Application Gateway-infrastruktúra konfigurálása
Az Azure-alkalmazás átjáróinfrastruktúra magában foglalja a virtuális hálózatot, az alhálózatokat, a hálózati biztonsági csoportokat (NSG-k) és a felhasználó által megadott útvonalakat (UDR-eket).
Virtuális hálózat és dedikált alhálózat
Az Application Gateway egy dedikált üzembe helyezés a virtuális hálózaton. A virtuális hálózaton belül dedikált alhálózatra van szükség az Application Gatewayhez. Egy adott Application Gateway-példány több példánya is lehet egy alhálózatban. Az alhálózaton más alkalmazásátjárókat is üzembe helyezhet. Az Application Gateway alhálózatán azonban nem helyezhet üzembe más erőforrásokat. Ugyanazon az alhálózaton nem keverheti az 1- és a 2-s verziós Application Gateway termékváltozatokat.
Feljegyzés
A virtuális hálózati szolgáltatás végpontszabályzatai jelenleg nem támogatottak az Application Gateway alhálózatában.
Az alhálózat mérete
Az Application Gateway példányonként egy privát IP-címet használ, valamint egy másik privát IP-címet, ha egy privát előtérbeli IP-cím van konfigurálva.
Az Azure emellett minden alhálózatban öt IP-címet foglal le belső használatra. Ezek az első négy cím és az utolsó IP-címek. Fontolja meg például 15 Application Gateway-példányt, amely nem rendelkezik privát előtérbeli IP-címmel. Ehhez az alhálózathoz legalább 20 IP-cím szükséges. Az Application Gateway-példányokhoz 5 belső használatra és 15-re van szükség.
Fontolja meg egy olyan alhálózatot, amely 27 Application Gateway-példányt és egy IP-címet biztosít egy privát előtérbeli IP-címhez. Ebben az esetben 33 IP-címre van szüksége. Az Application Gateway-példányokhoz 27, a privát előtérhez pedig 5 szükséges.
Az Application Gateway (standard vagy WAF termékváltozat) legfeljebb 32 példányt támogat (32 példány IP-címe + 1 privát előtérbeli IP-konfiguráció + 5 fenntartott Azure). Javasoljuk, hogy legalább /26 alhálózatméretet adjon meg.
Az Application Gateway (Standard_v2 vagy WAF_v2 SKU) legfeljebb 125 példányt támogat (125 példány IP-címe + 1 privát frontend IP-konfiguráció + 5 Azure fenntartott). Az alhálózat minimális mérete /24.
Egy olyan alhálózat rendelkezésre álló kapacitásának meghatározásához, amely rendelkezik meglévő alkalmazásátjárókkal, vegye fel az alhálózat méretét, és vonja ki a platform által fenntartott alhálózat öt fenntartott IP-címét. Ezután vegye fel az egyes átjárók számát, és vonja ki a példányok maximális számát. Minden privát előtérbeli IP-konfigurációval rendelkező átjáró esetében vonjon ki átjárónként egy újabb IP-címet.
Az alábbiakban például kiszámíthatja egy három különböző méretű átjáróval rendelkező alhálózat elérhető címzését:
- 1. átjáró: Legfeljebb 10 példány. Privát előtérbeli IP-konfigurációt használ.
- 2. átjáró: Legfeljebb 2 példány. Nincs privát előtérbeli IP-konfiguráció.
- 3. átjáró: Legfeljebb 15 példány. Privát előtérbeli IP-konfigurációt használ.
- Alhálózat mérete: /24
- Alhálózat mérete /24 = 256 IP-cím – 5 fenntartott a platformról = 251 elérhető cím
- 251: Gateway 1 (10) – 1 privát előtérbeli IP-konfiguráció = 240
- 240: Átjáró 2 (2) = 238
- 238: 3. átjáró (15) – 1 privát előtérbeli IP-konfiguráció = 222
Fontos
Bár az Application Gateway v2 termékváltozatának telepítése nem igényel /24 alhálózatot, erősen ajánljuk. A /24 alhálózat biztosítja, hogy az Application Gateway v2-ben elegendő hely legyen a bővítési és karbantartási frissítések automatikus skálázására.
