállítása
Adjon meg egy háttérkészletnevet, és válassza ki az App Services- vagy IP-címet vagy teljes tartománynevet céltípusban. Ebben az esetben az App Servicest állítjuk be, és a cél legördülő listából kiválasztjuk az App Service nevét.
Konfigurációs beállítás
A Konfiguráció beállításban útválasztási szabályt kell hozzáadnia az Útválasztási szabály hozzáadása ikon kiválasztásával.
Egy útválasztási szabályban konfigurálnia kell egy figyelő- és háttérbeli célokat. Hozzáadhat egy HTTP-figyelőt a koncepció üzembe helyezésének ellenőrzéséhez, vagy hozzáadhat egy HTTPS-figyelőt a biztonsági fejlesztésekhez.
Ha HTTP protokollal szeretne csatlakozni az Application Gatewayhez, létrehozhat egy figyelőt a következő beállításokkal:
Paraméter Érték Leírás Szabály neve Például: http-routingrule
Útválasztás neve Figyelő neve Például: http-listener
Figyelő neve Előtérbeli IP-cím Nyilvános Internet-hozzáférés esetén állítsa a Nyilvános értékre Protokoll HTTP Ne használjon TLS-/SSL-titkosítást Kikötő 80 Alapértelmezett HTTP-port Figyelő típusa Többhelyes Többhelyes figyelés engedélyezése az Application Gatewayen Gazdagép típusa Többszörös/helyettesítő karakter Ha a figyelő típusa több webhelyre van állítva, állítsa több vagy helyettesítő webhelynévre. Gazdagép neve Például: app.asabuludemo.com
Beállítható tartománynév az App Service-hez Ha TLS/SSL-titkosítással szeretne csatlakozni az application gatewayhez, létrehozhat egy figyelőt a következő beállításokkal:
Paraméter Érték Leírás Szabály neve Például: https-routingrule
Útválasztás neve Figyelő neve Például: https-listener
Figyelő neve Előtérbeli IP-cím Nyilvános Internet-hozzáférés esetén állítsa a Nyilvános értékre Protokoll HTTPS TLS/SSL-titkosítás használata Kikötő 443 Alapértelmezett HTTPS-port HTTPS-beállítások Tanúsítvány feltöltése A tanúsítvány feltöltése tartalmazza a CN-t és a titkos kulcsot .pfx formátumban. Figyelő típusa Többhelyes Többhelyes figyelés engedélyezése az Application Gatewayen Gazdagép típusa Többszörös/helyettesítő karakter Ha a figyelő típusa több webhelyre van állítva, állítsa több vagy helyettesítő webhelynévre. Gazdagép neve Például: app.asabuludemo.com
Beállítható tartománynév az App Service-hez Háttérkészletet és HTTP-beállítást kell konfigurálnia a háttérbeli célokban. A háttérkészlet a korábbi lépésekben lett konfigurálva. HTTP-beállítás hozzáadásához válassza az Új hivatkozás hozzáadása lehetőséget.
HTTP-beállítások az alábbiak szerint:
Paraméter Érték Leírás HTTP-beállítás neve Például: https-setting
HTTP-beállítás neve Háttérprotokoll HTTPS TLS/SSL-titkosítás használata Háttérport 443 Alapértelmezett HTTPS-port Jól ismert hitelesítésszolgáltatói tanúsítvány használata Igen Az ILB A alapértelmezett tartományneve Standard kiadás a .appserviceenvironment.net
tartomány tanúsítványát egy nyilvánosan megbízható legfelső szintű szolgáltató állítja ki. A Megbízható főtanúsítvány beállításban beállíthatja, hogy jól ismert megbízható hitelesítésszolgáltatói főtanúsítványt használjon.Felülbírálás új gazdagépnévvel Igen A gazdagépnév fejléce felülírva lesz az alkalmazáshoz való csatlakozáskor az ILB A-n Standard kiadás Állomásnév felülbírálása Gazdagépnév kiválasztása a háttérbeli célhelyről Ha a háttérkészletet App Service-re állítja, kiválaszthatja a gazdagépet a háttérbeli célhelyről Egyéni mintavételek létrehozása Nem Alapértelmezett állapotadat-mintavétel használata
Application Gateway-integráció konfigurálása az ILB A-vel Standard kiadás
Az ILB A Standard kiadás az application gatewayről való eléréséhez ellenőriznie kell, hogy van-e virtuális hálózati kapcsolat a privát DNS-zónához. Ha nincs virtuális hálózat csatolva az application gateway virtuális hálózatához, adjon hozzá egy virtuális hálózati kapcsolatot a következő lépésekkel.
Virtuális hálózati kapcsolatok konfigurálása privát DNS-zónával
- A virtuális hálózati kapcsolat privát DNS-zónával való konfigurálásához lépjen a privát DNS-zóna konfigurációs síkjára. Válassza ki a Virtuális hálózati hivatkozások>hozzáadása lehetőséget
- Adja meg a hivatkozás nevét , és válassza ki azt az előfizetést és virtuális hálózatot, amelyben az application gateway található.
- A háttérrendszer állapotának megerősítéséhez a háttérrendszer állapota az Application Gateway síkon található.
Nyilvános DNS-rekord hozzáadása
Megfelelő DNS-megfeleltetést kell konfigurálnia az application gateway internetről való elérésekor.
- Az application gateway nyilvános IP-címe az Application Gateway síkjának előtérbeli IP-konfigurációiban található.
- Használja például az Azure DNS szolgáltatást, hozzáadhat egy rekordkészletet, amely megfelelteti az alkalmazás tartománynevét az application gateway nyilvános IP-címére.
Kapcsolat ellenőrzése
- Az internetről való gépi hozzáférés esetén ellenőrizheti az alkalmazás tartománynevének névfeloldásának értékét az Application Gateway nyilvános IP-címére.
- Az internetről való gépi hozzáférésen tesztelje a webes hozzáférést egy böngészőből.