Delen via

Meer informatie over uitgeschakelde listeners

Naar de SSL/TLS-certificaten voor listeners van Azure Application Gateway kan worden verwezen vanuit de Key Vault-resource van een klant. Uw toepassingsgateway moet altijd toegang hebben tot een dergelijke gekoppelde sleutelkluisresource en het bijbehorende certificaatobject om een soepele werking van de functie TLS-beëindiging en de algehele status van de gatewayresource te garanderen.

Het is belangrijk om rekening te houden met gevolgen voor uw Application Gateway-resource bij het aanbrengen van wijzigingen of het intrekken van toegang tot uw Key Vault-resource. Als uw toepassingsgateway geen toegang heeft tot de gekoppelde sleutelkluis of het bijbehorende certificaatobject kan vinden, wordt die listener automatisch in een uitgeschakelde status geplaatst. De actie wordt alleen geactiveerd voor configuratiefouten. Onjuiste configuraties door klanten, zoals het verwijderen of uitschakelen van certificaten, of het blokkeren van de toegang van de applicatiegateway via de firewall of permissies van de sleutelkluis, kunnen ervoor zorgen dat de HTTPS-listener die op de sleutelkluis is gebaseerd, wordt uitgeschakeld. Tijdelijke verbindingsproblemen hebben geen invloed op de listeners.

Een uitgeschakelde listener heeft geen invloed op het verkeer voor andere operationele listeners op uw Application Gateway. De HTTP-listeners of HTTPS-listeners waarvoor het PFX-certificaatbestand rechtstreeks wordt geüpload op de Application Gateway-resource, worden bijvoorbeeld nooit uitgeschakeld.

Een afbeelding met betrokken listeners.

Periodieke controle en de impact ervan op listeners

Door inzicht te krijgen in het gedrag van de periodieke controle van de Application Gateway en de mogelijke impact op de status van een listener die is gebaseerd op een sleutelkluis, kunt u dergelijke voorvallen voorkomen of veel sneller oplossen.

Hoe werkt de periodieke controle?

  1. Instanties van Application Gateway raadplegen periodiek de key vault-resource om een nieuwe certificaatversie te verkrijgen.
  2. Als de exemplaren tijdens deze activiteit in plaats daarvan een verbroken toegang tot de sleutelkluisresource of een ontbrekend certificaatobject detecteren, krijgen de listener(s) die aan die sleutelkluis zijn gekoppeld, de status Uitgeschakeld. De exemplaren worden binnen 60 seconden geüpdatet met de uitgeschakelde status van de listener(s) om een consistent gedrag van het datavlak te bieden.
  3. Nadat het probleem door de klant is opgelost, controleert dezelfde periodieke poll van vier uur de toegang tot het sleutelkluiscertificaatobject en worden listeners automatisch opnieuw ingeschakeld op alle exemplaren van die gateway.

Manieren om een uitgeschakelde listener te identificeren

  1. De clients zien de fout 'ERR_SSL_UNRECOGNIZED_NAME_ALERT' als er een aanvraag wordt ingediend bij een uitgeschakelde listener van uw Application Gateway.

Schermopname van de clientfout wordt weergegeven.

  1. U kunt controleren of de clientfout het resultaat is van een uitgeschakelde listener op uw gateway door de resourcestatuspagina van uw Application Gateway te controleren, zoals wordt weergegeven in de schermopname.

Een schermopname van de door de gebruiker gestuurde resourcestatus.

Key Vault-configuratiefouten oplossen

U kunt beperken tot de exacte oorzaak en stappen vinden om het probleem op te lossen door naar de Aanbeveling van Azure Advisor in uw account te gaan.

  1. Aanmelden bij uw Azure-portal
  2. Selecteer adviseur
  3. Selecteer de categorie Operational Excellence in het linkermenu.
  4. Zoek de aanbeveling met de titel Probleem met Azure Key Vault voor uw toepassingsgateway oplossen (alleen weergegeven als uw gateway dit probleem ondervindt). Zorg ervoor dat het juiste abonnement is geselecteerd.
  5. Selecteer deze om de foutdetails en de bijbehorende sleutelkluisresource weer te geven, samen met de gids voor probleemoplossing om uw exacte probleem op te lossen.

Notitie

De uitgeschakelde listener(s) worden automatisch ingeschakeld als de Application Gateway-resource detecteert dat het onderliggende probleem is opgelost. Deze controle vindt elke vier uur plaats. U kunt dit versnellen door een kleine wijziging door te voeren in de Application Gateway (voor de HTTP-instellingen, resource-tags, enzovoort) die een controle afdwingen met de Key Vault.

Volgende stappen

Problemen met key vault-fouten in Azure Application Gateway oplossen

  • Last updated on