Mengintegrasikan Lingkungan Layanan Aplikasi ILB Anda dengan Azure Application Gateway
App Service Environment adalah penyebaran dari Azure App Service dalam subnet jaringan virtual Azure pelanggan. App Service Environment dapat digunakan dengan titik akhir eksternal atau internal untuk akses aplikasi. Penyebaran App Service environment dengan titik akhir internal disebut sebagai internal load balancer (ILB) App Service environment (ASE).
Web application firewall membantu mengamankan aplikasi web Anda dengan memeriksa lalu lintas web masuk untuk memblokir injeksi SQL, Scripting Lintas Situs, unggahan malware & DDoS aplikasi, serta serangan lainnya. Anda bisa mendapatkan perangkat WAF dari Marketplace Azure atau dapat menggunakan Azure Application Gateway.
Azure Application Gateway adalah appliance virtual yang menyediakan penyeimbang muatan 7 lapisan, pemindahan TLS/SSL dan perlindungan Web application firewall (WAF). Hal tersebut dapat diproses pada alamat IP publik dan merutekan lalu lintas ke titik akhir aplikasi Anda. Informasi berikut menjelaskan cara mengintegrasikan gateway aplikasi yang dikonfigurasi WAF dengan aplikasi di ILB App Service environment.
Integrasi gateway aplikasi dengan ILB App Service environment. berada pada tingkat aplikasi. Saat mengonfigurasi gateway aplikasi dengan ILB App Service environment, Anda melakukannya untuk aplikasi tertentu di ILB App Service environment. Teknik ini memungkinkan menghosting aplikasi beberapa penyewa yang aman dalam satu ILB App Service environment.
Dalam panduan ini, Anda akan:
- Membuat Azure Application Gateway.
- Konfigurasikan gateway aplikasi untuk mengarah ke aplikasi di ILB App Service environment Anda.
- Mengedit nama host DNS publik yang mengarah ke gateway aplikasi Anda.
Prasyarat
Untuk mengintegrasikan gateway aplikasi Anda dengan ILB App Service environment, Anda memerlukan:
- ILB App Service environment.
- Zona DNS privat untuk ILB App Service environment.
- Aplikasi yang berjalan di ILB App Service environment.
- Nama DNS publik yang digunakan nanti untuk mengarah ke gateway aplikasi Anda.
- Jika Anda perlu menggunakan enkripsi TLS/SSL ke gateway aplikasi, diperlukan sertifikat publik yang valid yang digunakan untuk mengikat ke gateway aplikasi.
ILB App Service environment
Untuk detail tentang cara membuat lingkungan ILB App Service, lihat Membuat ASE di portal Azure dan Membuat ASE dengan templat ARM.
Setelah ILB ASE dibuat, domain default adalah
<YourAseName>.appserviceenvironment.net
.Internal load balancer tersedia untuk akses masuk. Anda dapat memeriksa alamat Masuk di alamat IP di bawah Pengaturan ASE. Anda dapat membuat zona DNS privat yang dipetakan ke alamat IP ini nanti.
Zona DNS privat
Anda memerlukan zona DNS privat untuk resolusi nama internal. Buat menggunakan nama ASE menggunakan kumpulan catatan yang ditampilkan dalam tabel berikut (untuk instruksi, lihat Mulai Cepat - Membuat zona DNS privat Azure menggunakan portal Microsoft Azure).
Nama | Jenis | Nilai |
---|---|---|
* | A | Alamat masuk ASE |
@ | A | Alamat masuk ASE |
@ | SOA | Nama DNS ASE |
*.scm | A | Alamat masuk ASE |
App Service di ILB ASE
Anda perlu membuat paket App Service dan aplikasi di ILB ASE. Saat membuat aplikasi di portal, pilih ILB ASE Anda sebagai Wilayah.
Nama DNS publik ke gateway aplikasi
Untuk terhubung ke gateway aplikasi dari internet, Anda memerlukan nama domain yang dapat dirutekan. Dalam hal ini, saya menggunakan nama domain yang dapat dirutekan asabuludemo.com
dan berencana untuk terhubung ke App Service dengan nama domain ini app.asabuludemo.com
. Alamat IP yang dipetakan ke nama domain aplikasi ini perlu diatur ke alamat IP Publik Application Gateway setelah gateway aplikasi dibuat.
Dengan domain publik yang dipetakan ke gateway aplikasi, Anda tidak perlu mengonfigurasi domain kustom di App Service. Anda dapat membeli nama domain kustom dengan Domain App Service.
Sertifikat publik yang valid
Untuk peningkatan keamanan, disarankan untuk mengikat sertifikat TLS/SSL untuk enkripsi sesi. Untuk mengikat sertifikat TLS/SSL ke gateway aplikasi, diperlukan sertifikat publik yang valid dengan informasi berikut. Dengan sertifikat App Service, Anda dapat membeli sertifikat TLS/SSL dan mengekspornya dalam format .pfx.
Nama | Nilai | Deskripsi |
---|---|---|
Nama Umum | <yourappname>.<yourdomainname> , misalnya: app.asabuludemo.com atau *.<yourdomainname> , misalnya: *.asabuludemo.com |
Sertifikat standar atau sertifikat kartubebas untuk gateway aplikasi |
Nama Alternatif Subjek | <yourappname>.scm.<yourdomainname> , misalnya: app.scm.asabuludemo.com atau *.scm.<yourdomainname> , misalnya: *.scm.asabuludemo.com |
SAN yang memungkinkan untuk terhubung ke layanan kudu App Service. Ini adalah pengaturan opsional, jika Anda tidak ingin menerbitkan layanan kudu App Service ke internet. |
File sertifikat harus memiliki kunci privat dan disimpan dalam format .pfx, file sertifikat kemudian akan diimpor ke gateway aplikasi.
Membuat gateway aplikasi
Untuk pembuatan gateway aplikasi dasar, lihat Tutorial: Membuat gateway aplikasi dengan Web Application Firewall menggunakan portal Microsoft Azure.
Dalam tutorial ini, kita akan menggunakan portal Microsoft Azure untuk membuat gateway aplikasi dengan ILB App Service environment.
Di portal Microsoft Azure, pilih Baru>Jaringan>Gateway Aplikasi untuk membuat gateway aplikasi.
Pengaturan dasar
Dalam daftar dropdown Tingkat, Anda dapat memilih Standar V2 atau WAF V2 untuk mengaktifkan fitur WAF di gateway aplikasi.
Pengaturan Frontend
Pilih jenis alamat IP Frontend ke Publik, Privat atau Keduanya . Jika mengatur ke Privat atau Keduanya, Anda harus menetapkan alamat IP statik dalam rentang subnet gateway aplikasi. Dalam kasus ini, kita mengatur ke IP Publik hanya untuk titik akhir publik.
Alamat IP publik - Anda perlu mengaitkan alamat IP publik untuk akses publik gateway aplikasi. Catat alamat IP ini, Anda perlu menambahkan catatan di layanan DNS nanti.
Pengaturan backend
Masukkan nama kumpulan backend dan pilih App Services atau alamat IP atau FQDN di Jenis target. Dalam kasus ini, kita mengatur ke App Service dan memilih nama App Service dari daftar dropdown target.
Pengaturan Konfigurasi
Di Pengaturan konfigurasi , Anda perlu menambahkan aturan perutean dengan memilih ikon Tambahkan aturan perutean.
Anda perlu mengonfigurasi Pendengar dan target Backend dalam aturan perutean. Anda dapat menambahkan pendengar HTTP untuk bukti penyebaran konsep atau menambahkan pendengar HTTPS untuk peningkatan keamanan.
Untuk terhubung ke gateway aplikasi dengan protokol HTTP, Anda dapat membuat pendengar dengan pengaturan berikut,
Parameter Nilai Deskripsi Nama aturan Misalnya: http-routingrule
Nama perutean Nama listener Misalnya: http-listener
Nama listener IP Frontend Publik Untuk akses internet, atur ke Publik Protokol HTTP Jangan gunakan enkripsi TLS/SSL Port 80 Port HTTP default Tipe listener Beberapa situs Izinkan untuk mendengarkan beberapa situs di gateway aplikasi Jenis host Beberapa/Kartubebas Atur ke beberapa atau nama situs web kartubebas jika jenis pendengar diatur ke beberapa situs. Nama Host Misalnya: app.asabuludemo.com
Atur ke nama domain yang dapat dirutekan untuk App Service Untuk terhubung ke gateway aplikasi dengan enkripsi TLS/SSL, Anda dapat membuat pendengar dengan pengaturan berikut,
Parameter Nilai Deskripsi Nama aturan Misalnya: https-routingrule
Nama perutean Nama listener Misalnya: https-listener
Nama listener IP Frontend Publik Untuk akses internet, atur ke Publik Protokol HTTPS Gunakan enkripsi TLS/SSL Port 443 Port HTTPS Default Pengaturan Https Mengunggah sertifikat Unggah sertifikat yang berisi CN dan kunci privat dengan format .pfx. Tipe listener Beberapa situs Izinkan untuk mendengarkan beberapa situs di gateway aplikasi Jenis host Beberapa/Kartubebas Atur ke beberapa atau nama situs web kartubebas jika jenis pendengar diatur ke beberapa situs. Nama Host Misalnya: app.asabuludemo.com
Atur ke nama domain yang dapat dirutekan untuk App Service Anda harus mengonfigurasi Kumpulan Backend dan pengaturan HTTP di target Backend. Kumpulan Backend dikonfigurasikan pada langkah sebelumnya. Pilih Tambahkan tautan baru untuk menambahkan pengaturan HTTP.
Pengaturan HTTP dicantumkan seperti di bawah ini:
Parameter Nilai Deskripsi Nama pengaturan HTTP Misalnya: https-setting
Nama pengaturan HTTP Protokol backend HTTPS Gunakan enkripsi TLS/SSL Port ujung belakang 443 Port HTTPS Default Gunakan sertifikat CA yang dikenal Ya Nama domain default ILB ASE adalah .appserviceenvironment.net
, sertifikat domain ini diterbitkan oleh otoritas akar tepercaya publik. Dalam pengaturan Sertifikat akar tepercaya, Anda dapat mengatur untuk menggunakan sertifikat akar tepercaya CA yang dikenal.Ganti dengan nama host baru Ya Header nama host akan ditimpa saat menghubungkan ke aplikasi di ILB ASE Ganti nama host Pilih nama host dari target backend Saat mengatur kumpulan backend ke App Service, Anda dapat memilih host dari target backend Buat penyelidikan kustom No Gunakan penyelidikan kesehatan default
Konfigurasikan integrasi gateway aplikasi dengan ILB ASE
Untuk mengakses ILB ASE dari gateway aplikasi, Anda perlu memeriksa apakah jaringan virtual tertaut ke zona DNS privat. Jika tidak ada jaringan virtual yang ditautkan ke VNet gateway aplikasi Anda, tambahkan tautan jaringan virtual dengan langkah-langkah berikut.
Konfigurasikan tautan jaringan virtual dengan zona DNS privat
- Untuk mengonfigurasi tautan jaringan virtual dengan zona DNS privat, buka bidang konfigurasi zona DNS privat. Pilih Tautan jaringan virtual>Tambahkan
- Masukkan Nama tautan dan pilih langganan masing-masing dan jaringan virtual tempat gateway aplikasi berada.
- Anda dapat mengonfirmasi status kesehatan backend dari Kesehatan backend di bidang gateway aplikasi.
Tambahkan baris DNS publik
Anda perlu mengonfigurasi pemetaan DNS yang tepat saat mengakses gateway aplikasi dari internet.
- Alamat IP publik dari gateway aplikasi dapat ditemukan di konfigurasi IP Frontend di bidang gateway aplikasi.
- Gunakan layanan Azure DNS sebagai contoh, Anda dapat menambahkan kumpulan catatan untuk memetakan nama domain aplikasi ke alamat IP publik dari gateway aplikasi.
Validasi koneksi
- Pada akses mesin dari internet, Anda dapat memverifikasi resolusi nama untuk nama domain aplikasi ke alamat IP publik gateway aplikasi.
- Pada akses mesin dari internet, uji akses web dari browser.