Megosztás a következőn keresztül:

Oktatóanyag: Application Gateway konfigurálása TLS-leállítással az Azure Portal használatával

  • Cikk

Az Azure Portal használatával konfigurálhat egy alkalmazásátjárót egy TLS-lezáráshoz szükséges tanúsítvánnyal, amely virtuális gépeket használ a háttérkiszolgálókhoz.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Önaláírt tanúsítvány létrehozása
  • Alkalmazásátjáró létrehozása a tanúsítvánnyal
  • Háttérkiszolgálóként használt virtuális gépek létrehozása
  • Az alkalmazásátjáró tesztelése

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Első lépésként tekintse meg az Azure PowerShell telepítését ismertető témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Előfeltételek

  • Azure-előfizetés

Önaláírt tanúsítvány létrehozása

Ebben a szakaszban a New-SelfSignedCertificate használatával hozhat létre önaláírt tanúsítványt. A tanúsítványt az Application Gateway figyelőjének létrehozásakor tölti fel az Azure Portalra.

A helyi számítógépen nyisson meg egy Windows PowerShell-ablakot rendszergazdaként. Futtassa a következő parancsot a tanúsítvány létrehozásához:

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

Ehhez hasonló választ kell látnia:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Használja az Export-PfxCertificate parancsot a visszaadott ujjlenyomattal a pfx-fájl tanúsítványból való exportálásához. A támogatott PFX-algoritmusok a PFXImportCertStore függvényben találhatók. Győződjön meg arról, hogy a jelszó 4–12 karakter hosszú:

$pwd = ConvertTo-SecureString -String <your password> -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Bejelentkezés az Azure-ba

Jelentkezzen be az Azure Portalra.

Application Gateway létrehozása

  1. Az Azure Portal menüjében válassza a + Erőforrás-hálózatkezelési>>alkalmazásátjáró létrehozása lehetőséget, vagy keressen az Application Gatewayre a portál keresőmezőjében.

  2. Válassza a Létrehozás lehetőséget.

Alapvető beállítások lap

  1. Az Alapok lapon adja meg vagy jelölje ki az alábbi értékeket:

    • Erőforráscsoport: Válassza ki a myResourceGroupAG lehetőséget az erőforráscsoporthoz. Ha nem létezik, a létrehozáshoz válassza az Új létrehozása lehetőséget.

    • Application Gateway neve: Adja meg a myAppGateway nevet az application gateway nevében.

      Új Application Gateway létrehozása: Alapismeretek

  2. Ahhoz, hogy az Azure kommunikálhasson a létrehozott erőforrások között, virtuális hálózatra van szüksége. Létrehozhat egy új virtuális hálózatot, vagy használhat egy meglévőt. Ebben a példában egy új virtuális hálózatot fog létrehozni az application gateway létrehozásával egyidejűleg. Az Application Gateway-példányok külön alhálózatokban jönnek létre. Ebben a példában két alhálózatot hoz létre: egyet az application gatewayhez, a másikat a háttérkiszolgálókhoz.

    A Virtuális hálózat konfigurálása területen hozzon létre egy új virtuális hálózatot az Új létrehozása gombra kattintva. A megnyíló virtuális hálózat létrehozása ablakban adja meg a következő értékeket a virtuális hálózat és két alhálózat létrehozásához:

    • Név: Írja be a myVNet nevet a virtuális hálózat nevére.

    • Alhálózat neve (Application Gateway-alhálózat): Az Alhálózatok rács egy Alapértelmezett nevű alhálózatot jelenít meg. Módosítsa az alhálózat nevét myAGSubnetre.
      Az Application Gateway alhálózata csak alkalmazásátjárókat tartalmazhat. Más erőforrások nem engedélyezettek.

    • Alhálózat neve (háttérkiszolgáló alhálózata): Az Alhálózatok rács második sorában adja meg a myBackendSubnet nevet az Alhálózat neve oszlopban.

    • Címtartomány (háttérkiszolgáló alhálózata): Az Alhálózatok rácsának második sorában adjon meg egy olyan címtartományt, amely nem fedi át a myAGSubnet címtartományát. Ha például a myAGSubnet címtartománya 10.0.0.0/24, adja meg a 10.0.1.0/24 értéket a myBackendSubnet címtartományához.