Győződjön meg arról, hogy az Application Gateway v2 alhálózata elegendő címtérrel rendelkezik a maximálisan várt forgalom kiszolgálásához szükséges példányok számának elhelyezéséhez. Ha megadja a példányok maximális számát, az alhálózatnak legalább ennyi címhez kapacitással kell rendelkeznie. A példányszám körüli kapacitástervezést lásd: Példányszám részletei.
A névvel ellátott GatewaySubnet alhálózat VPN-átjárók számára van fenntartva. Az Alhálózatot használó GatewaySubnet Application Gateway v1-erőforrásokat át kell helyezni egy másik alhálózatra, vagy át kell telepíteni a v2 termékváltozatra 2023. szeptember 30-a előtt, hogy elkerülje a vezérlősík hibáit és a platform inkonzisztenciáit. A meglévő Application Gateway-példány alhálózatának módosításáról további információt az Application Gateway szolgáltatással kapcsolatos gyakori kérdésekben talál.
Tipp.
Az IP-címek az átjárópéldányok megadott alhálózati területének kezdetétől vannak lefoglalva. Mivel a példányok átjárók létrehozása vagy skálázási események miatt jönnek létre és távolíthatók el, nehéz lehet megérteni, hogy mi a következő elérhető cím az alhálózatban. Ha meg szeretné tudni határozni a jövőbeli átjáróhoz használni kívánt következő címet, és egy összefüggő címzési témát szeretne használni az előtérbeli IP-címekhez, fontolja meg az előtérbeli IP-címek hozzárendelését a megadott részhalmazterület felső feléből.
Ha például az alhálózat címtere 10.5.5.0/24, Fontolja meg az átjárók privát előtérbeli IP-konfigurációjának beállítását a 10.5.5.254-től kezdődően, majd a 10.5.5.253,10.5.5.252- és 10.5.5.251-től kezdődően, és így tovább a jövőbeli átjárók esetében.
Egy meglévő Application Gateway-példány alhálózata módosítható ugyanazon a virtuális hálózaton belül. A módosításhoz használja az Azure PowerShellt vagy az Azure CLI-t. További információ: Az Application Gateway szolgáltatással kapcsolatos gyakori kérdések.
DNS-kiszolgálók névfeloldáshoz
A virtuális hálózati erőforrás támogatja a DNS-kiszolgáló konfigurációját, amely lehetővé teszi az Azure által biztosított alapértelmezett vagy egyéni DNS-kiszolgálók közötti választást. Az Application Gateway példányai is tiszteletben tartják ezt a DNS-konfigurációt bármilyen névfeloldás esetén. A beállítás módosítása után újra kell indítania (leállítás és indítás) az application gatewayt, hogy ezek a módosítások érvénybe lépjenek a példányokon.
Feljegyzés
Ha egyéni DNS-kiszolgálókat használ az Application Gateway virtuális hálózatában, a DNS-kiszolgálónak képesnek kell lennie a nyilvános internetes nevek feloldására. Az Application Gateway megköveteli ezt a képességet.
Virtuális hálózati engedély
Az Application Gateway-erőforrás egy virtuális hálózaton belül van üzembe helyezve, ezért a rendszer ellenőrzi a virtuális hálózati erőforrás engedélyét is. Ez az ellenőrzés mind a létrehozási, mind a felügyeleti műveletek során történik, és az Application Gateway bejövőforgalom-vezérlőjének felügyelt identitására is vonatkozik.
Ellenőrizze az Azure szerepköralapú hozzáférés-vezérlését annak ellenőrzéséhez, hogy az application gatewayeket üzemeltető felhasználók és szolgáltatásnevek rendelkeznek-e legalább a következő engedélyekkel a virtuális hálózaton vagy alhálózaton:
- Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet
- Microsoft.Network/virtualNetworks/alhálózatok/olvasás
Használhatja a beépített szerepköröket, például a hálózati közreműködőt, amely már támogatja ezeket az engedélyeket. Ha egy beépített szerepkör nem adja meg a megfelelő engedélyt, létrehozhat és hozzárendelhet egy egyéni szerepkört. További információ az alhálózati engedélyek kezeléséről.
