Tworzenie bramy aplikacji z przekierowaniem HTTP do HTTPS przy użyciu witryny Azure Portal

Za pomocą witryny Azure Portal można utworzyć bramę aplikacji z certyfikatem na potrzeby kończenia żądań protokołu TLS. Reguła routingu służy do przekierowywania ruchu HTTP do portu HTTPS w bramie aplikacji. W tym przykładzie utworzysz również zestaw skalowania maszyn wirtualnych dla puli zaplecza bramy aplikacji, która zawiera dwa wystąpienia maszyn wirtualnych.

W tym artykule omówiono sposób wykonywania następujących zadań:

• Tworzenie certyfikatu z podpisem własnym
• Konfigurowanie sieci
• Tworzenie bramy aplikacji z certyfikatem
• Dodawanie odbiornika i reguły przekierowania
• Tworzenie zestawu skalowania maszyn wirtualnych przy użyciu domyślnej puli zaplecza

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Aby rozpocząć, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Ten samouczek wymaga modułu Azure PowerShell w wersji 1.0.0 lub nowszej w celu utworzenia certyfikatu i zainstalowania usług IIS. Uruchom polecenie Get-Module -ListAvailable Az, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczne będzie uaktualnienie, zobacz Instalowanie modułu Azure PowerShell. Aby uruchomić polecenia w tym samouczku, należy również uruchomić polecenie Login-AzAccount , aby utworzyć połączenie z platformą Azure.

Tworzenie certyfikatu z podpisem własnym

Do użytku produkcyjnego należy zaimportować prawidłowy certyfikat podpisany przez zaufanego dostawcę. W tym samouczku utworzysz certyfikat z podpisem własnym przy użyciu polecenia New-SelfSignedCertificate. Korzystając z polecenia Export-PfxCertificate i zwróconego odcisku palca, możesz wyeksportować plik pfx z certyfikatu.

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

Wynik powinien wyglądać podobnie do następującego:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Użyj odcisku palca w celu utworzenia pliku pfx:

$pwd = ConvertTo-SecureString -String "Azure123456!" -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Tworzenie bramy aplikacji

Sieć wirtualna jest potrzebna do komunikacji między utworzonymi zasobami. W tym przykładzie są tworzone dwie podsieci: jedna dla bramy aplikacji i druga dla serwerów zaplecza. Sieć wirtualną można utworzyć podczas tworzenia bramy aplikacji.

1. Zaloguj się w witrynie Azure Portal.

2. W lewym górnym rogu witryny Azure Portal kliknij przycisk Utwórz zasób.

3. Wybierz pozycję Sieć, a następnie z listy Polecane wybierz pozycję Application Gateway.

4. Wprowadź następujące wartości dla bramy aplikacji:

   • myAppGateway — jako nazwę bramy aplikacji.

   • myResourceGroupAG — jako nową grupę zasobów.

     

5. Zaakceptuj wartości domyślne dla innych ustawień, a następnie kliknij przycisk OK.

6. Kliknij kolejno pozycje Wybierz sieć wirtualną, Utwórz nową, a następnie wprowadź następujące wartości dla sieci wirtualnej:

   • myVNet — jako nazwę sieci wirtualnej.

   • 10.0.0.0/16 — jako przestrzeń adresową sieci wirtualnej.

   • myAGSubnet — jako nazwę podsieci.

   • 10.0.0.0/24 — jako przestrzeń adresową podsieci.

     

7. Kliknij przycisk OK, aby utworzyć sieć wirtualną i podsieć.

8. W obszarze Konfiguracja adresu IP frontonu upewnij się, że typ adresu IP jest publiczny i wybrano pozycję Utwórz nowy . Wprowadź nazwę myAGPublicIPAddress . Zaakceptuj wartości domyślne dla innych ustawień, a następnie kliknij przycisk OK.

9. W obszarze Konfiguracja odbiornika wybierz pozycję HTTPS, a następnie wybierz pozycję Wybierz plik i przejdź do pliku c:\appgwcert.pfx i wybierz pozycję Otwórz.

