Pembuatan dan konfigurasi Application Gateway
Application Gateway terdiri dari serangkaian komponen yang digabungkan untuk merutekan permintaan ke kumpulan server web dan untuk memeriksa kesehatan server web ini. Mari lihat bagaimana komponen-komponen ini terkait dan peran apa yang mereka mainkan di Application Gateway.
Alamat IP front-end
Permintaan klien diterima melalui alamat IP front-end. Anda dapat mengonfigurasi Application Gateway untuk memiliki alamat IP publik, alamat IP pribadi, atau keduanya. Application Gateway tidak dapat memiliki lebih dari satu alamat IP publik dan satu alamat IP pribadi.
Pendengar
Application Gateway menggunakan satu atau beberapa pendengar untuk menerima permintaan masuk. Pendengar menerima lalu lintas yang memenuhi kombinasi protokol, port, host, dan alamat IP tertentu. Setiap pendengar merutekan permintaan ke kumpulan server back-end setelah aturan perutean yang Anda tentukan. Pendengar dapat berupa Dasar atau Multisitus. Pendengar Dasar hanya merutekan permintaan berdasarkan jalur di URL. Pendengar multisitus juga dapat merutekan permintaan menggunakan elemen nama host URL.
Pendengar juga menangani sertifikat SSL untuk mengamankan aplikasi Anda antara pengguna dan Application Gateway.
Aturan perutean
Aturan perutean mengikat pendengar ke kumpulan back-end. Aturan menentukan cara menginterpretasikan elemen nama host dan jalur di URL permintaan, dan cara mengarahkan permintaan ke kumpulan back-end yang sesuai. Aturan perutean juga memiliki serangkaian pengaturan HTTP terkait. Pengaturan ini menunjukkan apakah (dan bagaimana) lalu lintas dienkripsi antara Application Gateway dan server back-end, dan informasi konfigurasi lainnya seperti:
- Protokol (HTTP atau HTTPS).
- Stickiness sesi, untuk meneruskan semua permintaan dalam sesi klien ke server web yang sama daripada mendistribusikannya di seluruh server dengan penyeimbangan beban.
- Koneksi pengurasan untuk mengaktifkan penghapusan server yang anggun dari kumpulan back-end.
- Minta jangka waktu habis, dalam hitungan detik.
- Pemeriksaan kesehatan, menentukan URL pemeriksaan, periode waktu habis, dan parameter lain yang digunakan untuk menentukan apakah server di kumpulan ujung belakang tersedia.
Kumpulan back-end
Sebuah kumpulan back-end mereferensikan kumpulan server web. Anda menyediakan alamat IP setiap server web dan port tempat mendengarkan permintaan saat mengonfigurasi kumpulan. Setiap kumpulan dapat menentukan serangkaian komputer virtual tetap, set skala komputer virtual, aplikasi yang dihosting oleh Azure App Service, atau kumpulan server lokal. Setiap kumpulan back-end memiliki penyeimbang beban terkait yang mendistribusikan pekerjaan di seluruh kumpulan
Firewall aplikasi web
Web application firewall (WAF) adalah komponen opsional yang menangani permintaan masuk sebelum mereka mencapai pendengar. Web application firewall memeriksa setiap permintaan untuk banyak ancaman umum, berdasarkan Open Web Application Security Project (OWASP). Ini termasuk:
- Injeksi SQL
- Skrip lintas situs
- Injeksi perintah
- HTTP meminta penyelundupan
- Pemisahan respons HTTP
- Penyertaan file jarak jauh
- Bot, crawler, dan pemindai
- Pelanggaran protokol HTTP dan anomali
OWASP telah mendefinisikan sekumpulan aturan umum untuk mendeteksi serangan yang disebut Core Rule Set (CRS). Set aturan ini berada di bawah tinjauan berkelanjutan karena serangan berevolusi dalam kecanggihan. WAF mendukung dua set aturan, CRS 2.2.9 dan CRS 3.0. CRS 3.0 adalah default dan lebih baru dari set aturan ini. Jika perlu, Anda dapat memilih untuk hanya memilih aturan tertentu dalam set aturan, yang menargetkan ancaman tertentu. Selain itu, Anda dapat menyesuaikan firewall untuk menentukan elemen mana dalam permintaan yang akan diperiksa, dan membatasi ukuran pesan untuk mencegah unggahan besar-besaran yang akan membuat server Anda kewalahan.
