Az Application Gateway figyelőjének konfigurációja
Feljegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
A figyelő egy logikai entitás, amely a port, protokoll, gazdagép és IP-cím használatával ellenőrzi a bejövő kapcsolatkéréseket. A figyelő konfigurálásakor olyan értékeket kell megadnia, amelyek megfelelnek az átjáró bejövő kérésében szereplő megfelelő értékeknek.
Amikor az Azure Portal használatával hoz létre alkalmazásátjárót, egy alapértelmezett figyelőt is létrehoz a figyelő protokolljának és portjának kiválasztásával. Eldöntheti, hogy engedélyezi-e a HTTP2-támogatást a figyelőn. Az Application Gateway létrehozása után szerkesztheti az alapértelmezett figyelő (appGatewayHttpListener) beállításait, vagy létrehozhat új figyelőket.
Figyelő típusa
Amikor új figyelőt hoz létre, az alapszintű és a többhelyes lehetőségek közül választhat.
Ha azt szeretné, hogy az összes kérés (bármely tartomány esetében) elfogadva és továbbítva legyen a háttérkészletekbe, válassza az alapszintű lehetőséget. Megtudhatja , hogyan hozhat létre alkalmazásátjárót egy alapszintű figyelővel.
Ha a kéréseket a gazdagépfejléc vagy a gazdagép neve alapján szeretné továbbítani a különböző háttérkészleteknek, válassza a többhelyes figyelőt. Az Application Gateway a HTTP 1.1-állomásfejlécek segítségével üzemeltet egynél több webhelyet ugyanarról a nyilvános IP-címről és portról. Az ugyanazon a porton lévő kérések megkülönböztetéséhez meg kell adnia egy állomásnevet, amely megfelel a bejövő kérésnek. További információ: több webhely üzemeltetése az Application Gateway használatával.
A figyelők feldolgozásának sorrendje
Az 1-es verzió termékváltozata esetében a kérelmek a szabályok sorrendjének és a figyelő típusának megfelelően vannak egyeztetve. Ha egy alapszintű figyelővel rendelkező szabály elsőként kerül a sorrendbe, akkor az először feldolgozásra kerül, és elfogadja az adott port- és IP-kombinációra vonatkozó kéréseket. Ennek elkerülése érdekében először konfigurálja a szabályokat többhelyes figyelőkkel, és küldje le a szabályt az alapszintű figyelővel a lista utolsó helyére.
A v2 termékváltozat esetében a rendszer az alapszintű figyelők előtt dolgozza fel a többhelyes figyelőket, kivéve, ha a szabály prioritása van meghatározva. Szabályprioritás használata esetén a helyettesítő karakterek figyelőinek olyan prioritást kell meghatározniuk, amely nagyobb számmal rendelkezik, mint a nem helyettesítő figyelők, így biztosítható, hogy a helyettesítő karakterek figyelői előtt ne legyenek végrehajtva a nem helyettesítő figyelők.
Előtérbeli IP-cím
Válassza ki a figyelőhöz társítani kívánt előtérbeli IP-címet. A figyelő meghallgatja a bejövő kéréseket ezen az IP-címen.
Feljegyzés
Az Application Gateway előtere támogatja a kettős veremű IP-címeket. Legfeljebb négy előtérbeli IP-címet hozhat létre: két IPv4-címet (nyilvános és privát) és két IPv6-címet (nyilvános és privát).
Előtérbeli port
Előtérport társítása. Kiválaszthat egy meglévő portot, vagy létrehozhat egy újat. Válasszon bármilyen értéket az engedélyezett porttartományból. Nem csak a jól ismert portokat, például a 80-as és a 443-as portot használhatja, hanem bármilyen engedélyezett egyéni portot is, amely megfelelő. Ugyanez a port használható a nyilvános és a privát figyelők számára is.
Feljegyzés
Ha ugyanazzal a portszámmal rendelkező magán- és nyilvános figyelőket használ, az application gateway a bejövő folyamat "célhelyét" az átjáró előtérbeli IP-címére módosítja. Ezért a hálózati biztonsági csoport konfigurációjától függően szükség lehet egy bejövő szabályra, amely cél IP-címekkel rendelkezik az Application Gateway nyilvános és privát előtérbeli IP-címeiként.
Bejövő szabály:
- Forrás: (a követelménynek megfelelően)
- Cél IP-címek: Az application gateway nyilvános és privát előtérbeli IP-címei.
- Célport: (a figyelő konfigurációjának megfelelően)
- Protokoll: TCP
Kimenő szabály: (nincs konkrét követelmény)
Protokoll
Válassza a HTTP vagy a HTTPS lehetőséget:
Ha HTTP-t választ, az ügyfél és az application gateway közötti forgalom titkosítatlan.
Válassza a HTTPS-t, ha TLS-lezárás vagy teljes körű TLS-titkosítást szeretne. Az ügyfél és az application gateway közötti forgalom titkosítva van, és a TLS-kapcsolat megszakad az application gatewayen. Ha teljes körű TLS-titkosítást szeretne a háttérbeli célhoz, akkor a háttérBELI HTTP-beállításon belül a HTTPS-t is ki kell választania. Ez biztosítja, hogy a forgalom titkosítva legyen, amikor az Application Gateway kapcsolatot kezdeményez a háttérbeli célhoz.
A TLS-megszakítás konfigurálásához TLS-/SSL-tanúsítványt kell hozzáadni a figyelőhöz. Ez lehetővé teszi, hogy az Application Gateway visszafejtse a bejövő forgalmat, és titkosítsa az ügyfél válaszforgalmát. Az Application Gatewaynek biztosított tanúsítványnak személyes adatcsere (PFX) formátumban kell lennie, amely tartalmazza a titkos és a nyilvános kulcsokat is.
Feljegyzés
Ha TLS-tanúsítványt használ a Key Vaultból egy figyelőhöz, győződjön meg arról, hogy az Application Gateway mindig hozzáfér a csatolt kulcstartó-erőforráshoz és a benne lévő tanúsítványobjektumhoz. Ez lehetővé teszi a TLS-megszüntetési funkció zökkenőmentes műveleteit, és fenntartja az átjáró-erőforrás általános állapotát. Ha egy Application Gateway-erőforrás helytelenül konfigurált kulcstartót észlel, automatikusan letiltott állapotba helyezi a társított HTTPS-figyelőket. További információ.
Támogatott tanúsítványok
Tekintse meg az Application Gateway TLS-leállításának és végpontok közötti TLS-ének áttekintését
További protokolltámogatás
HTTP2-támogatás
A HTTP/2 protokoll támogatása csak az Application Gateway-figyelőkhöz csatlakozó ügyfelek számára érhető el. A háttérkiszolgáló-készletek közötti kommunikáció mindig HTTP/1.1. Alapértelmezés szerint a HTTP/2 támogatása le van tiltva. Az alábbi Azure PowerShell-kódrészlet bemutatja, hogyan engedélyezheti ezt:
$gw = Get-AzApplicationGateway -Name test -ResourceGroupName hm
$gw.EnableHttp2 = $true
Set-AzApplicationGateway -ApplicationGateway $gw
A HTTP2-támogatást az Azure Portalon is engedélyezheti, ha az Application Gateway > Configuration http2 területén az Engedélyezve lehetőséget választja.
WebSocket támogatás
A WebSocket támogatása alapértelmezés szerint engedélyezve van. Nincs felhasználó által konfigurálható beállítás az engedélyezéséhez vagy letiltásához. A WebSocketeket HTTP- és HTTPS-figyelőkkel is használhatja.
Egyéni hibalapok
Az Application Gateway által visszaadott különböző válaszkódokhoz testre szabott hibaoldalakat határozhat meg. A hibalapok konfigurálható válaszkódjai a következők: 400, 403, 405, 408, 500, 502, 503 és 504. Globális szintű vagy figyelőspecifikus hibaoldal-konfigurációval részletes beállításokat állíthat be az egyes figyelőkhöz. További információt az egyéni Application Gateway-hibaoldalak létrehozását ismertető részben talál.
Feljegyzés
A háttérkiszolgálóról származó hibát az Application Gateway nem módosítva továbbítja az ügyfélnek.
TLS-szabályzat
Központosíthatja a TLS/SSL-tanúsítványkezelést, és csökkentheti a háttérkiszolgáló-farm titkosítás-visszafejtési többletterhelését. A központosított TLS-kezelés lehetővé teszi a biztonsági követelményeknek megfelelő központi TLS-szabályzat megadását is. Választhat előre definiált vagy egyéni TLS-szabályzatot.
A TLS-szabályzatot a TLS protokollverziók szabályozására konfigurálja. Az application Gateway konfigurálható úgy, hogy a TLS-kézfogások minimális protokollverziója legyen a TLS1.0, a TLS1.1, a TLS1.2 és a TLS1.3 verzióból. Alapértelmezés szerint az SSL 2.0 és 3.0 le van tiltva, és nem konfigurálható. További információkért tekintse meg az Application Gateway TLS-szabályzatának áttekintését.
Miután létrehozott egy figyelőt, hozzárendeli egy kérés-útválasztási szabályhoz. Ez a szabály határozza meg, hogy a figyelőhöz érkező kérések hogyan legyenek átirányítva a háttérbe.