Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Środowisko App Service Environment to wdrożenie usługi Azure App Service w podsieci wirtualnej sieci platformy Azure klienta. Można go wdrożyć przy użyciu zewnętrznego lub wewnętrznego punktu końcowego na potrzeby dostępu do aplikacji. Wdrożenie środowiska App Service Environment z wewnętrznym punktem końcowym nazywa się wewnętrznym modułem równoważenia obciążenia (ILB) środowiska App Service Environment.
Zapory ogniowe aplikacji internetowych pomagają zabezpieczać aplikacje internetowe, analizując ruch przychodzący w sieci, aby blokować iniekcje SQL, skrypty XSS, przesyłanie złośliwego oprogramowania, ataki DDoS na aplikacje oraz inne rodzaje ataków. Możesz uzyskać urządzenie zapory aplikacji internetowej z witryny Azure Marketplace lub użyć bramy aplikacja systemu Azure Gateway.
Bramka aplikacji Azure to wirtualne urządzenie, które umożliwia równoważenie obciążenia na warstwie 7, odciążanie TLS oraz ochronę przez zaporę aplikacji internetowej (WAF). Może nasłuchiwać publicznego adresu IP i kierować ruch do punktu końcowego aplikacji. Poniższe informacje opisują sposób integrowania bramy aplikacyjnej z WAF z aplikacją w środowisku ILB App Service Environment.
Integracja bramy aplikacji z ILB App Service Environment jest na poziomie aplikacji. Podczas konfigurowania bramy aplikacji w środowisku ILB App Service Environment robisz to dla określonych aplikacji w tym środowisku.
Korzystając z tego przewodnika, wykonasz następujące czynności:
- Utwórz bramę aplikacja systemu Azure.
- Skonfiguruj bramę aplikacji, aby wskazywała aplikację w środowisku App Service Environment modułu równoważenia obciążenia.
- Edytuj publiczną nazwę hosta DNS wskazującą bramę aplikacji.
Wymagania wstępne
Aby zintegrować bramę aplikacji ze środowiskiem App Service Environment modułu równoważenia obciążenia, potrzebne są następujące elementy:
- Środowisko App Service z wewnętrznym mechanizmem równoważenia obciążenia.
- Prywatna strefa DNS dla ILB (Internal Load Balancer) App Service Environment.
- Aplikacja działająca w środowisku App Service Environment z wewnętrznym modułem równoważenia obciążenia (ILB).
- Publiczna nazwa DNS bramy aplikacji.
- Jeśli musisz użyć szyfrowania TLS do bramy aplikacji, wymagany jest prawidłowy certyfikat publiczny używany do powiązania z bramą aplikacji.
ILB Środowisko App Service
Aby uzyskać szczegółowe informacje na temat tworzenia wewnętrznego środowiska App Service Environment z użyciem modułu równoważenia obciążenia (ILB), zobacz Tworzenie środowiska App Service Environment w portalu Azure i Tworzenie środowiska App Service Environment z użyciem szablonu usługi Azure Resource Manager.
Po utworzeniu ILB App Service Environment, domyślną domeną jest
<YourAseName>.appserviceenvironment.net.
Wewnętrzny moduł równoważenia obciążenia jest aprowizowany na potrzeby dostępu przychodzącego. Adres wejściowy można sprawdzić w sekcji Adresy IP w ustawieniach środowiska App Service Environment. Możesz później utworzyć prywatną strefę DNS zamapowaną na ten adres IP.
Prywatna strefa DNS
Do rozpoznawania nazw wewnętrznych potrzebna jest prywatna strefa DNS. Utwórz ją przy użyciu nazwy środowiska App Service Environment przy użyciu zestawów rekordów przedstawionych w poniższej tabeli (aby uzyskać instrukcje, zobacz Szybki start — tworzenie prywatnej strefy DNS platformy Azure przy użyciu witryny Azure Portal).
| Nazwisko | Typ | Wartość |
|---|---|---|
| * | A | Adres przychodzący dla środowiska App Service Environment |
| @ | A | Adres przychodzący środowiska App Service Environment |
| @ | SOA | Nazwa DNS dla środowiska App Service Environment |
| *.scm | A | Adres przychodzący w środowisku App Service Environment |
App Service w środowisku App Service z wewnętrznym modułem równoważenia obciążenia (ILB)
Musisz utworzyć plan usługi App Service i aplikację w środowisku ILB App Service. Podczas tworzenia aplikacji w portalu wybierz swoje środowisko ILB App Service Environment jako region.
