Megosztás a következőn keresztül:

Oktatóanyag: Application Gateway konfigurálása TLS-leállítással az Azure Portal használatával

Az Azure Portal használatával konfigurálhat egy alkalmazásátjárót egy TLS-lezáráshoz szükséges tanúsítvánnyal, amely virtuális gépeket használ a háttérkiszolgálókhoz.

Ebben az oktatóanyagban a következőket sajátíthatja el:

  • Önaláírt tanúsítvány létrehozása
  • Application Gateway létrehozása a tanúsítvánnyal
  • Háttérkiszolgálóként használt virtuális gépek létrehozása
  • Az Application Gateway tesztelése

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Megjegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg Az Azure PowerShell telepítése témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Előfeltételek

  • Azure-előfizetés

Önaláírt tanúsítvány létrehozása

Ebben a szakaszban a New-SelfSignedCertificate használatával hozhat létre önaláírt tanúsítványt. A tanúsítványt az Application Gateway figyelőjének létrehozásakor tölti fel az Azure Portalra.

A helyi számítógépen nyisson meg egy Windows PowerShell-ablakot rendszergazdaként. Futtassa a következő parancsot a tanúsítvány létrehozásához:

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

Ehhez hasonló választ kell látnia:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Használja az Export-PfxCertificate parancsot a visszaadott ujjlenyomattal a pfx-fájl tanúsítványból való exportálásához. A támogatott PFX-algoritmusok a PFXImportCertStore függvényben találhatók. Győződjön meg arról, hogy a jelszó 4–12 karakter hosszú:

$pwd = ConvertTo-SecureString -String <your password> -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Bejelentkezés az Azure-ba

Jelentkezzen be a Azure portalra.

Application Gateway létrehozása

  1. Az Azure Portal menüjében válassza a Erőforrás létrehozása>Hálózatkezelés>Application Gateway lehetőséget, vagy keressen rá az Application Gateway-re a portál keresőmezőjében.

  2. Válassza a Create gombot.

Alapvető beállítások lap

  1. Az Alapok lapon adja meg vagy jelölje ki az alábbi értékeket:

    • Erőforráscsoport: Válassza ki a myResourceGroupAG lehetőséget az erőforráscsoporthoz. Ha nem létezik, a létrehozáshoz válassza az Új létrehozása lehetőséget.

    • Application Gateway neve: Adja meg a myAppGateway nevet az application gateway nevében.

      Képernyőkép egy új Application Gateway-alapismeretek létrehozásáról.

  2. Ahhoz, hogy az Azure kommunikálhasson a létrehozott erőforrások között, virtuális hálózatra van szüksége. Létrehozhat egy új virtuális hálózatot, vagy használhat egy meglévőt. Ebben a példában egy új virtuális hálózatot fog létrehozni az application gateway létrehozásával egyidejűleg. Az Application Gateway-példányok külön alhálózatokban jönnek létre. Ebben a példában két alhálózatot hoz létre: egyet az application gatewayhez, a másikat a háttérkiszolgálókhoz.

    A Virtuális hálózat konfigurálása területen hozzon létre egy új virtuális hálózatot az Új létrehozása gombra kattintva. A megnyíló virtuális hálózat létrehozása ablakban adja meg a következő értékeket a virtuális hálózat és két alhálózat létrehozásához:

    • Név: Írja be a myVNet nevet a virtuális hálózat nevére.

    • Alhálózat neve (Application Gateway-alhálózat): Az Alhálózatok rács egy Alapértelmezett nevű alhálózatot jelenít meg. Módosítsa az alhálózat nevét myAGSubnetre.
      Az Application Gateway alhálózata csak alkalmazásátjárókat tartalmazhat. Más erőforrások nem engedélyezettek.

    • Alhálózat neve (háttérkiszolgáló alhálózata): Az Alhálózatok rács második sorában adja meg a myBackendSubnet nevet az Alhálózat neve oszlopban.

    • Címtartomány (háttérkiszolgáló alhálózata): Az Alhálózatok rácsának második sorában adjon meg egy olyan címtartományt, amely nem fedi át a myAGSubnet címtartományát. Ha például a myAGSubnet címtartománya 10.0.0.0/24, adja meg a 10.0.1.0/24 értéket a myBackendSubnet címtartományához.

