Share via

Mengintegrasikan Lingkungan Layanan Aplikasi ILB Anda dengan Azure Application Gateway

  • Artikel

App Service Environment adalah penyebaran dari Azure App Service dalam subnet jaringan virtual Azure pelanggan. App Service Environment dapat digunakan dengan titik akhir eksternal atau internal untuk akses aplikasi. Penyebaran App Service environment dengan titik akhir internal disebut sebagai internal load balancer (ILB) App Service environment (ASE).

Web application firewall membantu mengamankan aplikasi web Anda dengan memeriksa lalu lintas web masuk untuk memblokir injeksi SQL, Scripting Lintas Situs, unggahan malware & DDoS aplikasi, serta serangan lainnya. Anda bisa mendapatkan perangkat WAF dari Marketplace Azure atau dapat menggunakan Azure Application Gateway.

Azure Application Gateway adalah appliance virtual yang menyediakan penyeimbang muatan 7 lapisan, pemindahan TLS/SSL dan perlindungan Web application firewall (WAF). Hal tersebut dapat diproses pada alamat IP publik dan merutekan lalu lintas ke titik akhir aplikasi Anda. Informasi berikut menjelaskan cara mengintegrasikan gateway aplikasi yang dikonfigurasi WAF dengan aplikasi di ILB App Service environment.

Integrasi gateway aplikasi dengan ILB App Service environment. berada pada tingkat aplikasi. Saat mengonfigurasi gateway aplikasi dengan ILB App Service environment, Anda melakukannya untuk aplikasi tertentu di ILB App Service environment. Teknik ini memungkinkan menghosting aplikasi beberapa penyewa yang aman dalam satu ILB App Service environment.

Screenshot of High level integration diagram

Dalam panduan ini, Anda akan:

  • Membuat Azure Application Gateway.
  • Konfigurasikan gateway aplikasi untuk mengarah ke aplikasi di ILB App Service environment Anda.
  • Mengedit nama host DNS publik yang mengarah ke gateway aplikasi Anda.

Prasyarat

Untuk mengintegrasikan gateway aplikasi Anda dengan ILB App Service environment, Anda memerlukan:

  • ILB App Service environment.
  • Zona DNS privat untuk ILB App Service environment.
  • Aplikasi yang berjalan di ILB App Service environment.
  • Nama DNS publik yang digunakan nanti untuk mengarah ke gateway aplikasi Anda.
  • Jika Anda perlu menggunakan enkripsi TLS/SSL ke gateway aplikasi, diperlukan sertifikat publik yang valid yang digunakan untuk mengikat ke gateway aplikasi.

ILB App Service environment

Untuk detail tentang cara membuat lingkungan ILB App Service, lihat Membuat ASE di portal Azure dan Membuat ASE dengan templat ARM.

  • Setelah ILB ASE dibuat, domain default adalah <YourAseName>.appserviceenvironment.net.

    Screenshot of ILB ASE Overview

  • Internal load balancer tersedia untuk akses masuk. Anda dapat memeriksa alamat Masuk di alamat IP di bawah Pengaturan ASE. Anda dapat membuat zona DNS privat yang dipetakan ke alamat IP ini nanti.

    Screenshot of getting the inbound address from ILB ASE IP addresses settings.

Zona DNS privat

Anda memerlukan zona DNS privat untuk resolusi nama internal. Buat menggunakan nama ASE menggunakan kumpulan catatan yang ditampilkan dalam tabel berikut (untuk instruksi, lihat Mulai Cepat - Membuat zona DNS privat Azure menggunakan portal Microsoft Azure).

Nama Jenis Nilai
* A Alamat masuk ASE
@ A Alamat masuk ASE
@ SOA Nama DNS ASE
*.scm A Alamat masuk ASE

App Service di ILB ASE

Anda perlu membuat paket App Service dan aplikasi di ILB ASE. Saat membuat aplikasi di portal, pilih ILB ASE Anda sebagai Wilayah.

Nama DNS publik ke gateway aplikasi

Untuk terhubung ke gateway aplikasi dari internet, Anda memerlukan nama domain yang dapat dirutekan. Dalam hal ini, saya menggunakan nama domain yang dapat dirutekan asabuludemo.com dan berencana untuk terhubung ke App Service dengan nama domain ini app.asabuludemo.com. Alamat IP yang dipetakan ke nama domain aplikasi ini perlu diatur ke alamat IP Publik Application Gateway setelah gateway aplikasi dibuat. Dengan domain publik yang dipetakan ke gateway aplikasi, Anda tidak perlu mengonfigurasi domain kustom di App Service. Anda dapat membeli nama domain kustom dengan Domain App Service.

