Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Introduction
Secara historis, SKU Application Gateway v2, dan hingga batas tertentu v1, telah memerlukan alamat IP publik untuk mengaktifkan manajemen layanan. Persyaratan ini telah memberlakukan beberapa batasan dalam penggunaan kontrol terperinci pada Kelompok Keamanan Jaringan dan Tabel Rute. Secara khusus, tantangan berikut telah diamati:
- Semua penyebaran Application Gateways v2 harus berisi konfigurasi IP frontend yang dapat diakses publik untuk mengaktifkan komunikasi ke tag layanan Gateway Manager.
- Asosiasi Kelompok Keamanan Jaringan memerlukan aturan untuk mengizinkan akses masuk dari GatewayManager dan Akses keluar ke Internet.
- Saat memperkenalkan rute default (0.0.0.0/0) untuk meneruskan lalu lintas ke tujuan selain Internet, metrik, pemantauan, dan pembaruan gateway akan menghasilkan status gagal.
Application Gateway v2 sekarang dapat mengatasi masing-masing item ini untuk lebih menghilangkan risiko eksfiltrasi data dan mengontrol privasi komunikasi dari dalam jaringan virtual. Perubahan ini mencakup kemampuan berikut:
- Konfigurasi IP frontend untuk alamat IP privat saja
- Tidak diperlukan sumber daya alamat IP publik
- Penghapusan lalu lintas masuk dari tag layanan GatewayManager melalui Kelompok Keamanan Jaringan
- Kemampuan untuk menentukan aturan Tolak Semua Kelompok Keamanan Jaringan keluar (NSG) untuk membatasi lalu lintas keluar ke Internet
- Kemampuan untuk mengambil alih rute default ke Internet (0.0.0.0/0)
- Resolusi DNS melalui resolver yang ditentukan di jaringan virtual Pelajari selengkapnya, termasuk zona DNS privat tautan privat.
Tip
Lihat Resolusi DNS Application Gateway untuk panduan terperinci tentang mengonfigurasi DNS untuk Application Gateway.
Masing-masing fitur ini dapat dikonfigurasi secara independen. Misalnya, alamat IP publik dapat digunakan untuk mengizinkan lalu lintas masuk dari Internet dan Anda dapat menentukan aturan Tolak Semua keluar dalam konfigurasi grup keamanan jaringan untuk mencegah penyelundupan data.
Memulai fitur
Kontrol baru untuk konfigurasi frontend IP privat, manajemen aturan NSG, dan konfigurasi tabel rute umumnya tersedia dan didukung dalam produksi. Untuk menggunakan kemampuan ini, Anda harus ikut serta dalam pengalaman menggunakan portal Microsoft Azure, PowerShell, CLI, atau REST API. Mekanisme keikutsertaan ini juga memberikan fleksibilitas jika Anda perlu kembali ke fungsionalitas Application Gateway tradisional saat diperlukan (misalnya, untuk mengaktifkan Private Link).
Saat terdaftar, semua Application Gateway baru memiliki kemampuan untuk menentukan kombinasi apa pun dari NSG, tabel rute, atau fitur konfigurasi IP privat. Jika Anda ingin menolak fungsionalitas baru, Anda dapat melakukannya dengan membatalkan pendaftaran dari fitur.
Tip
Gateway beroperasi menggunakan kemampuan yang tersedia pada saat disediakan. Jika Anda membatalkan pendaftaran dari fitur, gateway yang ada terus beroperasi dengan kemampuan yang diaktifkan saat dibuat.
Daftarkan fitur
Note
Dalam pengalaman portal Microsoft Azure, proses pendaftaran fitur diberi label sebagai pratinjau; namun, pengalaman ini Tersedia Secara Umum, didukung penuh untuk beban kerja produksi, dan tercakup dalam SLA Application Gateway yang diterbitkan.
Gunakan langkah-langkah berikut untuk mendaftar ke fitur untuk kontrol jaringan Application Gateway yang disempurnakan melalui portal Microsoft Azure:
Masuk ke portal Azure.
Di kotak pencarian, masukkan langganan dan pilih Subscriptions.
Pilih tautan untuk nama langganan Anda.
Di menu sebelah kiri di bawah Settings,pilih Preview features.
Anda melihat daftar fitur yang tersedia dan status pendaftaran Anda saat ini.
Dari Pratinjau fitur, ketik di kotak filter EnableApplicationGatewayNetworkIsolation, centang fitur, dan klik Daftar.
Note
Pendaftaran fitur mungkin memakan waktu hingga 30 menit untuk beralih dari Mendaftar ke status Terdaftar.
