Megosztás a következőn keresztül:

Az Azure Container Apps védelme webalkalmazási tűzfallal az Application Gatewayen

  • Cikk

Ha alkalmazásait vagy mikroszolgáltatásait az Azure Container Appsben üzemelteti, előfordulhat, hogy nem mindig szeretné közvetlenül az interneten közzétenni őket. Ehelyett érdemes lehet egy fordított proxyn keresztül elérhetővé tenni őket.

A fordított proxy egy szolgáltatás, amely egy vagy több szolgáltatás előtt helyezkedik el, és a bejövő forgalmat a megfelelő célhelyre irányítja.

A fordított proxyk lehetővé teszik, hogy olyan szolgáltatásokat helyezzen el az alkalmazások elé, amelyek támogatják a többirányú funkciókat, például:

  • Útválasztás
  • Gyorsítótárazás
  • Sebességkorlátozás
  • Terheléselosztás
  • Biztonsági rétegek
  • Kérelmek szűrése

Ez a cikk bemutatja, hogyan védheti meg a tárolóalkalmazásokat egy webalkalmazási tűzfal (WAF) használatával Azure-alkalmazás Átjárón egy belső Container Apps-környezettel.

A Container Apps hálózatkezelési fogalmaival kapcsolatos további információkért lásd: Hálózatkezelési környezet az Azure Container Appsben.

Előfeltételek

  • Belső környezet egyéni virtuális hálózattal: Rendelkezik egy belső környezetben található tárolóalkalmazással, amely egy egyéni virtuális hálózattal van integrálva. Az egyéni virtuális hálózatok integrált alkalmazásainak létrehozásáról további információt a belső Azure Container Apps-környezetek virtuális hálózatának biztosításával kapcsolatban talál.

  • Biztonsági tanúsítványok: Ha TLS-/SSL-titkosítást kell használnia az application gatewayhez, érvényes nyilvános tanúsítványra van szükség, amelyet az application gatewayhez való kötéshez használnak.

A tárolóalkalmazás tartományának lekérése

Az alábbi lépésekkel lekérheti az alapértelmezett tartomány és a statikus IP-cím értékeit a saját DNS zóna beállításához.

  1. Válassza ki a tárolóalkalmazást az erőforráscsoport Áttekintés ablakából a portálon.

  2. A tárolóalkalmazás-erőforrás Áttekintés ablakában válassza a Container Apps Environment hivatkozását

  3. A tárolóalkalmazás-környezet erőforrásának Áttekintés ablakában válassza a lap jobb felső sarkában található JSON nézetet a tárolóalkalmazás-környezet JSON-ábrázolásának megtekintéséhez.

  4. Másolja ki az alapértelmezett Tartomány és staticIp tulajdonságok értékeit, és illessze be őket egy szövegszerkesztőbe. Egy privát DNS-zónát fog létrehozni a következő szakaszban az alapértelmezett tartomány értékeinek használatával.

Azure saját DNS zóna létrehozása és konfigurálása

  1. Az Azure Portal menüjében vagy a kezdőlapon válassza az Erőforrás létrehozása lehetőséget.

  2. Keresse meg saját DNS zónát, és válassza saját DNS Zóna lehetőséget a keresési eredmények közül.

  3. Válassza a Létrehozás gombot.

  4. Írja be a következő értékeket:

    Beállítás Művelet
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válassza ki a tárolóalkalmazás erőforráscsoportját.
    Név Adja meg a Container Apps-környezet defaultDomain tulajdonságát az előző szakaszban.
    Erőforráscsoport helye Hagyja meg alapértelmezettként. Nincs szükség értékre, mivel saját DNS zónák globálisak.

  5. Válassza az Áttekintés + létrehozás lehetőséget. Az ellenőrzés befejezése után válassza a Létrehozás lehetőséget.

  6. A privát DNS-zóna létrehozása után válassza az Ugrás az erőforráshoz lehetőséget.

  7. Az Áttekintés ablakban válassza a +Rekordhalmaz lehetőséget egy új rekordkészlet hozzáadásához.

  8. A Rekordhalmaz hozzáadása ablakban adja meg a következő értékeket:

    Beállítás Művelet
    Név Írja be *.
    Típus Válassza az A-Address Record (Címrekord) lehetőséget.
    TTL Tartsa meg az alapértelmezett értékeket.
    TTL-egység Tartsa meg az alapértelmezett értékeket.
    IP-cím Adja meg a Container Apps-környezet staticIp tulajdonságát az előző szakaszban.

  9. Kattintson az OK gombra a rekordhalmaz létrehozásához.

  10. Válassza ismét a +Rekordhalmaz lehetőséget egy második rekordkészlet hozzáadásához.

  11. A Rekordhalmaz hozzáadása ablakban adja meg a következő értékeket:

    Beállítás Művelet
    Név Írja be @.
    Típus Válassza az A-Address Record (Címrekord) lehetőséget.
    TTL Tartsa meg az alapértelmezett értékeket.
    TTL-egység Tartsa meg az alapértelmezett értékeket.
    IP-cím Adja meg a Container Apps-környezet staticIp tulajdonságát az előző szakaszban.

  12. Kattintson az OK gombra a rekordhalmaz létrehozásához.

  13. A lap bal oldalán található menüben válassza ki a Virtuális hálózatok hivatkozásainak ablakát.

  14. A +Hozzáadás elemet választva hozzon létre egy új hivatkozást a következő értékekkel:

    Beállítás Művelet
    Hivatkozás neve Adja meg a my-custom-vnet-pdns-linket.
    Ismerem a virtuális hálózat erőforrás-azonosítóját Hagyja bejelöletlenül.
    Virtuális hálózat Válassza ki azt a virtuális hálózatot, amellyel a tárolóalkalmazás integrálva van.
    Automatikus regisztráció engedélyezése Hagyja bejelöletlenül.

  15. Kattintson az OK gombra a virtuális hálózati kapcsolat létrehozásához.

Azure Application Gateway létrehozása és konfigurálása

Alapvető beállítások lap

  1. Adja meg a következő értékeket a Projekt részletei szakaszban.

    Beállítás Művelet
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válassza ki a tárolóalkalmazás erőforráscsoportját.
    Application Gateway neve Adja meg a my-container-apps-agw parancsot.
    Régió Válassza ki a tárolóalkalmazás üzembe helyezésének helyét.
    Szint Válassza a WAF V2 lehetőséget. A Standard V2-t akkor használhatja, ha nincs szüksége WAF-ra.
    Automatikus méretezés engedélyezése Hagyja meg az alapértelmezett beállítást. Éles környezetekben az automatikus skálázás ajánlott. Lásd: Azure-alkalmazás átjáró automatikus skálázása.
    A rendelkezésre állási zóna Válassza a Nincs lehetőséget. Éles környezetekben a rendelkezésre állási zónák magasabb rendelkezésre álláshoz ajánlottak.
    HTTP2 Tartsa meg az alapértelmezett értéket.
    WAF-szabályzat Válassza az Új létrehozása lehetőséget, és adja meg a WAF-szabályzathoz tartozó my-waf-szabályzatot . Kattintson az OK gombra. Ha a standard V2-t választotta a szinthez, hagyja ki ezt a lépést.
    Virtuális hálózat Válassza ki azt a virtuális hálózatot, amellyel a tárolóalkalmazás integrálva van.
    Alhálózat Válassza az Alhálózat-konfiguráció kezelése lehetőséget. Ha már rendelkezik egy használni kívánt alhálózattal, használja ezt helyette, és ugorjon a Frontends szakaszra.

  2. A saját-custom-vnet Alhálózatok ablakában válassza a +Alhálózat lehetőséget, és adja meg a következő értékeket:

    Beállítás Művelet
    Név Adja meg az appgateway-alhálózatot.
    Alhálózati címtartomány Tartsa meg az alapértelmezett értékeket.

  3. A többi beállításnál tartsa meg az alapértelmezett értékeket.

  4. Válassza a Mentés lehetőséget az új alhálózat létrehozásához.

  5. Zárja be az Alhálózatok ablakot az Application Gateway létrehozása ablakhoz való visszatéréshez.

  6. Válassza ki a következő értékeket:

    Beállítás Művelet
    Alhálózat Válassza ki a létrehozott appgateway-alhálózatot .

