Az Azure Container Apps védelme webalkalmazási tűzfallal az Application Gatewayen
Ha alkalmazásait vagy mikroszolgáltatásait az Azure Container Appsben üzemelteti, előfordulhat, hogy nem mindig szeretné közvetlenül az interneten közzétenni őket. Ehelyett érdemes lehet egy fordított proxyn keresztül elérhetővé tenni őket.
A fordított proxy egy szolgáltatás, amely egy vagy több szolgáltatás előtt helyezkedik el, és a bejövő forgalmat a megfelelő célhelyre irányítja.
A fordított proxyk lehetővé teszik, hogy olyan szolgáltatásokat helyezzen el az alkalmazások elé, amelyek támogatják a többirányú funkciókat, például:
- Routing
- Gyorsítótárazás
- Sebességkorlátozás
- Terheléselosztás
- Biztonsági rétegek
- Kérelmek szűrése
Ez a cikk bemutatja, hogyan védheti meg a tárolóalkalmazásokat egy webalkalmazási tűzfal (WAF) használatával Azure-alkalmazás Átjárón egy belső Container Apps-környezettel.
A Container Apps hálózatkezelési fogalmaival kapcsolatos további információkért lásd: Hálózatkezelési környezet az Azure Container Appsben.
Előfeltételek
Belső környezet egyéni virtuális hálózattal: Rendelkezik egy belső környezetben található tárolóalkalmazással, amely egy egyéni virtuális hálózattal van integrálva. Az egyéni virtuális hálózatok integrált alkalmazásainak létrehozásáról további információt a belső Azure Container Apps-környezetek virtuális hálózatának biztosításával kapcsolatban talál.
Biztonsági tanúsítványok: Ha TLS-/SSL-titkosítást kell használnia az application gatewayhez, érvényes nyilvános tanúsítványra van szükség, amelyet az application gatewayhez való kötéshez használnak.
A tárolóalkalmazás tartományának lekérése
Az alábbi lépésekkel lekérheti az alapértelmezett tartomány és a statikus IP-cím értékeit a saját DNS zóna beállításához.
Válassza ki a tárolóalkalmazást az erőforráscsoport Áttekintés ablakából a portálon.
A tárolóalkalmazás-erőforrás Áttekintés ablakában válassza a Container Apps Environment hivatkozását
A tárolóalkalmazás-környezet erőforrásának Áttekintés ablakában válassza a lap jobb felső sarkában található JSON nézetet a tárolóalkalmazás-környezet JSON-ábrázolásának megtekintéséhez.
Másolja ki az alapértelmezett Tartomány és staticIp tulajdonságok értékeit, és illessze be őket egy szövegszerkesztőbe. Egy privát DNS-zónát fog létrehozni a következő szakaszban az alapértelmezett tartomány értékeinek használatával.
Azure saját DNS zóna létrehozása és konfigurálása
Az Azure Portal menüjében vagy a kezdőlapon válassza az Erőforrás létrehozása lehetőséget.
Keresse meg saját DNS zónát, és válassza saját DNS Zóna lehetőséget a keresési eredmények közül.
Válassza a Létrehozás gombot.
Írja be a következő értékeket:
Beállítás Action Subscription Válassza ki az Azure-előfizetését. Erőforráscsoport Válassza ki a tárolóalkalmazás erőforráscsoportját. Name Adja meg a Container Apps-környezet defaultDomain tulajdonságát az előző szakaszban. Erőforráscsoport helye Hagyja meg alapértelmezettként. Nincs szükség értékre, mivel saját DNS zónák globálisak. Select Review + create. Az ellenőrzés befejezése után válassza a Létrehozás lehetőséget.
A privát DNS-zóna létrehozása után válassza az Ugrás az erőforráshoz lehetőséget.
Az Áttekintés ablakban válassza a +Rekordhalmaz lehetőséget egy új rekordkészlet hozzáadásához.
