Proteggere le app Web nella soluzione Azure VMware con il gateway applicazione di Azure

  • Articolo

app Azure lication Gateway è un servizio di bilanciamento del carico del traffico Web di livello 7 che consente di gestire il traffico verso le applicazioni Web, offerto sia in soluzione Azure VMware v1.0 che nella versione 2.0. Entrambe le versioni testate con le app Web in esecuzione in soluzione Azure VMware.

Le funzionalità includono:

  • Affinità di sessione basata su cookie
  • Routing basato su URL
  • Web Application Firewall (WAF)

Per un elenco completo delle funzionalità, vedere funzionalità app Azure lication Gateway.

Questo articolo illustra come usare gateway applicazione davanti a una server farm Web per proteggere un'app Web in esecuzione in soluzione Azure VMware.

Topologia

Il diagramma mostra come viene usato gateway applicazione per proteggere le macchine virtuali IaaS di Azure, Azure set di scalabilità di macchine virtuali o i server locali. gateway applicazione considera le macchine virtuali soluzione Azure VMware come server locali.

Diagram showing how Application Gateway protects Azure IaaS virtual machines (VMs), Azure Virtual Machine Scale Sets, or on-premises servers.

Importante

app Azure lication Gateway è attualmente l'unico metodo supportato per esporre le app Web in esecuzione in macchine virtuali soluzione Azure VMware.

Il diagramma mostra lo scenario di test usato per convalidare il gateway applicazione con applicazioni Web soluzione Azure VMware.

Diagram showing the testing scenario used to validate the Application Gateway with Azure VMware Solution web applications.

L'istanza di gateway applicazione viene distribuita nell'hub in una subnet dedicata con un indirizzo IP pubblico di Azure. È consigliabile attivare la protezione DDoS di Azure per la rete virtuale. Il server Web è ospitato in un cloud privato soluzione Azure VMware dietro i gateway NSX T0 e T1. Inoltre, soluzione Azure VMware usa Copertura globale di ExpressRoute per abilitare la comunicazione con l'hub e i sistemi locali.

Prerequisiti

  • Un account Azure con una sottoscrizione attiva.
  • Un soluzione Azure VMware cloud privato distribuito e in esecuzione.

Distribuzione e configurazione

  1. Nella portale di Azure cercare gateway applicazione e selezionare Crea gateway applicazione.

  2. Specificare i dettagli di base come illustrato nella figura seguente; quindi selezionare Avanti: Front-end>.

    Screenshot showing Create application gateway page in Azure portal.

  3. Scegliere il tipo di indirizzo IP front-end. Per pubblico, scegliere un indirizzo IP pubblico esistente o crearne uno nuovo. Selezionare Avanti: Back-end>.

    Nota

    Per i front-end privati sono supportati solo GLI SKU DI WEB Application Firewall (WAF).

  4. Aggiungere un pool back-end delle macchine virtuali eseguite nell'infrastruttura soluzione Azure VMware. Specificare i dettagli dei server Web eseguiti nel cloud privato soluzione Azure VMware e selezionare Aggiungi. Selezionare quindi Avanti: Configurazione >.

  5. Nella scheda Configurazione selezionare Aggiungi una regola di routing.

  6. Nella scheda Listener specificare i dettagli per il listener. Se è selezionato HTTPS, è necessario fornire un certificato, da un file PFX o da un certificato di Azure Key Vault esistente.

  7. Selezionare la scheda Destinazioni back-end e selezionare il pool back-end creato in precedenza. Per il campo Impostazioni HTTP selezionare Aggiungi nuovo.

  8. Configurare i parametri per le impostazioni HTTP. Selezionare Aggiungi.

  9. Per configurare le regole basate sul percorso, selezionare Aggiungi più destinazioni per creare una regola basata sul percorso.

  10. Aggiungere una regola basata sul percorso e selezionare Aggiungi. Ripetere per aggiungere altre regole basate sul percorso.

  11. Al termine dell'aggiunta di regole basate sul percorso, selezionare di nuovo Aggiungi , quindi selezionare Avanti: Tag>.

  12. Aggiungere tag e quindi selezionare Avanti: Rivedi e crea>.

  13. Una convalida viene eseguita nel gateway applicazione. Se l'operazione ha esito positivo, selezionare Crea per la distribuzione.

Esempi di configurazione

Configurare ora gateway applicazione con le macchine virtuali soluzione Azure VMware come pool back-end per i casi d'uso seguenti:

Hosting di più siti

Questa procedura illustra come definire pool di indirizzi back-end usando macchine virtuali in esecuzione in un cloud privato soluzione Azure VMware in un gateway applicazione esistente.

Nota

Questa procedura presuppone che siano presenti più domini, quindi verranno usati esempi di www.contoso.com e www.contoso2.com.