    Kattintson az OK gombra a virtuális hálózat létrehozása ablak bezárásához és a virtuális hálózat beállításainak mentéséhez.

    Új application gateway létrehozása: virtuális hálózat

  3. Az Alapszintű beállítások lapon fogadja el a többi beállítás alapértelmezett értékeit, majd válassza a Tovább: Előtér lehetőséget.

Előtér lap

  1. A Frontends lapon ellenőrizze, hogy az előtérbeli IP-cím típusa nyilvános-e.
    A frontend IP-címet konfigurálhatja úgy, hogy a használati esetnek megfelelően nyilvános vagy privát legyen. Ebben a példában egy nyilvános előtérbeli IP-címet fog választani.

    Feljegyzés

    Az Application Gateway v2 termékváltozat esetében csak a nyilvános előtérbeli IP-konfigurációt választhatja. A privát előtérbeli IP-konfiguráció jelenleg nincs engedélyezve ehhez a v2 termékváltozathoz.

  2. Válassza a Nyilvános IP-cím új hozzáadása lehetőséget, és adja meg a myAGPublicIPAddress nevet a nyilvános IP-cím nevére, majd kattintson az OK gombra.

    Új Application Gateway létrehozása: előtérrendszerek

  3. Válassza a Tovább: Háttérrendszer lehetőséget.

Háttérrendszer lap

A háttérkészlet a kéréseket a kérést kiszolgáló háttérkiszolgálókra irányítja. A háttérkészletek lehetnek hálózati adapterek, virtuálisgép-méretezési csoportok, nyilvános IP-címek, belső IP-címek, teljes tartománynevek (FQDN) és több-bérlős háttérrendszerek, például Azure-alkalmazás Szolgáltatás. Ebben a példában létrehoz egy üres háttérkészletet az application gateway használatával, majd háttérbeli célokat ad hozzá a háttérkészlethez.

  1. A Háttérkészletek lapon válassza a Háttérkészlet hozzáadása lehetőséget.

  2. A megnyíló háttérkészlet hozzáadása ablakban adja meg a következő értékeket egy üres háttérkészlet létrehozásához:

    • Név: Írja be a myBackendPool nevet a háttérkészlet nevére.
    • Háttérkészlet hozzáadása célok nélkül: Válassza az Igen lehetőséget, ha célokat nem tartalmazó háttérkészletet szeretne létrehozni. Az Application Gateway létrehozása után háttérbeli célokat fog hozzáadni.

  3. A Háttérkészlet hozzáadása ablakban válassza a Hozzáadás lehetőséget a háttérkészlet konfigurációjának mentéséhez és a Háttérkészletek lapra való visszatéréshez.

    Új Application Gateway létrehozása: háttérrendszerek

  4. A Háttérrendszer lapon válassza a Tovább: Konfiguráció lehetőséget.

Konfiguráció lap

A Konfiguráció lapon egy útválasztási szabály használatával létrehozott előtér- és háttérkészletet fogja csatlakoztatni.

  1. Az Útválasztási szabályok oszlopban válassza az Útválasztási szabály hozzáadása lehetőséget.

  2. A megnyíló Útválasztási szabály hozzáadása ablakban adja meg a myRoutingRule nevet a szabálynévhez.

  3. Az útválasztási szabályhoz figyelő szükséges. Az Útválasztási szabály hozzáadása ablak Figyelő lapján adja meg a következő értékeket a figyelőhöz:

    • Figyelő neve: Adja meg a myListener nevet a figyelőnek.
    • Előtérbeli IP-cím: Válassza a Nyilvános lehetőséget az előtérben létrehozott nyilvános IP-cím kiválasztásához.
    • Protokoll: Válassza a HTTPS lehetőséget.
    • Port: Ellenőrizze, hogy a 443 be van-e írva a porthoz.

    A HTTPS Gépház alatt:

    • Tanúsítvány kiválasztása – Válassza a Tanúsítvány feltöltése lehetőséget.

    • PFX-tanúsítványfájl – Keresse meg és válassza ki a korábban létrehozott c:\appgwcert.pfx fájlt.

    • Tanúsítvány neve – Írja be a mycert1 nevet a tanúsítvány nevére.

    • Jelszó – Írja be a tanúsítvány létrehozásához használt jelszót.

      Fogadja el a Figyelő lapon lévő többi beállítás alapértelmezett értékeit, majd válassza a Háttérbeli célok lapot az útválasztási szabály többi részének konfigurálásához.

    Új Application Gateway létrehozása: figyelő

  4. A Háttérpéldányok lapon válassza a háttérbeli cél myBackendPool elemét.

  5. A HTTP-beállításhoz válassza az Új hozzáadása lehetőséget egy új HTTP-beállítás létrehozásához. A HTTP-beállítás határozza meg az útválasztási szabály viselkedését. A megnyíló HTTP-beállítás hozzáadása ablakban adja meg a HTTP-beállítás nevénekHTTPSetting értékét. Fogadja el az alapértelmezett értékeket a HTTP-beállítás hozzáadása ablakban, majd válassza a Hozzáadás lehetőséget az útválasztási szabály hozzáadása ablakhoz való visszatéréshez.

    Képernyőkép a H T T P beállítás hozzáadásáról az új Application Gateway létrehozása konfigurációs lapján

  6. Az Útválasztási szabály hozzáadása ablakban válassza a Hozzáadás lehetőséget az útválasztási szabály mentéséhez és a Konfiguráció lapra való visszatéréshez.

    Új application gateway létrehozása: útválasztási szabály

  7. Válassza a Tovább: Címkék , majd a Következő: Véleményezés + létrehozás lehetőséget.

Felülvizsgálat + létrehozás lap

Tekintse át a Felülvizsgálat + létrehozás lapon található beállításokat, majd válassza a Létrehozás lehetőséget a virtuális hálózat, a nyilvános IP-cím és az application gateway létrehozásához. Az Application Gateway létrehozása több percet is igénybe vehet. Várjon, amíg az üzembe helyezés sikeresen befejeződik, mielőtt továbblépne a következő szakaszra.

Háttérbeli célok hozzáadása

Ebben a példában virtuális gépeket fog használni cél háttérrendszerként. Használhat meglévő virtuális gépeket, vagy létrehozhat újakat. Két olyan virtuális gépet fog létrehozni, amelyeket az Azure háttérkiszolgálóként használ az Application Gatewayhez.

Ehhez a következő műveleteket kell elvégeznie:

  1. Hozzon létre két új virtuális gépet, a myVM-et és a myVM2-t háttérkiszolgálóként.
  2. Telepítse az IIS-t a virtuális gépekre annak ellenőrzéséhez, hogy az application gateway sikeresen létrejött-e.
  3. Adja hozzá a háttérkiszolgálót a háttérkészlethez.

Virtuális gép létrehozása

  1. Az Azure Portal menüjében válassza a + Erőforrás>létrehozása Számítási>Windows Server 2016-adatközpontot, vagy keresse meg a Windows Servert a portál keresőmezőjében, és válassza a Windows Server 2016 Datacenter lehetőséget.

  2. Válassza a Létrehozás lehetőséget.

    Az Application Gateway bármilyen, a háttérkészletében használt virtuális gépre irányíthatja a forgalmat. Ebben a példában egy Windows Server 2016 Datacentert használ.

  3. Adja meg ezeket az értékeket az Alapértékek lapon a következő virtuálisgép-beállításokhoz:

    • Erőforráscsoport: Válassza a myResourceGroupAG lehetőséget az erőforráscsoport nevének megadásához.
    • Virtuális gép neve: Adja meg a myVM nevet a virtuális gép nevére.
    • Felhasználónév: Adja meg a rendszergazdai felhasználónév nevét.
    • Jelszó: Adja meg a rendszergazdai fiók jelszavát.

  4. Fogadja el a többi alapértelmezett beállítást, majd válassza a Tovább: Lemezek lehetőséget.

  5. Fogadja el a Lemezek lap alapértelmezett beállítását, majd válassza a Tovább: Hálózatkezelés lehetőséget.

  6. A Hálózatkezelés lapon ellenőrizze, hogy a myVNet ki van-e jelölve a virtuális hálózathoz, és az alhálózat myBackendSubnet értékre van állítva. Fogadja el a többi alapértelmezett beállítást, majd válassza a Tovább: Kezelés lehetőséget.

