Meer informatie over uitgeschakelde listeners

  • Artikel

De SSL/TLS-certificaten voor de listeners van Azure-toepassing Gateway kunnen worden verwezen vanuit de Key Vault-resource van een klant. Uw toepassingsgateway moet altijd toegang hebben tot een dergelijke gekoppelde sleutelkluisresource en het bijbehorende certificaatobject om een soepele werking van de functie TLS-beƫindiging en de algehele status van de gatewayresource te garanderen.

Het is belangrijk om rekening te houden met gevolgen voor uw Application Gateway-resource bij het aanbrengen van wijzigingen of het intrekken van toegang tot uw Key Vault-resource. Als uw toepassingsgateway geen toegang heeft tot de gekoppelde sleutelkluis of het bijbehorende certificaatobject kan vinden, wordt die listener automatisch in een uitgeschakelde status geplaatst. De actie wordt alleen geactiveerd voor configuratiefouten. Eventuele onjuiste configuraties van klanten, zoals het verwijderen/uitschakelen van certificaten of het verbieden van de toegang van de toepassingsgateway via de firewall of machtigingen van de sleutelkluis, waardoor de HTTPS-listener op basis van de sleutelkluis wordt uitgeschakeld. Tijdelijke verbindingsproblemen hebben geen invloed op de listeners.

Een uitgeschakelde listener heeft geen invloed op het verkeer voor andere operationele listeners op uw Application Gateway. De HTTP-listeners of HTTPS-listeners waarvoor het PFX-certificaatbestand rechtstreeks wordt geĆ¼pload op de Application Gateway-resource, worden bijvoorbeeld nooit uitgeschakeld.

An illustration showing affected listeners.

Periodieke controle en de impact ervan op listeners

Door inzicht te krijgen in het gedrag van de periodieke controle van Application Gateway en de mogelijke impact op de status van een listener op basis van een sleutelkluis, kunt u dergelijke exemplaren voorbereiden of deze veel sneller oplossen.

Hoe werkt de periodieke controle?

  1. Application Gateway-exemplaren peilen regelmatig de sleutelkluisresource om een nieuwe certificaatversie te verkrijgen.
  2. Als de exemplaren tijdens deze activiteit in plaats daarvan een verbroken toegang tot de sleutelkluisresource of een ontbrekend certificaatobject detecteren, krijgen de listener(s) die aan die sleutelkluis zijn gekoppeld, de status Uitgeschakeld. De exemplaren worden bijgewerkt met deze uitgeschakelde status van de listener(s) binnen 60 seconden om een consistent gedrag van het gegevensvlak te bieden.
  3. Nadat het probleem door de klant is opgelost, controleert dezelfde periodieke poll van vier uur de toegang tot het sleutelkluiscertificaatobject en worden listeners automatisch opnieuw ingeschakeld op alle exemplaren van die gateway.

Manieren om een uitgeschakelde listener te identificeren

  1. De clients zien de fout 'ERR_SSL_UNRECOGNIZED_NAME_ALERT' als er een aanvraag wordt ingediend bij een uitgeschakelde listener van uw Application Gateway.

Screenshot of client error will look.

  1. U kunt controleren of de clientfout het resultaat is van een uitgeschakelde listener op uw gateway door de resourcestatuspagina van uw Application Gateway te controleren, zoals wordt weergegeven in de schermopname.

A screenshot of user-driven resource health.

Key Vault-configuratiefouten oplossen

U kunt beperken tot de exacte oorzaak en stappen vinden om het probleem op te lossen door naar de Aanbeveling van Azure Advisor in uw account te gaan.

  1. Aanmelden bij uw Azure-portal
  2. Advisor selecteren
  3. Selecteer de categorie Operational Excellence in het linkermenu.
  4. Zoek de aanbeveling met de titel Probleem met Azure Key Vault voor uw toepassingsgateway oplossen (alleen weergegeven als uw gateway dit probleem ondervindt). Zorg ervoor dat het juiste abonnement is geselecteerd.
  5. Selecteer deze om de foutdetails en de bijbehorende sleutelkluisresource weer te geven, samen met de gids voor probleemoplossing om uw exacte probleem op te lossen.

Notitie

De uitgeschakelde listener(s) worden automatisch ingeschakeld als de Application Gateway-resource detecteert dat het onderliggende probleem is opgelost. Deze controle vindt elke vier uur plaats. U kunt dit versnellen door een kleine wijziging uit te voeren in Application Gateway (voor HTTP-instelling, resourcetags, enzovoort) die een controle afdwingen bij de Key Vault.

Volgende stappen

Problemen met key vault-fouten in Azure-toepassing-gateway oplossen