Alkalmazás bejövő TLS-jének engedélyezése

Feljegyzés

Az Alapszintű, a Standard és a Nagyvállalati csomag 2025. március közepétől megszűnik, 3 éves nyugdíjazási időszakkal. Javasoljuk, hogy váltson az Azure Container Appsre. További információkért lásd az Azure Spring Apps kivonási bejelentését.

A standard felhasználás és a dedikált csomag 2024. szeptember 30-tól megszűnik, hat hónap után pedig teljes leállítással. Javasoljuk, hogy váltson az Azure Container Appsre. További információ: Azure Spring Apps Standard-használat migrálása és dedikált csomag az Azure Container Appsbe.

Ez a cikk a következőre vonatkozik:❌ Basic ✔️ Standard ✔️ Enterprise

Feljegyzés

Ez a funkció nem érhető el az Alapszintű csomagban.

Ez a cikk az Azure Spring Apps biztonságos kommunikációt ismerteti. A cikk azt is ismerteti, hogyan engedélyezheti az alkalmazásba bejövő SSL/TLS protokollt a bejövőforgalom-vezérlőkről a HTTPS-t támogató alkalmazások felé történő forgalom védelmére.

Az alábbi képen az Azure Spring Apps általános biztonságos kommunikációs támogatása látható.

Biztonságos kommunikációs modell az Azure Spring Appsben

Ez a szakasz a fenti áttekintő ábrán látható biztonságos kommunikációs modellt ismerteti.

1. Az ügyféltől az Azure Spring Appsben található alkalmazáshoz érkező ügyfélkérés bekerül a bejövőforgalom-vezérlőbe. A kérés LEHET HTTP vagy HTTPS. A bejövőforgalom-vezérlő által visszaadott TLS-tanúsítványt a Microsoft Azure TLS kiállító hitelesítésszolgáltatója állítja ki.

   Ha az alkalmazás egy meglévő egyéni tartományra van leképezve, és csak HTTPS-ként van konfigurálva, a bejövőforgalom-vezérlőre irányuló kérés csak HTTPS lehet. A bejövőforgalom-vezérlő által visszaadott TLS-tanúsítvány az adott egyéni tartomány SSL-kötési tanúsítványa. Az egyéni tartomány kiszolgálóoldali SSL/TLS-ellenőrzése a bejövőforgalom-vezérlőben történik.

2. A bejövőforgalom-vezérlő és az Azure Spring Apps-alkalmazások közötti biztonságos kommunikációt a bemeneti TLS vezérli. A kommunikációt a portálon vagy a parancssori felületen keresztül is vezérelheti, amelyet a cikk későbbi részében ismertetünk. Ha a bejövő forgalom az alkalmazásba TLS le van tiltva, a bejövőforgalom-vezérlő és az Azure Spring Apps-alkalmazások közötti kommunikáció HTTP. Ha engedélyezve van az alkalmazásközi TLS, a kommunikáció HTTPS lesz, és nincs kapcsolata az ügyfelek és a bejövőforgalom-vezérlő közötti kommunikációval. A bejövőforgalom-vezérlő nem ellenőrzi az alkalmazásoktól visszaadott tanúsítványt, mert a bejövő forgalom az alkalmazásba TLS titkosítja a kommunikációt.

3. Az alkalmazások és az Azure Spring Apps-szolgáltatások közötti kommunikáció mindig HTTPS, és az Azure Spring Apps kezeli. Ilyen szolgáltatások például a konfigurációs kiszolgáló, a szolgáltatásregisztrációs adatbázis és az Eureka-kiszolgáló.

4. Ön kezeli az alkalmazások közötti kommunikációt. Az Azure Spring Apps funkcióinak használatával tanúsítványokat tölthet be az alkalmazás megbízhatósági tárolójába. További információ: TLS/SSL-tanúsítványok használata egy alkalmazásban.

5. Ön kezeli az alkalmazások és a külső szolgáltatások közötti kommunikációt. A fejlesztési erőfeszítések csökkentése érdekében az Azure Spring Apps segít kezelni a nyilvános tanúsítványokat, és betölti őket az alkalmazás megbízhatósági tárolójába. További információ: TLS/SSL-tanúsítványok használata egy alkalmazásban.

Alkalmazás bejövő TLS-jének engedélyezése

Az alábbi szakasz bemutatja, hogyan engedélyezheti a bejövő forgalom alkalmazását támogató SSL/TLS protokollt a bejövőforgalom-vezérlőkről a HTTPS-t támogató alkalmazások felé történő adatforgalom védelmére.

Előfeltételek

• Üzembe helyezett Azure Spring Apps-példány. Az első lépésekhez kövesse az Azure CLI-n keresztül történő üzembe helyezésről szóló rövid útmutatót.
• Ha nem ismeri az alkalmazásközi TLS-t, tekintse meg a végpontok közötti TLS-mintát.
• A szükséges tanúsítványok Spring Boot-alkalmazásokba való biztonságos betöltéséhez használhatja a spring-cloud-azure-starter-keyvault-tanúsítványokat.

Bejövő TLS engedélyezése egy meglévő alkalmazáson

A paranccsal az spring app update --enable-ingress-to-app-tls engedélyezheti vagy letilthatja az alkalmazás bejövő TLS-jeit.

az spring app update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app update --enable-ingress-to-app-tls false -n app_name -s service_name -g resource_group_name

Bejövő TLS engedélyezése az alkalmazásba egyéni tartomány kötésekor

Használja a parancsot az spring app custom-domain update --enable-ingress-to-app-tls , vagy az spring app custom-domain bind --enable-ingress-to-app-tls engedélyezze vagy tiltsa le az alkalmazás bejövő TLS-eit.

az spring app custom-domain update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app custom-domain bind --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name

Bejövő TLS engedélyezése az Azure Portalon

Ha engedélyezni szeretné a bejövő TLS-t az Azure Portalon, először hozzon létre egy alkalmazást, majd engedélyezze a funkciót.

1. Hozzon létre egy alkalmazást a portálon a szokásos módon. Lépjen rá a portálon.
2. Görgessen le a bal oldali navigációs panel Beállítások csoportjához.
3. Válassza a Bejövő forgalom az alkalmazásba TLS lehetőséget.
4. Váltson a bejövő forgalom az alkalmazásba TLS-ről Igen értékre.

Az alkalmazásba bejövő TLS állapotának ellenőrzése

A parancs használatával az spring app show ellenőrizze a következő értékét enableEndToEndTls: .

az spring app show -n app_name -s service_name -g resource_group_name

Következő lépések

Access konfigurációs kiszolgáló és szolgáltatásregisztrációs adatbázis