Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Nota
Kami merekomendasikan agar Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Untuk memulai, lihat Install Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.
Listener adalah entitas logis yang memeriksa permintaan koneksi masuk dengan menggunakan port, protokol, host, dan alamat IP. Saat mengonfigurasi listener, Anda harus memasukkan nilai untuk ini yang cocok dengan nilai yang sesuai dalam permintaan masuk di gateway.
Saat membuat gateway aplikasi dengan menggunakan portal Microsoft Azure, Anda juga membuat pendengar default dengan memilih protokol dan port untuk pendengar. Anda dapat memilih apakah akan mengaktifkan dukungan HTTP2 pada pendengar. Setelah membuat gateway aplikasi, Anda bisa mengedit pengaturan listener default tersebut (appGatewayHttpListener) atau membuat listener baru.
Tipe pendengar
Saat membuat pendengar baru, Anda memilih antara dasar dan multisitus.
Jika Anda ingin semua permintaan Anda (untuk domain apa pun) diterima dan diteruskan ke kumpulan backend, pilih dasar. Pelajari cara membuat gateway aplikasi dengan pendengar dasar.
Jika Anda ingin meneruskan permintaan ke kumpulan backend yang berbeda berdasarkan header host atau nama host, pilih pendengar multi-situs. Application Gateway mengandalkan header host HTTP 1.1 untuk menampung lebih dari satu situs web pada alamat IP publik dan port yang sama. Untuk membedakan permintaan pada port yang sama, Anda harus menentukan nama host yang cocok dengan permintaan masuk. Untuk mempelajari selengkapnya, lihat menghosting beberapa situs menggunakan Application Gateway.
Urutan pemrosesan pendengar
Untuk SKU v1, permintaan dicocokkan sesuai dengan urutan aturan dan jenis pendengar. Jika aturan dengan pendengar dasar ditempatkan lebih dulu dalam urutannya, aturan tersebut diproses terlebih dahulu dan akan menerima permintaan apa pun untuk kombinasi port dan IP tersebut. Untuk menghindari hal ini, konfigurasikan aturan dengan pendengar multi-situs terlebih dahulu dan letakkan aturan dengan pendengar dasar ke posisi terakhir dalam daftar.
Untuk SKU v2, prioritas aturan menentukan urutan di mana pendengar diproses. Wildcard dan pendengar dasar harus didefinisikan dengan prioritas yang lebih tinggi daripada pendengar khusus situs dan multi-situs, agar pendengar khusus situs dan multi-situs dieksekusi sebelum wildcard dan pendengar dasar.
Alamat IP antarmuka depan
Pilih alamat IP frontend yang Anda rencanakan untuk dikaitkan dengan pendengar ini. Pendengar akan mendengarkan permintaan masuk pada IP ini.
Nota
Antarmuka Depan Application Gateway mendukung alamat IP dua jalur. Anda dapat membuat hingga empat alamat IP frontend: Dua alamat IPv4 (publik dan privat) dan dua alamat IPv6 (publik dan privat).
Port ujung depan
Kaitkan port frontend. Anda dapat memilih port yang sudah ada atau membuat port baru. Pilih nilai apa pun dari rentang port yang diizinkan. Anda tidak hanya dapat menggunakan port terkenal, seperti 80 dan 443, tetapi port kustom apa pun yang diizinkan yang cocok. Port yang sama dapat digunakan untuk pendengar publik dan privat.
Nota
Saat menggunakan listener privat dan publik dengan nomor port yang sama, gateway aplikasi Anda mengubah "tujuan" alur masuk ke IP frontend gateway Anda. Oleh karena itu, tergantung pada konfigurasi Grup Keamanan Jaringan, Anda mungkin memerlukan aturan masuk dengan alamat IP Tujuan sebagai IP frontend publik dan privat gateway aplikasi Anda.
Aturan Masuk:
- Sumber: (sesuai kebutuhan Anda)
- Alamat IP tujuan: IP publik dan privat di frontend dari gateway aplikasi Anda.
- Port Tujuan: (sesuai konfigurasi pendengar)
- Protokol: TCP
Aturan Keluar: (tidak ada persyaratan khusus)
Protokol
Pilih HTTP atau HTTPS:
Jika Anda memilih HTTP, lalu lintas antara klien dan gateway aplikasi tidak terenkripsi.
Pilih HTTPS jika Anda ingin penghentian TLS atau enkripsi TLS end-to-end. Lalu lintas antara klien dan gateway aplikasi dienkripsi dan koneksi TLS akan dihentikan di gateway aplikasi. Jika Anda ingin enkripsi TLS end-to-end ke target backend, Anda juga harus memilih HTTPS dalam pengaturan HTTP backend . Ini memastikan bahwa lalu lintas dienkripsi saat gateway aplikasi memulai koneksi ke target backend.
