Ochrona aplikacji internetowych w usłudze Azure VMware Solution za pomocą usługi aplikacja systemu Azure Gateway

  • Artykuł

aplikacja systemu Azure Gateway to moduł równoważenia obciążenia ruchu internetowego warstwy 7, który umożliwia zarządzanie ruchem do aplikacji internetowych oferowanych zarówno w rozwiązaniu Azure VMware Solution w wersji 1.0, jak i 2.0. Obie wersje przetestowane przy użyciu aplikacji internetowych działających w usłudze Azure VMware Solution.

Możliwości obejmują:

  • Koligacja sesji oparta na plikach cookie
  • Routing oparty na adresach URL
  • Zapora aplikacji internetowej

Aby uzyskać pełną listę funkcji, zobacz aplikacja systemu Azure Funkcje bramy.

W tym artykule pokazano, jak używać usługi Application Gateway przed farmą serwerów internetowych w celu ochrony aplikacji internetowej działającej w usłudze Azure VMware Solution.

Topologia

Na diagramie przedstawiono sposób użycia usługi Application Gateway do ochrony maszyn wirtualnych IaaS platformy Azure, zestawów skalowania maszyn wirtualnych platformy Azure lub serwerów lokalnych. Usługa Application Gateway traktuje maszyny wirtualne usługi Azure VMware Solution jako serwery lokalne.

Diagram showing how Application Gateway protects Azure IaaS virtual machines (VMs), Azure Virtual Machine Scale Sets, or on-premises servers.

Ważne

aplikacja systemu Azure Gateway jest preferowaną metodą uwidaczniania aplikacji internetowych działających na maszynach wirtualnych usługi Azure VMware Solution.

Na diagramie przedstawiono scenariusz testowania używany do weryfikowania usługi Application Gateway za pomocą aplikacji internetowych usługi Azure VMware Solution.

Diagram showing the testing scenario used to validate the Application Gateway with Azure VMware Solution web applications.

Wystąpienie usługi Application Gateway jest wdrażane w centrum w dedykowanej podsieci z publicznym adresem IP platformy Azure. Zalecane jest aktywowanie usługi Azure DDoS Protection dla sieci wirtualnej. Serwer internetowy jest hostowany w prywatnej chmurze rozwiązania Azure VMware Solution za bramami NSX T0 i T1. Ponadto rozwiązanie Azure VMware Solution używa usługi ExpressRoute Global Reach w celu umożliwienia komunikacji z systemami koncentratorów i lokalnych.

Wymagania wstępne

  • Konto platformy Azure z aktywną subskrypcją.
  • Wdrożona i uruchomiona chmura prywatna usługi Azure VMware Solution.

Wdrażanie i konfiguracja

  1. W witrynie Azure Portal wyszukaj pozycję Application Gateway i wybierz pozycję Utwórz bramę aplikacji.

  2. Podaj podstawowe szczegóły, jak na poniższym rysunku; następnie wybierz pozycję Dalej: frontony>.

    Screenshot showing Create application gateway page in Azure portal.

  3. Wybierz typ adresu IP frontonu. W przypadku opcji publicznej wybierz istniejący publiczny adres IP lub utwórz nowy. Wybierz pozycję Dalej: zaplecza>.

    Uwaga

    Tylko standardowe i standardowe jednostki SKU zapory aplikacji internetowej (WAF) są obsługiwane w przypadku frontonów prywatnych.

  4. Dodaj pulę zaplecza maszyn wirtualnych uruchomionych w infrastrukturze usługi Azure VMware Solution. Podaj szczegóły serwerów internetowych uruchomionych w chmurze prywatnej usługi Azure VMware Solution i wybierz pozycję Dodaj. Następnie wybierz pozycję Dalej: Konfiguracja>.

  5. Na karcie Konfiguracja wybierz pozycję Dodaj regułę routingu.

  6. Na karcie Odbiornik podaj szczegóły odbiornika. Jeśli wybrano protokół HTTPS, musisz podać certyfikat z pliku PFX lub istniejącego certyfikatu usługi Azure Key Vault.

  7. Wybierz kartę Elementy docelowe zaplecza i wybierz wcześniej utworzoną pulę zaplecza. W polu Ustawienia PROTOKOŁU HTTP wybierz pozycję Dodaj nowy.

  8. Skonfiguruj parametry ustawień protokołu HTTP. Wybierz Dodaj.

  9. Jeśli chcesz skonfigurować reguły oparte na ścieżkach, wybierz pozycję Dodaj wiele obiektów docelowych, aby utworzyć regułę opartą na ścieżkach.

  10. Dodaj regułę opartą na ścieżkach i wybierz pozycję Dodaj. Powtórz, aby dodać więcej reguł opartych na ścieżkach.

  11. Po zakończeniu dodawania reguł opartych na ścieżkach ponownie wybierz pozycję Dodaj, a następnie wybierz pozycję Dalej: Tagi>.

  12. Dodaj tagi, a następnie wybierz pozycję Dalej: Przejrzyj i utwórz>.

  13. Walidacja jest uruchamiana w usłudze Application Gateway. Jeśli to się powiedzie, wybierz pozycję Utwórz , aby wdrożyć.

Przykłady konfiguracji

Teraz skonfiguruj usługę Application Gateway przy użyciu maszyn wirtualnych usługi Azure VMware Solution jako pul zaplecza w następujących przypadkach użycia:

Hostowanie wielu witryn

Ta procedura przedstawia sposób definiowania pul adresów zaplecza przy użyciu maszyn wirtualnych działających w prywatnej chmurze usługi Azure VMware Solution w istniejącej bramie aplikacji.

Uwaga

W tej procedurze przyjęto założenie, że masz wiele domen, więc użyjemy przykładów www.contoso.com i www.contoso2.com.

  1. W chmurze prywatnej utwórz dwie różne pule maszyn wirtualnych. Jeden reprezentuje firmę Contoso i drugą contoso2.

    Screenshot showing summary of a web server's details in VMware vSphere Client.

    Użyliśmy systemu Windows Server 2016 z zainstalowaną rolą Internet Information Services (IIS). Po zainstalowaniu maszyn wirtualnych uruchom następujące polecenia programu PowerShell, aby skonfigurować usługi IIS na każdej maszynie wirtualnej.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

  2. W istniejącym wystąpieniu bramy aplikacji wybierz pozycję Pule zaplecza z menu po lewej stronie, wybierz pozycję Dodaj i wprowadź szczegóły nowych pul. Wybierz pozycję Dodaj w okienku po prawej stronie.

    Screenshot of Backend pools page for adding backend pools.

  3. W sekcji Odbiorniki utwórz nowy odbiornik dla każdej witryny internetowej. Wprowadź szczegóły dla każdego odbiornika i wybierz pozycję Dodaj.

  4. Po lewej stronie wybierz pozycję Ustawienia PROTOKOŁU HTTP i wybierz pozycję Dodaj w okienku po lewej stronie. Wypełnij szczegóły, aby utworzyć nowe ustawienie HTTP, a następnie wybierz pozycję Zapisz.

    Screenshot of HTTP settings page to create a new HTTP setting.

  5. Utwórz reguły w sekcji Reguły w menu po lewej stronie. Skojarz każdą regułę z odpowiednim odbiornikiem. Wybierz Dodaj.

  6. Skonfiguruj odpowiednie ustawienia puli zaplecza i protokołu HTTP. Wybierz Dodaj.

  7. Przetestuj połączenie. Otwórz preferowaną przeglądarkę i przejdź do różnych witryn internetowych hostowanych w środowisku usługi Azure VMware Solution.

    Screenshot of browser page showing successful test the connection.

Routing według adresu URL

Poniższe kroki definiują pule adresów zaplecza przy użyciu maszyn wirtualnych działających w chmurze prywatnej usługi Azure VMware Solution. Chmura prywatna znajduje się w istniejącej bramie aplikacji. Następnie utworzysz reguły routingu, które zapewniają, że ruch internetowy dociera do odpowiednich serwerów w pulach.

  1. W chmurze prywatnej utwórz pulę maszyn wirtualnych reprezentującą farmę internetową.

    Screenshot of page in VMware vSphere Client showing summary of another VM.

    W celu zilustrowania tego samouczka użyto systemu Windows Server 2016 z zainstalowaną rolą usług IIS. Po zainstalowaniu maszyn wirtualnych uruchom następujące polecenia programu PowerShell, aby skonfigurować usługi IIS dla każdego samouczka maszyny wirtualnej.

    Pierwsza maszyna wirtualna contoso-web-01 hostuje główną witrynę internetową.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

    Druga maszyna wirtualna contoso-web-02 hostuje witrynę obrazów.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "images" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\images\test.htm -Value $($env:computername)

    Trzecia maszyna wirtualna contoso-web-03 hostuje witrynę wideo.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "video" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\video\test.htm -Value $($env:computername)

  2. Dodaj trzy nowe pule zaplecza w istniejącym wystąpieniu bramy aplikacji.

    1. Wybierz pozycję Pule zaplecza w menu po lewej stronie.
    2. Wybierz pozycję Dodaj i wprowadź szczegóły pierwszej puli contoso-web.
    3. Dodaj jedną maszynę wirtualną jako docelową.
    4. Wybierz Dodaj.
    5. Powtórz ten proces dla contoso-images i contoso-video, dodając jedną unikatową maszynę wirtualną jako docelową.

    Screenshot of Backend pools page showing the addition of three new backend pools.

  3. W sekcji Odbiorniki utwórz nowy odbiornik typu Basic przy użyciu portu 8080.

  4. W obszarze nawigacji po lewej stronie wybierz pozycję Ustawienia PROTOKOŁU HTTP i wybierz pozycję Dodaj w okienku po lewej stronie. Wypełnij szczegóły, aby utworzyć nowe ustawienie HTTP, a następnie wybierz pozycję Zapisz.

    Screenshot of Add HTTP setting page showing HTTP settings configuration.

  5. Utwórz reguły w sekcji Reguły w menu po lewej stronie i skojarz każdą regułę z wcześniej utworzonym odbiornikiem. Następnie skonfiguruj główną pulę zaplecza i ustawienia PROTOKOŁU HTTP, a następnie wybierz pozycję Dodaj.

    Screenshot of Add a routing rule page to configure routing rules to a backend target.

  6. Przetestuj konfigurację. Uzyskaj dostęp do bramy aplikacji w witrynie Azure Portal i skopiuj publiczny adres IP w sekcji Przegląd .

    1. Otwórz nowe okno przeglądarki i wprowadź adres URL http://<app-gw-ip-address>:8080.

      Screenshot of browser page showing successful test of the configuration.

    2. Zmień adres URL na http://<app-gw-ip-address>:8080/images/test.htm.

      Screenshot of another successful test with the new URL.

    3. Ponownie zmień adres URL na http://<app-gw-ip-address>:8080/video/test.htm.

      Screenshot of successful test with the final URL.

Następne kroki

Teraz, gdy omówiono korzystanie z usługi Application Gateway w celu ochrony aplikacji internetowej działającej w rozwiązaniu Azure VMware Solution, dowiedz się więcej o: