A letiltott figyelők ismertetése

Az Azure-alkalmazás Átjáró figyelőinek SSL/TLS-tanúsítványai az ügyfél Key Vault-erőforrásából hivatkozhatók. Az application gatewaynek mindig hozzá kell férnie az ilyen társított kulcstartó-erőforráshoz és annak tanúsítványobjektumához, hogy biztosítsa a TLS-megszüntetési funkció zökkenőmentes működését és az átjáró-erőforrás általános állapotát.

Fontos figyelembe venni az Application Gateway-erőforrásra gyakorolt bármilyen hatást, amikor módosításokat végez, vagy visszavonja a Key Vault-erőforráshoz való hozzáférést. Ha az application gateway nem tud hozzáférni a társított kulcstartóhoz, vagy nem találja a tanúsítványobjektumát, akkor a figyelő automatikusan letiltott állapotba kerül. A művelet csak konfigurációs hibák esetén aktiválódik. Minden ügyfél helytelen konfigurációja, például a tanúsítványok törlése/letiltása, vagy az Application Gateway hozzáférésének tiltása a Key Vault tűzfalán vagy engedélyén keresztül, letiltja a kulcstartó-alapú HTTPS-figyelőt. Az átmeneti csatlakozási problémák nincsenek hatással a figyelőkre.

A letiltott figyelők nem befolyásolják az Application Gateway más operatív figyelőinek forgalmát. Például azok a HTTP-figyelők vagy HTTPS-figyelők, amelyekre a PFX-tanúsítványfájl közvetlenül fel van töltve az Application Gateway-erőforrásra, soha nem lesznek letiltva.

Rendszeres ellenőrzés és annak a figyelőkre gyakorolt hatása

Az Application Gateway rendszeres ellenőrzésének viselkedésének és a kulcstartó-alapú figyelő állapotára gyakorolt lehetséges hatásának megértése segíthet az ilyen esetek előkezelésében vagy gyorsabb megoldásában.

Hogyan működik az időszakos ellenőrzés?

1. Az Application Gateway-példányok rendszeres időközönként lekérdezik a kulcstartó erőforrását egy új tanúsítványverzió beszerzéséhez.
2. Ebben a tevékenységben, ha a példányok ehelyett a kulcstartó erőforrásához vagy egy hiányzó tanúsítványobjektumhoz való hozzáférés megszakadását észlelik, a kulcstartóhoz társított figyelő(k) letiltott állapotba kerülnek. A példányok 60 másodpercen belül frissülnek a figyelő(k) letiltott állapotával, hogy konzisztens adatsík-viselkedést biztosítsanak.
3. Miután az ügyfél megoldotta a problémát, ugyanaz a négyórás rendszeres lekérdezés ellenőrzi a Key Vault tanúsítványobjektumhoz való hozzáférést, és automatikusan újra engedélyezi a figyelőket az átjáró összes példányán.

Letiltott figyelő azonosításának módjai

1. Az ügyfelek megfigyelik a "ERR_SSL_UNRECOGNIZED_NAME_ALERT" hibát, ha bármilyen kérést intéznek az Application Gateway letiltott figyelőjéhez.

2. A képernyőképen látható módon ellenőrizheti, hogy az ügyfélhiba egy letiltott figyelőtől származik-e az átjárón. Ehhez ellenőrizze az Application Gateway Resource Health oldalát.

A Key Vault konfigurációs hibáinak elhárítása

A pontos okra szűkítve a probléma megoldásának lépéseit a fiókjában található Azure Advisor-javaslat felkeresésével találhatja meg.

1. Bejelentkezés az Azure Portalra
2. Az Advisor kiválasztása
3. Válassza az Operational Excellence kategóriát a bal oldali menüből.
4. Keresse meg az Application Gateway Azure Key Vault-problémájának megoldása című javaslatot (csak akkor jelenik meg, ha az átjárónál ez a probléma jelentkezik). Győződjön meg arról, hogy a megfelelő előfizetés van kiválasztva.
5. Válassza ki a hiba részleteinek és a kulcstartóhoz tartozó erőforrás megtekintéséhez, valamint a hibaelhárítási útmutatót a pontos probléma megoldásához.

Megjegyzés:

A letiltott figyelő(k) automatikusan engedélyezve vannak, ha az Application Gateway-erőforrás észleli, hogy a probléma megoldódott. Ez az ellenőrzés négy óránként történik. Ezt felgyorsíthatja az Application Gateway kisebb módosításaival (HTTP-beállítás, erőforráscímkék stb.), amelyek a Key Vaulton való ellenőrzést kényszerítik.

Következő lépések

A key vault hibáinak elhárítása Azure-alkalmazás Gatewayben