Gyakorlat – Háttérkészletek konfigurálása titkosításhoz
A szállítási portál alkalmazás végpontok közötti titkosítását szeretné implementálni. A felhasználók és kiszolgálók közötti összes adat titkosításával biztosítható, hogy illetéktelen felhasználó ne tudja elfogni és elolvasni az adatokat.
Ebben a leckében beállítja a webalkalmazást és az Application Gatewayt. Ezután létre fog hozni önaláírt SSL-tanúsítványokat, és engedélyezni fogja a titkosítást a háttérkészletben, hogy biztonságossá tegye az Application Gateway és a kiszolgálók közötti forgalmat.
Az alábbi kép a gyakorlatban konfigurált elemeket emeli ki. Alkalmazásátjárót állít be a Azure-alkalmazás Gateway 2- s verzióval.
Virtuális gép és egy Application Gateway üzembe helyezése
Nyissa meg az Azure Cloud Shellt a böngészőben, és jelentkezzen be a címtárba ahhoz az előfizetéshez való hozzáféréssel, amelyben erőforrásokat szeretne létrehozni. Ehhez a gyakorlathoz a Bash shell-környezetet fogjuk használni.
Futtassa az alábbi parancsot a Cloud Shellben az erőforrások erőforráscsoportjának létrehozásához. Cserélje le
<resource group name>
az erőforráscsoport nevét, valamint<location>
azt az Azure-régiót, amelyben üzembe szeretné helyezni az erőforrásokat.az group create --resource-group <resource group name> --location <location>
Futtassa a következő parancsot a Cloud Shellben egy változó létrehozásához az erőforráscsoport nevének tárolásához:
export rgName=<resource group name>
Az Azure Cloud Shellben futtassa a következő parancsot a szállítási portál forráskódjának letöltéséhez:
git clone https://github.com/MicrosoftDocs/mslearn-end-to-end-encryption-with-app-gateway shippingportal
Ugrás a shippingportal mappára:
cd shippingportal
Futtassa a következő telepítőszkriptet a virtuális gép, a tanúsítványok és az Application Gateway létrehozásához:
bash setup-infra.sh
Feljegyzés
A szkript végrehajtása több percet vesz igénybe. Lehetővé teszi, hogy több folyamaton keresztül működjön az átjáró és az erőforrások kicsomagolásához és konfigurálásához. Látnia kell, hogy a folyamat sikeres volt nulla figyelmeztetéssel és nulla hibával.
Ellenőrizze, hogy a webkiszolgáló helyesen van-e konfigurálva
Az alábbi parancs futtatásával jelenítse meg a telepítési parancsfájl által létrehozott webkiszolgáló URL-címét.
echo https://"$(az vm show \ --name webservervm1 \ --resource-group $rgName \ --show-details \ --query [publicIps] \ --output tsv)"
Másolja és illessze be az URL-címet a webböngészőbe, és nyissa meg az URL-címet.
A böngésző valószínűleg az alábbi képhez hasonló figyelmeztető üzenetet jelenít meg. A figyelmeztető üzenet pontos tartalma a böngészőtől függően változhat. A példakép a Microsoft Edge-ből származik.
Ez a figyelmeztetés azért jelenik meg, mert a webkiszolgálót önaláírt tanúsítvány használatával konfigurálta, amelyet nem lehet hitelesíteni. Ezen a figyelmeztető oldalon keresse meg és válassza ki a webhelyre mutató hivatkozást; például válassza a Ugrás a weblapra lehetőséget, vagy válassza a Speciális , majd a Folytatás vagy az azzal egyenértékű lehetőséget. Az eredmény a szállítási portál kezdőlapjára viszi, ahogy az az alábbi képen is látható. Ez egy mintaalkalmazás, amely ellenőrzi, hogy a kiszolgáló megfelelően van-e konfigurálva.
A háttérkészlet konfigurálása titkosításhoz
Az alábbi parancs futtatásával lekérheti a webkiszolgálóként funkcionáló virtuális gép IP-címét.
echo privateip="$(az vm list-ip-addresses \ --resource-group $rgName \ --name webservervm1 \ --query "[0].virtualMachine.network.privateIpAddresses[0]" \ --output tsv)"
Hozzon létre egy változót a privát IP-cím tárolásához. Cserélje le
<privateIP>
az előző lépés IP-címére.export privateip=<privateIP>
Állítsa be az Application Gateway háttérkészletét a virtuális gép privát IP-címével.
az network application-gateway address-pool create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name ap-backend \ --servers $privateip
Töltse fel a virtuálisgép-tanúsítványt a háttérkészletben az Application Gatewaybe megbízható főtanúsítványként. A beállítási szkript létrehozta ezt a tanúsítványt, és a shipping-ssl.crt fájlban tárolta.
az network application-gateway root-cert create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name shipping-root-cert \ --cert-file server-config/shipping-ssl.crt
Konfigurálja a HTTP-beállításokat a tanúsítvány használatára:
az network application-gateway http-settings create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name https-settings \ --port 443 \ --protocol Https \ --host-name $privateip
Futtassa az alábbi parancsokat a háttérkészlet megbízható tanúsítványának a háttérbeli virtuális gépen telepített tanúsítványra való beállításához:
export rgID="$(az group show --name $rgName --query id --output tsv)" az network application-gateway http-settings update \ --resource-group $rgName \ --gateway-name gw-shipping \ --name https-settings \ --set trustedRootCertificates='[{"id": "'$rgID'/providers/Microsoft.Network/applicationGateways/gw-shipping/trustedRootCertificates/shipping-root-cert"}]'
Most már rendelkezik egy virtuális géppel a szállítási portál webhelyén, és egy Application Gatewayjel. Konfigurálta az SSL-titkosítást az alkalmazáskiszolgáló és az Application Gateway között.