Abilitare TLS da ingresso a app per un'applicazione

Nota

I piani Basic, Standard ed Enterprise saranno deprecati a partire dalla metà di marzo 2025, con un periodo di ritiro di 3 anni. È consigliabile eseguire la transizione ad App Azure Container. Per altre informazioni, vedere l'annuncio di ritiro di Azure Spring Apps.

Il piano Standard a consumo e dedicato sarà deprecato a partire dal 30 settembre 2024, con un arresto completo dopo sei mesi. È consigliabile eseguire la transizione ad App Azure Container. Per altre informazioni, vedere Eseguire la migrazione del consumo di Azure Spring Apps Standard e del piano dedicato alle app Azure Container.

Questo articolo si applica a:❌ Basic/Standard ✔️ Enterprise

Nota

Questa funzionalità non è disponibile nel piano Basic.

Questo articolo descrive le comunicazioni sicure in Azure Spring Apps. L'articolo illustra anche come abilitare SSL/TLS in ingresso per proteggere il traffico da un controller di ingresso alle applicazioni che supportano HTTPS.

L'immagine seguente illustra il supporto generale per le comunicazioni sicure in Azure Spring Apps.

Modello di comunicazione sicura in Azure Spring Apps

Questa sezione illustra il modello di comunicazione sicura illustrato nel diagramma di panoramica precedente.

1. La richiesta client dal client all'applicazione in Azure Spring Apps entra nel controller di ingresso. La richiesta può essere HTTP o HTTPS. Il certificato TLS restituito dal controller di ingresso viene emesso dalla CA emittente TLS di Microsoft Azure.

   Se l'app è stata mappata a un dominio personalizzato esistente ed è configurata solo come HTTPS, la richiesta al controller di ingresso può essere solo HTTPS. Il certificato TLS restituito dal controller di ingresso è il certificato di associazione SSL per il dominio personalizzato. La verifica SSL/TLS lato server per il dominio personalizzato viene eseguita nel controller di ingresso.

2. La comunicazione sicura tra il controller di ingresso e le applicazioni in Azure Spring Apps è controllata da TLS in ingresso a app. È anche possibile controllare la comunicazione tramite il portale o l'interfaccia della riga di comando, che verrà illustrata più avanti in questo articolo. Se TLS da ingresso a app è disabilitato, la comunicazione tra il controller di ingresso e le app in Azure Spring Apps è HTTP. Se tls da ingresso a app è abilitato, la comunicazione sarà HTTPS e non ha alcuna relazione con la comunicazione tra i client e il controller di ingresso. Il controller di ingresso non verificherà il certificato restituito dalle app perché tls in ingresso-a-app crittografa la comunicazione.

3. La comunicazione tra le app e i servizi di Azure Spring Apps è sempre HTTPS e gestita da Azure Spring Apps. Tali servizi includono il server di configurazione, il registro dei servizi e il server Eureka.

4. È possibile gestire la comunicazione tra le applicazioni. È anche possibile sfruttare le funzionalità di Azure Spring Apps per caricare i certificati nell'archivio attendibilità dell'applicazione. Per altre informazioni, vedere Usare certificati TLS/SSL in un'applicazione.

5. È possibile gestire la comunicazione tra applicazioni e servizi esterni. Per ridurre le attività di sviluppo, Azure Spring Apps consente di gestire i certificati pubblici e caricarli nell'archivio attendibilità dell'applicazione. Per altre informazioni, vedere Usare certificati TLS/SSL in un'applicazione.

Abilitare TLS da ingresso a app per un'applicazione

La sezione seguente illustra come abilitare SSL/TLS in ingresso per proteggere il traffico da un controller di ingresso alle applicazioni che supportano HTTPS.

Prerequisiti

• Istanza di Azure Spring Apps distribuita. Per iniziare, seguire la guida di avvio rapido sulla distribuzione tramite l'interfaccia della riga di comando di Azure.
• Se non si ha familiarità con TLS in ingresso-to-app, vedere l'esempio TLS end-to-end.
• Per caricare in modo sicuro i certificati necessari nelle app Spring Boot, è possibile usare spring-cloud-azure-starter-keyvault-certificates.

Abilitare TLS da ingresso a app in un'app esistente

Usare il comando az spring app update --enable-ingress-to-app-tls per abilitare o disabilitare TLS da ingresso a app per un'app.

az spring app update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app update --enable-ingress-to-app-tls false -n app_name -s service_name -g resource_group_name

Abilitare TLS da ingresso a app quando si associa un dominio personalizzato

Usare il comando az spring app custom-domain update --enable-ingress-to-app-tls o az spring app custom-domain bind --enable-ingress-to-app-tls per abilitare o disabilitare TLS da ingresso a app per un'app.

az spring app custom-domain update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app custom-domain bind --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name

Abilitare TLS da ingresso a app usando il portale di Azure

Per abilitare TLS da ingresso a app nel portale di Azure, creare prima un'app e quindi abilitare la funzionalità.

1. Creare un'app nel portale come di consueto. Accedervi nel portale.
2. Scorrere verso il basso fino al gruppo Impostazioni nel riquadro di spostamento a sinistra.
3. Selezionare Ingress-to-app TLS( Tls in ingresso-to-app).
4. Passare a TLS da ingresso ad app su Sì.

Verificare lo stato TLS da ingresso a app

Usare il comando az spring app show per controllare il valore di enableEndToEndTls.

az spring app show -n app_name -s service_name -g resource_group_name

Passaggi successivi

Accedere a Config Server e al registro del servizio