Samouczek: konfigurowanie usługi Application Gateway z kończeniem żądań PROTOKOŁU TLS przy użyciu witryny Azure Portal

Za pomocą witryny Azure Portal można skonfigurować bramę aplikacji z certyfikatem na potrzeby kończenia żądań protokołu TLS, które używają maszyn wirtualnych dla serwerów zaplecza.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Tworzenie certyfikatu z podpisem własnym
• Tworzenie bramy aplikacji z certyfikatem
• Tworzenie maszyn wirtualnych używanych jako serwery zaplecza
• Testowanie bramy aplikacji

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Aby rozpocząć, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Wymagania wstępne

• Subskrypcja platformy Azure

Tworzenie certyfikatu z podpisem własnym

W tej sekcji utworzysz certyfikat z podpisem własnym przy użyciu polecenia New-SelfSignedCertificate . Certyfikat jest przekazywany do witryny Azure Portal podczas tworzenia odbiornika dla bramy aplikacji.

Na komputerze lokalnym otwórz okno programu Windows PowerShell jako administrator. Uruchom następujące polecenie, aby utworzyć certyfikat:

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

Powinna zostać wyświetlona następująca odpowiedź:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Użyj polecenia Export-PfxCertificate z odciskiem palca zwróconym w celu wyeksportowania pliku pfx z certyfikatu. Obsługiwane algorytmy PFX są wyświetlane w funkcji PFXImportCertStore. Upewnij się, że hasło ma długość od 4 do 12 znaków:

$pwd = ConvertTo-SecureString -String <your password> -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Logowanie się do platformy Azure

Zaloguj się w witrynie Azure Portal.

Tworzenie bramy aplikacji

1. W menu witryny Azure Portal wybierz pozycję + Utwórz zasób>Usługa>Application Gateway lub wyszukaj usługę Application Gateway w polu wyszukiwania portalu.

2. Wybierz pozycję Utwórz.

Karta Podstawowe

1. Na karcie Podstawy wprowadź lub wybierz następujące wartości:

   • Grupa zasobów: wybierz grupę zasobów myResourceGroupAG . Jeśli ta grupa nie istnieje, wybierz pozycję Utwórz nową w celu jej utworzenia.

   • Nazwa bramy aplikacji: wprowadź nazwę bramy aplikacji myAppGateway .

     

2. Do komunikacji między tworzonymi zasobami platforma Azure potrzebuje sieci wirtualnej. Możesz utworzyć nową sieć wirtualną lub użyć istniejącej. W tym przykładzie utworzysz nową sieć wirtualną w tym samym czasie, w której tworzysz bramę aplikacji. Wystąpienia usługi Application Gateway są tworzone w oddzielnych podsieciach. W tym przykładzie tworzysz dwie podsieci: jedną dla bramy aplikacji i drugą dla serwerów zaplecza.

   W obszarze Konfigurowanie sieci wirtualnej utwórz nową sieć wirtualną, wybierając pozycję Utwórz nową. W wyświetlonym oknie Tworzenie sieci wirtualnej wprowadź następujące wartości, aby utworzyć sieć wirtualną i dwie podsieci:

   • Nazwa: wprowadź nazwę sieci wirtualnej myVNet .

   • Nazwa podsieci (podsieć usługi Application Gateway): siatka Podsieci będzie zawierać podsieć o nazwie Default. Zmień nazwę tej podsieci na myAGSubnet.
     Podsieć bramy aplikacji może zawierać tylko bramy aplikacji. Inne zasoby nie są dozwolone.

   • Nazwa podsieci (podsieć serwera zaplecza): w drugim wierszu siatki Podsieci wprowadź wartość myBackendSubnet w kolumnie Nazwa podsieci.

   • Zakres adresów (podsieć serwera zaplecza): w drugim wierszu siatki podsieci wprowadź zakres adresów, który nie nakłada się na zakres adresówmyAGSubnet. Jeśli na przykład zakres adresów podsieci myAGSubnet to 10.0.0.0/24, wprowadź wartość 10.0.1.0/24 dla zakresu adresów podsieci myBackendSubnet.

