Opis wyłączonych odbiorników

Certyfikaty SSL/TLS dla odbiorników usługi aplikacja systemu Azure Gateway można odwoływać się z zasobu usługi Key Vault klienta. Brama aplikacji musi zawsze mieć dostęp do takiego połączonego zasobu magazynu kluczy i jego obiektu certyfikatu, aby zapewnić bezproblemowe działanie funkcji kończenia protokołu TLS i ogólną kondycję zasobu bramy.

Ważne jest, aby podczas wprowadzania zmian lub odwołwania dostępu do zasobu usługi Key Vault wziąć pod uwagę jakikolwiek wpływ na zasób usługi Application Gateway. Jeśli brama aplikacji nie może uzyskać dostępu do skojarzonego magazynu kluczy lub zlokalizować jego obiektu certyfikatu, automatycznie umieści ten odbiornik w stanie wyłączonym. Akcja jest wyzwalana tylko w przypadku błędów konfiguracji. Wszelkie błędy konfiguracji klienta, takie jak usuwanie/wyłączanie certyfikatów lub zakaz dostępu bramy aplikacji za pośrednictwem zapory magazynu kluczy lub uprawnień, powodują wyłączenie odbiornika HTTPS opartego na magazynie kluczy. Przejściowe problemy z łącznością nie mają żadnego wpływu na odbiorniki.

Wyłączony odbiornik nie wpływa na ruch innych odbiorników operacyjnych w usłudze Application Gateway. Na przykład odbiorniki HTTP lub odbiorniki HTTPS, dla których plik certyfikatu PFX jest przekazywany bezpośrednio w zasobie usługi Application Gateway, nigdy nie są wyłączone.

Okresowe sprawdzanie i jego wpływ na odbiorniki

Zrozumienie zachowania okresowego sprawdzania usługi Application Gateway i jego potencjalnego wpływu na stan odbiornika opartego na magazynie kluczy może pomóc w wywłaszczeniu takich wystąpień lub rozwiązaniu ich znacznie szybciej.

Jak działa okresowe sprawdzanie?

1. Wystąpienia usługi Application Gateway okresowo sonduje zasób magazynu kluczy, aby uzyskać nową wersję certyfikatu.
2. W trakcie tego działania, jeśli wystąpienia wykrywają uszkodzony dostęp do zasobu magazynu kluczy lub brakującego obiektu certyfikatu, odbiorniki skojarzone z tym magazynem kluczy będą działać w stanie wyłączonym. Wystąpienia są aktualizowane przy użyciu tego stanu wyłączonego odbiorników w ciągu 60 sekund, aby zapewnić spójne zachowanie płaszczyzny danych.
3. Po rozwiązaniu problemu przez klienta ten sam czterogodzinny okresowy sonda weryfikuje dostęp do obiektu certyfikatu magazynu kluczy i automatycznie włącza odbiorniki we wszystkich wystąpieniach tej bramy.

Sposoby identyfikowania wyłączonego odbiornika

1. Klienci będą obserwować błąd "ERR_SSL_UNRECOGNIZED_NAME_ALERT", jeśli jakiekolwiek żądanie zostanie skierowane do wyłączonego odbiornika usługi Application Gateway.

2. Możesz sprawdzić, czy błąd klienta wynika z wyłączonego odbiornika w bramie, sprawdzając stronę Kondycja zasobów usługi Application Gateway, jak pokazano na zrzucie ekranu.

Rozwiązywanie problemów z błędami konfiguracji usługi Key Vault

Możesz zawęzić do dokładnej przyczyny i znaleźć kroki umożliwiające rozwiązanie problemu, odwiedzając zalecenie usługi Azure Advisor na twoim koncie.

1. Logowanie się do witryny Azure Portal
2. Wybierz pozycję Advisor
3. Wybierz kategorię Doskonałość operacyjna z menu po lewej stronie.
4. Znajdź zalecenie zatytułowane Rozwiązywanie problemu z usługą Azure Key Vault dla usługi Application Gateway (wyświetlane tylko wtedy, gdy twoja brama ma ten problem). Upewnij się, że wybrano poprawną subskrypcję.
5. Wybierz go, aby wyświetlić szczegóły błędu i skojarzony zasób magazynu kluczy wraz z przewodnikiem rozwiązywania problemów, aby rozwiązać dokładny problem.

Uwaga

Wyłączone odbiorniki są automatycznie włączane, jeśli zasób usługi Application Gateway wykryje podstawowy problem. Ta kontrola odbywa się co cztery godziny. Można ją przyspieszyć, wykonując dowolną drobną zmianę w usłudze Application Gateway (w przypadku ustawienia HTTP, tagów zasobów itp.), która wymusi sprawdzenie w usłudze Key Vault.

Następne kroki

Rozwiązywanie problemów z błędami magazynu kluczy w usłudze aplikacja systemu Azure Gateway