Megosztás a következőn keresztül:

Webalkalmazások védelme az Azure VMware-megoldásban Azure-alkalmazás Gateway használatával

  • Cikk

Azure-alkalmazás Gateway egy 7. rétegbeli webes forgalom terheléselosztója, amely lehetővé teszi a webalkalmazások felé történő forgalom kezelését az Azure VMware Solution 1.0-s és 2.0-s verzióban is. Mindkét verzió az Azure VMware Solution-en futó webalkalmazásokkal lett tesztelve.

A képességek a következők:

  • Cookie-alapú munkamenet-affinitás
  • URL-alapú útválasztás
  • Webalkalmazási tűzfal (WAF)

A funkciók teljes listáját Azure-alkalmazás átjárófunkciókban találja.

Ez a cikk bemutatja, hogyan használhatja az Application Gatewayt egy webkiszolgáló-farm előtt az Azure VMware Solutionben futó webalkalmazások védelmére.

Topológia

Az ábra bemutatja, hogyan védi az Application Gateway az Azure IaaS virtuális gépeket (virtuális gépeket), az Azure-beli virtuálisgép-méretezési csoportokat vagy a helyszíni kiszolgálókat. Az Application Gateway helyszíni kiszolgálóként kezeli az Azure VMware Solution virtuális gépeket.

Diagram showing how Application Gateway protects Azure IaaS virtual machines (VMs), Azure Virtual Machine Scale Sets, or on-premises servers.

Fontos

Azure-alkalmazás Gateway az előnyben részesített módszer az Azure VMware Solution virtuális gépeken futó webalkalmazások közzétételéhez.

Az ábra az Application Gateway Azure VMware Solution-webalkalmazásokkal való érvényesítéséhez használt tesztelési forgatókönyvet mutatja be.

Diagram showing the testing scenario used to validate the Application Gateway with Azure VMware Solution web applications.

Az Application Gateway-példány egy dedikált alhálózaton lesz üzembe helyezve egy Azure-beli nyilvános IP-címmel. Ajánlott aktiválni az Azure DDoS Protectiont a virtuális hálózathoz. A webkiszolgáló az NSX T0 és t1 átjárók mögötti Azure VMware Solution magánfelhőben üzemel. Emellett az Azure VMware Solution az ExpressRoute Global Reach használatával teszi lehetővé a központtal és a helyszíni rendszerekkel való kommunikációt.

Előfeltételek

  • Egy Azure-fiók, aktív előfizetéssel.
  • Üzembe helyezett és futó Azure VMware Solution magánfelhő.

Központi telepítés és konfigurálás

  1. Az Azure Portalon keresse meg az Application Gatewayt , és válassza az Application Gateway létrehozása lehetőséget.

  2. Adja meg az alapadatokat az alábbi ábrán látható módon; majd válassza a Tovább: Előtér lehetőséget>.

    Screenshot showing Create application gateway page in Azure portal.

  3. Válassza ki az előtérbeli IP-cím típusát. Nyilvánosan válasszon ki egy meglévő nyilvános IP-címet, vagy hozzon létre egy újat. Válassza a Tovább: Háttérrendszer lehetőséget>.

    Feljegyzés

    Privát előtérrendszerek esetében csak a standard és a webalkalmazási tűzfal (WAF) termékváltozatok támogatottak.

  4. Adja hozzá az Azure VMware Solution-infrastruktúrán futó virtuális gépek háttérkészletét. Adja meg az Azure VMware Solution magánfelhőben futó webkiszolgálók részleteit, és válassza a Hozzáadás lehetőséget. Ezután válassza a Tovább: Konfiguráció lehetőséget>.

  5. A Konfiguráció lapon válassza az Útválasztási szabály hozzáadása lehetőséget.

  6. A Figyelő lapon adja meg a figyelő adatait. Ha a HTTPS van kiválasztva, meg kell adnia egy tanúsítványt egy PFX-fájlból vagy egy meglévő Azure Key Vault-tanúsítványból.

  7. Válassza a Háttérpéldányok lapot, és válassza ki a korábban létrehozott háttérkészletet. A HTTP-beállítások mezőnél válassza az Új hozzáadása lehetőséget.

  8. Konfigurálja a HTTP-beállítások paramétereit. Válassza a Hozzáadás lehetőséget.

  9. Ha elérésiút-alapú szabályokat szeretne konfigurálni, válassza a Több cél hozzáadása lehetőséget egy elérésiút-alapú szabály létrehozásához.

  10. Adjon hozzá egy elérésiút-alapú szabályt, és válassza a Hozzáadás lehetőséget. Ismételje meg a műveletet további elérésiút-alapú szabályok hozzáadásához.

  11. Ha befejezte az elérésiút-alapú szabályok hozzáadását, válassza ismét a Hozzáadás , majd a Tovább: Címkék> lehetőséget.

  12. Adjon hozzá címkéket, majd válassza a Tovább: Véleményezés + Létrehozás lehetőséget>.

  13. Az érvényesítés az Application Gatewayen fut. Ha sikeres, válassza a Létrehozás lehetőséget az üzembe helyezéshez.

Példák konfigurációra

Most konfigurálja az Application Gatewayt Azure VMware Solution virtuális gépekkel háttérkészletként a következő használati esetekhez:

Több webhely üzemeltetése

Ez az eljárás bemutatja, hogyan definiálhat háttércímkészleteket egy meglévő application gatewayen futó Azure VMware Solution magánfelhőn futó virtuális gépek használatával.

Feljegyzés

Ez az eljárás feltételezi, hogy több tartománya van, ezért példákat fogunk használni www.contoso.com és www.contoso2.com.

  1. A magánfelhőben hozzon létre két különböző virtuálisgép-készletet. Az egyik a Contoso és a második contoso2.

    Screenshot showing summary of a web server's details in VMware vSphere Client.

    A Windows Server 2016-ot az Internet Information Services (IIS) szerepkörrel telepítettük. A virtuális gépek telepítése után futtassa az alábbi PowerShell-parancsokat az IIS konfigurálásához az egyes virtuális gépeken.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

  2. Egy meglévő Application Gateway-példányban válassza a háttérkészleteket a bal oldali menüből, válassza a Hozzáadás lehetőséget, és adja meg az új készletek adatait. Válassza a Hozzáadás lehetőséget a jobb oldali panelen.

    Screenshot of Backend pools page for adding backend pools.

  3. A Figyelők szakaszban hozzon létre egy új figyelőt minden webhelyhez. Adja meg az egyes figyelők adatait, és válassza a Hozzáadás lehetőséget.

  4. A bal oldalon válassza a HTTP-beállításokat , és válassza a Hozzáadás lehetőséget a bal oldali panelen. Adja meg a részleteket egy új HTTP-beállítás létrehozásához, és válassza a Mentés lehetőséget.

    Screenshot of HTTP settings page to create a new HTTP setting.

  5. Hozza létre a szabályokat a bal oldali menü Szabályok szakaszában. Minden szabály társítása a megfelelő figyelőhöz. Válassza a Hozzáadás lehetőséget.

  6. Konfigurálja a megfelelő háttérkészletet és HTTP-beállításokat. Válassza a Hozzáadás lehetőséget.

  7. Tesztelje a kapcsolatot. Nyissa meg az előnyben részesített böngészőt, és keresse meg az Azure VMware Solution-környezetben üzemeltetett különböző webhelyeket.

    Screenshot of browser page showing successful test the connection.

Útválasztás URL-cím alapján

Az alábbi lépések az Azure VMware Solution magánfelhőn futó virtuális gépek használatával határozzák meg a háttércímkészleteket. A magánfelhő egy meglévő alkalmazásátjárón található. Ezután olyan útválasztási szabályokat hozhat létre, amelyek biztosítják, hogy a webes forgalom a készletek megfelelő kiszolgálóira érkezik.

  1. A magánfelhőben hozzon létre egy virtuálisgép-készletet a webfarm megjelenítéséhez.

    Screenshot of page in VMware vSphere Client showing summary of another VM.

    Az oktatóanyagot a Telepített IIS-szerepkörrel rendelkező Windows Server 2016 szemlélteti. A virtuális gépek telepítése után futtassa az alábbi PowerShell-parancsokat az IIS konfigurálásához minden egyes virtuálisgép-oktatóanyaghoz.

    Az első virtuális gép, a contoso-web-01 üzemelteti a fő webhelyet.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

    A második virtuális gép, a contoso-web-02 üzemelteti a képek webhelyét.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "images" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\images\test.htm -Value $($env:computername)

    A harmadik virtuális gép, a contoso-web-03 üzemelteti a videówebhelyet.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "video" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\video\test.htm -Value $($env:computername)

  2. Adjon hozzá három új háttérkészletet egy meglévő Application Gateway-példányhoz.

    1. Válassza ki a háttérkészleteket a bal oldali menüből.
    2. Válassza a Hozzáadás lehetőséget, és adja meg az első készlet, a contoso-web adatait.
    3. Adjon hozzá egy virtuális gépet célként.
    4. Válassza a Hozzáadás lehetőséget.
    5. Ismételje meg ezt a folyamatot a contoso-images és a contoso-video esetében, és adjon hozzá egy egyedi virtuális gépet célként.

    Screenshot of Backend pools page showing the addition of three new backend pools.

  3. A Figyelők szakaszban hozzon létre egy alapszintű figyelőt a 8080-es port használatával.

  4. A bal oldali navigációs sávon válassza a HTTP-beállításokat , és válassza a Hozzáadás lehetőséget a bal oldali panelen. Adja meg a részleteket egy új HTTP-beállítás létrehozásához, és válassza a Mentés lehetőséget.

    Screenshot of Add HTTP setting page showing HTTP settings configuration.

  5. Hozza létre a szabályokat a bal oldali menü Szabályok szakaszában, és társítsa az egyes szabályokat a korábban létrehozott figyelőhöz. Ezután konfigurálja a fő háttérkészletet és a HTTP-beállításokat, majd válassza a Hozzáadás lehetőséget.

    Screenshot of Add a routing rule page to configure routing rules to a backend target.

  6. Tesztelje a konfigurációt. Az Application Gateway elérése az Azure Portalon, és a nyilvános IP-cím másolása az Áttekintés szakaszban.

    1. Nyisson meg egy új böngészőablakot, és adja meg az URL-címet http://<app-gw-ip-address>:8080.

      Screenshot of browser page showing successful test of the configuration.

    2. Módosítsa az URL-címet a következőre: http://<app-gw-ip-address>:8080/images/test.htm.

      Screenshot of another successful test with the new URL.

    3. Módosítsa ismét az URL-címet a következőre http://<app-gw-ip-address>:8080/video/test.htm: .

      Screenshot of successful test with the final URL.

Következő lépések

Most, hogy megismerkedett az Application Gateway használatával egy Azure VMware Solution-en futó webalkalmazás védelmével, további információ: