Configurar o Serviço de Aplicativo com o Gateway de Aplicativo

O Gateway de Aplicativo permite que você tenha um aplicativo do Serviço de Aplicativo ou outro serviço multilocatário como um membro do pool de back-end. Neste artigo, você aprenderá como configurar um aplicativo do Serviço de Aplicativo com Gateway de Aplicativo. A configuração do Gateway de Aplicativo será diferente dependendo de como o Serviço de Aplicativo será acessado:

• A primeira opção usa um domínio personalizado no Gateway de Aplicativo e no Serviço de Aplicativo no back-end.
• A segunda opção é que o Gateway de Aplicativo acesse o Serviço de Aplicativo usando seu domínio padrão, com sufixo ".azurewebsites.net".

Domínio personalizado (recomendado)

Essa configuração é recomendada para cenários de nível de produção e atende à prática de não alterar o nome do host no fluxo de solicitação. Você precisa ter um domínio personalizado (e um certificado associado) disponível para evitar precisar depender do domínio padrão ".azurewebsites".

Ao associar o mesmo nome de domínio ao Gateway de Aplicativo e ao Serviço de Aplicativo no pool de back-end, o fluxo de solicitação não precisa substituir o nome do host. O aplicativo Web de back-end verá o host original como foi usado pelo cliente.

Domínio padrão

Essa configuração é a mais fácil e não requer um domínio personalizado. Assim, é possível fazer uma configuração rápida e conveniente.

Aviso

Essa configuração tem limitações. É recomendável revisar as implicações do uso de nomes de host diferentes entre o cliente e o Gateway de Aplicativo e entre o Aplicativo e o Serviço de Aplicativo no back-end. Para obter mais informações, leia o artigo no Centro de Arquitetura: Preservar o nome do host HTTP original entre um proxy reverso e seu aplicativo Web de back-end

Quando Serviço de Aplicativo não tiver um domínio personalizado associado a ele, o cabeçalho de host na solicitação de entrada no aplicativo Web precisará ser definido como o domínio padrão, sufixo com ".azurewebsites.net" ou a plataforma não poderá rotear a solicitação corretamente.

O cabeçalho de host na solicitação original recebida pelo Gateway de Aplicativo será diferente do nome do host do Serviço de Aplicativo de back-end.

Neste artigo, você aprenderá a:

• Configurar DNS
• Adicione o Serviço de Aplicativo como pool de back-end do Gateway de Aplicativo
• Defina as configurações HTTP para a conexão com o Serviço de Aplicativo
• Configurar um ouvinte HTTP
• Configurar uma regra de roteamento de solicitação

Pré-requisitos

Domínio personalizado (recomendado)

• Gateway de aplicativo: crie um gateway de aplicativo sem um destino de pool de back-end. Para saber mais, consulte Início Rápido: Direcionar o tráfego da Web com o Gateway de Aplicativo do Azure - portal do Azure

• Serviço de aplicativo: se você não tiver um serviço de Aplicativo existente, consulte a documentação do Serviço de Aplicativo.

• Um nome de domínio personalizado e um certificado associado (assinado por uma autoridade conhecida) armazenados no Key Vault. Para obter mais informações sobre como armazenar certificados no Key Vault, consulte Tutorial: importar um certificado no Azure Key Vault

Domínio padrão

• Gateway de aplicativo: crie um gateway de aplicativo sem um destino de pool de back-end. Para saber mais, consulte Início Rápido: Direcionar o tráfego da Web com o Gateway de Aplicativo do Azure - portal do Azure

• Serviço de aplicativo: se você não tiver um serviço de Aplicativo existente, consulte a documentação do Serviço de Aplicativo.

Configuração do DNS

No contexto desse cenário, o DNS é relevante em dois locais:

• O nome DNS, que o usuário ou cliente está usando para Gateway de Aplicativo e o que é mostrado em um navegador
• O nome DNS, que o Gateway de Aplicativo está usando internamente para acessar o Serviço de Aplicativo no back-end

Domínio personalizado (recomendado)

Roteie o usuário ou o cliente para o Gateway de Aplicativo usando o domínio personalizado. Configure o DNS usando um alias CNAME apontado para o DNS para o Gateway de Aplicativo. O DNS do Gateway de Aplicativo é mostrado na página de visão geral do endereço IP público associado. Como alternativa, crie um registro A apontando diretamente para o endereço IP. (Para o Gateway de Aplicativo V1, o VIP poderá mudar se você parar e iniciar o serviço, o que torna essa opção indesejável.)

O Serviço de Aplicativo deve ser configurado para que aceite o tráfego do Gateway de Aplicativo usando o nome de domínio personalizado como o host de entrada. Para obter mais informações sobre como mapear um domínio personalizado para o Serviço de Aplicativo, consulte Tutorial: mapear um nome DNS personalizado existente para o Serviço de Aplicativo do Azure Para verificar o domínio, o Serviço de Aplicativo requer apenas a adição de um registro TXT. Nenhuma alteração é necessária em CNAME ou registros A. A configuração de DNS para o domínio personalizado permanecerá direcionada para o Gateway de Aplicativo.

Para aceitar conexões com o Serviço de Aplicativo por HTTPS, configure sua associação TLS. Para obter mais informações, consulte Proteger um nome DNS personalizado com uma associação TLS/SSL no Serviço de Aplicativo do Azure Configure o Serviço de Aplicativo para efetuar pull do certificado para o domínio personalizado do Azure Key Vault.

Domínio padrão

Quando nenhum domínio personalizado está disponível, o usuário ou o cliente pode acessar o Gateway de Aplicativo usando o endereço IP do gateway ou seu endereço DNS. O DNS do Gateway de Aplicativo pode ser encontrado na página de visão geral do endereço IP público associado. Não ter um domínio personalizado disponível implica que nenhum certificado assinado publicamente estará disponível para TLS no Gateway de Aplicativo. Os clientes ficam restritos a usar HTTP ou HTTPS com um certificado autoassinado, ambos não são indesejáveis.

Para se conectar ao Serviço de Aplicativo, o Gateway de Aplicativo usa o domínio padrão, conforme fornecido pelo Serviço de Aplicativo (com sufixo "azurewebsites.net").

Adicionar serviço de Aplicativo como pool de back-end

Azure portal

1. No portal do Azure, selecione o gateway de aplicativo.

2. Em Pools de back-end, selecione o pool de back-end.

3. Em Tipo de destino, selecione Serviços de Aplicativos.

4. Em Destino, selecione o Serviço de Aplicativo.

   

   Observação

   A lista suspensa popula apenas os serviços de aplicativo que estão na mesma assinatura que o Gateway de Aplicativo. Se você quiser usar um serviço de aplicativo que está em uma assinatura diferente daquela em que o Gateway de Aplicativo está, em vez de escolher Serviços de Aplicativos na lista suspensa de Destinos, escolha a opção Endereço IP ou nome do host e insira o nome do host (example.azurewebsites.net) do serviço de aplicativo.

5. Selecione Salvar.

PowerShell

# Fully qualified default domain name of the web app:
$webAppFQDN = "<nameofwebapp>.azurewebsite.net"

# For Application Gateway: both name, resource group and name for the backend pool to create:
$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$appGwBackendPoolNameForAppSvc = "<name for backend pool to be added>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Add a new Backend Pool with App Service in there:
Add-AzApplicationGatewayBackendAddressPool -Name $appGwBackendPoolNameForAppSvc -ApplicationGateway $gw -BackendFqdns $webAppFQDN

# Update Application Gateway with the new added Backend Pool:
Set-AzApplicationGateway -ApplicationGateway $gw

Editar configurações de HTTP para o Serviço de Aplicativo

Portal do Azure

É necessária uma configuração HTTP que instrui o Gateway de Aplicativo a acessar o back-end do Serviço de Aplicativo usando o nome de domínio personalizado. Por padrão, a Configuração HTTP usará a investigação de integridade padrão. Enquanto as investigações de integridade padrão encaminham solicitações com o nome do host no qual o tráfego é recebido, as investigações de integridade utilizarão 127.0.0.1 como o nome do host para o Pool de Back-end, pois nenhum nome de host foi definido explicitamente. Por esse motivo, é preciso criar uma investigação de integridade personalizada configurada com o nome de domínio personalizado correto como seu nome de host.

Nós nos conectaremos ao back-end usando HTTPS.

1. Em Configurações HTTP, selecione uma configuração HTTP existente ou adicione uma nova.
2. Ao criar uma nova Configuração HTTP, dê a ela um nome
3. Selecione HTTPS como o protocolo de back-end desejado usando a porta 443
4. Se o certificado for assinado por uma autoridade conhecida, selecione "Sim" para "Certificado de autoridade de certificação conhecido pelo usuário". Como alternativa, defina Adicionar os certificados de autenticação/certificados raiz confiáveis dos servidores de back-end
5. Certifique-se de definir "Substituir por novo nome de host" como "Não"
6. Selecione a investigação de integridade HTTPS personalizada no menu suspenso para "Investigação personalizada".

Azure portal

É necessária uma Configuração HTTP que instrui o Gateway de Aplicativo a acessar o back-end do Serviço de Aplicativo usando o nome de domínio ("azurewebsites.net") padrão. Para fazer isso, a Configuração HTTP substituirá explicitamente o nome do host.

1. Em Configurações HTTP, selecione uma configuração HTTP existente ou adicione uma nova.
2. Ao criar uma nova Configuração HTTP, dê a ela um nome
3. Selecione HTTPS como o protocolo de back-end desejado usando a porta 443
4. Se o certificado for assinado por uma autoridade conhecida, selecione "Sim" para "Certificado de autoridade de certificação conhecido pelo usuário". Como alternativa, defina Adicionar os certificados de autenticação/certificados raiz confiáveis dos servidores de back-end
5. Certifique-se de definir "Substituir por novo nome de host" como "Sim"
6. Em "Substituição do nome do host", selecione "Escolher nome do host do destino de back-end". Essa configuração fará com que a solicitação do Serviço de Aplicativo use o nome do host "azurewebsites.net", conforme configurado no Pool de Back-end.

PowerShell

# Configure Application Gateway to connect to App Service using the incoming hostname
$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$customProbeName = "<name for custom health probe>"
$customDomainName = "<FQDN for custom domain associated with App Service>"
$httpSettingsName = "<name for http settings to be created>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Add custom health probe using custom domain name:
Add-AzApplicationGatewayProbeConfig -Name $customProbeName -ApplicationGateway $gw -Protocol Https -HostName $customDomainName -Path "/" -Interval 30 -Timeout 120 -UnhealthyThreshold 3
$probe = Get-AzApplicationGatewayProbeConfig -Name $customProbeName -ApplicationGateway $gw

# Add HTTP Settings to use towards App Service:
Add-AzApplicationGatewayBackendHttpSettings -Name $httpSettingsName -ApplicationGateway $gw -Protocol Https -Port 443 -Probe $probe -CookieBasedAffinity Disabled -RequestTimeout 30

# Update Application Gateway with the new added HTTP settings and probe:
Set-AzApplicationGateway -ApplicationGateway $gw

PowerShell

# Configure Application Gateway to connect to backend using default App Service hostname
$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$httpSettingsName = "<name for http settings to be created>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Add HTTP Settings to use towards App Service:
Add-AzApplicationGatewayBackendHttpSettings -Name $httpSettingsName -ApplicationGateway $gw -Protocol Https -Port 443 -PickHostNameFromBackendAddress -CookieBasedAffinity Disabled -RequestTimeout 30

# Update Application Gateway with the new added HTTP settings and probe:
Set-AzApplicationGateway -ApplicationGateway $gw

Configurar um ouvinte HTTP

Para aceitar o tráfego, precisamos configurar um ouvinte. Para obter mais informações sobre isso, consulte Configuração do ouvinte do Gateway de Aplicativo.

Portal do Azure

1. Abra a seção "Ouvintes" e escolha "Adicionar ouvinte" ou clique em um existente para editar
2. Para um novo ouvinte: dê a ele um nome
3. Em "IP de front-end", selecione o endereço IP a ser escutado
4. Em "Porta", selecione 443
5. Em "Protocolo", selecione "HTTPS"
6. Em "Escolher um certificado", selecione "Escolher um certificado de Key Vault". Para obter mais informações, consulte Usando o Key Vault, onde você encontra mais informações sobre como atribuir uma identidade gerenciada e fornecê-la com direitos ao seu Key Vault.
   1. Dê um nome ao certificado
   2. Selecionar a identidade gerenciada
   3. Selecione o Key Vault de onde obter o certificado
   4. Selecionar o certificado
7. Em "Tipo de ouvinte", selecione "Básico"
8. Clique em "Adicionar" para adicionar o ouvinte

Azure portal

Supondo que não haja nenhum domínio personalizado disponível ou certificado associado, configuraremos o Gateway de Aplicativo para escutar o tráfego HTTP na porta 80. Como alternativa, confira as instruções de como Criar um certificado autoassinado

1. Abra a seção "Ouvintes" e escolha "Adicionar ouvinte" ou clique em um existente para editar
2. Para um novo ouvinte: dê a ele um nome
3. Em "IP de front-end", selecione o endereço IP a ser escutado
4. Em "Porta", selecione 80
5. Em "Protocolo", selecione "HTTP"

PowerShell

# This script assumes that:
# - a certificate was imported in Azure Key Vault already
# - a managed identity was assigned to Application Gateway with access to the certificate
# - there is no HTTP listener defined yet for HTTPS on port 443

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$appGwSSLCertificateName = "<name for ssl cert to be created within Application Gateway"
$appGwSSLCertificateKeyVaultSecretId = "<key vault secret id for the SSL certificate to use>"
$httpListenerName = "<name for the listener to add>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Create SSL certificate object for Application Gateway:
Add-AzApplicationGatewaySslCertificate -Name $appGwSSLCertificateName -ApplicationGateway $gw -KeyVaultSecretId $appGwSSLCertificateKeyVaultSecretId
$sslCert = Get-AzApplicationGatewaySslCertificate -Name $appGwSSLCertificateName -ApplicationGateway $gw

# Fetch public ip associated with Application Gateway:
$ipAddressResourceId = $gw.FrontendIPConfigurations.PublicIPAddress.Id
$ipAddressResource = Get-AzResource -ResourceId $ipAddressResourceId
$publicIp = Get-AzPublicIpAddress -ResourceGroupName $ipAddressResource.ResourceGroupName -Name $ipAddressResource.Name

$frontendIpConfig = $gw.FrontendIpConfigurations | Where-Object {$_.PublicIpAddress -ne $null}

$port = New-AzApplicationGatewayFrontendPort -Name "port_443" -Port 443
Add-AzApplicationGatewayFrontendPort -Name "port_443" -ApplicationGateway $gw -Port 443
Add-AzApplicationGatewayHttpListener -Name $httpListenerName -ApplicationGateway $gw -Protocol Https -FrontendIPConfiguration $frontendIpConfig -FrontendPort $port -SslCertificate $sslCert

# Update Application Gateway with the new HTTPS listener:
Set-AzApplicationGateway -ApplicationGateway $gw

PowerShell

Em muitos casos, um ouvinte público para HTTP na porta 80 já existirá. O script abaixo criará um se esse ainda não for o caso.

