Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come rendere più sicuro l'accesso a Internet a Servizi cloud di Microsoft Azure (supporto esteso) aggiungendo un gateway di app Azure lication all'interno di una rete virtuale che usa già un servizio di bilanciamento del carico interno. L'aggiunta di gateway applicazione a questo scenario offre i vantaggi seguenti:
Da Internet pubblico, il traffico può raggiungere Servizi cloud (supporto esteso) solo tramite gateway applicazione.
Nella rete virtuale, questa progettazione non blocca il traffico Internet.
È possibile fornire un accesso più sicuro al traffico Internet aggiungendo funzionalità aggiuntive, ad esempio Web application firewall (WAF) di Azure.
In generale, gateway applicazione è un servizio di riferimento OSI (Open Systems Interconnect) OSI (International Organization for Standardization). È possibile usare gateway applicazione per il bilanciamento del carico, WAF e altri scopi.
Prerequisiti
Istanza in esecuzione di Servizi cloud (supporto esteso).
Una rete virtuale.
Un servizio di bilanciamento del carico interno configurato per comunicare con Servizi cloud (supporto esteso) all'interno della rete virtuale. Per informazioni su come configurare il servizio di bilanciamento del carico interno per l'uso con Servizi cloud (supporto esteso), vedere Concedere a una rete virtuale l'accesso esclusivo ad Azure Servizi cloud (supporto esteso).
Configurazione del servizio di bilanciamento del carico interno
Le immagini di portale di Azure seguenti mostrano un ambiente di bilanciamento del carico di esempio che usa un indirizzo IP front-end di 10.0.3.200 che l'Autorità IANA (Internet Assigned Numbers Authority) riserva come indirizzo IP per Internet privati. Questa configurazione indica che il servizio di bilanciamento del carico è destinato all'uso interno.
Configurazione IP front-end del servizio di bilanciamento del carico
Pool back-end del servizio di bilanciamento del carico
Probe di integrità del servizio di bilanciamento del carico
Regole di bilanciamento del carico
Architettura del traffico di rete
Nell'articolo Concedere a una rete virtuale l'accesso esclusivo ad Azure Servizi cloud (supporto esteso) viene illustrato come configurare e limitare l'accesso a Servizi cloud (supporto esteso) in modo che comunichi solo con reti virtuali specifiche usando un servizio di bilanciamento del carico interno. Tuttavia, è possibile usare un gateway applicazione per rendere più sicura la comunicazione con Servizi cloud (supporto esteso) senza dover bloccare completamente il traffico da Internet pubblico. Il diagramma seguente illustra l'architettura di rete dopo l'aggiunta di un gateway applicazione.
In questo diagramma, i componenti visualizzati all'interno della casella tratteggiata si trovano all'interno della rete virtuale. La rete Internet pubblica si trova all'esterno della casella. Poiché Servizi cloud (supporto esteso) comunica solo con il servizio di bilanciamento del carico interno, il traffico che passa attraverso il servizio di bilanciamento del carico pubblico viene bloccato. In questo scenario, per poter visitare un sito ospitato in Servizi cloud (supporto esteso), è necessario usare un altro servizio come jumpbox per inoltrare il traffico a Servizi cloud (supporto esteso). Tale servizio è il gateway applicazione.
Il flusso di traffico è il seguente:
Indirizzo IP pubblico Internet>>>>
Linee guida per la configurazione del gateway applicazione
Note
Per semplificare il processo, questa sezione illustra solo la funzione di base dell'inoltro del traffico. Se sono necessarie altre funzionalità, fare riferimento ad altri articoli sul sito Web Microsoft. Ad esempio, per usare gateway applicazione insieme al traffico HTTPS, vedere Configurare un gateway applicazione con terminazione TLS. In alternativa, per applicare una configurazione waf a gateway applicazione, vedere Che cos'è Web application firewall di Azure nel gateway di app Azure lication?)
Le sezioni seguenti illustrano vari aspetti della configurazione del gateway applicazione.
Indirizzo IP pubblico front-end
La schermata di portale di Azure seguente è disponibile nella pagina Panoramica del gateway applicazione.