Feljegyzés
Előfordulhat, hogy elegendő időt kell hagynia az Azure Resource Manager gyorsítótárának frissítésére a szerepkör-hozzárendelés módosítása után.
Az előfizetés érintett felhasználóinak vagy szolgáltatásneveinek azonosítása
A fiókjához tartozó Azure Advisor felkeresésével ellenőrizheti, hogy az előfizetése rendelkezik-e nem megfelelő engedélyekkel rendelkező felhasználókkal vagy szolgáltatásnevekkel. A javaslat részletei a következők:
Title: Update VNet permission of Application Gateway users Category: Reliability Impact: High
Az Azure Feature Exposure Control (AFEC) ideiglenes jelzőjének használata
Ideiglenes bővítményként bevezettünk egy előfizetésszintű Azure Feature Exposure Control (AFEC) szolgáltatást. Regisztrálhat az AFEC szolgáltatásra, és használhatja mindaddig, amíg meg nem oldja az összes felhasználó és szolgáltatásnév engedélyeit. Regisztráljon a szolgáltatásra az Azure-előfizetés előzetes verziójú szolgáltatásregisztrációjával megegyező lépésekkel.
Név: Microsoft.Network/DisableApplicationGatewaySubnetPermissionCheck Description: Disable Application Gateway Subnet Permission Check ProviderNamespace: Microsoft.Network EnrollmentType: AutoApprove
Feljegyzés
Javasoljuk, hogy az AFEC-rendelkezést csak ideiglenes megoldásként használja, amíg a megfelelő engedélyt nem rendeli hozzá. Fontossági sorrendbe kell állítania az összes érintett felhasználó (és szolgáltatásnév) engedélyeinek javítását, majd meg kell szüntetnie az AFEC-jelző regisztrációját a virtuális hálózati erőforrás engedélyellenőrzésének újbóli bevezetéséhez. Javasoljuk, hogy ne függjön véglegesen az AFEC metódustól, mert a jövőben el lesz távolítva.
Azure Virtual Network Manager
Az Azure Virtual Network Manager egy felügyeleti szolgáltatás, amely lehetővé teszi a virtuális hálózatok globális csoportosítását, konfigurálását, üzembe helyezését és kezelését az előfizetések között. A Virtual Network Managerrel hálózati csoportokat határozhat meg a virtuális hálózatok azonosításához és logikai szegmentálásához. Ezt követően meghatározhatja a kívánt kapcsolati és biztonsági konfigurációkat, és alkalmazhatja őket a hálózati csoportokban lévő összes kiválasztott virtuális hálózatra.
Az Azure Virtual Network Manager biztonsági rendszergazdai szabálykonfigurációja lehetővé teszi a biztonsági szabályzatok méretezését, és egyszerre több virtuális hálózatra való alkalmazását.
Feljegyzés
Az Azure Virtual Network Manager biztonsági rendszergazdai szabályai csak azokra az Application Gateway-alhálózatokra vonatkoznak, amelyek engedélyezve van a hálózati elkülönítéssel rendelkező alkalmazásátjárókat tartalmazzák. A hálózatelkülönítést letiltó alkalmazásátjárókkal rendelkező alhálózatok nem rendelkeznek biztonsági rendszergazdai szabályokkal.
Hálózati biztonsági csoportok
Használhat NSG-ket az Application Gateway-alhálózathoz, de tisztában kell lennie néhány fontos ponttal és korlátozásokkal.
Fontos
Ezek az NSG-korlátozások a Privát Application Gateway üzembe helyezésekor (előzetes verzió) enyhülnek.
Kötelező biztonsági szabályok
Ha NSG-t szeretne használni az Application Gateway használatával, létre kell hoznia vagy meg kell őriznie néhány alapvető biztonsági szabályt. A prioritást ugyanabban a sorrendben állíthatja be.
