Konfigurowanie odbiornika usługi Application Gateway pod kątem szyfrowania
Skonfigurowano protokół SSL dla połączenia między bramą aplikacja systemu Azure a serwerami w puli zaplecza. W portalu wysyłkowym szyfrowanie musi być kompleksowe. Aby to zrobić, należy również zaszyfrować komunikaty wysyłane przez klienta do usługi Application Gateway.
Tworzenie portu frontonu
Usługa Application Gateway odbiera żądania za pośrednictwem co najmniej jednego portu. Jeśli komunikujesz się z bramą za pośrednictwem protokołu HHTPS, musisz skonfigurować port SSL. Tradycyjnie protokół HHTPS używa portu 443. Użyj polecenia az network application-gateway frontend-port create, aby utworzyć nowy port frontonu. W poniższym przykładzie pokazano, jak utworzyć port frontonu dla portu 443:
az network application-gateway frontend-port create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name my-https-port \
--port 443
Konfigurowanie odbiornika
Odbiornik czeka na ruch przychodzący do bramy na konkretnym porcie frontonu. Ten ruch jest następnie kierowany do serwera w puli zaplecza. Jeśli port frontonu korzysta z protokołu SSL, musisz wskazać, który certyfikat ma zostać użyty do odszyfrowania komunikatów przychodzących. Jest to certyfikat zawierający klucz prywatny.
Certyfikat możesz dodać za pomocą polecenia az network application-gateway ssl-cert create. Plik certyfikatu powinien mieć format PFX. Ponieważ ten plik zawiera klucz prywatny, prawdopodobnie będzie również chroniony hasłem. Hasło należy podać w argumencie cert-password, jak pokazano w poniższym przykładzie.
az network application-gateway ssl-cert create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name shipping-ssl.crt \
--cert-file shippingportal/server-config/shipping-ssl.pfx \
--cert-password <password for certificate file>
Następnie możesz utworzyć odbiornik, który będzie odbierać żądania z portu frontonu i odszyfrowywać je przy użyciu tego certyfikatu. Użyj polecenia az network application-gateway http-listener create.
az network application-gateway http-listener create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name http-listener \
--frontend-port my-https-port \
--ssl-cert shipping-ssl.crt
Definiowanie reguły w celu wysyłania żądań HTTPS do serwerów
Ostatnim krokiem jest utworzenie reguły, która będzie kierowała komunikaty odebrane za pośrednictwem odbiornika do serwerów w puli zaplecza. Komunikaty odbierane z portu frontonu są odszyfrowywane za pomocą certyfikatu SSL określonego dla odbiornika. Te komunikaty muszą zostać ponownie zaszyfrowane przy użyciu certyfikatu po stronie klienta dla serwerów w puli zaplecza. Te informacje są definiowane w regule.
W następującym przykładzie pokazano, jak za pomocą polecenia az network application-gateway rule create utworzyć regułę, która nawiązuje połączenie pomiędzy odbiornikiem a pulą zaplecza. Parametr --http-settings określa ustawienia PROTOKOŁU HTTP odwołujące się do certyfikatu po stronie klienta dla serwerów. Te ustawienia zostały utworzone w poprzedniej lekcji.
az network application-gateway rule create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name app-gw-rule \
--address-pool ap-backend \
--http-listener http-listener \
--http-settings https-settings \
--rule-type Basic
--priority 101
W tym momencie kompleksowe szyfrowanie komunikatów kierowanych za pośrednictwem usługi Application Gateway powinno być w pełni skonfigurowane. Klienci korzystają z certyfikatu SSL w usłudze Application Gateway w celu wysyłania komunikatów. Usługa Application Gateway odszyfrowuje te komunikaty przy użyciu tego certyfikatu SSL. Następnie ponownie szyfruje komunikaty przy użyciu certyfikatu dla serwerów w puli zaplecza.