Configuratie van Application Gateway-listener
Notitie
Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Een listener is een logische entiteit die controleert op binnenkomende verbindingsaanvragen met behulp van de poort, het protocol, de host en het IP-adres. Wanneer u de listener configureert, moet u waarden invoeren voor deze waarden die overeenkomen met de overeenkomende waarden in de binnenkomende aanvraag op de gateway.
Wanneer u een toepassingsgateway maakt met behulp van Azure Portal, maakt u ook een standaardlistener door het protocol en de poort voor de listener te kiezen. U kunt kiezen of u HTTP2-ondersteuning wilt inschakelen voor de listener. Nadat u de toepassingsgateway hebt gemaakt, kunt u de instellingen van die standaardlistener (appGatewayHttpListener) bewerken of nieuwe listeners maken.
Type listener
Wanneer u een nieuwe listener maakt, kiest u tussen basic en meerdere sites.
Als u wilt dat al uw aanvragen (voor elk domein) worden geaccepteerd en doorgestuurd naar back-endpools, kiest u basis. Meer informatie over het maken van een toepassingsgateway met een basislistener.
Als u aanvragen wilt doorsturen naar verschillende back-endpools op basis van de hostheader of hostnamen, kiest u listener voor meerdere sites. Application Gateway maakt gebruik van HTTP 1.1-hostheaders voor het hosten van meer dan één website op hetzelfde openbare IP-adres en dezelfde poort. Als u aanvragen op dezelfde poort wilt onderscheiden, moet u een hostnaam opgeven die overeenkomt met de binnenkomende aanvraag. Zie voor meer informatie het hosten van meerdere sites met Application Gateway.
Volgorde van verwerking van listeners
Voor de v1-SKU worden aanvragen gematcht volgens de volgorde van de regels en het type listener. Als een regel met een basislistener eerst in de volgorde komt, wordt deze eerst verwerkt en worden alle aanvragen voor die poort en IP-combinatie geaccepteerd. Om dit te voorkomen, configureert u eerst de regels met listeners voor meerdere sites en pusht u de regel met de basislistener naar de laatste in de lijst.
Voor de v2-SKU worden listeners met meerdere sites verwerkt vóór basislisteners, tenzij de regelprioriteit is gedefinieerd. Als u regelprioriteit gebruikt, moeten listeners met jokertekens een prioriteit definiëren met een getal dat groter is dan niet-jokertekenlisteners, om ervoor te zorgen dat niet-jokertekenlisteners worden uitgevoerd voordat de jokertekenlisteners worden uitgevoerd.
IP-adres voor front-end
Kies het front-end-IP-adres dat u aan deze listener wilt koppelen. De listener luistert naar binnenkomende aanvragen op dit IP-adres.
Notitie
Application Gateway-front-end ondersteunt IP-adressen met dubbele stack. U kunt maximaal vier front-end-IP-adressen maken: twee IPv4-adressen (openbaar en privé) en twee IPv6-adressen (openbaar en privé).
Front-endpoort
Koppel een front-endpoort. U kunt een bestaande poort selecteren of een nieuwe poort maken. Kies een waarde uit het toegestane bereik van poorten. U kunt niet alleen bekende poorten gebruiken, zoals 80 en 443, maar elke toegestane aangepaste poort die geschikt is. Dezelfde poort kan worden gebruikt voor openbare en privé-listeners.
Notitie
Wanneer u privé- en openbare listeners met hetzelfde poortnummer gebruikt, wijzigt uw toepassingsgateway de bestemming van de binnenkomende stroom in de front-end-IP's van uw gateway. Afhankelijk van de configuratie van uw netwerkbeveiligingsgroep hebt u mogelijk een binnenkomende regel met doel-IP-adressen nodig als de openbare en persoonlijke front-end-IP-adressen van uw toepassingsgateway.
Regel voor inkomend verkeer:
- Bron: (volgens uw behoeften)
- Doel-IP-adressen: openbare en privé-front-end-IP-adressen van uw toepassingsgateway.
- Doelpoort: (volgens de configuratie van de listener)
- Protocol: TCP
Uitgaande regel: (geen specifieke vereiste)
Protocol
Kies HTTP of HTTPS:
Als u HTTP kiest, wordt het verkeer tussen de client en de toepassingsgateway niet versleuteld.