  7. Válassza a Tovább: Előtér lehetőséget a folytatáshoz.

Előtér lap

  1. Az Előtér lapon adja meg a következő értékeket:

    Beállítás Művelet
    Előtérbeli IP-cím típusa Válassza a Nyilvános lehetőséget.
    Nyilvános IP-cím Válassza az Új hozzáadása lehetőséget. Írja be a saját előtérnevet az előtérben, és válassza az OK gombot

    Feljegyzés

    Az Application Gateway v2 termékváltozatához nyilvános előtérbeli IP-címnek kell lennie. Nyilvános és privát előtéri IP-konfigurációval is rendelkezhet, de a v2 termékváltozat jelenleg nem támogatja a csak nyilvános IP-cím nélküli, csak privát előtér-IP-konfigurációt. További információért olvassa el itt.

  2. Válassza a Tovább: Háttérrendszer lehetőséget.

Háttérrendszer lap

A háttérkészlet a kérések megfelelő háttérkiszolgálókra való átirányítására szolgál. A háttérkészletek az alábbi erőforrások tetszőleges kombinációjából állhatnak:

  • Hálózati adapterek (NIC-k)
  • Nyilvános IP-címek
  • Belső IP-címek
  • Virtual Machine Scale Sets
  • Teljes tartománynevek (FQDN)
  • Több-bérlős háttérrendszerek, például Azure-alkalmazás Szolgáltatás és Tárolóalkalmazások

Ebben a példában létrehoz egy háttérkészletet, amely a tárolóalkalmazást célozza.

  1. Válassza a Háttérkészlet hozzáadása lehetőséget.

  2. Nyisson meg egy új lapot, és keresse meg a tárolóalkalmazást.

  3. A Tárolóalkalmazás Áttekintés ablakában keresse meg az alkalmazás URL-címét, és másolja ki.

  4. Térjen vissza a Háttérkészlet lapra , és adja meg a következő értékeket a Háttérkészlet hozzáadása ablakban:

    Beállítás Művelet
    Név Írja be a my-agw-backend-poolt.
    Háttérkészlet hozzáadása célok nélkül Válassza a Nem lehetőséget.
    Céltípus Válassza ki az IP-címet vagy az FQDN-t.
    Cél Adja meg a másolt Tárolóalkalmazás URL-címét , és távolítsa el a https:// előtagot. Ez a hely a tárolóalkalmazás teljes tartományneve.

  5. Válassza a Hozzáadás lehetőséget.

  6. A Háttérrendszer lapon válassza a Tovább: Konfiguráció lehetőséget.

Konfiguráció lap

A Konfiguráció lapon egy útválasztási szabály használatával létrehozott előtér- és háttérkészletet csatlakoztatja.

  1. Válassza az Útválasztási szabály hozzáadása lehetőséget. Írja be a következő értékeket:

    Beállítás Művelet
    Név Adja meg a my-agw-routing-rule parancsot.
    Prioritás Adja meg az 1 értéket.

  2. A Figyelő lapon adja meg a következő értékeket:

    Beállítás Művelet
    Figyelő neve Írja be a my-agw-listenert.
    Előtérbeli IP-cím Válassza a Nyilvános lehetőséget.
    Protokoll Válassza a HTTPS lehetőséget. Ha nem rendelkezik használni kívánt tanúsítvánnyal, kiválaszthatja a HTTP-t
    Kikötő Adja meg a 443-at. Ha a HTTP protokollt választotta, írja be a 80-at, és ugorjon az alapértelmezett/egyéni tartomány szakaszra.
    Tanúsítvány kiválasztása Válassza a Tanúsítvány feltöltése lehetőséget. Ha a tanúsítvány a Key Vaultban van tárolva, válassza a Tanúsítvány kiválasztása a Key Vaultból lehetőséget.
    Tanúsítvány neve Adja meg a tanúsítvány nevét.
    PFX-tanúsítványfájl Válassza ki az érvényes nyilvános tanúsítványt.
    Jelszó Adja meg a tanúsítvány jelszavát.