Nel campo Indirizzo IP pubblico front-end il valore è 172.191.12.201.
Pool back-end
Nella pagina Modifica pool back-end del gateway applicazione verificare che la tabella destinazioni back-end contenga un elemento con i valori di campo seguenti:
| Campo | valore |
|---|---|
| Tipo di destinazione | Indirizzo IP o FQDN |
| Destinazione | Indirizzo IP specificato nella pagina di configurazione IP front-end del servizio di bilanciamento del carico interno |
Nella schermata di portale di Azure seguente, la destinazione back-end è l'indirizzo 10.0.3.200 IP. Corrisponde a quanto specificato nello screenshot della configurazione IP front-end per il servizio di bilanciamento del carico interno.
Impostazione back-end
Oltre al pool back-end, è necessario configurare un'altra impostazione back-end per controllare come inoltrare il traffico. Nella schermata di portale di Azure seguente viene specificata una semplice configurazione del traffico HTTP che usa la porta 80 nella pagina di impostazione Aggiungi back-end del gateway applicazione. Se il Servizi cloud (supporto esteso) è in ascolto su un'altra porta, ad esempio la porta 700, il gateway applicazione deve essere configurato per un'impostazione di porta back-end di 700.
Listener
Nella pagina del listener specifica del gateway applicazione specificare la porta del gateway applicazione usata da Internet pubblico per inviare il traffico a Servizi cloud (supporto esteso). Nella schermata di portale di Azure seguente la porta 8080 viene specificata nel campo Porta. Quando un utente in Internet pubblico tenta di comunicare con Servizi cloud (supporto esteso), deve inviare il traffico al gateway applicazione usando la porta 8080. È comunque possibile specificare la porta 80, ma 8080 viene illustrata qui per illustrare che la porta di ascolto del gateway applicazione può essere diversa dalla porta di ascolto Servizi cloud (supporto esteso).
Regole
Il passaggio finale consiste nel creare una regola del gateway applicazione che combina le configurazioni specificate per pool back-end, impostazioni back-end e listener. Nella scheda Listener della regola selezionare il nome del listener definito in precedenza (in questo esempio cses-httplistener).
Nella scheda Destinazioni back-end della regola selezionare un tipo di destinazione del pool back-end e quindi selezionare i nomi definiti in precedenza per gli elenchi di impostazioni di destinazione back-end e back-end (rispettivamente cses-backendpool e appgwtest-cses).
Risultato previsto
Aprire un Web browser per verificare se il gateway applicazione funziona correttamente. Nella barra degli indirizzi immettere l'indirizzo IP front-end, i due punti e la porta del listener definita nel gateway applicazione (172.191.12.201:8080), quindi selezionare Invio. Il browser dovrebbe visualizzare correttamente la home page dell'applicazione ospitata in Servizi cloud (supporto esteso).
Scalabilità automatica e bilanciamento del carico in Servizi cloud (supporto esteso)
In questo articolo vengono implementati simultaneamente due diversi servizi di bilanciamento del carico in Azure: un servizio di bilanciamento del carico e un gateway applicazione. Questa duplicazione potrebbe causare una piccola diminuzione delle prestazioni del traffico a livello di rete. Tuttavia, i servizi di bilanciamento del carico doppio sono utili se si usa la scalabilità automatica in Servizi cloud (supporto esteso).
Se si usa solo un gateway applicazione nell'architettura del traffico di rete, il gateway applicazione deve aggiungere gli indirizzi IP privati di ogni istanza di Servizi cloud (supporto esteso) al pool back-end. Se l'istanza di Servizi cloud (supporto esteso) viene aumentata (aumentando il numero di istanze), le nuove istanze usano nuovi indirizzi IP privati. Sarà quindi necessario aggiungere manualmente tali nuove istanze al pool back-end del gateway applicazione. Se si usa anche un servizio di bilanciamento del carico, è possibile eliminare tale inconveniente.
Contattaci per ricevere assistenza
In caso di domande, è possibile porre domande al supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.