  1. Nel cloud privato creare due pool diversi di macchine virtuali. Uno rappresenta Contoso e il secondo contoso2.

    Screenshot showing summary of a web server's details in VMware vSphere Client.

    È stato usato Windows Server 2016 con il ruolo Internet Information Services (IIS) installato. Dopo aver installato le macchine virtuali, eseguire i comandi di PowerShell seguenti per configurare IIS in ognuna delle macchine virtuali.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

  2. In un'istanza del gateway applicazione esistente selezionare Pool back-end dal menu a sinistra, selezionare Aggiungi e immettere i dettagli dei nuovi pool. Selezionare Aggiungi nel riquadro destro.

    Screenshot of Backend pools page for adding backend pools.

  3. Nella sezione Listener creare un nuovo listener per ogni sito Web. Immettere i dettagli per ogni listener e selezionare Aggiungi.

  4. A sinistra selezionare Impostazioni HTTP e selezionare Aggiungi nel riquadro sinistro. Compilare i dettagli per creare una nuova impostazione HTTP e selezionare Salva.

    Screenshot of HTTP settings page to create a new HTTP setting.

  5. Creare le regole nella sezione Regole del menu a sinistra. Associare ogni regola al listener corrispondente. Selezionare Aggiungi.

  6. Configurare le impostazioni HTTP e pool back-end corrispondenti. Selezionare Aggiungi.

  7. Testare la connessione. Aprire il browser preferito e passare ai diversi siti Web ospitati nell'ambiente soluzione Azure VMware.

    Screenshot of browser page showing successful test the connection.

Routing per URL

I passaggi seguenti definiscono i pool di indirizzi back-end usando le macchine virtuali in esecuzione in un cloud privato soluzione Azure VMware. Il cloud privato si trova in un gateway applicazione esistente. Si creano quindi le regole di routing per garantire che il traffico Web raggiunga i server appropriati nei pool.

  1. Nel cloud privato creare un pool di macchine virtuali per rappresentare la Web farm.

    Screenshot of page in VMware vSphere Client showing summary of another VM.

    Windows Server 2016 con ruolo IIS installato è stato usato per illustrare questa esercitazione. Dopo aver installato le macchine virtuali, eseguire i comandi di PowerShell seguenti per configurare IIS per ogni esercitazione sulla macchina virtuale.

    La prima macchina virtuale, contoso-web-01, ospita il sito Web principale.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

    La seconda macchina virtuale, contoso-web-02, ospita il sito images.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "images" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\images\test.htm -Value $($env:computername)

    La terza macchina virtuale, contoso-web-03, ospita il sito video.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "video" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\video\test.htm -Value $($env:computername)

  2. Aggiungere tre nuovi pool back-end in un'istanza del gateway applicazione esistente.

    1. Selezionare Pool back-end dal menu a sinistra.
    2. Selezionare Aggiungi e immettere i dettagli del primo pool, contoso-web.
    3. Aggiungere una macchina virtuale come destinazione.
    4. Selezionare Aggiungi.
    5. Ripetere questo processo per contoso-images e contoso-video, aggiungendo una macchina virtuale univoca come destinazione.

    Screenshot of Backend pools page showing the addition of three new backend pools.

  3. Nella sezione Listener creare un nuovo listener di tipo Basic usando la porta 8080.

  4. Nel riquadro di spostamento a sinistra selezionare Impostazioni HTTP e selezionare Aggiungi nel riquadro sinistro. Compilare i dettagli per creare una nuova impostazione HTTP e selezionare Salva.

    Screenshot of Add HTTP setting page showing HTTP settings configuration.

  5. Creare le regole nella sezione Regole del menu a sinistra e associare ogni regola al listener creato in precedenza. Configurare quindi il pool back-end principale e le impostazioni HTTP e quindi selezionare Aggiungi.

    Screenshot of Add a routing rule page to configure routing rules to a backend target.

  6. Testare la configurazione. Accedere al gateway applicazione nella portale di Azure e copiare l'indirizzo IP pubblico nella sezione Panoramica.

    1. Aprire una nuova finestra del browser e immettere l'URL http://<app-gw-ip-address>:8080.

      Screenshot of browser page showing successful test of the configuration.

    2. Modificare l'URL in http://<app-gw-ip-address>:8080/images/test.htm.

      Screenshot of another successful test with the new URL.

    3. Modificare di nuovo l'URL in http://<app-gw-ip-address>:8080/video/test.htm.

      Screenshot of successful test with the final URL.

Passaggi successivi

Dopo aver trattato l'uso di gateway applicazione per proteggere un'app Web in esecuzione in soluzione Azure VMware, altre informazioni su: