Oktatóanyag: TLS-megszakítással rendelkező Application Gateway konfigurálása a Azure Portal használatával

  • Cikk

Az Azure Portal használatával konfigurálhat egy olyan TLS-leállítási tanúsítvánnyal rendelkező Application Gatewayt, amely virtuális gépeket használ a háttérkiszolgálókhoz.

Eben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Önaláírt tanúsítvány létrehozása
  • Alkalmazásátjáró létrehozása a tanúsítvánnyal
  • Háttérkiszolgálóként használt virtuális gépek létrehozása
  • Az alkalmazásátjáró tesztelése

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Megjegyzés

Javasoljuk, hogy az Azure Az PowerShell-modult használja az Azure-ral való kommunikációhoz. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Előfeltételek

  • Azure-előfizetés

Önaláírt tanúsítvány létrehozása

Ebben a szakaszban a New-SelfSignedCertificate paranccsal hozhat létre önaláírt tanúsítványt. A tanúsítványt az application gateway figyelőjének létrehozásakor tölti fel a Azure Portal.

A helyi számítógépen nyisson meg egy Windows PowerShell ablakot rendszergazdaként. Futtassa a következő parancsot a tanúsítvány létrehozásához:

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

Ehhez hasonló választ kell látnia:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Használja az Export-PfxCertificate parancsot a visszaadott ujjlenyomattal a pfx-fájl tanúsítványból való exportálásához. A támogatott PFX-algoritmusok a PFXImportCertStore függvényben találhatók. Győződjön meg arról, hogy a jelszó 4–12 karakter hosszú:

$pwd = ConvertTo-SecureString -String <your password> -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Bejelentkezés az Azure-ba

Jelentkezzen be az Azure Portalra.

Application Gateway létrehozása

  1. A Azure Portal menüben válassza a + Erőforrás> létrehozásahálózatkezelés>Application Gateway lehetőséget, vagy keressen rá a Application Gateway a portál keresőmezőjében.

  2. Válassza a Létrehozás lehetőséget.

Alapvető beállítások lap

  1. Az Alapok lapon adja meg vagy jelölje ki az alábbi értékeket:

    • Erőforráscsoport: Válassza a myResourceGroupAG lehetőséget az erőforráscsoporthoz. Ha nem létezik, a létrehozáshoz válassza az Új létrehozása lehetőséget.

    • Application Gateway neve: Adja meg az application gateway nevét a myAppGateway mezőben.

      Új Application Gateway létrehozása: Alapok

  2. Ahhoz, hogy az Azure kommunikálhasson a létrehozott erőforrások között, virtuális hálózatra van szüksége. Létrehozhat egy új virtuális hálózatot, vagy használhat egy meglévőt. Ebben a példában egy új virtuális hálózatot fog létrehozni az Application Gateway létrehozásával egyidejűleg. Application Gateway példányok külön alhálózatokban jönnek létre. Ebben a példában két alhálózatot hoz létre: egyet az Application Gatewayhez, a másikat pedig a háttérkiszolgálókhoz.

    A Virtuális hálózat konfigurálása területen hozzon létre egy új virtuális hálózatot az Új létrehozása lehetőség kiválasztásával. A megnyíló Virtuális hálózat létrehozása ablakban adja meg a következő értékeket a virtuális hálózat és két alhálózat létrehozásához:

    • Név: Írja be a myVNet nevet a virtuális hálózat nevére.

    • Alhálózat neve (Application Gateway alhálózat): Az Alhálózatok rács egy Alapértelmezett nevű alhálózatot jelenít meg. Módosítsa az alhálózat nevét myAGSubnet névre.
      Az Application Gateway alhálózata csak alkalmazásátjárókat tartalmazhat. Más erőforrások nem engedélyezettek.

    • Alhálózat neve (háttérkiszolgáló alhálózata): Az Alhálózatok rács második sorába írja be a myBackendSubnet nevet az Alhálózat neve oszlopba.

    • Címtartomány (háttérkiszolgáló alhálózata): Az Alhálózatok rács második sorában adjon meg egy olyan címtartományt, amely nem fedi át a myAGSubnet címtartományát. Ha például a myAGSubnet címtartománya 10.0.0.0/24, a myBackendSubnet címtartományához adja meg a 10.0.1.0/24 értéket.

    Az OK gombra kattintva zárja be a Virtuális hálózat létrehozása ablakot, és mentse a virtuális hálózati beállításokat.

    Új Application Gateway létrehozása: virtuális hálózat

  3. Az Alapok lapon fogadja el a többi beállítás alapértelmezett értékeit, majd válassza a Tovább: Előtérbeli beállítások lehetőséget.

Előtér lap

  1. Az Előtér lapon ellenőrizze, hogy az előtérbeli IP-cím típusaNyilvános értékre van-e állítva.
    A frontend IP-címet konfigurálhatja nyilvános vagy privát állapotúra a használati esetnek megfelelően. Ebben a példában egy nyilvános előtérbeli IP-címet fog választani.

    Megjegyzés

    A Application Gateway v2 termékváltozat esetében csak a nyilvános előtérbeli IP-konfigurációt választhatja. A privát előtérbeli IP-konfiguráció jelenleg nincs engedélyezve ehhez a v2 termékváltozathoz.

  2. Válassza az Add new for the Public IP address (Új hozzáadása a nyilvános IP-címhez ) lehetőséget, és adja meg a myAGPublicIPAddress nevet a nyilvános IP-cím nevének, majd kattintson az OK gombra.

    Új Application Gateway létrehozása: előtér

  3. Válassza a Tovább: Háttérrendszer lehetőséget.

Háttérrendszer lap

A háttérkészlet a kérések a kérést kiszolgáló háttérkiszolgálókra való irányítására szolgálnak. A háttérkészletek hálózati adapterekből, virtuálisgép-méretezési csoportokból, nyilvános IP-címekből, belső IP-címekből, teljes tartománynevekből (FQDN) és több-bérlős háttérrendszerből (például Azure App Service) állhatnak. Ebben a példában egy üres háttérkészletet fog létrehozni az application gateway használatával, majd háttérbeli célokat ad hozzá a háttérkészlethez.

  1. A Háttérkészletek lapon válassza a Háttérkészlet hozzáadása lehetőséget.

  2. A megnyíló Háttérkészlet hozzáadása ablakban adja meg a következő értékeket egy üres háttérkészlet létrehozásához:

    • Név: Írja be a myBackendPool nevet a háttérkészlet nevére.
    • Háttérkészlet hozzáadása célok nélkül: Válassza az Igen lehetőséget egy cél nélküli háttérkészlet létrehozásához. Az Application Gateway létrehozása után háttérbeli célokat fog hozzáadni.

  3. A Háttérkészlet hozzáadása ablakban válassza a Hozzáadás lehetőséget a háttérkészlet konfigurációjának mentéséhez, és térjen vissza a Háttérkészletek lapra.

    Új Application Gateway létrehozása: háttérrendszer

  4. A Háttérrendszer lapon válassza a Tovább: Konfiguráció lehetőséget.

Konfiguráció lap

A Konfiguráció lapon az útválasztási szabály használatával létrehozott előtér- és háttérkészletet fogja csatlakoztatni.

  1. Az Útválasztási szabályok oszlopban válassza az Útválasztási szabály hozzáadása lehetőséget.

  2. A megnyíló Útválasztási szabály hozzáadása ablakban adja meg a myRoutingRule nevet a szabálynévhez.

  3. Az útválasztási szabályhoz figyelő szükséges. Az Útválasztási szabály hozzáadása ablak Figyelő lapján adja meg a figyelő következő értékeit:

    • Figyelő neve: Adja meg a myListener nevet a figyelő nevéhez.
    • Előtérbeli IP-cím: Válassza a Nyilvános lehetőséget az előtérhez létrehozott nyilvános IP-cím kiválasztásához.
    • Protokoll: Válassza a HTTPS lehetőséget.
    • Port: Ellenőrizze, hogy a 443 be van-e adva a porthoz.

    A HTTPS-beállítások területen:

    • Tanúsítvány kiválasztása – Válassza a Tanúsítvány feltöltése lehetőséget.

    • PFX-tanúsítványfájl – Keresse meg és válassza ki a korábban létrehozott c:\appgwcert.pfx fájlt.

    • Tanúsítvány neve – Írja be a mycert1 nevet a tanúsítvány nevéhez.