   Wybierz przycisk OK , aby zamknąć okno Tworzenie sieci wirtualnej i zapisać ustawienia sieci wirtualnej.

   

3. Na karcie Podstawowe zaakceptuj wartości domyślne innych ustawień, a następnie wybierz pozycję Dalej: Frontony.

Karta Frontonów

1. Na karcie Frontony sprawdź, czy typ adresu IP frontonu jest ustawiony na Publiczny.
   Adres IP frontonu można skonfigurować tak, aby był publiczny lub prywatny zgodnie z twoim przypadkiem użycia. W tym przykładzie wybierzesz publiczny adres IP frontonu.

   Uwaga

   W przypadku jednostki SKU usługi Application Gateway w wersji 2 można wybrać tylko konfigurację publicznego adresu IP frontonu. Konfiguracja prywatnego adresu IP frontonu nie jest obecnie włączona dla tej jednostki SKU w wersji 2.

2. Wybierz pozycję Dodaj nowy dla publicznego adresu IP i wprowadź ciąg myAGPublicIPAddress jako nazwę publicznego adresu IP, a następnie wybierz przycisk OK.

   

3. Wybierz pozycję Dalej: zaplecza.

Karta Zaplecza

Pula zaplecza służy do kierowania żądań do serwerów zaplecza obsługujących żądanie. Pule zaplecza mogą składać się z kart sieciowych, zestawów skalowania maszyn wirtualnych, publicznych adresów IP, wewnętrznych adresów IP, w pełni kwalifikowanych nazw domen (FQDN) i zapleczy wielodostępnych, takich jak aplikacja systemu Azure Service. W tym przykładzie utworzysz pustą pulę zaplecza z bramą aplikacji, a następnie dodasz elementy docelowe zaplecza do puli zaplecza.

1. Na karcie Zaplecza wybierz pozycję Dodaj pulę zaplecza.

2. W oknie Dodawanie puli zaplecza, które zostanie otwarte, wprowadź następujące wartości, aby utworzyć pustą pulę zaplecza:

   • Nazwa: wprowadź nazwę puli zaplecza myBackendPool .
   • Dodaj pulę zaplecza bez obiektów docelowych: wybierz pozycję Tak , aby utworzyć pulę zaplecza bez obiektów docelowych. Obiekty docelowe zaplecza zostaną dodane po utworzeniu bramy aplikacji.

3. W oknie Dodawanie puli zaplecza wybierz pozycję Dodaj, aby zapisać konfigurację puli zaplecza i wrócić do karty Zaplecza.

   

4. Na karcie Zaplecza wybierz pozycję Dalej: Konfiguracja.

Karta konfiguracji

Na karcie Konfiguracja połączysz pulę frontonu i zaplecza utworzoną przy użyciu reguły routingu.

1. Wybierz pozycję Dodaj regułę routingu w kolumnie Reguły routingu.

2. W oknie Dodawanie reguły routingu, które zostanie otwarte, wprowadź nazwę reguły myRoutingRule.

3. Reguła routingu wymaga odbiornika. Na karcie Odbiornik w oknie Dodawanie reguły routingu wprowadź następujące wartości dla odbiornika:

   • Nazwa odbiornika: wprowadź wartość myListener jako nazwę odbiornika.
   • Adres IP frontonu: wybierz pozycję Publiczny, aby wybrać publiczny adres IP utworzony dla frontonu.
   • Protokół: wybierz pozycję HTTPS.
   • Port: Sprawdź, czy dla portu wprowadzono wartość 443.

   W obszarze Ustawienia HTTPS:

   • Wybierz certyfikat — wybierz pozycję Przekaż certyfikat.

   • Plik certyfikatu PFX — przejdź do pliku c:\appgwcert.pfx utworzonego wcześniej.

   • Nazwa certyfikatu — wpisz mycert1 jako nazwę certyfikatu.

   • Hasło — wpisz hasło użyte do utworzenia certyfikatu.