Publiczna nazwa DNS bramy aplikacji
Aby nawiązać połączenie z bramą aplikacji z Internetu, potrzebna jest routowalna nazwa domeny. W tym przypadku użyłem routowalnej nazwy domeny asabuludemo.com i planuję połączyć się z usługą App Service z tą nazwą domeny app.asabuludemo.com. Adres IP zamapowany na tę nazwę domeny aplikacji musi być ustawiony na publiczny adres IP usługi Application Gateway po utworzeniu bramy aplikacji.
W przypadku domeny publicznej zamapowanej na bramę aplikacji nie trzeba konfigurować domeny niestandardowej w usłudze App Service. Możesz kupić niestandardową nazwę domeny za pomocą domen usługi App Service.
Prawidłowy certyfikat publiczny
Aby ulepszyć zabezpieczenia, powiąż certyfikat TLS na potrzeby szyfrowania sesji. Aby powiązać certyfikat TLS z bramą aplikacji, wymagany jest prawidłowy certyfikat publiczny z następującymi informacjami. Za pomocą certyfikatów usługi App Service można kupić certyfikat TLS i wyeksportować go w .pfx formacie.
| Nazwisko | Wartość | Opis |
|---|---|---|
| Nazwa pospolita |
<yourappname>.<yourdomainname>na przykład: app.asabuludemo.com lub *.<yourdomainname>, na przykład: *.asabuludemo.com |
Certyfikat standardowy lub certyfikat typu wildcard dla bramy aplikacji |
| Alternatywna nazwa podmiotu |
<yourappname>.scm.<yourdomainname>na przykład: app.scm.asabuludemo.com lub *.scm.<yourdomainname>, na przykład: *.scm.asabuludemo.com |
Sieć SAN, która pozwala na połączenie z usługą Kudu App Service. Jest to opcjonalne ustawienie, jeśli nie chcesz publikować usługi App Service kudu w Internecie. |
Plik certyfikatu powinien mieć klucz prywatny i zapisać go w .pfx formacie. Certyfikat zostanie zaimportowany do bramy aplikacji później.
Tworzenie bramy aplikacji
Aby zapoznać się z podstawowym tworzeniem bramy aplikacji, zobacz Samouczek: Tworzenie bramy aplikacji z zaporą aplikacji internetowej przy użyciu portalu Azure.
W tym samouczku użyjemy portalu Azure do utworzenia Application Gateway z ILB App Service Environment.
W portalu Azure wybierz Nowy element>Sieć>Application Gateway, aby utworzyć bramę aplikacji.
Podstawowe ustawienia
Na liście rozwijanej Warstwa możesz wybrać Standardowa V2 lub WAF V2, aby włączyć funkcję WAF w bramie aplikacji.
Ustawienia frontendów
Wybierz typ adresu IP frontonu na Publiczny, Prywatny lub Oba . Jeśli ustawisz wartość Prywatny lub Oba, musisz przypisać statyczny adres IP w zakresie podsieci bramy aplikacji. W tym przypadku ustawiliśmy wartość Publiczny adres IP tylko dla publicznego punktu końcowego.
Publiczny adres IP — musisz skojarzyć publiczny adres IP, aby umożliwić publiczny dostęp do bramy aplikacyjnej. Zarejestruj ten adres IP, musisz dodać rekord w usłudze DNS później.
Ustawienie zaplecza
Wprowadź nazwę puli zaplecza i wybierz App Services lub adres IP lub FQDN w Typie docelowym. W takim przypadku ustawiliśmy pozycję App Services i wybierzemy pozycję Nazwa usługi App Service z listy rozwijanej docelowej.
Ustawienie konfiguracji
W obszarze Konfiguracja należy dodać regułę routingu, wybierając ikonę Dodaj regułę routingu.
Należy skonfigurować Odbiornik i obiekty docelowe zaplecza w regule routingu. Możesz dodać odbiornik HTTP do weryfikacji wdrożenia koncepcji lub dodać odbiornik HTTPS w celu ulepszenia zabezpieczeń.