    Ha az alapértelmezett tartományt szeretné használni, adja meg a következő értékeket:

    Beállítás Művelet
    Figyelő típusa Válassza az Alapszintű lehetőséget
    Hibaoldal URL-címe Kilépés nemként

    Ha egyéni tartományt szeretne használni, adja meg a következő értékeket:

    Beállítás Művelet
    Figyelő típusa Több webhely kijelölése
    Gazdagép típusa Válassza az egyszemélyes lehetőséget
    Gazdagépnevek Adja meg a használni kívánt egyéni tartományt.
    Hibaoldal URL-címe Kilépés nemként

  3. Válassza a Háttérpéldányok lapot, és adja meg a következő értékeket:

  4. Váltson a Háttérpéldányok lapra , és adja meg a következő értékeket:

    Beállítás Művelet
    Céltípus Válassza ki a korábban létrehozott my-agw-backend-pool lehetőséget.
    Háttérbeállítások Válassza az Új hozzáadása lehetőséget.

  5. A Háttérrendszer hozzáadása beállítási ablakban adja meg a következő értékeket:

    Beállítás Művelet
    Háttérbeállítások neve Adja meg a my-agw-backend-setting értéket.
    Háttérprotokoll Válassza a HTTPS lehetőséget.
    Háttérport Adja meg a 443-at.
    Jól ismert hitelesítésszolgáltatói tanúsítvány használata Válassza az Igen lehetőséget.
    Felülbírálás új gazdagépnévvel Válassza az Igen lehetőséget.
    Állomásnév felülbírálása Válassza a Gazdagépnév kiválasztása a háttérbeli célhelyen lehetőséget.
    Egyéni mintavételek létrehozása Válassza a Nem lehetőséget.

  6. Válassza a Hozzáadás lehetőséget a háttérbeállítások hozzáadásához.

  7. Az Útválasztási szabály hozzáadása ablakban válassza ismét a Hozzáadás lehetőséget.

  8. Válassza a Következő: Címkék lehetőséget.

  9. Válassza a Tovább: Áttekintés + létrehozás, majd a Létrehozás lehetőséget.

Privát kapcsolat használatával biztonságos kapcsolatot létesíthet a csak belső tárolóalkalmazás-környezetekkel, mivel lehetővé teszi, hogy az Application Gateway a háttérrendszeren keresztül kommunikáljon a tárolóalkalmazással a virtuális hálózaton keresztül.

  1. Az Application Gateway létrehozása után válassza az Ugrás az erőforráshoz lehetőséget.

  2. A bal oldali menüben válassza a Privát hivatkozás, majd a Hozzáadás lehetőséget.

  3. Írja be a következő értékeket:

    Beállítás Művelet
    Név Írja be a my-agw-private-linket.
    Privát kapcsolat alhálózata Válassza ki azt az alhálózatot, amellyel létre szeretné hozni a privát kapcsolatot.
    Frontend IP konfiguráció Válassza ki az Application Gateway előtérbeli IP-címét.

  4. A Privát IP-cím beállításai csoportban válassza a Hozzáadás lehetőséget.

  5. Válassza a Hozzáadás lehetőséget az ablak alján.

A tárolóalkalmazás ellenőrzése

  1. Keresse meg az Application Gateway nyilvános IP-címét az Áttekintés lapján, vagy keresse meg a címet. A kereséshez válassza a Minden erőforrás lehetőséget, és írja be a my-container-apps-agw-pip kifejezést a keresőmezőbe. Ezután válassza ki az IP-címet a keresési eredmények között.

  2. Lépjen az Application Gateway nyilvános IP-címére.

  3. A rendszer automatikusan átirányítja a kérést a tárolóalkalmazáshoz, amely ellenőrzi, hogy az application gateway sikeresen létrejött-e.

Az erőforrások eltávolítása

Ha már nincs szüksége a létrehozott erőforrásokra, törölje az erőforráscsoportot. Az erőforráscsoport törlésekor az összes kapcsolódó erőforrást is eltávolítja.

Az erőforráscsoport törlése:

  1. Az Azure Portal menüjében válassza az Erőforráscsoportok lehetőséget, vagy keressen rá és válassza ki az Erőforráscsoportokat.

  2. Az Erőforráscsoportok lapon keresse meg és válassza ki a saját tárolóalkalmazásokat.

  3. Az Erőforráscsoport lapon válassza az Erőforráscsoport törlése lehetőséget.

  4. Adja meg a my-container-apps nevet az ERŐFORRÁSCSOPORT NEVE típus alatt, majd válassza a Törlés lehetőséget

Következő lépések

Azure Firewall az Azure Container Appsben