     Zaakceptuj wartości domyślne innych ustawień na karcie Odbiornik , a następnie wybierz kartę Elementy docelowe zaplecza, aby skonfigurować pozostałą część reguły routingu.

   

4. Na karcie Elementy docelowe zaplecza wybierz pozycję myBackendPool dla obiektu docelowego zaplecza.

5. Dla ustawienia HTTP wybierz pozycję Dodaj nowe, aby utworzyć nowe ustawienie HTTP. Ustawienie HTTP określi zachowanie reguły routingu. W oknie Dodawanie ustawienia HTTP, które zostanie otwarte, wprowadź wartość myHTTPSetting jako nazwę ustawienia HTTP. Zaakceptuj wartości domyślne innych ustawień w oknie Dodawanie ustawienia HTTP, a następnie wybierz pozycję Dodaj , aby powrócić do okna Dodawanie reguły routingu.

   

6. W oknie Dodawanie reguły routingu wybierz pozycję Dodaj, aby zapisać regułę routingu i wrócić do karty Konfiguracja.

   

7. Wybierz pozycję Dalej: Tagi , a następnie Dalej: Przejrzyj i utwórz.

Karta Przeglądanie i tworzenie

Przejrzyj ustawienia na karcie Przeglądanie i tworzenie , a następnie wybierz pozycję Utwórz , aby utworzyć sieć wirtualną, publiczny adres IP i bramę aplikacji. Tworzenie bramy aplikacji na platformie Azure może potrwać kilka minut. Zaczekaj na pomyślne zakończenie wdrożenia, zanim przejdziesz do kolejnej sekcji.

Dodawanie obiektów docelowych zaplecza

W tym przykładzie użyjesz maszyn wirtualnych jako docelowego zaplecza. Możesz użyć istniejących maszyn wirtualnych lub utworzyć nowe. Utworzysz dwie maszyny wirtualne używane przez platformę Azure jako serwery zaplecza dla bramy aplikacji.

W tym celu wykonasz następujące czynności:

1. Utwórz dwie nowe maszyny wirtualne myVM i myVM2 do użycia jako serwery zaplecza.
2. Zainstaluj usługi IIS na maszynach wirtualnych, aby sprawdzić, czy brama aplikacji została pomyślnie utworzona.
3. Dodaj serwery zaplecza do puli zaplecza.

Tworzenie maszyny wirtualnej

1. W menu witryny Azure Portal wybierz pozycję + Utwórz zasób>Obliczeniowy>windows Server 2016 Datacenter lub wyszukaj pozycję Windows Server w polu wyszukiwania portalu i wybierz pozycję Windows Server 2016 Datacenter.

2. Wybierz pozycję Utwórz.

   Usługa Application Gateway może kierować ruch do dowolnego typu maszyny wirtualnej używanej w puli zaplecza. W tym przykładzie używasz systemu Windows Server 2016 Datacenter.

3. Wprowadź następujące wartości na karcie Podstawy dla poniższych ustawień maszyny wirtualnej:

   • Grupa zasobów: wybierz nazwę grupy zasobów myResourceGroupAG .
   • Nazwa maszyny wirtualnej: wprowadź nazwę maszyny wirtualnej myVM .
   • Nazwa użytkownika: wprowadź nazwę użytkownika administratora.
   • Hasło: wprowadź hasło dla konta administratora.

4. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Dalej: Dyski.

5. Zaakceptuj wartości domyślne karty Dyski, a następnie wybierz pozycję Dalej: Sieć.

6. Na karcie Sieć sprawdź, czy wybrano pozycję myVNet w obszarze Sieć wirtualna oraz czy pozycja Podsieć została ustawiona na wartość myBackendSubnet. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Dalej: Zarządzanie.

   Usługa Application Gateway może komunikować się z wystąpieniami poza siecią wirtualną, w której się znajduje, ale musisz upewnić się, że istnieje łączność ip.

7. Na karcie Zarządzanie ustaw opcję Diagnostyka rozruchu na Wartość Wyłącz. Zaakceptuj pozostałe wartości domyślne, a następnie wybierz pozycję Przeglądanie + tworzenie.

8. Na karcie Przeglądanie + tworzenie przejrzyj ustawienia, usuń wszystkie błędy walidacji, a następnie wybierz pozycję Utwórz.

9. Przed kontynuowaniem zaczekaj na ukończenie wdrażania.

Instalowanie usług IIS na potrzeby testowania

W tym przykładzie usługi IIS są instalowane na maszynach wirtualnych tylko w celu sprawdzenia, czy platforma Azure pomyślnie utworzyła bramę aplikacji.

1. Otwórz program Azure PowerShell. W tym celu wybierz pozycję Cloud Shell na górnym pasku nawigacyjnym w witrynie Azure Portal, a następnie wybierz pozycję PowerShell z listy rozwijanej.

   

2. Zmień ustawienie lokalizacji dla środowiska, a następnie uruchom następujące polecenie, aby zainstalować usługi IIS na maszynie wirtualnej:

          Set-AzVMExtension `
            -ResourceGroupName myResourceGroupAG `
            -ExtensionName IIS `
            -VMName myVM `
            -Publisher Microsoft.Compute `
            -ExtensionType CustomScriptExtension `
            -TypeHandlerVersion 1.4 `
            -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
            -Location <location>
   

3. Utwórz drugą maszynę wirtualną i zainstaluj usługi IIS, wykonując kroki ukończone wcześniej. Użyj maszyny wirtualnej myVM2 jako nazwy maszyny wirtualnej i ustawienia VMName polecenia cmdlet Set-AzVMExtension .

Dodawanie serwerów zaplecza do puli zaplecza

1. Wybierz pozycję Wszystkie zasoby, a następnie wybierz pozycję myAppGateway.

2. Wybierz pozycję Pule zaplecza w menu po lewej stronie.

3. Wybierz pozycję myBackendPool.

4. W obszarze Typ docelowy wybierz pozycję Maszyna wirtualna z listy rozwijanej.

5. W obszarze Cel wybierz interfejs sieciowy w obszarze myVM z listy rozwijanej.

6. Powtórz polecenie , aby dodać interfejs sieciowy dla maszyny wirtualnej myVM2.

   

7. Wybierz pozycję Zapisz.

8. Przed przejściem do następnego kroku poczekaj na zakończenie wdrożenia.

Testowanie bramy aplikacji

1. Wybierz pozycję Wszystkie zasoby, a następnie wybierz pozycję myAGPublicIPAddress.

   

2. Na pasku adresu przeglądarki wpisz https:// our application gateway ip address (Adres> IP bramy aplikacji).<

   Aby zaakceptować ostrzeżenie o zabezpieczeniach, jeśli użyto certyfikatu z podpisem własnym, wybierz pozycję Szczegóły (lub Zaawansowane w przeglądarce Chrome), a następnie przejdź do strony internetowej:

   

   Zostanie wyświetlona zabezpieczona witryna internetowa usług IIS, tak jak w poniższym przykładzie:

   

Czyszczenie zasobów

Gdy grupa zasobów i wszystkie powiązane zasoby nie będą już potrzebne, usuń je. W tym celu wybierz grupę zasobów i wybierz pozycję Usuń grupę zasobów.

Następne kroki

W tym samouczku zostały wykonane następujące czynności:

• Utworzono certyfikat z podpisem własnym
• Utworzono bramę aplikacji z certyfikatem

Aby dowiedzieć się więcej na temat obsługi protokołu TLS w usłudze Application Gateway, zobacz end to end TLS with Application Gateway and Application Gateway TLS policy (Kompleksowa obsługa protokołu TLS w usłudze Application Gateway i usłudze Application Gateway).

Aby dowiedzieć się, jak utworzyć i skonfigurować usługę Application Gateway do hostowania wielu witryn internetowych przy użyciu witryny Azure Portal, przejdź do następnego samouczka.

Hostowanie wielu witryn