Aby nawiązać połączenie z bramą aplikacji przy użyciu protokołu HTTP, możesz utworzyć odbiornik z następującymi ustawieniami,
Parametr Wartość Opis Nazwa reguły Na przykład: http-routingrule.Nazwa routingu Nazwa odbiornika Na przykład: http-listener.Nazwa odbiornika Adres IP frontonu Publiczny Aby uzyskać dostęp do internetu, ustaw na Publiczny Protokół HTTP Nie używaj szyfrowania TLS Port 80 Domyślny port HTTP Typ odbiornika Wiele lokacji Zezwalaj na nasłuchiwanie wielu witryn w bramie aplikacji Typ hosta Wiele/symbol wieloznaczny Ustaw wartość na wielokrotne lub wieloznaczne nazwy witryn, jeśli typ nasłuchującego jest ustawiony na wiele witryn. Nazwa hosta Na przykład: app.asabuludemo.com.Ustaw na nazwę domeny routingu dla usługi App Service 
Aby nawiązać połączenie z bramą aplikacji przy użyciu szyfrowania TLS, możesz utworzyć odbiornik z następującymi ustawieniami:
Parametr Wartość Opis Nazwa reguły Na przykład: https-routingrule.Nazwa routingu Nazwa odbiornika Na przykład: https-listener.Nazwa odbiornika Adres IP frontonu Publiczny W przypadku dostępu do Internetu ustaw na Publiczny dostęp Protokół HTTPS Korzystanie z szyfrowania TLS Port 443 Domyślny port HTTPS Ustawienia protokołu HTTPS Przekaż certyfikat Prześlij certyfikat zawierający CN i klucz prywatny w formacie .pfx. Typ odbiornika Wiele lokacji Zezwalaj na nasłuchiwanie wielu witryn w bramie aplikacji Typ hosta Wiele/symbol wieloznaczny Ustaw wartość na wiele nazw witryn lub użyj symbolu wieloznacznego, jeśli rodzaj nasłuchiwania jest ustawiony na obsługę wielu witryn. Nazwa hosta Na przykład: app.asabuludemo.com.Ustaw na nazwę domeny z możliwością routingu dla usługi App Service 
Musisz skonfigurować Pulę zaplecza i ustawienie HTTP w Celach zaplecza. Pula zaplecza została skonfigurowana w poprzednich krokach. Wybierz pozycję Dodaj nowy link, aby dodać ustawienie HTTP.
Ustawienia HTTP wymienione w poniższej tabeli:
Parametr Wartość Opis Nazwa ustawienia HTTP Na przykład: https-setting.Nazwa ustawienia HTTP Protokół zaplecza HTTPS Korzystanie z szyfrowania TLS Port zaplecza 443 Domyślny port HTTPS Użyj dobrze znanego certyfikatu CA Tak Domyślna nazwa domeny dla ILB App Service Environment to .appserviceenvironment.net. Certyfikat tej domeny jest wystawiany przez publiczny zaufany urząd główny. W ustawieniu Zaufany certyfikat główny można ustawić, aby używać znanego urzędu certyfikacji jako zaufanego certyfikatu głównego.Zastąp nową nazwą hosta Tak Nagłówek nazwy hosta jest nadpisywany podczas nawiązywania połączenia z aplikacją w środowisku App Service ILB. Zastąpienie nazwy hosta Wybierz nazwę hosta z obiektu docelowego zaplecza Podczas ustawiania puli zaplecza na usługę App Service można wybrać hosta z docelowego zaplecza Tworzenie niestandardowych sond Nie. Użyj domyślnej sondy kondycji 
Konfigurowanie integracji bramy aplikacji ze Środowiskiem App Service ILB
Aby uzyskać dostęp do środowiska ILB App Service Environment z bramy aplikacyjnej, należy sprawdzić, czy istnieje łącze sieci wirtualnej do prywatnej strefy DNS. Jeśli nie ma sieci wirtualnej połączonej z siecią wirtualną bramy aplikacji, dodaj link do sieci wirtualnej, wykonując następujące kroki.
Konfigurowanie łączy sieci wirtualnej z prywatną strefą DNS
- Aby skonfigurować połączenie sieci wirtualnej z prywatną strefą DNS, przejdź do prywatnej płaszczyzny konfiguracji strefy DNS. Wybierz linki sieci wirtualnej>Dodaj
- Wprowadź nazwę linku i wybierz odpowiednią subskrypcję i sieć wirtualną, w której znajduje się brama aplikacji.
- Stan kondycji zaplecza można potwierdzić z sekcji Kondycja zaplecza w płaszczyźnie bramy aplikacji.
Dodawanie publicznego rekordu DNS
Podczas uzyskiwania dostępu do bramy aplikacji z Internetu należy skonfigurować odpowiednie mapowanie DNS.
- Publiczny adres IP bramy aplikacji można znaleźć w konfiguracjach adresów IP interfejsu w płaszczyźnie bramy aplikacji.
- Użyj usługi Azure DNS, na przykład możesz dodać zestaw rekordów, aby zamapować nazwę domeny aplikacji na publiczny adres IP bramy aplikacji.
Weryfikowanie połączenia
- Na maszynie z dostępem do Internetu możesz zweryfikować rozpoznawanie nazw domeny aplikacji do publicznego adresu IP bramy aplikacji.
- Na komputerze udostępnionym z internetu przetestuj dostęp do strony internetowej z przeglądarki.