Membatalkan pendaftaran fitur
Untuk menolak fitur kontrol jaringan Application Gateway yang disempurnakan melalui Portal, gunakan langkah-langkah berikut:
Masuk ke portal Azure.
Di kotak pencarian, masukkan langganan dan pilih Subscriptions.
Pilih tautan untuk nama langganan Anda.
Di menu sebelah kiri di bawah Settings,pilih Preview features.
Anda melihat daftar fitur yang tersedia dan status pendaftaran Anda saat ini.
Dari Pratinjau fitur ketik ke dalam kotak filter EnableApplicationGatewayNetworkIsolation, periksa fitur, dan klik Batalkan pendaftaran.
Konfigurasi kontrol jaringan
Setelah mendaftarkan fitur, konfigurasi NSG, Tabel Rute, dan konfigurasi frontend alamat IP privat dapat dilakukan menggunakan metode apa pun. Misalnya: REST API, Templat ARM, penyebaran Bicep, Terraform, PowerShell, CLI, atau Portal.
Note
Jika aplikasi klien Anda tersambung ke App Gateway melalui IP privat, memerlukan batas waktu diam lebih dari > 4 menit, dan aplikasi klien tidak mengirim paket TCP tetap aktif, hubungi agprivateip-keepalive@microsoft.com untuk meminta inisiasi tetap aktif dari Application Gateway.
Subnet Gateway Aplikasi
Subnet Application Gateway adalah subnet dalam Virtual Network tempat Sumber Daya Application Gateway akan disebarkan. Dalam konfigurasi Ip Privat Frontend, penting bahwa subnet ini dapat menjangkau secara privat sumber daya yang ingin terhubung ke aplikasi atau situs Anda yang terekspos.
Note
Mulai 5 Mei 2025, penyebaran baru dan yang sudah ada dari Gateway Aplikasi Privat memerlukan Delegasi Subnet ke Microsoft.Network/applicationGateways.
Ikuti langkah-langkah ini untuk mengonfigurasi Delegasi Subnet.
Konektivitas Internet ke Luar
Penyebaran Application Gateway yang hanya berisi konfigurasi IP frontend privat (tidak memiliki konfigurasi frontend IP publik yang terkait dengan aturan perutean permintaan) tidak dapat mengeluarkan lalu lintas yang ditujukan ke Internet. Konfigurasi ini memengaruhi komunikasi ke target backend yang dapat diakses secara publik melalui Internet.
Untuk mengaktifkan konektivitas keluar dari Application Gateway Anda ke target backend yang menghadap Internet, Anda dapat menggunakan NAT Virtual Network atau meneruskan lalu lintas ke appliance virtual yang memiliki akses ke Internet.
NAT Virtual Network menawarkan kontrol atas alamat IP atau awalan apa yang harus digunakan serta batas waktu diam yang dapat dikonfigurasi. Untuk mengonfigurasi, buat NAT Gateway baru dengan alamat IP publik atau awalan publik dan kaitkan dengan subnet yang berisi Application Gateway.
Jika perangkat virtual diperlukan untuk akses keluar Internet, lihat bagian kontrol tabel rute dalam dokumen ini.
Skenario umum di mana penggunaan IP publik diperlukan:
- Komunikasi ke key vault tanpa menggunakan endpoint privat atau endpoint layanan
- Komunikasi keluar tidak diperlukan untuk file pfx yang diunggah ke Application Gateway secara langsung
- Komunikasi ke target backend melalui Internet
- Komunikasi dengan titik akhir CRL atau OCSP yang menghadap ke internet
Kontrol Kelompok Keamanan Jaringan
Grup keamanan jaringan yang terkait dengan subnet Application Gateway tidak lagi memerlukan aturan masuk untuk GatewayManager, dan mereka tidak memerlukan akses keluar ke Internet. Satu-satunya aturan yang diperlukan adalah Mengizinkan lalu lintas masuk dari AzureLoadBalancer untuk memastikan pemeriksaan status dapat mencapai gateway.
Konfigurasi berikut adalah contoh sekumpulan aturan masuk yang paling ketat, menolak semua lalu lintas kecuali untuk pemeriksaan kesehatan oleh Azure. Selain aturan yang sudah ditetapkan, aturan eksplisit didefinisikan untuk memungkinkan lalu lintas klien mencapai pendengar gateway.
Note
Application Gateway akan menampilkan peringatan untuk memastikan Izinkan LoadBalanceRule ditentukan jika DenyAll secara tidak sengaja membatasi akses ke probe kesehatan.
