Egy Application Gateway-figyelő konfigurálása titkosításhoz
Konfigurálta az SSL-t a Azure-alkalmazás Átjáró és a háttérkészlet kiszolgálói közötti kapcsolathoz. A szállítási portálhoz teljes körű titkosításra van szükség. A titkosítás elvégzéséhez az ügyfél által az Application Gatewaynek küldött üzeneteket is titkosítania kell.
Előtérbeli port létrehozása
Az Application Gateway egy vagy több port használatával fogadja a kérelmeket. Ha az átjáróval HTTPS használatával kommunikál, akkor konfigurálnia kell egy SSL-portot. A HTTPS hagyományosan a 443-as portot használja. Új előtérbeli port létrehozásához használja az az network application-gateway frontend-port create
parancsot. Az alábbi példa azt mutatja be, hogyan hozható létre előtérbeli port a 443-as porton:
az network application-gateway frontend-port create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name my-https-port \
--port 443
Figyelő konfigurálása
A figyelő egy meghatározott előtérbeli porton figyeli az átjáróba érkező bejövő forgalmat. Ez a forgalom aztán át lesz irányítva a háttérkészlet valamely kiszolgálójára. Ha az előtérbeli port SSL-t használ, akkor meg kell jelölnie a bejövő üzenetek visszafejtésére használandó tanúsítványt is. Ez a tanúsítvány tartalmazza a titkos kulcsot.
A tanúsítványt az az network application-gateway ssl-cert create
parancs használatával adhatja hozzá. A tanúsítványfájlnak PFX formátumban kell lennie. Mivel ez a fájl a titkos kulcsot tartalmazza, valószínűleg jelszóval védett lesz. A jelszót a cert-password
argumentumban kell megadnia, ahogy az alábbi példában látható.
az network application-gateway ssl-cert create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name shipping-ssl.crt \
--cert-file shippingportal/server-config/shipping-ssl.pfx \
--cert-password <password for certificate file>
Ezt követően létrehozhatja a figyelőt, amely fogadja a kérelmeket az előtérbeli portról, és a tanúsítvány használatával visszafejti azokat. Használja az az network application-gateway http-listener create
parancsot.
az network application-gateway http-listener create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name http-listener \
--frontend-port my-https-port \
--ssl-cert shipping-ssl.crt
Szabály definiálása HTTPS-kérelmek kiszolgálóra történő küldéséhez
Utolsó lépésként létre kell hoznia egy szabályt, amely a beérkező üzeneteket a figyelő használatával a háttérkészletben lévő kiszolgálókra irányítja. Az előtérbeli portokról érkező üzenetek a figyelőhöz beállított SSL-tanúsítvány használatával lesznek visszafejtve. Ezeket az üzeneteket azokkal az ügyféloldali tanúsítványokkal kell újra titkosítani, amelyek a háttérkészlet kiszolgálóihoz vannak beállítva. Ezt az információt a szabályban kell meghatározni.
Az alábbi példában az látható, hogyan használható az az network application-gateway rule create
parancs annak a szabálynak a létrehozására, amely a figyelőt a háttérkészlethez csatlakoztatja. A --http-settings
paraméter megadja a kiszolgálók ügyféloldali tanúsítványára hivatkozó HTTP-beállításokat. Ezeket a beállításokat az előző leckében hozta létre.
az network application-gateway rule create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name app-gw-rule \
--address-pool ap-backend \
--http-listener http-listener \
--http-settings https-settings \
--rule-type Basic
--priority 101
Most már rendelkezik egy teljes körű titkosítással az Application Gatewayen keresztül haladó üzenetek titkosításához. Az ügyfelek az Application Gateway SSL-tanúsítványát használják az üzenetküldéshez. Az Application Gateway ezzel az SSL-tanúsítvánnyal fejti vissza ezeket az üzeneteket. Ezután újra titkosítja az üzeneteket a háttérkészlet kiszolgálóinak tanúsítványával.