A Rekordhalmaz hozzáadása ablakban adja meg a következő értékeket:
Beállítás Action Name Írja be *. Type Válassza az A-Address Record (Címrekord) lehetőséget. TTL Tartsa meg az alapértelmezett értékeket. TTL-egység Tartsa meg az alapértelmezett értékeket. IP-cím Adja meg a Container Apps-környezet staticIp tulajdonságát az előző szakaszban. Kattintson az OK gombra a rekordhalmaz létrehozásához.
Válassza ismét a +Rekordhalmaz lehetőséget egy második rekordkészlet hozzáadásához.
A Rekordhalmaz hozzáadása ablakban adja meg a következő értékeket:
Beállítás Action Name Írja be @. Type Válassza az A-Address Record (Címrekord) lehetőséget. TTL Tartsa meg az alapértelmezett értékeket. TTL-egység Tartsa meg az alapértelmezett értékeket. IP-cím Adja meg a Container Apps-környezet staticIp tulajdonságát az előző szakaszban. Kattintson az OK gombra a rekordhalmaz létrehozásához.
A lap bal oldalán található menüben válassza ki a Virtuális hálózatok hivatkozásainak ablakát.
A +Hozzáadás elemet választva hozzon létre egy új hivatkozást a következő értékekkel:
Beállítás Action Hivatkozás neve Adja meg a my-custom-vnet-pdns-linket. Ismerem a virtuális hálózat erőforrás-azonosítóját Hagyja bejelöletlenül. Virtuális hálózat Válassza ki azt a virtuális hálózatot, amellyel a tárolóalkalmazás integrálva van. Automatikus regisztráció engedélyezése Hagyja bejelöletlenül. Kattintson az OK gombra a virtuális hálózati kapcsolat létrehozásához.
Azure Application Gateway létrehozása és konfigurálása
Alapvető beállítások lap
Adja meg a következő értékeket a Projekt részletei szakaszban.
Beállítás Action Subscription Válassza ki az Azure-előfizetését. Erőforráscsoport Válassza ki a tárolóalkalmazás erőforráscsoportját. Application Gateway neve Adja meg a my-container-apps-agw parancsot. Region Válassza ki a tárolóalkalmazás üzembe helyezésének helyét. Szint Válassza a WAF V2 lehetőséget. A Standard V2-t akkor használhatja, ha nincs szüksége WAF-ra. Automatikus méretezés engedélyezése Hagyja meg az alapértelmezett beállítást. Éles környezetekben az automatikus skálázás ajánlott. Lásd: Azure-alkalmazás átjáró automatikus skálázása. A rendelkezésre állási zóna Válassza a Nincs lehetőséget. Éles környezetekben a rendelkezésre állási zónák magasabb rendelkezésre álláshoz ajánlottak. HTTP2 Tartsa meg az alapértelmezett értéket. WAF-szabályzat Válassza az Új létrehozása lehetőséget, és adja meg a WAF-szabályzathoz tartozó my-waf-szabályzatot . Kattintson az OK gombra. Ha a standard V2-t választotta a szinthez, hagyja ki ezt a lépést. Virtuális hálózat Válassza ki azt a virtuális hálózatot, amellyel a tárolóalkalmazás integrálva van. Alhálózat Válassza az Alhálózat-konfiguráció kezelése lehetőséget. Ha már rendelkezik egy használni kívánt alhálózattal, használja ezt helyette, és ugorjon a Frontends szakaszra. A saját-custom-vnet Alhálózatok ablakában válassza a +Alhálózat lehetőséget, és adja meg a következő értékeket:
Beállítás Action Name Adja meg az appgateway-alhálózatot. Alhálózati címtartomány Tartsa meg az alapértelmezett értékeket. A többi beállításnál tartsa meg az alapértelmezett értékeket.
Válassza a Mentés lehetőséget az új alhálózat létrehozásához.
Zárja be az Alhálózatok ablakot az Application Gateway létrehozása ablakhoz való visszatéréshez.
Válassza ki a következő értékeket:
Beállítás Action Alhálózat Válassza ki a létrehozott appgateway-alhálózatot . Válassza a Tovább: Előtér lehetőséget a folytatáshoz.