Sertifikat publik yang valid

Untuk peningkatan keamanan, disarankan untuk mengikat sertifikat TLS/SSL untuk enkripsi sesi. Untuk mengikat sertifikat TLS/SSL ke gateway aplikasi, diperlukan sertifikat publik yang valid dengan informasi berikut. Dengan sertifikat App Service, Anda dapat membeli sertifikat TLS/SSL dan mengekspornya dalam format .pfx.

Nama Nilai Deskripsi
Nama Umum <yourappname>.<yourdomainname>, misalnya: app.asabuludemo.com
atau *.<yourdomainname>, misalnya: *.asabuludemo.com		 Sertifikat standar atau sertifikat kartubebas untuk gateway aplikasi
Nama Alternatif Subjek <yourappname>.scm.<yourdomainname>, misalnya: app.scm.asabuludemo.com
atau *.scm.<yourdomainname>, misalnya: *.scm.asabuludemo.com		 SAN yang memungkinkan untuk terhubung ke layanan kudu App Service. Ini adalah pengaturan opsional, jika Anda tidak ingin menerbitkan layanan kudu App Service ke internet.

File sertifikat harus memiliki kunci privat dan disimpan dalam format .pfx, file sertifikat kemudian akan diimpor ke gateway aplikasi.

Membuat gateway aplikasi

Untuk pembuatan gateway aplikasi dasar, lihat Tutorial: Membuat gateway aplikasi dengan Web Application Firewall menggunakan portal Microsoft Azure.

Dalam tutorial ini, kita akan menggunakan portal Microsoft Azure untuk membuat gateway aplikasi dengan ILB App Service environment.

Di portal Microsoft Azure, pilih Baru>Jaringan>Gateway Aplikasi untuk membuat gateway aplikasi.

  1. Pengaturan dasar

    Dalam daftar dropdown Tingkat, Anda dapat memilih Standar V2 atau WAF V2 untuk mengaktifkan fitur WAF di gateway aplikasi.

  2. Pengaturan Frontend

    Pilih jenis alamat IP Frontend ke Publik, Privat atau Keduanya . Jika mengatur ke Privat atau Keduanya, Anda harus menetapkan alamat IP statik dalam rentang subnet gateway aplikasi. Dalam kasus ini, kita mengatur ke IP Publik hanya untuk titik akhir publik.

    • Alamat IP publik - Anda perlu mengaitkan alamat IP publik untuk akses publik gateway aplikasi. Catat alamat IP ini, Anda perlu menambahkan catatan di layanan DNS nanti.

      Screenshot of getting a public IP address from the application gateway frontends setting.

  3. Pengaturan backend

    Masukkan nama kumpulan backend dan pilih App Services atau alamat IP atau FQDN di Jenis target. Dalam kasus ini, kita mengatur ke App Service dan memilih nama App Service dari daftar dropdown target.

    Screenshot of adding a backend pool name in backends setting.

  4. Pengaturan Konfigurasi

    Di Pengaturan konfigurasi , Anda perlu menambahkan aturan perutean dengan memilih ikon Tambahkan aturan perutean.

    Screenshot of adding a routing rule in configuration setting.

    Anda perlu mengonfigurasi Pendengar dan target Backend dalam aturan perutean. Anda dapat menambahkan pendengar HTTP untuk bukti penyebaran konsep atau menambahkan pendengar HTTPS untuk peningkatan keamanan.

    • Untuk terhubung ke gateway aplikasi dengan protokol HTTP, Anda dapat membuat pendengar dengan pengaturan berikut,

      Parameter Nilai Deskripsi
      Nama aturan Misalnya: http-routingrule Nama perutean
      Nama listener Misalnya: http-listener Nama listener
      IP Frontend Publik Untuk akses internet, atur ke Publik
      Protokol HTTP Jangan gunakan enkripsi TLS/SSL
      Port 80 Port HTTP default
      Tipe listener Beberapa situs Izinkan untuk mendengarkan beberapa situs di gateway aplikasi
      Jenis host Beberapa/Kartubebas Atur ke beberapa atau nama situs web kartubebas jika jenis pendengar diatur ke beberapa situs.
      Nama Host Misalnya: app.asabuludemo.com Atur ke nama domain yang dapat dirutekan untuk App Service

      Screenshot of HTTP Listener of the application gateway Routing Rule.

    • Untuk terhubung ke gateway aplikasi dengan enkripsi TLS/SSL, Anda dapat membuat pendengar dengan pengaturan berikut,

      Parameter Nilai Deskripsi
      Nama aturan Misalnya: https-routingrule Nama perutean
      Nama listener Misalnya: https-listener Nama listener
      IP Frontend Publik Untuk akses internet, atur ke Publik
      Protokol HTTPS Gunakan enkripsi TLS/SSL
      Port 443 Port HTTPS Default
      Pengaturan Https Mengunggah sertifikat Unggah sertifikat yang berisi CN dan kunci privat dengan format .pfx.
      Tipe listener Beberapa situs Izinkan untuk mendengarkan beberapa situs di gateway aplikasi
      Jenis host Beberapa/Kartubebas Atur ke beberapa atau nama situs web kartubebas jika jenis pendengar diatur ke beberapa situs.
      Nama Host Misalnya: app.asabuludemo.com Atur ke nama domain yang dapat dirutekan untuk App Service

      HTTPS listener of the application gateway Routing Rule.

    • Anda harus mengonfigurasi Kumpulan Backend dan pengaturan HTTP di target Backend. Kumpulan Backend dikonfigurasikan pada langkah sebelumnya. Pilih Tambahkan tautan baru untuk menambahkan pengaturan HTTP.

      Screenshot of adding new link to add an H T T P setting.

    • Pengaturan HTTP dicantumkan seperti di bawah ini:

      Parameter Nilai Deskripsi
      Nama pengaturan HTTP Misalnya: https-setting Nama pengaturan HTTP
      Protokol backend HTTPS Gunakan enkripsi TLS/SSL
      Port ujung belakang 443 Port HTTPS Default
      Gunakan sertifikat CA yang dikenal Ya Nama domain default ILB ASE adalah .appserviceenvironment.net, sertifikat domain ini diterbitkan oleh otoritas akar tepercaya publik. Dalam pengaturan Sertifikat akar tepercaya, Anda dapat mengatur untuk menggunakan sertifikat akar tepercaya CA yang dikenal.
      Ganti dengan nama host baru Ya Header nama host akan ditimpa saat menghubungkan ke aplikasi di ILB ASE
      Ganti nama host Pilih nama host dari target backend Saat mengatur kumpulan backend ke App Service, Anda dapat memilih host dari target backend
      Buat penyelidikan kustom No Gunakan penyelidikan kesehatan default

      Screenshot of **Add an H T T P setting** dialog.

Konfigurasikan integrasi gateway aplikasi dengan ILB ASE

Untuk mengakses ILB ASE dari gateway aplikasi, Anda perlu memeriksa apakah jaringan virtual tertaut ke zona DNS privat. Jika tidak ada jaringan virtual yang ditautkan ke VNet gateway aplikasi Anda, tambahkan tautan jaringan virtual dengan langkah-langkah berikut.

  • Untuk mengonfigurasi tautan jaringan virtual dengan zona DNS privat, buka bidang konfigurasi zona DNS privat. Pilih Tautan jaringan virtual>Tambahkan

Add a virtual network link to private DNS zone.

  • Masukkan Nama tautan dan pilih langganan masing-masing dan jaringan virtual tempat gateway aplikasi berada.

Screenshot of input link name details to virtual network links setting in private DNS zone.

  • Anda dapat mengonfirmasi status kesehatan backend dari Kesehatan backend di bidang gateway aplikasi.

Screenshot of confirm the backend health status from backend health.

Tambahkan baris DNS publik

Anda perlu mengonfigurasi pemetaan DNS yang tepat saat mengakses gateway aplikasi dari internet.

  • Alamat IP publik dari gateway aplikasi dapat ditemukan di konfigurasi IP Frontend di bidang gateway aplikasi.

Application gateway frontend IP address can be found in Frontend IP configuration.

  • Gunakan layanan Azure DNS sebagai contoh, Anda dapat menambahkan kumpulan catatan untuk memetakan nama domain aplikasi ke alamat IP publik dari gateway aplikasi.

Screenshot of adding a record set to map the app domain name to the public IP address of the application gateway.

Validasi koneksi

  • Pada akses mesin dari internet, Anda dapat memverifikasi resolusi nama untuk nama domain aplikasi ke alamat IP publik gateway aplikasi.

validate the name resolution from a command prompt.

  • Pada akses mesin dari internet, uji akses web dari browser.

Screenshot of opening a browser, access to the web.