Bejövő szabályok
Ügyfélforgalom: Bejövő forgalom engedélyezése a várt ügyfelekről (forrás IP-címként vagy IP-címtartományként), valamint a cél számára, mint az Application Gateway teljes alhálózati IP-előtagja és bejövő hozzáférési portja. Ha például figyelők vannak konfigurálva a 80-s és a 443-as portokhoz, engedélyeznie kell ezeket a portokat. Ezt a szabályt a következőre is beállíthatja: .Any>
| Forrás | Forrásportok | Cél | Célportok | Protokoll | Access |
|---|---|---|---|---|---|
<as per need> |
Bármely | <Subnet IP Prefix> |
<listener ports> |
TCP | Engedélyezés |
Miután az aktív nyilvános és privát figyelőket (szabályokkal) ugyanazzal a portszámmal konfigurálta, az Application Gateway az összes bejövő folyamat célhelyét az átjáró előtérbeli IP-címére módosítja. Ez a változás olyan figyelők esetében is előfordul, akik nem osztanak meg portot. Ha ugyanazt a portkonfigurációt használja, meg kell adnia az átjáró előtérbeli nyilvános és privát IP-címét a bejövő szabály célhelyén .
| Forrás | Forrásportok | Cél | Célportok | Protokoll | Access |
|---|---|---|---|---|---|
<as per need> |
Bármely | <Public and Private<br/>frontend IPs> |
<listener ports> |
TCP | Engedélyezés |
Infrastruktúra-portok: Engedélyezze a forrásból érkező bejövő kéréseket a GatewayManager szolgáltatáscímkéjeként és bármely célhelyként. A célportok tartománya a termékváltozattól függően eltérő, és a háttérrendszer állapotának közléséhez szükséges. Ezeket a portokat Azure-tanúsítványok védik/zárolják. A külső entitások nem kezdeményezhetnek módosításokat ezeken a végpontokon megfelelő tanúsítványok nélkül.
- V2: 65200-65535-ös portok
- V1: Portok 65503-65534
| Forrás | Forrásportok | Cél | Célportok | Protokoll | Access |
|---|---|---|---|---|---|
| GatewayManager | Bármelyik | Bármelyik | <as per SKU given above> |
TCP | Engedélyezés |
Azure Load Balancer-mintavételek: Engedélyezi a forrásból érkező bejövő forgalmat Az AzureLoadBalancer szolgáltatáscímkéjeként. Ez a szabály alapértelmezés szerint az NSG-k számára jön létre. Nem bírálhatja felül manuális megtagadási szabállyal az application gateway zökkenőmentes működésének biztosítása érdekében.
| Forrás | Forrásportok | Cél | Célportok | Protokoll | Access |
|---|---|---|---|---|---|
| AzureLoadBalancer | Bármelyik | Bármelyik | Bármelyik | Bármelyik | Engedélyezés |
Az összes többi bejövő forgalmat letilthatja az Összes megtagadása szabály használatával.
Kimenő szabályok
Kimenő forgalom az internetre: Az internet felé irányuló kimenő forgalom engedélyezése az összes célhelyen. Ez a szabály alapértelmezés szerint az NSG-k számára jön létre. Nem bírálhatja felül manuális megtagadási szabállyal az application gateway zökkenőmentes működésének biztosítása érdekében. A kimenő kapcsolatokat megtagadó kimenő NSG-szabályokat nem szabad létrehozni.
| Forrás | Forrásportok | Cél | Célportok | Protokoll | Access |
|---|---|---|---|---|---|
| Bármelyik | Bármelyik | Internet | Bármelyik | Bármelyik | Engedélyezés |
Feljegyzés
A hálózatelkülönítést nem engedélyező Application Gateway-átjárók nem engedélyezik a társhálózatok közötti forgalom küldését, ha a távoli virtuális hálózat felé irányuló forgalom le van tiltva.
Támogatott, felhasználó által megadott útvonalak
Az Application Gateway alhálózatának részletes vezérlése útvonaltáblázat-szabályokon keresztül nyilvános előzetes verzióban lehetséges. További információ: Privát Application Gateway üzembe helyezése (előzetes verzió).