Előtér lap
Az Előtér lapon adja meg a következő értékeket:
Beállítás Action Előtérbeli IP-cím típusa Válassza a Nyilvános lehetőséget. Nyilvános IP-cím Válassza az Új hozzáadása lehetőséget. Írja be a saját előtérnevet az előtérben, és válassza az OK gombot Megjegyzés:
Az Application Gateway v2 termékváltozatához nyilvános előtérbeli IP-címnek kell lennie. Nyilvános és privát előtéri IP-konfigurációval is rendelkezhet, de a v2 termékváltozat jelenleg nem támogatja a csak nyilvános IP-cím nélküli, csak privát előtér-IP-konfigurációt. További információért olvassa el itt.
Válassza a Tovább: Háttérrendszer lehetőséget.
Háttérrendszer lap
A háttérkészlet a kérések megfelelő háttérkiszolgálókra való átirányítására szolgál. A háttérkészletek az alábbi erőforrások tetszőleges kombinációjából állhatnak:
- Hálózati adapterek (NIC-k)
- Public IP addresses
- Belső IP-címek
- Virtual Machine Scale Sets
- Teljes tartománynevek (FQDN)
- Több-bérlős háttérrendszerek, például Azure-alkalmazás Szolgáltatás és Tárolóalkalmazások
Ebben a példában létrehoz egy háttérkészletet, amely a tárolóalkalmazást célozza.
Válassza a Háttérkészlet hozzáadása lehetőséget.
Nyisson meg egy új lapot, és keresse meg a tárolóalkalmazást.
A Tárolóalkalmazás Áttekintés ablakában keresse meg az alkalmazás URL-címét, és másolja ki.
Térjen vissza a Háttérkészlet lapra , és adja meg a következő értékeket a Háttérkészlet hozzáadása ablakban:
Beállítás Action Name Írja be a my-agw-backend-poolt. Háttérkészlet hozzáadása célok nélkül Válassza a Nem lehetőséget. Céltípus Válassza ki az IP-címet vagy az FQDN-t. Target Adja meg a másolt Tárolóalkalmazás URL-címét , és távolítsa el a https:// előtagot. Ez a hely a tárolóalkalmazás teljes tartományneve. Select Add.
A Háttérrendszer lapon válassza a Tovább: Konfiguráció lehetőséget.
Konfiguráció lap
A Konfiguráció lapon egy útválasztási szabály használatával létrehozott előtér- és háttérkészletet csatlakoztatja.
Válassza az Útválasztási szabály hozzáadása lehetőséget. Írja be a következő értékeket:
Beállítás Action Name Adja meg a my-agw-routing-rule parancsot. Prioritás Adja meg az 1 értéket. A Figyelő lapon adja meg a következő értékeket:
Beállítás Action Figyelő neve Írja be a my-agw-listenert. Előtérbeli IP-cím Válassza a Nyilvános lehetőséget. Protokoll Válassza a HTTPS lehetőséget. Ha nem rendelkezik használni kívánt tanúsítvánnyal, kiválaszthatja a HTTP-t Port Adja meg a 443-at. Ha a HTTP protokollt választotta, írja be a 80-at, és ugorjon az alapértelmezett/egyéni tartomány szakaszra. Tanúsítvány kiválasztása Válassza a Tanúsítvány feltöltése lehetőséget. Ha a tanúsítvány a Key Vaultban van tárolva, válassza a Tanúsítvány kiválasztása a Key Vaultból lehetőséget. Tanúsítvány neve Adja meg a tanúsítvány nevét. PFX-tanúsítványfájl Válassza ki az érvényes nyilvános tanúsítványt. Jelszó Adja meg a tanúsítvány jelszavát. Ha az alapértelmezett tartományt szeretné használni, adja meg a következő értékeket:
Beállítás Action Figyelő típusa Válassza az Alapszintű lehetőséget Hibaoldal URL-címe Kilépés nemként Ha egyéni tartományt szeretne használni, adja meg a következő értékeket:
Beállítás Action Figyelő típusa Több webhely kijelölése Gazdagép típusa Válassza az egyszemélyes lehetőséget Gazdagépnevek Adja meg a használni kívánt egyéni tartományt. Hibaoldal URL-címe Kilépés nemként Válassza a Háttérpéldányok lapot, és adja meg a következő értékeket:
Váltson a Háttérpéldányok lapra , és adja meg a következő értékeket:
Beállítás Action Céltípus Válassza ki a korábban létrehozott my-agw-backend-pool lehetőséget. Háttérbeállítások Válassza az Új hozzáadása lehetőséget. A Háttérrendszer hozzáadása beállítási ablakban adja meg a következő értékeket:
Beállítás Action Háttérbeállítások neve Adja meg a my-agw-backend-setting értéket. Háttérprotokoll Válassza a HTTPS lehetőséget. Háttérport Adja meg a 443-at. Jól ismert hitelesítésszolgáltatói tanúsítvány használata Válassza az Igen lehetőséget. Felülbírálás új gazdagépnévvel Válassza az Igen lehetőséget. Állomásnév felülbírálása Válassza a Gazdagépnév kiválasztása a háttérbeli célhelyen lehetőséget. Egyéni mintavételek létrehozása Válassza a Nem lehetőséget. Válassza a Hozzáadás lehetőséget a háttérbeállítások hozzáadásához.
Az Útválasztási szabály hozzáadása ablakban válassza ismét a Hozzáadás lehetőséget.
Válassza a Következő: Címkék lehetőséget.
Válassza a Tovább: Áttekintés + létrehozás, majd a Létrehozás lehetőséget.
Privát hivatkozás hozzáadása az Application Gatewayhez
Biztonságos kapcsolatot létesíthet a csak belső tárolóalkalmazás-környezetekkel, ha privát kapcsolatot létesít, mivel lehetővé teszi az Application Gateway számára, hogy a háttérrendszeren keresztül kommunikáljon a tárolóalkalmazással a virtuális hálózaton keresztül.
Az Application Gateway létrehozása után válassza az Ugrás az erőforráshoz lehetőséget.
A bal oldali menüben válassza a Privát hivatkozás, majd a Hozzáadás lehetőséget.
Írja be a következő értékeket:
Beállítás Action Name Írja be a my-agw-private-linket. Privát kapcsolat alhálózata Válassza ki azt az alhálózatot, amellyel létre szeretné hozni a privát kapcsolatot. Frontend IP konfiguráció Válassza ki az Application Gateway előtérbeli IP-címét. A Privát IP-cím beállításai csoportban válassza a Hozzáadás lehetőséget.
Válassza a Hozzáadás lehetőséget az ablak alján.
A tárolóalkalmazás ellenőrzése
Keresse meg az Application Gateway nyilvános IP-címét az Áttekintés lapján, vagy keresse meg a címet. A kereséshez válassza a Minden erőforrás lehetőséget, és írja be a my-container-apps-agw-pip kifejezést a keresőmezőbe. Ezután válassza ki az IP-címet a keresési eredmények között.
Lépjen az Application Gateway nyilvános IP-címére.
A rendszer automatikusan átirányítja a kérést a tárolóalkalmazáshoz, amely ellenőrzi, hogy az application gateway sikeresen létrejött-e.
Clean up resources
Ha már nincs szüksége a létrehozott erőforrásokra, törölje az erőforráscsoportot. Az erőforráscsoport törlésekor az összes kapcsolódó erőforrást is eltávolítja.
Az erőforráscsoport törlése:
Az Azure Portal menüjében válassza az Erőforráscsoportok lehetőséget, vagy keressen rá és válassza ki az Erőforráscsoportokat.
Az Erőforráscsoportok lapon keresse meg és válassza ki a saját tárolóalkalmazásokat.
Az Erőforráscsoport lapon válassza az Erőforráscsoport törlése lehetőséget.
Adja meg a my-container-apps nevet az ERŐFORRÁSCSOPORT NEVE típus alatt, majd válassza a Törlés lehetőséget