    Kattintson az OK gombra a virtuális hálózat létrehozása ablak bezárásához és a virtuális hálózat beállításainak mentéséhez.

    Képernyőkép egy új Application Gateway virtuális hálózat létrehozásáról.

  3. Az Alapszintű beállítások lapon fogadja el a többi beállítás alapértelmezett értékeit, majd válassza a Tovább: Előtér lehetőséget.

Frontend fül

  1. A Frontends lapon ellenőrizze, hogy az előtérbeli IP-cím típusa nyilvános-e.
    A frontend IP-címet konfigurálhatja úgy, hogy a használati esetnek megfelelően nyilvános vagy privát legyen. Ebben a példában egy nyilvános előtérbeli IP-címet fog választani.

    Megjegyzés

    Az Application Gateway v2 termékváltozat esetében csak a nyilvános előtérbeli IP-konfigurációt választhatja. A privát előtérbeli IP-konfiguráció jelenleg nincs engedélyezve ehhez a v2 termékváltozathoz.

  2. Válassza a Nyilvános IP-cím új hozzáadása lehetőséget, és adja meg a myAGPublicIPAddress nevet a nyilvános IP-cím nevére, majd kattintson az OK gombra.

    Képernyőkép egy új Application Gateway-előtér létrehozásáról.

  3. Válassza a Tovább: Háttérrendszerek.

Háttérrendszer lap

A háttérkészlet a kéréseket a kérést kiszolgáló háttérkiszolgálókra irányítja. A háttérkészletek hálózati adapterekből, Virtuálisgép Méretezési Csoportokból, nyilvános IP-címekből, belső IP-címekből, teljesen meghatározott tartománynevekből (FQDN) és a több-bérlős háttérrendszerekből, például Azure App Serviceből állhatnak. Ebben a példában létrehoz egy üres háttérkészletet az application gateway használatával, majd háttérbeli célokat ad hozzá a háttérkészlethez.

  1. A Háttérkészletek lapon válassza a Háttérkészlet hozzáadása lehetőséget.

  2. A megnyíló háttérkészlet hozzáadása ablakban adja meg a következő értékeket egy üres háttérkészlet létrehozásához:

    • Név: Adja meg a myBackendPool nevet a háttérkészlet nevéhez.
    • Háttérkészlet hozzáadása célok nélkül: Válassza az Igen lehetőséget, ha célokat nem tartalmazó háttérkészletet szeretne létrehozni. Az Application Gateway létrehozása után háttérbeli célokat fog hozzáadni.

  3. A Háttérkészlet hozzáadása ablakban válassza a Hozzáadás lehetőséget a háttérkészlet konfigurációjának mentéséhez és a Háttérkészletek lapra való visszatéréshez.

    Képernyőkép egy új Application Gateway-háttérrendszer létrehozásáról.

  4. A Háttérrendszer lapon válassza a Tovább: Konfiguráció lehetőséget.

Konfiguráció lap

A Konfiguráció lapon összekötheti az előoldali és háttéroldali készleteket, amelyeket egy útválasztási szabály segítségével hozott létre.

  1. Az Útválasztási szabályok oszlopban válassza az Útválasztási szabály hozzáadása lehetőséget.

  2. A megnyíló Útválasztási szabály hozzáadása ablakban írja be a myRoutingRule-t Szabálynévként.

  3. Az útválasztási szabályhoz hallgató szükséges. Az "Útválasztási szabály hozzáadása" ablak "Figyelő" fülén adja meg a következő értékeket a figyelőhöz:

    • Figyelő neve: Adja meg a myListener nevet a figyelőnek.
    • Előtérbeli IP-cím: Válassza a Nyilvános lehetőséget az előtérben létrehozott nyilvános IP-cím kiválasztásához.
    • Protokoll: Válassza a HTTPS lehetőséget.
    • Port: Ellenőrizze, hogy a 443 be van-e írva a porthoz.

    A HTTPS-beállítások területen:

    • Tanúsítvány kiválasztása – Válassza a Tanúsítvány feltöltése lehetőséget.

    • PFX-tanúsítványfájl – Keresse meg és válassza ki a korábban létrehozott c:\appgwcert.pfx fájlt.

    • Tanúsítvány neve – Írja be a mycert1 nevet a tanúsítvány nevére.

    • Jelszó – Írja be a tanúsítvány létrehozásához használt jelszót.

      Fogadja el a Figyelő lapon lévő többi beállítás alapértelmezett értékeit, majd válassza a Háttérbeli célok lapot az útválasztási szabály többi részének konfigurálásához.

    Képernyőkép egy új Application Gateway-figyelő létrehozásáról.

  4. A Háttérpéldányok lapon válassza ki a myBackendPool elemet a Háttérbeli célpont számára.

  5. A HTTP-beállításhoz válassza az Új hozzáadása lehetőséget egy új HTTP-beállítás létrehozásához. A HTTP-beállítás határozza meg az útválasztási szabály viselkedését. A HTTP-beállítás hozzáadása ablakban, amely megnyílik, adja meg a HTTP-beállítás neve mezőben a myHTTPSetting értéket. Fogadja el az alapértelmezett értékeket a HTTP-beállítás hozzáadása ablakban, majd válassza a Hozzáadás lehetőséget az útválasztási szabály hozzáadása ablakhoz való visszatéréshez.

    Képernyőkép a H T T P beállítás hozzáadásáról az új Application Gateway létrehozása konfigurációs lapján

  6. Az Útválasztási szabály hozzáadása ablakban válassza a Hozzáadás lehetőséget az útválasztási szabály mentéséhez és a Konfiguráció lapra való visszatéréshez.

    Képernyőkép egy új Application Gateway-útválasztási szabály létrehozásáról.

  7. Válassza a Tovább: Címkék , majd a Következő: Véleményezés + létrehozás lehetőséget.

Véleményezés és létrehozás fül

Tekintse át a Felülvizsgálat + létrehozás lapon található beállításokat, majd válassza a Létrehozás lehetőséget a virtuális hálózat, a nyilvános IP-cím és az application gateway létrehozásához. Az Application Gateway létrehozása több percet is igénybe vehet. Várjon, amíg az üzembe helyezés sikeresen befejeződik, mielőtt továbblépne a következő szakaszra.

Háttérbeli célok hozzáadása

Ebben a példában virtuális gépeket fog használni cél háttérrendszerként. Használhat meglévő virtuális gépeket, vagy létrehozhat újakat. Két olyan virtuális gépet fog létrehozni, amelyeket az Azure háttérkiszolgálóként használ az Application Gatewayhez.

Ehhez a következő műveleteket kell elvégeznie:

  1. Hozzon létre két új virtuális gépet, a myVM-et és a myVM2-t háttérkiszolgálóként.
  2. Telepítse az IIS-t a virtuális gépekre annak ellenőrzéséhez, hogy az application gateway sikeresen létrejött-e.
  3. Adja hozzá a háttérkiszolgálót a háttérkészlethez.

Virtuális gép létrehozása

  1. Az Azure Portál menüjében válassza a + Erőforrás létrehozása>Számítás>Windows Server 2016 Datacenter lehetőséget, vagy keressen rá a Windows Server kifejezésre a portál keresőmezőjében, és válassza a Windows Server 2016 Datacenter opciót.

  2. Válassza a Create gombot.

    Az Application Gateway bármilyen, a háttérkészletében használt virtuális gépre irányíthatja a forgalmat. Ebben a példában egy Windows Server 2016 Datacentert használ.

  3. Adja meg ezeket az értékeket az Alapértékek lapon a következő virtuálisgép-beállításokhoz:

    • Erőforráscsoport: Válassza a myResourceGroupAG lehetőséget az erőforráscsoport nevének megadásához.
    • Virtuális gép neve: Adja meg a myVM nevet a virtuális gép nevére.
    • Felhasználónév: Adja meg a rendszergazdai felhasználónév nevét.
    • Jelszó: Adja meg a rendszergazdai fiók jelszavát.

  4. Fogadja el a többi alapértelmezett beállítást, majd válassza a Tovább: Lemezek lehetőséget.

  5. Fogadja el a Lemezek lap alapértelmezett beállítását, majd válassza a Tovább: Hálózatkezelés lehetőséget.

  6. A Hálózatkezelés lapon ellenőrizze, hogy a myVNet ki van-e jelölve a virtuális hálózathoz, és az alhálózat myBackendSubnet értékre van állítva. Fogadja el a többi alapértelmezett beállítást, majd válassza a Tovább: Kezelés lehetőséget.

    Az Application Gateway képes kommunikálni azon virtuális hálózaton kívüli példányokkal, amelyekben található, de meg kell győződnie arról, hogy IP-kapcsolat áll fenn.

  7. A Felügyelet lapon állítsa a Rendszerindítási diagnosztikátLetiltva állapotra. Fogadja el a többi alapértelmezett beállítást, majd válassza a Véleményezés + létrehozás lehetőséget.

  8. A Véleményezés + létrehozás lapon tekintse át a beállításokat, javítsa ki az érvényesítési hibákat, majd válassza a Létrehozás lehetőséget.

  9. A folytatás előtt várja meg, amíg az üzembe helyezés befejeződik.

Az IIS telepítése teszteléshez

Ebben a példában az IIS-t csak azért telepíti a virtuális gépekre, hogy ellenőrizze, hogy az Azure sikeresen létrehozta-e az Application Gatewayt.

  1. Nyissa meg az Azure PowerShellt. Ehhez válassza a Cloud Shellt az Azure Portal felső navigációs sávján, majd válassza a PowerShellt a legördülő listából.

    Képernyőkép az egyéni bővítmény telepítéséről.

  2. Módosítsa a környezet helybeállítását, majd futtassa a következő parancsot az IIS virtuális gépen való telepítéséhez:

           Set-AzVMExtension `
         -ResourceGroupName myResourceGroupAG `
         -ExtensionName IIS `
         -VMName myVM `
         -Publisher Microsoft.Compute `
         -ExtensionType CustomScriptExtension `
         -TypeHandlerVersion 1.4 `
         -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
         -Location <location>

  3. Hozzon létre egy második virtuális gépet, és telepítse az IIS-t a korábban elvégzett lépések végrehajtásával. Használja a myVM2-t a virtuális gép nevére és a Set-AzVMExtension parancsmag VMName beállítására.

Háttérkiszolgálók hozzáadása a háttérkészlethez

  1. Válassza az Összes erőforrás lehetőséget, majd a myAppGateway lehetőséget.

  2. Válassza ki a háttérkészleteket a bal oldali menüből.

  3. Válassza a myBackendPool lehetőséget.

  4. A Cél típusa csoportban válassza a Virtuális gép lehetőséget a legördülő listából.

  5. A Cél területen válassza ki a myVM alatti hálózati adaptert a legördülő listából.

  6. Ismételje meg a myVM2 hálózati adapterének hozzáadását.

    Képernyőkép háttérkiszolgálók hozzáadásáról.

  7. Válassza az Mentésgombot.

  8. Várja meg, amíg az üzembe helyezés befejeződik, mielőtt továbblép a következő lépésre.

Az Application Gateway tesztelése

  1. Válassza a Minden erőforrás lehetőséget, majd a myAGPublicIPAddress lehetőséget.

    Képernyőkép az Application Gateway nyilvános IP-címének megkereséséről.

  2. A böngésző címsorában írja be <https:// your application gateway IP-címét>.

    Ha önaláírt tanúsítványt használ, fogadja el a biztonsági figyelmeztetést, válassza a Részletek (vagy Speciális a Chrome-ban) lehetőséget, majd lépjen a weblapra:

    Képernyőkép a böngésző biztonsági figyelmeztetéséről.

    A biztonságos IIS-webhely ezután az alábbi példához hasonlóan jelenik meg:

    Képernyőkép az alap URL-cím teszteléséről az Application Gatewayben.

Erőforrások tisztítása

Ha már nincs rá szükség, törölje az erőforráscsoportot és az összes kapcsolódó erőforrást. Ehhez jelölje ki az erőforráscsoportot, és válassza az Erőforráscsoport törlése lehetőséget.

Következő lépések

Ebben az oktatóanyagban ön:

  • Önaláírt tanúsítvány létrehozása
  • Application Gateway létrehozása a tanúsítvánnyal

Az Application Gateway TLS-támogatásával kapcsolatos további információkért tekintse meg a végpontok közötti TLS az Application Gateway segítségével és az Application Gateway TLS-szabályzat szócikkeket.

Ha szeretné megtudni, hogyan hozhat létre és konfigurálhat egy Application Gatewayt több webhely üzemeltetésére az Azure Portal használatával, folytassa a következő oktatóanyaggal.

Több webhely üzemeltetése

  • Last updated on