Kies HTTPS als u TLS-beëindiging of end-to-end TLS-versleuteling wilt. Het verkeer tussen de client en de toepassingsgateway wordt versleuteld en de TLS-verbinding wordt beëindigd op de toepassingsgateway. Als u end-to-end TLS-versleuteling naar het back-enddoel wilt, moet u ook HTTPS kiezen binnen de back-end-HTTP-instelling . Dit zorgt ervoor dat verkeer wordt versleuteld wanneer application gateway een verbinding met het back-enddoel initieert.
Als u TLS-beëindiging wilt configureren, moet een TLS/SSL-certificaat worden toegevoegd aan de listener. Hierdoor kan application gateway binnenkomend verkeer ontsleutelen en antwoordverkeer naar de client versleutelen. Het certificaat dat aan de Application Gateway wordt verstrekt, moet de PFX-indeling (Personal Information Exchange) hebben, die zowel de persoonlijke als openbare sleutels bevat.
Notitie
Wanneer u een TLS-certificaat van Key Vault gebruikt voor een listener, moet u ervoor zorgen dat uw Application Gateway altijd toegang heeft tot die gekoppelde sleutelkluisresource en het certificaatobject erin. Hierdoor kunnen naadloze bewerkingen van de functie TLS-beëindiging worden uitgevoerd en blijft de algehele status van uw gatewayresource behouden. Als een application gateway-resource een onjuist geconfigureerde sleutelkluis detecteert, worden de bijbehorende HTTPS-listener(s) automatisch in een uitgeschakelde status geplaatst. Meer informatie.
Ondersteunde certificaten
Zie Overzicht van TLS-beëindiging en end-to-end TLS met Application Gateway
Aanvullende protocolondersteuning
HTTP2-ondersteuning
Http/2-protocolondersteuning is alleen beschikbaar voor clients die verbinding maken met listeners van application gateway. Communicatie met back-endservergroepen is altijd HTTP/1.1. Http/2-ondersteuning is standaard uitgeschakeld. In het volgende Azure PowerShell-codefragment ziet u hoe u dit kunt inschakelen:
$gw = Get-AzApplicationGateway -Name test -ResourceGroupName hm
$gw.EnableHttp2 = $true
Set-AzApplicationGateway -ApplicationGateway $gw
U kunt ook HTTP2-ondersteuning inschakelen met behulp van Azure Portal door ingeschakeld te selecteren onder HTTP2 in Application Gateway > Configuration.
Ondersteuning voor WebSocket
WebSocket-ondersteuning is standaard ingeschakeld. Er is geen door de gebruiker configureerbare instelling om deze in of uit te schakelen. U kunt WebSockets gebruiken met zowel HTTP- als HTTPS-listeners.
Aangepaste foutenpagina's
U kunt aangepaste foutpagina's definiëren voor verschillende antwoordcodes die worden geretourneerd door application gateway. De antwoordcodes waarvoor u foutpagina's kunt configureren, zijn 400, 403, 405, 408, 500, 502, 503 en 504. U kunt de configuratie van pagina's op globaal niveau of listener gebruiken om deze nauwkeurig in te stellen voor elke listener. Zie voor meer informatie Aangepaste foutpagina's maken voor Application Gateway.
Notitie
Een fout die afkomstig is van de back-endserver, wordt ongewijzigd door de Application Gateway doorgegeven aan de client.
TLS-beleid
U kunt TLS/SSL-certificaatbeheer centraliseren en de overhead voor versleutelingsontsleuteling voor een back-endserverfarm verminderen. Met gecentraliseerde TLS-verwerking kunt u ook een centraal TLS-beleid opgeven dat geschikt is voor uw beveiligingsvereisten. U kunt vooraf gedefinieerd of aangepast TLS-beleid kiezen.
U configureert TLS-beleid voor het beheren van TLS-protocolversies. U kunt een toepassingsgateway configureren voor het gebruik van een minimale protocolversie voor TLS-handshakes van TLS1.0, TLS1.1, TLS1.2 en TLS1.3. SSL 2.0 en 3.0 zijn standaard uitgeschakeld en kunnen niet worden geconfigureerd. Zie overzicht van tls-beleid voor Application Gateway voor meer informatie.
Nadat u een listener hebt gemaakt, koppelt u deze aan een regel voor aanvraagroutering. Deze regel bepaalt hoe aanvragen die op de listener worden ontvangen, worden doorgestuurd naar de back-end.
Volgende stappen
- Meer informatie over regels voor aanvraagroutering.