Untuk mengonfigurasi penghentian TLS, sertifikat TLS/SSL harus ditambahkan ke pendengar. Hal ini memungkinkan Application Gateway untuk mendekripsi lalu lintas masuk dan mengenkripsi lalu lintas respons ke klien. Sertifikat yang diberikan ke Application Gateway harus dalam format Personal Information Exchange (PFX), yang berisi kunci privat dan publik.
Nota
Saat menggunakan sertifikat TLS dari Key Vault untuk pendengar, Anda harus memastikan Application Gateway Anda selalu memiliki akses ke sumber daya brankas kunci yang ditautkan dan objek sertifikat di dalamnya. Ini memungkinkan operasi fitur penghentian TLS yang lancar dan mempertahankan kesehatan keseluruhan sumber daya gateway Anda. Jika sumber daya gateway aplikasi mendeteksi Key Vault yang salah konfigurasi, sumber daya tersebut secara otomatis menempatkan pendengar HTTPS terkait dalam status dinonaktifkan. Pelajari selengkapnya.
Sertifikat yang didukung
Lihat Ikhtisar terminasi TLS dan TLS end-to-end dengan Application Gateway
Dukungan protokol tambahan
Dukungan HTTP2
Dukungan protokol HTTP/2 tersedia hanya untuk klien yang terhubung ke listener gateway aplikasi. Komunikasi ke kumpulan server backend selalu HTTP/1.1. Secara default, dukungan HTTP/2 dinonaktifkan. Cuplikan kode Azure PowerShell berikut menunjukkan cara mengaktifkan ini:
$gw = Get-AzApplicationGateway -Name test -ResourceGroupName hm
$gw.EnableHttp2 = $true
Set-AzApplicationGateway -ApplicationGateway $gw
Penting
Saat membuat sumber daya gateway aplikasi melalui portal Microsoft Azure, opsi default untuk HTTP2 diatur sebagai diaktifkan. Anda dapat memilih Dinonaktifkan selama pembuatan, dan mengaktifkan kembali dukungan HTTP2 menggunakan portal Microsoft Azure dengan memilih Diaktifkan di bawah HTTP2 di Konfigurasi gateway > Aplikasi.
Jika HTTP2 tidak didukung oleh klien, HTTP1.1 akan digunakan. Mengaktifkan HTTP2 tidak menonaktifkan HTTP1.1; ini memungkinkan dukungan untuk keduanya.
Nota
Application Gateway hanya mendukung HTTP/2 melalui TLS (pendengar HTTPS). Upaya peningkatan protokol HTTP/2 Cleartext (h2c) dari HTTP/1.1 tidak didukung dan akan mengakibatkan kesalahan Terlarang 403. Klien yang mencoba peningkatan h2c harus menggunakan koneksi HTTP/2 asli melalui HTTPS atau tetap berada di HTTP/1.1.
Dukungan WebSocket
Dukungan WebSocket diaktifkan secara default. Tidak ada pengaturan yang dapat dikonfigurasi pengguna untuk mengaktifkan atau menonaktifkannya. Anda dapat menggunakan WebSocket dengan pendengar HTTP dan HTTPS.
Halaman kesalahan kustom
Anda dapat menentukan halaman kesalahan yang dikustomisasi untuk kode respons berbeda yang dikembalikan oleh Application Gateway. Kode respons yang dapat Anda konfigurasikan halaman kesalahannya adalah 400, 403, 405, 408, 500, 502, 503, dan 504. Anda dapat menggunakan konfigurasi halaman kesalahan tingkat global atau khusus listener untuk mengaturnya secara terperinci untuk setiap pendengar. Untuk informasi selengkapnya, lihat Membuat halaman kesalahan kustom Application Gateway.
Nota
Kesalahan yang berasal dari server backend diteruskan oleh Application Gateway ke klien tanpa modifikasi.
Kebijakan TLS
Anda dapat memusatkan manajemen sertifikat TLS/SSL dan mengurangi overhead enkripsi-dekripsi untuk farm server backend. Penanganan TLS terpusat juga memungkinkan Anda menentukan kebijakan TLS pusat yang sesuai dengan persyaratan keamanan Anda. Anda dapat memilih kebijakan TLS yang telah ditentukan atau kustom .
Anda mengonfigurasi kebijakan TLS untuk mengontrol versi protokol TLS. Anda dapat mengonfigurasi gateway aplikasi untuk menggunakan versi protokol minimum untuk jabat tangan TLS dari TLS1.0, TLS1.1, TLS1.2, dan TLS1.3. Secara default, SSL 2.0 dan 3.0 dinonaktifkan dan tidak dapat dikonfigurasi. Untuk informasi selengkapnya, lihat Gambaran umum kebijakan TLS Application Gateway.
Setelah Anda membuat pendengar, Anda menghubungkannya dengan aturan perutean permintaan. Aturan tersebut menentukan bagaimana permintaan yang diterima pada listener dirutekan ke backend.