Contoh skenario
Contoh ini menjelaskan pembuatan NSG menggunakan portal Azure dengan aturan berikut:
- Izinkan lalu lintas masuk ke port 80 dan 8080 ke Application Gateway dari permintaan klien yang berasal dari Internet
- Tolak semua lalu lintas masuk lainnya
- Mengizinkan lalu lintas keluar ke target backend di jaringan virtual lain
- Izinkan lalu lintas keluar ke target backend yang dapat diakses Internet
- Tolak semua lalu lintas keluar lainnya
Pertama, buat kelompok keamanan jaringan. Grup keamanan ini berisi aturan masuk dan keluar Anda.
Aturan Lalu Lintas Masuk
Tiga aturan default masuk sudah disediakan dalam grup keamanan. Lihat contoh berikut:
Selanjutnya, buat empat aturan keamanan masuk baru berikut ini:
- Izinkan port masuk 80, tcp, dari Internet (tidak spesifik)
- Izinkan port masuk 8080, tcp, dari Internet (apa pun)
- Izinkan masuk dari AzureLoadBalancer
- Tolak Semua Masukan
Untuk membuat aturan ini:
- Pilih Aturan keamanan masuk
- Pilih Tambahkan
- Masukkan informasi berikut untuk setiap aturan ke panel Tambahkan aturan keamanan masuk.
- Setelah Anda memasukkan informasi, pilih Tambahkan untuk membuat aturan.
- Pembuatan setiap aturan membutuhkan waktu sejenak.
| Peraturan # | Source | Tag layanan sumber | Rentang port sumber | Destination | Service | Rentang port tujuan | Protocol | Action | Priority | Name |
|---|---|---|---|---|---|---|---|---|---|---|
| 1 | Any | * | Any | HTTP | 80 | PKT | Allow | 1028 | AllowWeb | |
| 2 | Any | * | Any | Custom | 8080 | PKT | Allow | 1029 | AllowWeb8080 | |
| 3 | Tag Layanan | AzureLoadBalancer | * | Any | Custom | * | Any | Allow | 1045 | AllowLB |
| 4 | Any | * | Any | Custom | * | Any | Deny | 4095 | DenyAllInbound |
Pilih Refresh untuk meninjau semua aturan saat provisi selesai.
Aturan keluar
Tiga aturan keluar default dengan prioritas 65000, 65001, dan 65500 sudah disediakan.
Buat tiga aturan keamanan keluar baru berikut ini:
- Izinkan TCP 443 dari 10.10.4.0/24 ke target backend 203.0.113.1
- Izinkan TCP 80 dari sumber 10.10.4.0/24 ke tujuan 10.13.0.4
- TolakSemua aturan lalu lintas
Aturan ini masing-masing diberi prioritas 400, 401, dan 4096.
Note
- 10.10.4.0/24 adalah ruang alamat subnet Application Gateway.
- 10.13.0.4 adalah komputer virtual di VNet yang di-peering.
- 203.0.113.1 adalah VM target backend.
Untuk membuat aturan ini:
- Pilih Aturan keamanan keluar
- Pilih Tambahkan
- Masukkan informasi berikut untuk setiap aturan ke panel Tambahkan aturan keamanan keluar.
- Setelah Anda memasukkan informasi, pilih Tambahkan untuk membuat aturan.
- Pembuatan setiap aturan membutuhkan waktu sejenak.
| Peraturan # | Source | Alamat IP sumber/rentang CIDR | Rentang port sumber | Destination | Alamat IP tujuan/rentang CIDR | Service | Rentang port tujuan | Protocol | Action | Priority | Name |
|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | Alamat IP | 10.10.4.0/24 | * | Alamat IP | 203.0.113.1 | HTTPS | 443 | PKT | Allow | 400 | AllowToBackendTarget |
| 2 | Alamat IP | 10.10.4.0/24 | * | Alamat IP | 10.13.0.4 | HTTP | 80 | PKT | Allow | 401 | AllowToPeeredVnetVM |
| 3 | Any | * | Any | Custom | * | Any | Deny | 4096 | DenyAll |
Pilih Refresh untuk meninjau semua aturan saat provisi selesai.
Mengasosiasikan NSG ke subnet
Langkah terakhir adalah mengaitkan grup keamanan jaringan ke subnet yang berisi Application Gateway Anda.
Result:
Important
Berhati-hatilah saat Anda menentukan aturan DenyAll , karena Anda mungkin secara tidak sengaja menolak lalu lintas masuk dari klien yang ingin Anda izinkan aksesnya. Anda mungkin juga secara tidak sengaja menolak lalu lintas keluar ke target backend, menyebabkan status kesehatan backend menjadi gagal dan menghasilkan respons kesalahan 5XX.
Pengendalian Tabel Routing
Dalam penawaran Application Gateway saat ini, pengaitan tabel rute dengan aturan (atau pembuatan aturan) yang didefinisikan sebagai 0.0.0.0/0 dengan hop berikutnya sebagai appliance virtual tidak didukung untuk memastikan pengelolaan Application Gateway yang benar.
Kemampuan untuk meneruskan lalu lintas ke appliance virtual kini dimungkinkan setelah registrasi fitur melalui definisi aturan tabel rute yang menetapkan 0.0.0.0/0 dengan hop berikutnya ke "Virtual Appliance".
Penerowongan paksa atau pembelajaran rute 0.0.0.0/0 melalui iklan BGP tidak memengaruhi kesehatan Application Gateway, dan dihormati untuk arus lalu lintas. Skenario ini dapat berlaku saat menggunakan VPN, ExpressRoute, Route Server, atau Virtual WAN.
Contoh skenario
Dalam contoh berikut, kami membuat tabel rute dan mengaitkannya ke subnet Application Gateway untuk memastikan akses Internet keluar dari subnet akan keluar dari appliance virtual. Pada tingkat tinggi, desain berikut dirangkum dalam Gambar 1:
- Application Gateway berada dalam jaringan virtual spoke
- Ada appliance virtual jaringan (komputer virtual) di jaringan hub
- Tabel rute dengan rute default (0.0.0.0/0) ke appliance virtual dikaitkan dengan subnet Application Gateway.
Gambar 1: Akses internet keluar melalui perangkat virtual
Untuk membuat tabel rute dan mengaitkannya ke subnet Application Gateway:
- Pilih Rute dan buat aturan hop berikutnya untuk 0.0.0.0/0 dan konfigurasikan tujuan untuk menjadi alamat IP VM Anda:
- Pilih Subnet dan kaitkan tabel rute ke subnet Application Gateway:
- Pastikan bahwa lalu lintas melewati virtual appliance.
Batasan / Masalah yang Diketahui
Batasan berikut berlaku:
Konfigurasi tautan pribadi
Konfigurasi dukungan tautan privat untuk penerowongan lalu lintas melalui titik akhir privat menuju Application Gateway tidak didukung dengan gateway yang hanya privat.
Pembatasan Laju WAF
Aturan kustom pembatasan tarif untuk Application Gateway WAF v2 saat ini tidak didukung.
Konfigurasi frontend IP privat hanya dengan AGIC
AGIC v1.7 harus digunakan untuk memperkenalkan dukungan hanya untuk IP frontend privat.
Konektivitas Titik Akhir Privat melalui Peering VNet Global
Jika Application Gateway memiliki target backend atau referensi brankas kunci ke titik akhir privat yang terletak di VNet yang dapat diakses melalui peering VNet global, lalu lintas diblokir, yang mengakibatkan status menjadi tidak sehat.
Integrasi Pemantau Jaringan
Pemecahan masalah koneksi dan diagnostik NSG menghasilkan kesalahan saat menjalankan tes pemeriksaan dan diagnostik.
Application Gateway v2 yang berdampingan dibuat sebelum pengaktifan kontrol jaringan yang ditingkatkan
Jika subnet berbagi penyebaran Application Gateway v2 yang dibuat sebelum dan sesudah diaktifkannya fungsionalitas kontrol jaringan yang disempurnakan, fungsionalitas Grup Keamanan Jaringan (NSG) dan Tabel Rute terbatas pada penyebaran gateway sebelumnya. Gateway aplikasi yang disediakan sebelum pengaktifan fungsionalitas baru harus diprovisikan ulang, atau gateway yang baru dibuat harus menggunakan subnet yang berbeda untuk mengaktifkan grup keamanan jaringan yang ditingkatkan dan fitur tabel rute.
- Jika gateway yang disebarkan sebelum pengaktifan fungsionalitas baru ada di subnet, Anda mungkin melihat kesalahan seperti:
For routes associated to subnet containing Application Gateway V2, please ensure '0.0.0.0/0' uses Next Hop Type as 'Internet'saat menambahkan entri tabel rute. - Saat menambahkan aturan grup keamanan jaringan ke subnet, Anda mungkin melihat:
Failed to create security rule 'DenyAnyCustomAnyOutbound'. Error: Network security group \<NSG-name\> blocks outgoing Internet traffic on subnet \<AppGWSubnetId\>, associated with Application Gateway \<AppGWResourceId\>. This isn't permitted for Application Gateways that have fast update enabled or have V2 Sku.
Langkah selanjutnya
- Lihat Garis besar keamanan Azure untuk Application Gateway untuk praktik terbaik keamanan lainnya.