    Az Application Gateway képes kommunikálni azon virtuális hálózaton kívüli példányokkal, amelyekben található, de meg kell győződnie arról, hogy IP-kapcsolat áll fenn.

  7. A Felügyelet lapon állítsa a rendszerindítási diagnosztika letiltására. Fogadja el a többi alapértelmezett beállítást, majd válassza a Véleményezés + létrehozás lehetőséget.

  8. A Véleményezés + létrehozás lapon tekintse át a beállításokat, javítsa ki az érvényesítési hibákat, majd válassza a Létrehozás lehetőséget.

  9. Folytatás előtt várja meg, amíg az üzembe helyezési folyamat befejeződik.

Az IIS telepítése teszteléshez

Ebben a példában az IIS-t csak azért telepíti a virtuális gépekre, hogy ellenőrizze, hogy az Azure sikeresen létrehozta-e az Application Gatewayt.

  1. Nyissa meg az Azure PowerShellt. Ehhez válassza a Cloud Shellt az Azure Portal felső navigációs sávján, majd válassza a PowerShellt a legördülő listából.

    Egyéni bővítmény telepítése

  2. Módosítsa a környezet helybeállítását, majd futtassa a következő parancsot az IIS virtuális gépen való telepítéséhez:

           Set-AzVMExtension `
         -ResourceGroupName myResourceGroupAG `
         -ExtensionName IIS `
         -VMName myVM `
         -Publisher Microsoft.Compute `
         -ExtensionType CustomScriptExtension `
         -TypeHandlerVersion 1.4 `
         -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
         -Location <location>

  3. Hozzon létre egy második virtuális gépet, és telepítse az IIS-t a korábban elvégzett lépések végrehajtásával. Használja a myVM2-t a virtuális gép nevére és a Set-AzVMExtension parancsmag VMName beállítására.

Háttérkiszolgálók hozzáadása a háttérkészlethez

  1. Válassza az Összes erőforrás lehetőséget, majd a myAppGateway lehetőséget.

  2. Válassza ki a háttérkészleteket a bal oldali menüből.

  3. Válassza a myBackendPool lehetőséget.

  4. A Cél típusa csoportban válassza a Virtuális gép lehetőséget a legördülő listából.

  5. A Cél területen válassza ki a myVM alatti hálózati adaptert a legördülő listából.

  6. Ismételje meg a myVM2 hálózati adapterének hozzáadását.

    Háttérkiszolgálók hozzáadása

  7. Válassza a Mentés lehetőséget.

  8. Várja meg, amíg az üzembe helyezés befejeződik, mielőtt továbblép a következő lépésre.

Az alkalmazásátjáró tesztelése

  1. Válassza a Minden erőforrás lehetőséget, majd a myAGPublicIPAddress lehetőséget.

    Alkalmazásátjáró nyilvános IP-címének rögzítése

  2. A böngésző címsorában írja be https:// your application gateway IP-címét>.<

    Ha önaláírt tanúsítványt használ, fogadja el a biztonsági figyelmeztetést, válassza a Részletek (vagy Speciális a Chrome-ban) lehetőséget, majd lépjen a weblapra:

    Biztonsági figyelmeztetés

    Ekkor a biztonságos IIS-webhely a következő példához hasonlóan jelenik meg:

    Az alap URL-cím tesztelése az alkalmazásátjáróban

Az erőforrások eltávolítása

Ha már nincs rá szükség, törölje az erőforráscsoportot és az összes kapcsolódó erőforrást. Ehhez jelölje ki az erőforráscsoportot, és válassza az Erőforráscsoport törlése lehetőséget.

Következő lépések

Az oktatóanyag során az alábbi lépéseket fogja végrehajtani:

  • Önaláírt tanúsítvány létrehozása
  • Application Gateway létrehozása a tanúsítvánnyal

Az Application Gateway TLS-támogatásával kapcsolatos további információkért tekintse meg az Application Gateway és az Application Gateway TLS-szabályzattal rendelkező végpontok közötti TLS-t.

Ha szeretné megtudni, hogyan hozhat létre és konfigurálhat egy Application Gatewayt több webhely üzemeltetésére az Azure Portal használatával, folytassa a következő oktatóanyaggal.

Több webhely üzemeltetése