Konfigurasi listener App Gateway
Catatan
Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Lihat Menginstal Azure PowerShell untuk memulai. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.
Listener adalah entitas logis yang memeriksa permintaan koneksi masuk dengan menggunakan port, protokol, host, dan alamat IP. Saat mengonfigurasi listener, Anda harus memasukkan nilai untuk ini yang cocok dengan nilai yang sesuai dalam permintaan masuk di gateway.
Saat Anda membuat app gateway dengan menggunakan portal Microsoft Azure, Anda juga membuat listener default dengan memilih protokol dan port untuk listener. Anda bisa memilih apakah akan mengaktifkan dukungan HTTP2 pada listener. Setelah Anda membuat app gateway, Anda bisa mengedit pengaturan listener default tersebut (appGatewayHttpListener) atau membuat listener baru.
Tipe listener
Saat Anda membuat listener baru, Anda memilih antara dasar dan multi-situs.
Jika Anda ingin semua permintaan Anda (untuk domain apa pun) diterima dan diteruskan ke kumpulan backend, pilihlah dasar. Pelajaricara membuat app gateway dengan listener dasar.
Jika Anda ingin meneruskan permintaan ke kumpulan backend yang berbeda berdasarkan header host atau nama host, pilih pendengar multi-situs. Application Gateway bergantung pada header host HTTP 1.1 untuk hosting lebih dari satu situs web pada port dan alamat IP publik yang sama. Untuk membedakan permintaan pada port yang sama, Anda harus menentukan nama host yang cocok dengan permintaan masuk. Untuk mempelajari lebih lanjut, lihat hosting beberapa situs menggunakan App Gateway.
Urutan pemrosesan listener
Untuk SKU v1, permintaan dicocokkan sesuai dengan urutan aturan dan jenis listener. Jika aturan dengan listener dasar adalah yang pertama dalam urutan, aturan diproses terlebih dahulu dan akan menerima permintaan apa pun untuk kombinasi port dan IP tersebut. Untuk menghindari hal ini, konfigurasikan aturan dengan listener multi-situs terlebih dahulu dan dorong aturan dengan listener dasar ke yang terakhir dalam daftar.
Untuk SKU v2, pendengar multi-situs diproses sebelum pendengar dasar, kecuali prioritas aturan ditentukan. Jika menggunakan prioritas aturan, pendengar kartubebas harus didefinisikan prioritas dengan angka yang lebih besar dari pendengar non-wildcard, untuk memastikan pendengar non-wildcard dijalankan sebelum pendengar wildcard.
Alamat IP ujung depan
Pilih alamat IP frontend yang Anda rencanakan untuk dikaitkan dengan pendengar ini. listener akan mendengarkan permintaan masuk pada IP ini.
Catatan
Frontend Application Gateway mendukung alamat IP tumpukan ganda. Anda dapat membuat hingga empat alamat IP frontend: Dua alamat IPv4 (publik dan privat) dan dua alamat IPv6 (publik dan privat).
Port ujung depan
Kaitkan port frontend. Anda dapat memilih port yang sudah ada atau membuat port baru. Pilih nilai apa pun dari rentang port yang diizinkan. Anda bisa menggunakan tidak hanya port terkenal, seperti 80 dan 443, tetapi port kustom yang diizinkan yang cocok. Port yang sama dapat digunakan untuk pendengar publik dan privat.
Catatan
Saat menggunakan listener privat dan publik dengan nomor port yang sama, gateway aplikasi Anda mengubah "tujuan" alur masuk ke IP frontend gateway Anda. Oleh karena itu, tergantung pada konfigurasi Grup Keamanan Jaringan, Anda mungkin memerlukan aturan masuk dengan alamat IP Tujuan sebagai IP frontend publik dan privat gateway aplikasi Anda.
Aturan Masuk:
- Sumber: (sesuai kebutuhan Anda)
- Alamat IP tujuan: IP frontend Publik dan Privat gateway aplikasi Anda.
- Port Tujuan: (sesuai konfigurasi pendengar)
- Protocol: TCP
Aturan Keluar: (tidak ada persyaratan khusus)
Protokol
Pilih HTTP atau HTTPS:
Jika Anda memilih HTTP, lalu lintas antara klien dan app gateway tidak terenkripsi.
Pilih HTTPS jika Anda ingin penghentian TLS atau enkripsi TLS end-to-end. Lalu lintas antara klien dan gateway aplikasi dienkripsi dan koneksi TLS akan dihentikan di gateway aplikasi. Jika Anda ingin enkripsi TLS end-to-end ke target backend, Anda juga harus memilih HTTPS dalam pengaturan HTTP backend. Ini memastikan bahwa lalu lintas dienkripsi saat gateway aplikasi memulai koneksi ke target backend.
Untuk mengonfigurasi penghentian TLS, sertifikat TLS/SSL harus ditambahkan ke pendengar. Hal ini memungkinkan Application Gateway untuk mendekripsi lalu lintas masuk dan mengenkripsi lalu lintas respons ke klien. Sertifikat yang diberikan ke Application Gateway harus dalam format Personal Information Exchange (PFX), yang berisi kunci privat dan publik.
Catatan
Saat menggunakan sertifikat TLS dari Key Vault untuk pendengar, Anda harus memastikan Application Gateway Anda selalu memiliki akses ke sumber daya brankas kunci yang ditautkan dan objek sertifikat di dalamnya. Ini memungkinkan operasi fitur penghentian TLS yang lancar dan mempertahankan kesehatan keseluruhan sumber daya gateway Anda. Jika sumber daya gateway aplikasi mendeteksi brankas kunci yang salah dikonfigurasi, sumber daya tersebut secara otomatis menempatkan pendengar HTTPS terkait dalam status dinonaktifkan. Pelajari selengkapnya.
Sertifikat yang didukung
Lihat Ringkasan tentang penghentian TLS dan end-to end TLS dengan App Gateway
Dukungan protokol tambahan
Dukungan HTTP2
Dukungan protokol HTTP/2 tersedia untuk klien yang terhubung ke listener app gateway saja. Komunikasi ke kumpulan server backend selalu HTTP/1.1. Secara default, dukungan HTTP/2 dinonaktifkan. Cuplikan kode Azure PowerShell berikut ini menampilkan cara mengaktifkan ini:
$gw = Get-AzApplicationGateway -Name test -ResourceGroupName hm
$gw.EnableHttp2 = $true
Set-AzApplicationGateway -ApplicationGateway $gw
Anda juga dapat mengaktifkan dukungan HTTP2 menggunakan portal Azure dengan memilih Diaktifkan di bawah HTTP2 di Konfigurasi gateway > Aplikasi.
Dukungan WebSocket
Dukungan WebSocket diaktifkan secara default. Tidak ada pengaturan yang bisa dikonfigurasi pengguna untuk mengaktifkan atau menonaktifkannya. Anda bisa menggunakan WebSocket dengan listener HTTP dan HTTPS.
Halaman kesalahan kustom
Anda dapat menentukan halaman kesalahan yang dikustomisasi untuk kode respons berbeda yang dikembalikan oleh Application Gateway. Kode respons yang dapat Anda konfigurasikan halaman kesalahannya adalah 400, 403, 405, 408, 500, 502, 503, dan 504. Anda dapat menggunakan konfigurasi halaman kesalahan tingkat global atau khusus listener untuk mengaturnya secara terperinci untuk setiap pendengar. Untuk info lebih lanjut, lihat Membuat Halaman kesalahan kustom App Gateway.
Catatan
Kesalahan yang berasal dari server backend diteruskan bersama tanpa dimodifikasi oleh Application Gateway ke klien.
Kebijakan TLS
Anda dapat mempusatkan manajemen sertifikat TLS/SSL dan mengurangi overhead dekripsi enkripsi untuk farm server backend. Penanganan TLS terpusat juga memungkinkan Anda menentukan kebijakan TLS terpusat yang sesuai dengan persyaratan keamanan Anda. Anda dapat memilih kebijakan TLS yang telah ditentukan atau kustom .
Anda mengonfigurasi kebijakan TLS untuk mengontrol versi protokol TLS. Anda dapat mengonfigurasi gateway aplikasi untuk menggunakan versi protokol minimum untuk jabat tangan TLS dari TLS1.0, TLS1.1, TLS1.2, dan TLS1.3. Secara default, SSL 2.0 dan 3.0 dinonaktifkan dan tidak dapat dikonfigurasi. Untuk info selengkapnya, lihat Gambaran umum Kebijakan TLS App Gateway.
Setelah Anda membuat listener, hubungkan dengan aturan perutean permintaan. Aturan itu menentukan bagaimana permintaan yang diterima pada listener dirutekan ke ujung belakang.