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$httpListenerName = "<name for the listener to add if not exists yet>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Check if HTTP listener on port 80 already exists:
$port = $gw.FrontendPorts | Where-Object {$_.Port -eq 80}
$listener = $gw.HttpListeners | Where-Object {$_.Protocol.ToString().ToLower() -eq "http" -and $_.FrontendPort.Id -eq $port.Id}

if ($listener -eq $null){
    $frontendIpConfig = $gw.FrontendIpConfigurations | Where-Object {$_.PublicIpAddress -ne $null}
    Add-AzApplicationGatewayHttpListener -Name $httpListenerName -ApplicationGateway $gw -Protocol Http -FrontendIPConfiguration $frontendIpConfig -FrontendPort $port

    # Update Application Gateway with the new HTTPS listener:
    Set-AzApplicationGateway -ApplicationGateway $gw
}

Configurar uma regra de roteamento de solicitação

Usando o pool de back-end configurado anteriormente e as configurações HTTP, a regra de roteamento de solicitação pode ser configurada para pegar o tráfego de um ouvinte e encaminhá-lo para o pool de back-end usando as configurações HTTP. Para isso, certifique-se de que você tenha um ouvinte HTTP ou HTTPS disponível que ainda não está vinculado a uma regra de roteamento existente.

Azure portal

1. Em "Regras", clique para adicionar uma nova "Regra de roteamento de solicitação"
2. Forneça a regra com um nome
3. Selecione um ouvinte HTTP ou HTTPS que ainda não está vinculado a uma regra de roteamento existente
4. Em "Destinos de back-end", escolha o pool de back-end em que o Serviço de Aplicativo foi configurado
5. Defina as configurações HTTP com as quais o Gateway de Aplicativo deve se conectar ao back-end do Serviço de Aplicativo
6. Selecione "Adicionar" para salvar esta configuração

PowerShell

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$httpListenerName = "<name for existing http listener (without rule) to route traffic from>"
$httpSettingsName = "<name for http settings to use>"
$appGwBackendPoolNameForAppSvc = "<name for backend pool to route to>"
$reqRoutingRuleName = "<name for request routing rule to be added>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Get HTTP Settings:
$httpListener = Get-AzApplicationGatewayHttpListener -Name $httpListenerName -ApplicationGateway $gw
$httpSettings = Get-AzApplicationGatewayBackendHttpSettings -Name $httpSettingsName -ApplicationGateway $gw
$backendPool = Get-AzApplicationGatewayBackendAddressPool -Name $appGwBackendPoolNameForAppSvc -ApplicationGateway $gw

# Add routing rule:
Add-AzApplicationGatewayRequestRoutingRule -Name $reqRoutingRuleName -ApplicationGateway $gw -RuleType Basic -BackendHttpSettings $httpSettings -HttpListener $httpListener -BackendAddressPool $backendPool

# Update Application Gateway with the new routing rule:
Set-AzApplicationGateway -ApplicationGateway $gw

Testando

Antes de fazermos isso, certifique-se de que a integridade do back-end seja mostrada como íntegra:

Portal do Azure

Abra a seção "Integridade do back-end" e verifique se a coluna "Status" indica a combinação de Configuração HTTP e Pool de back-end como "Íntegra".

Agora, navegue até o aplicativo Web usando o endereço IP do Gateway de Aplicativo ou o nome DNS associado para o endereço IP. Ambos podem ser encontrados na página "Visão geral" do Gateway de Aplicativo como uma propriedade em "Essentials". Como alternativa, o recurso Endereço IP público também mostra o endereço IP e o nome DNS associado.

Preste atenção à seguinte lista não completa de possíveis sintomas ao testar o aplicativo:

• redirecionamentos apontando para ".azurewebsites.net" diretamente em vez de para o Gateway de Aplicativo
• isso inclui redirecionamentos de autenticação que tentam acessar ".azurewebsites.net" diretamente
• cookies com limite de domínio que não estão sendo passados para o back-end
• isso inclui o uso da configuração de "Afinidade do ARR" no Serviço de Aplicativo

As condições acima (explicadas mais detalhadamente no Centro de arquitetura) indicarão que o seu aplicativo Web não lida bem com a reescrita do nome do host. Isso é comumente visto. A maneira recomendada de lidar com isso é seguir as instruções de configuração do Gateway de Aplicativo com o Serviço de Aplicativo usando um domínio personalizado. Consulte também: Solucionar problemas do serviço de aplicativo no Gateway de Aplicativo.

Azure portal

Abra a seção "Integridade do back-end" e verifique se a coluna "Status" indica a combinação de Configuração HTTP e Pool de back-end como "Íntegra".

Agora, navegue até o aplicativo Web usando o domínio personalizado que você associou ao Gateway de Aplicativo e ao Serviço de Aplicativo no back-end.

PowerShell

Verifique se a integridade de back-end referente ao back-end e às Configurações HTTP aparece como "Íntegra":

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Check health:
Get-AzApplicationGatewayBackendHealth -ResourceGroupName $rgName -Name $appGwName

Para testar a configuração, solicitaremos conteúdo do Serviço de Aplicativo por meio do Gateway de Aplicativo usando o domínio personalizado:

$customDomainName = "<FQDN for custom domain pointing to Application Gateway>"
Invoke-WebRequest $customDomainName

PowerShell

Verifique se a integridade de back-end referente ao back-end e às Configurações HTTP aparece como "Íntegra":

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Check health:
Get-AzApplicationGatewayBackendHealth -ResourceGroupName $rgName -Name $appGwName

Para testar a configuração, solicitaremos conteúdo do Serviço de Aplicativo por meio do Gateway de Aplicativo usando o endereço IP:

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Get ip address:
$ipAddressResourceId = $gw.FrontendIPConfigurations.PublicIPAddress.Id
$ipAddressResource = Get-AzResource -ResourceId $ipAddressResourceId
$publicIp = Get-AzPublicIpAddress -ResourceGroupName $ipAddressResource.ResourceGroupName -Name $ipAddressResource.Name
Write-Host "Public ip address for Application Gateway is $($publicIp.IpAddress)"
Invoke-WebRequest "http://$($publicIp.IpAddress)"

Preste atenção à seguinte lista não completa de possíveis sintomas ao testar o aplicativo:

• redirecionamentos apontando para ".azurewebsites.net" diretamente em vez de para o Gateway de Aplicativo
• isso inclui redirecionamentos de Autenticação de Serviço de Aplicativo que tentam acessar ".azurewebsites.net" diretamente
• cookies com limite de domínio que não estão sendo passados para o back-end
• isso inclui o uso da configuração de "Afinidade do ARR" no Serviço de Aplicativo

As condições acima (explicadas mais detalhadamente no Centro de arquitetura) indicarão que o seu aplicativo Web não lida bem com a reescrita do nome do host. Isso é comumente visto. A maneira recomendada de lidar com isso é seguir as instruções de configuração do Gateway de Aplicativo com o Serviço de Aplicativo usando um domínio personalizado. Consulte também: Solucionar problemas do serviço de aplicativo no Gateway de Aplicativo.

Restringir acesso

Os aplicativos Web implantados nesses exemplos usam endereços IP públicos que podem ser acessados diretamente da internet. Isso ajuda com solução de problemas quando você estiver aprendendo sobre um novo recurso e tentar novas coisas. Mas se você pretende implantar um recurso na produção, você desejará adicionar mais restrições. Considere as seguintes opções:

• Configure Regras de restrição de acesso baseadas nos pontos de extremidade de serviço. Isso permite que você bloqueie o acesso de entrada ao aplicativo para garantir que o endereço de origem seja do Gateway de Aplicativo.
• Use Restrições de IP estático do Serviço de Aplicativo do Azure. Por exemplo, você pode restringir o aplicativo web para que ele só recebe tráfego de gateway de aplicativo. Use o recurso de restrição de IP de serviço de aplicativo para listar o VIP do gateway de aplicativo como o único endereço com o acesso.