    • Jelszó – Írja be a tanúsítvány létrehozásához használt jelszót.

      Fogadja el a Figyelő lapon található többi beállítás alapértelmezett értékeit, majd válassza a Háttérbeli célok lapot az útválasztási szabály többi részének konfigurálásához.

    Új Application Gateway létrehozása: figyelő

  4. A Háttérpéldányok lapon válassza a háttérbeli cél myBackendPoolelemét.

  5. A HTTP-beállításnál válassza az Új hozzáadása lehetőséget egy új HTTP-beállítás létrehozásához. A HTTP-beállítás határozza meg az útválasztási szabály viselkedését. A megnyíló HTTP-beállítás hozzáadása ablakban adja meg a HTTP-beállításnévheztartozóHTTPSetting értéket. Fogadja el a HTTP-beállítás hozzáadása ablakban a többi beállítás alapértelmezett értékeit, majd válassza a Hozzáadás lehetőséget az Útválasztási szabály hozzáadása ablakba való visszatéréshez.

    Képernyőkép a H T T P beállítás hozzáadásáról az Új Application Gateway létrehozása konfigurációs lapján

  6. Az Útválasztási szabály hozzáadása ablakban válassza a Hozzáadás lehetőséget az útválasztási szabály mentéséhez, és térjen vissza a Konfiguráció lapra.

    Új Application Gateway létrehozása: útválasztási szabály

  7. Válassza a Tovább: Címkék , majd a Tovább: Áttekintés + létrehozás lehetőséget.

Felülvizsgálat + létrehozás lap

Tekintse át a Beállításokat a Felülvizsgálat + létrehozás lapon, majd válassza a Létrehozás lehetőséget a virtuális hálózat, a nyilvános IP-cím és az Application Gateway létrehozásához. Az Application Gateway létrehozása több percet is igénybe vehet. Várjon, amíg az üzembe helyezés sikeresen befejeződik, mielőtt továbblépne a következő szakaszra.

Háttérbeli célok hozzáadása

Ebben a példában virtuális gépeket fog használni cél háttérrendszerként. Használhat meglévő virtuális gépeket, vagy létrehozhat újakat. Két virtuális gépet fog létrehozni, amelyeket az Azure háttérkiszolgálóként használ az Application Gatewayhez.

Ehhez a következőket kell tennie:

  1. Hozzon létre két új virtuális gépet, a myVM-et és a myVM2-t háttérkiszolgálóként.
  2. Telepítse az IIS-t a virtuális gépekre annak ellenőrzéséhez, hogy az Application Gateway sikeresen létrejött-e.
  3. Adja hozzá a háttérkiszolgálót a háttérkészlethez.

Virtuális gép létrehozása

  1. A Azure Portal menüben válassza a + Erőforrás> létrehozásaSzámítás>Windows Server 2016 Adatközpont lehetőséget, vagy keressen rá a Windows Server kifejezésre a portál keresőmezőjében, és válassza a Windows Server 2016 Datacenter lehetőséget.

  2. Válassza a Létrehozás lehetőséget.

    Application Gateway a háttérkészletben használt bármilyen típusú virtuális gépre irányíthatja a forgalmat. Ebben a példában egy Windows Server 2016 Datacentert használ.

  3. Adja meg ezeket az értékeket az Alapvető beállítások lapon a következő virtuálisgép-beállításokhoz:

    • Erőforráscsoport: Válassza a myResourceGroupAG elemet az erőforráscsoport neveként.
    • Virtuális gép neve: Adja meg a myVM nevet a virtuális gép neveként.
    • Felhasználónév: Adja meg a rendszergazdai felhasználónév nevét.
    • Jelszó: Adja meg a rendszergazdai fiók jelszavát.

  4. Fogadja el a többi alapértelmezett beállítást, majd válassza a Tovább: Lemezek lehetőséget.

  5. Fogadja el a Lemezek lap alapértelmezett beállítását, majd válassza a Tovább: Hálózatkezelés lehetőséget.

  6. A Hálózat lapon ellenőrizze, hogy a myVNet van-e kiválasztva a virtuális hálózathoz , és hogy az alhálózatmyBackendSubnet értékre van-e állítva. Fogadja el a többi alapértelmezett beállítást, majd válassza a Tovább: Kezelés lehetőséget.

    Application Gateway tud kommunikálni azon a virtuális hálózaton kívüli példányokkal, amelyben található, de meg kell győződnie arról, hogy van IP-kapcsolat.

  7. A Kezelés lapon állítsa a Rendszerindítási diagnosztikabeállítást Letiltás értékre. Fogadja el a többi alapértelmezett beállítást, majd válassza az Áttekintés + létrehozás lehetőséget.

  8. A Felülvizsgálat + létrehozás lapon tekintse át a beállításokat, javítsa ki az érvényesítési hibákat, majd válassza a Létrehozás lehetőséget.

  9. Folytatás előtt várja meg, amíg az üzembe helyezési folyamat befejeződik.

Az IIS telepítése teszteléshez

Ebben a példában az IIS-t csak azért telepíti a virtuális gépekre, hogy az Azure sikeresen létrehozta-e az Application Gatewayt.

  1. Nyissa meg Azure PowerShell. Ehhez válassza a Azure Portal felső navigációs sávjának Cloud Shell elemét, majd válassza a PowerShell elemet a legördülő listából.

    Egyéni bővítmény telepítése

  2. Módosítsa a környezet helybeállítását, majd futtassa a következő parancsot az IIS virtuális gépre való telepítéséhez:

           Set-AzVMExtension `
         -ResourceGroupName myResourceGroupAG `
         -ExtensionName IIS `
         -VMName myVM `
         -Publisher Microsoft.Compute `
         -ExtensionType CustomScriptExtension `
         -TypeHandlerVersion 1.4 `
         -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
         -Location <location>

  3. Hozzon létre egy második virtuális gépet, és telepítse az IIS-t a korábban elvégzett lépések végrehajtásával. A virtuális gép neve és a Set-AzVMExtension parancsmag VMName beállításaként használja a myVM2 parancsmagot.

Háttérkiszolgálók hozzáadása a háttérkészlethez

  1. Válassza a Minden erőforrás, majd a myAppGateway lehetőséget.

  2. A bal oldali menüben válassza a Háttérkészletek lehetőséget.

  3. Válassza a myBackendPool lehetőséget.

  4. A Cél típusa területen válassza a Virtuális gép lehetőséget a legördülő listából.

  5. A Cél területen válassza ki a myVM alatti hálózati adaptert a legördülő listából.

  6. Ismételje meg a műveletet a myVM2 hálózati adapterének hozzáadásához.

    Háttérkiszolgálók hozzáadása

  7. Kattintson a Mentés gombra.

  8. Várja meg, amíg az üzembe helyezés befejeződik, mielőtt továbblép a következő lépésre.

Az alkalmazásátjáró tesztelése

  1. Válassza a Minden erőforrás, majd a myAGPublicIPAddress lehetőséget.

    Alkalmazásátjáró nyilvános IP-címének rögzítése

  2. A böngésző címsorában írja be <https:// your Application Gateway IP-címét>.

    Ha önaláírt tanúsítvány használata esetén el szeretné fogadni a biztonsági figyelmeztetést, válassza a Részletek (vagy a Speciális a Chrome-ban) lehetőséget, majd lépjen a weblapra:

    Biztonsági figyelmeztetés

    Ekkor a biztonságos IIS-webhely a következő példához hasonlóan jelenik meg:

    Az alap URL-cím tesztelése az alkalmazásátjáróban

Az erőforrások eltávolítása

Ha már nincs rá szükség, törölje az erőforráscsoportot és az összes kapcsolódó erőforrást. Ehhez válassza ki az erőforráscsoportot, és válassza az Erőforráscsoport törlése lehetőséget.

További lépések

Az oktatóanyag során az alábbi lépéseket fogja végrehajtani:

  • Önaláírt tanúsítvány létrehozása
  • Application Gateway létrehozása a tanúsítvánnyal

Az Application Gateway TLS-támogatással kapcsolatos további információkért lásd: A TLS végpontok közötti használata Application Gateway és Application Gateway TLS-szabályzattal.

Ha meg szeretné tudni, hogyan hozhat létre és konfigurálhat Application Gateway több webhelyet a Azure Portal használatával, folytassa a következő oktatóanyagtal.

Több webhely üzemeltetése