Anda dapat mengaktifkan WAF di Application Gateway anda dengan memilih WAF tingkatan saat membuat gateway.
Pemeriksaan kesehatan
Pemeriksaan kesehatan adalah elemen penting dalam membantu penyeimbang beban untuk menentukan server mana yang tersedia untuk penyeimbangan beban di kumpulan back-end. Application Gateway menggunakan pemeriksaan kesehatan untuk mengirim permintaan ke server. Jika server mengembalikan respons HTTP dengan kode status antara 200 dan 399, server dianggap sehat.
Jika Anda tidak mengonfigurasi pemeriksaan kesehatan, Application Gateway membuat pemeriksaan default yang menunggu selama 30 detik sebelum memutuskan bahwa server tidak tersedia.
Persyaratan jaringan Application Gateway
Application Gateway memerlukan jaringan virtual untuk beroperasi. Anda harus membuat jaringan virtual ini dan subnet khusus sebelum menyetel Application Gateway. Application Gateway menggunakan sejumlah alamat privat untuk penggunaan internal dan untuk berkomunikasi dengan setiap instans jika gateway diskalakan. Misalnya, jika Anda berencana untuk menskalakan ke empat instans, buat subnet ukuran /28. Jika Anda cenderung menskalakan ke lebih banyak instans, maka buat subnet yang lebih besar.
Anda dapat mengekspos Application Gateway melalui alamat IP publik, atau Anda dapat merahasiakannya dengan hanya memberikan IP pribadi di dalam jaringan virtual. Ini berguna jika Anda memiliki situs internal yang ingin dipasang dengan Application Gateway agar menyediakan penyeimbangan beban.
Opsi Application Gateway
Anda dapat membuat Application Gateway di tingkat Standar atau tingkat WAF. Anda juga memiliki pilihan tiga ukuran dengan kinerja, harga, dan skalabilitas yang bervariasi: Kecil, Sedang, dan Besar.
Tingkat Standar dan WAF tersedia dalam dua versi, V1 dan V2. V2 mendukung zona ketersediaan Azure, tetapi saat ini sedang dalam pratinjau.
Application Gateway mendukung penskalaan manual dan penskalaan otomatis. Jika Anda memilih penskalaan otomatis, Application Gateway akan menskalakan keluar dan masuk secara otomatis berdasarkan lalu lintas aplikasi. Anda dapat membatasi jumlah maksimum dan minimum instans Application Gateway.
Membuat dan mengonfigurasi gateway
Anda dapat membuat dan mengonfigurasi Application Gateway menggunakan portal Microsoft Azure, Azure PowerShell, atau Azure CLI. Untuk Azure CLI, gunakan perintah az network application-gateway create untuk membuat gateway baru. Jika lebih memilih PowerShell, Anda dapat menggunakan cmdlet New-AzApplicationGateway. Anda juga dapat menggunakan portal Microsoft Azure untuk melakukan sebagian besar operasi.
Anda dapat memeriksa dan memodifikasi konfigurasi komponen di gateway menggunakan perintah az network application-gateway http-listener, az network application-gateway rule, az network application-gateway address-pool, az network application-gateway http-settings, dan az network application-gateway front-end-port dari Azure CLI. Rangkaian cmdlet Get-AzApplicationGateway* dan Set-AzApplicationGateway* menyediakan operasi yang sama untuk PowerShell.
Mari buat dan konfigurasi Application gateway untuk situs web departemen kendaraan bermotor yang kita sebarkan.