Alkalmazás bejövő TLS-jének engedélyezése
Feljegyzés
Az Alapszintű, a Standard és a Nagyvállalati csomag 2025. március közepétől megszűnik, 3 éves nyugdíjazási időszakkal. Javasoljuk, hogy váltson az Azure Container Appsre. További információkért lásd az Azure Spring Apps kivonási bejelentését.
A standard felhasználás és a dedikált csomag 2024. szeptember 30-tól megszűnik, hat hónap után pedig teljes leállítással. Javasoljuk, hogy váltson az Azure Container Appsre. További információ: Azure Spring Apps Standard-használat migrálása és dedikált csomag az Azure Container Appsbe.
Ez a cikk a következőre vonatkozik:❌ Basic ✔️ Standard ✔️ Enterprise
Feljegyzés
Ez a funkció nem érhető el az Alapszintű csomagban.
Ez a cikk az Azure Spring Apps biztonságos kommunikációt ismerteti. A cikk azt is ismerteti, hogyan engedélyezheti az alkalmazásba bejövő SSL/TLS protokollt a bejövőforgalom-vezérlőkről a HTTPS-t támogató alkalmazások felé történő forgalom védelmére.
Az alábbi képen az Azure Spring Apps általános biztonságos kommunikációs támogatása látható.
Biztonságos kommunikációs modell az Azure Spring Appsben
Ez a szakasz a fenti áttekintő ábrán látható biztonságos kommunikációs modellt ismerteti.
Az ügyféltől az Azure Spring Appsben található alkalmazáshoz érkező ügyfélkérés bekerül a bejövőforgalom-vezérlőbe. A kérés LEHET HTTP vagy HTTPS. A bejövőforgalom-vezérlő által visszaadott TLS-tanúsítványt a Microsoft Azure TLS kiállító hitelesítésszolgáltatója állítja ki.
Ha az alkalmazás egy meglévő egyéni tartományra van leképezve, és csak HTTPS-ként van konfigurálva, a bejövőforgalom-vezérlőre irányuló kérés csak HTTPS lehet. A bejövőforgalom-vezérlő által visszaadott TLS-tanúsítvány az adott egyéni tartomány SSL-kötési tanúsítványa. Az egyéni tartomány kiszolgálóoldali SSL/TLS-ellenőrzése a bejövőforgalom-vezérlőben történik.
A bejövőforgalom-vezérlő és az Azure Spring Apps-alkalmazások közötti biztonságos kommunikációt a bemeneti TLS vezérli. A kommunikációt a portálon vagy a parancssori felületen keresztül is vezérelheti, amelyet a cikk későbbi részében ismertetünk. Ha a bejövő forgalom az alkalmazásba TLS le van tiltva, a bejövőforgalom-vezérlő és az Azure Spring Apps-alkalmazások közötti kommunikáció HTTP. Ha engedélyezve van az alkalmazásközi TLS, a kommunikáció HTTPS lesz, és nincs kapcsolata az ügyfelek és a bejövőforgalom-vezérlő közötti kommunikációval. A bejövőforgalom-vezérlő nem ellenőrzi az alkalmazásoktól visszaadott tanúsítványt, mert a bejövő forgalom az alkalmazásba TLS titkosítja a kommunikációt.
Az alkalmazások és az Azure Spring Apps-szolgáltatások közötti kommunikáció mindig HTTPS, és az Azure Spring Apps kezeli. Ilyen szolgáltatások például a konfigurációs kiszolgáló, a szolgáltatásregisztrációs adatbázis és az Eureka-kiszolgáló.
Ön kezeli az alkalmazások közötti kommunikációt. Az Azure Spring Apps funkcióinak használatával tanúsítványokat tölthet be az alkalmazás megbízhatósági tárolójába. További információ: TLS/SSL-tanúsítványok használata egy alkalmazásban.
Ön kezeli az alkalmazások és a külső szolgáltatások közötti kommunikációt. A fejlesztési erőfeszítések csökkentése érdekében az Azure Spring Apps segít kezelni a nyilvános tanúsítványokat, és betölti őket az alkalmazás megbízhatósági tárolójába. További információ: TLS/SSL-tanúsítványok használata egy alkalmazásban.
Alkalmazás bejövő TLS-jének engedélyezése
Az alábbi szakasz bemutatja, hogyan engedélyezheti a bejövő forgalom alkalmazását támogató SSL/TLS protokollt a bejövőforgalom-vezérlőkről a HTTPS-t támogató alkalmazások felé történő adatforgalom védelmére.
Előfeltételek
- Üzembe helyezett Azure Spring Apps-példány. Az első lépésekhez kövesse az Azure CLI-n keresztül történő üzembe helyezésről szóló rövid útmutatót.
- Ha nem ismeri az alkalmazásközi TLS-t, tekintse meg a végpontok közötti TLS-mintát.
- A szükséges tanúsítványok Spring Boot-alkalmazásokba való biztonságos betöltéséhez használhatja a spring-cloud-azure-starter-keyvault-tanúsítványokat.
Bejövő TLS engedélyezése egy meglévő alkalmazáson
A paranccsal az spring app update --enable-ingress-to-app-tls
engedélyezheti vagy letilthatja az alkalmazás bejövő TLS-jeit.
az spring app update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app update --enable-ingress-to-app-tls false -n app_name -s service_name -g resource_group_name
Bejövő TLS engedélyezése az alkalmazásba egyéni tartomány kötésekor
Használja a parancsot az spring app custom-domain update --enable-ingress-to-app-tls
, vagy az spring app custom-domain bind --enable-ingress-to-app-tls
engedélyezze vagy tiltsa le az alkalmazás bejövő TLS-eit.
az spring app custom-domain update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app custom-domain bind --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
Bejövő TLS engedélyezése az Azure Portalon
Ha engedélyezni szeretné a bejövő TLS-t az Azure Portalon, először hozzon létre egy alkalmazást, majd engedélyezze a funkciót.
- Hozzon létre egy alkalmazást a portálon a szokásos módon. Lépjen rá a portálon.
- Görgessen le a bal oldali navigációs panel Beállítások csoportjához.
- Válassza a Bejövő forgalom az alkalmazásba TLS lehetőséget.
- Váltson a bejövő forgalom az alkalmazásba TLS-ről Igen értékre.
Az alkalmazásba bejövő TLS állapotának ellenőrzése
A parancs használatával az spring app show
ellenőrizze a következő értékét enableEndToEndTls
: .
az spring app show -n app_name -s service_name -g resource_group_name
Következő lépések
Access konfigurációs kiszolgáló és szolgáltatásregisztrációs adatbázis