10. Wpisz appgwcert jako nazwę certyfikatu i azure123456! jako hasło.

11. Pozostaw wyłączoną zaporę aplikacji internetowej, a następnie wybierz przycisk OK.

12. Przejrzyj ustawienia na stronie podsumowania, a następnie wybierz przycisk OK , aby utworzyć zasoby sieciowe i bramę aplikacji. Utworzenie bramy aplikacji może potrwać kilka minut. Przed przejściem do następnej sekcji poczekaj na pomyślne zakończenie wdrożenia.

Dodawanie podsieci

1. Wybierz pozycję Wszystkie zasoby w menu po lewej stronie, a następnie z listy zasobów wybierz pozycję myVNet .

2. Wybierz pozycję Podsieci, a następnie kliknij pozycję Podsieć.

   

3. Wpisz myBackendSubnet jako nazwę podsieci.

4. Wpisz wartość 10.0.2.0/24 dla zakresu adresów, a następnie wybierz przycisk OK.

Dodawanie odbiornika i reguły przekierowania

Dodawanie odbiornika

Najpierw dodaj odbiornik o nazwie myListener dla portu 80.

1. Otwórz grupę zasobów myResourceGroupAG i wybierz pozycję myAppGateway.
2. Wybierz pozycję Odbiorniki , a następnie wybierz pozycję + Podstawowa.
3. Wpisz MyListener jako nazwę.
4. Wpisz httpPort dla nowej nazwy portu frontonu i 80 dla portu.
5. Upewnij się, że protokół jest ustawiony na HTTP, a następnie wybierz przycisk OK.

Dodawanie reguły routingu z konfiguracją przekierowania

1. W obszarze myAppGateway wybierz pozycję Reguły, a następnie wybierz pozycję +Żądaj reguły routingu.
2. W polu Nazwa reguły wpisz Rule2.
3. Upewnij się, że dla odbiornika wybrano pozycję MyListener .
4. Kliknij kartę Elementy docelowe zaplecza i wybierz pozycję Typ docelowy jako Przekierowanie.
5. W polu Typ przekierowania wybierz pozycję Trwałe.
6. W polu Cel przekierowania wybierz pozycję Odbiornik.
7. Upewnij się, że odbiornik target jest ustawiony na appGatewayHttpListener.
8. W polu Uwzględnij ciąg zapytania i Dołącz ścieżkę wybierz pozycję Tak.
9. Wybierz Dodaj.

Uwaga

appGatewayHttpListener jest domyślną nazwą odbiornika. Aby uzyskać więcej informacji, zobacz Konfiguracja odbiornika usługi Application Gateway.

Tworzenie zestawu skalowania maszyn wirtualnych

W tym przykładzie utworzysz zestaw skalowania maszyn wirtualnych, aby zapewnić serwery dla puli zaplecza w bramie aplikacji.

1. W lewym górnym rogu portalu wybierz pozycję +Utwórz zasób.
2. Wybierz pozycję Compute.
3. W polu wyszukiwania wpisz zestaw skalowania i naciśnij klawisz Enter.
4. Wybierz pozycję Zestaw skalowania maszyn wirtualnych, a następnie wybierz pozycję Utwórz.
5. W polu Nazwa zestawu skalowania maszyn wirtualnych wpisz myvmss.
6. W obszarze Obraz dysku systemu operacyjnego upewnij się, że wybrano pozycję Windows Server 2016 Datacenter .
7. W obszarze Grupa zasobów wybierz pozycję myResourceGroupAG.
8. W polu Nazwa użytkownika wpisz azureuser.
9. W polu Hasło wpisz Azure123456! i potwierdź hasło.
10. W polu Liczba wystąpień upewnij się, że wartość to 2.
11. W polu Rozmiar wystąpienia wybierz pozycję D2s_v3.
12. W obszarze Sieć upewnij się, że opcja Wybierz równoważenie obciążenia jest ustawiona na wartość Application Gateway.
13. Upewnij się, że dla bramy aplikacji ustawiono wartość myAppGateway.
14. Upewnij się, że dla podsieci ustawiono wartość myBackendSubnet.
15. Wybierz pozycję Utwórz.

Kojarzenie zestawu skalowania z odpowiednią pulą zaplecza

Interfejs użytkownika portalu zestawu skalowania maszyn wirtualnych tworzy nową pulę zaplecza dla zestawu skalowania, ale chcesz skojarzyć ją z istniejącą pulą appGatewayBackendPool.

1. Otwórz grupę zasobów myResourceGroupAg .
2. Wybierz pozycję myAppGateway.
3. Wybierz pozycję Pule zaplecza.
4. Wybierz pozycję myAppGatewaymyvmss.
5. Wybierz pozycję Usuń wszystkie elementy docelowe z puli zaplecza.
6. Wybierz pozycję Zapisz.
7. Po zakończeniu tego procesu wybierz pulę zaplecza myAppGatewaymyvmss , wybierz pozycję Usuń , a następnie kliknij przycisk OK , aby potwierdzić.
8. Wybierz pozycję appGatewayBackendPool.
9. W obszarze Cele wybierz pozycję VMSS.
10. W obszarze VMSS wybierz pozycję myvmss.
11. W obszarze Konfiguracje interfejsu sieciowego wybierz pozycję myvmssNic.
12. Wybierz pozycję Zapisz.

Uaktualnianie zestawu skalowania

Na koniec należy uaktualnić zestaw skalowania przy użyciu tych zmian.

1. Wybierz zestaw skalowania myvmsss .
2. W obszarze Ustawienia wybierz pozycję Wystąpienia.
3. Wybierz oba wystąpienia, a następnie wybierz pozycję Uaktualnij.
4. Wybierz Tak, aby potwierdzić.
5. Po zakończeniu wróć do obszaru myAppGateway i wybierz pozycję Pule zaplecza. Teraz powinno zostać wyświetlone, że pula appGatewayBackendPool ma dwa obiekty docelowe, a myAppGatewaymyvmss ma zero obiektów docelowych.
6. Wybierz pozycję myAppGatewaymyvmss, a następnie wybierz pozycję Usuń.
7. Wybierz OK, aby potwierdzić.

Instalacja usług IIS

Łatwym sposobem instalowania usług IIS w zestawie skalowania jest użycie programu PowerShell. W portalu kliknij ikonę usługi Cloud Shell i upewnij się, że wybrano program PowerShell .

Wklej następujący kod w oknie programu PowerShell i naciśnij klawisz Enter.

$publicSettings = @{ "fileUris" = (,"https://raw.githubusercontent.com/Azure/azure-docs-powershell-samples/master/application-gateway/iis/appgatewayurl.ps1"); 
  "commandToExecute" = "powershell -ExecutionPolicy Unrestricted -File appgatewayurl.ps1" }
$vmss = Get-AzVmss -ResourceGroupName myResourceGroupAG -VMScaleSetName myvmss
Add-AzVmssExtension -VirtualMachineScaleSet $vmss `
  -Name "customScript" `
  -Publisher "Microsoft.Compute" `
  -Type "CustomScriptExtension" `
  -TypeHandlerVersion 1.8 `
  -Setting $publicSettings
Update-AzVmss `
  -ResourceGroupName myResourceGroupAG `
  -Name myvmss `
  -VirtualMachineScaleSet $vmss

Uaktualnianie zestawu skalowania

Po zmianie wystąpień za pomocą usług IIS należy ponownie uaktualnić zestaw skalowania przy użyciu tej zmiany.

1. Wybierz zestaw skalowania myvmsss .
2. W obszarze Ustawienia wybierz pozycję Wystąpienia.
3. Wybierz oba wystąpienia, a następnie wybierz pozycję Uaktualnij.
4. Wybierz Tak, aby potwierdzić.

Testowanie bramy aplikacji

Publiczny adres IP aplikacji można uzyskać na stronie Przegląd bramy aplikacji.

1. Wybierz pozycję myAppGateway.

2. Na stronie Przegląd zanotuj adres IP w obszarze Publiczny adres IP frontonu.

3. Skopiuj publiczny adres IP, a następnie wklej go na pasku adresu przeglądarki. Na przykład http://52.170.203.149

   

4. Aby zaakceptować ostrzeżenie o zabezpieczeniach, jeśli używasz certyfikatu z podpisem własnym, wybierz pozycję Szczegóły, a następnie pozycję Przejdź do strony internetowej. Zostanie wyświetlona zabezpieczona witryna internetowa usług IIS, tak jak w poniższym przykładzie:

   

Następne kroki

Dowiedz się, jak utworzyć bramę aplikacji z wewnętrznym przekierowaniem.