Az aktuális funkciókkal bizonyos korlátozások érhetők el:
Fontos
Az Application Gateway alhálózatán az UDR-ek használata miatt a háttérállapot-nézetben az állapot ismeretlenként jelenhet meg. Emellett az Application Gateway-naplók és metrikák létrehozása is meghiúsulhat. Javasoljuk, hogy ne használjunk UDR-eket az Application Gateway alhálózatán, hogy megtekinthesse a háttérrendszer állapotát, naplóit és metrikáit.
v1: A v1 termékváltozat esetében az Application Gateway alhálózatán az UDR-ek támogatottak, ha nem módosítják a végpontok közötti kérés-válasz kommunikációt. Beállíthat például egy olyan UDR-t az Application Gateway-alhálózaton, amely tűzfalberendezésre mutat csomagvizsgálathoz. Meg kell azonban győződnie arról, hogy a csomag el tudja érni a kívánt célállomást a vizsgálatot követően. Ennek elmulasztása helytelen állapottesztelési vagy forgalomirányítási működést eredményezhet. Az Azure ExpressRoute vagy a virtuális hálózat VPN-átjárói által propagált tanult útvonalak vagy alapértelmezett 0.0.0.0/0-s útvonalak is szerepelnek.
v2: A v2 termékváltozat esetében támogatott és nem támogatott forgatókönyvek vannak.
v2 támogatott forgatókönyvek
Figyelmeztetés
Az útvonaltábla helytelen konfigurációja aszimmetrikus útválasztást eredményezhet az Application Gateway 2-es verziójában. Győződjön meg arról, hogy az összes felügyeleti/vezérlősík-forgalmat közvetlenül az internetre küldi, nem pedig egy virtuális berendezésen keresztül. A naplózás, a metrikák és a CRL-ellenőrzések is érintettek lehetnek.
1. forgatókönyv: UDR a Border Gateway Protocol (BGP) útvonalpropagálásának letiltásához az Application Gateway alhálózatra
Előfordulhat, hogy az alapértelmezett átjáróútvonal (0.0.0.0/0) az Application Gateway virtuális hálózatához társított ExpressRoute- vagy VPN-átjárókon keresztül van meghirdetve. Ez a viselkedés megszakítja a felügyeleti sík forgalmát, ami közvetlen internetes útvonalat igényel. Ilyen esetekben UDR használatával letilthatja a BGP-útvonalak propagálását.
A BGP-útvonalak propagálásának letiltása:
- Útvonaltábla-erőforrás létrehozása az Azure-ban.
- Tiltsa le a virtuális hálózati átjáró útvonal-propagálási paraméterét .
- Társítsa az útvonaltáblát a megfelelő alhálózathoz.
Az UDR engedélyezése ebben a forgatókönyvben nem szakíthatja meg a meglévő beállításokat.
2. forgatókönyv: UDR a 0.0.0.0/0 internetre való átirányításához
Létrehozhat egy UDR-t, amellyel közvetlenül az internetre küldhet 0.0.0.0/0 forgalmat.
3. forgatókönyv: UDR az Azure Kubernetes Service -hez (AKS) a kubenettel
Ha kubenetet használ az AKS-sel és az Application Gateway bejövőforgalom-vezérlőjével, szüksége van egy útvonaltáblára, amely lehetővé teszi, hogy az Application Gatewayről a podokra küldött forgalom a megfelelő csomópontra legyen irányítva. Az Azure Container Networking Interface használata esetén nem kell útvonaltáblát használnia.
Az útvonaltábla használata a kubenet működésének engedélyezéséhez:
Nyissa meg az AKS által létrehozott erőforráscsoportot. Az erőforráscsoport nevének a következővel kell kezdődnie
MC_: .Keresse meg az AKS által az adott erőforráscsoportban létrehozott útvonaltáblát. Az útvonaltáblát a következő információkkal kell feltölteni:
- A címelőtagnak az AKS-ben elérni kívánt podok IP-tartományának kell lennie.
- A következő ugrási típusnak virtuális berendezésnek kell lennie.
- A következő ugrási címnek a podokat üzemeltető csomópont IP-címének kell lennie.
Társítsa ezt az útvonaltáblát az Application Gateway alhálózatához.
v2 nem támogatott forgatókönyvek
1. forgatókönyv: UDR virtuális berendezésekhez
A 0.0.0.0/0/0-s verziót virtuális berendezésen, küllős virtuális hálózaton vagy helyszíni (kényszerített bújtatáson) keresztül kell átirányítani a 2- s verzió esetében.