Tutorial: Configure an Application Gateway with TLS termination using the Azure portal

You can use the Azure portal to configure an application gateway with a certificate for TLS termination that uses virtual machines for backend servers.

Neste tutorial, você aprenderá a:

• Criar um certificado autoassinado
• Create an application gateway with the certificate
• Create the virtual machines used as backend servers
• Testar o portal de aplicações

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Observação

Recomendamos que utilize o módulo do Azure Az PowerShell para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Pré-requisitos

• Uma assinatura do Azure

Criar um certificado autoassinado

In this section, you use New-SelfSignedCertificate to create a self-signed certificate. You upload the certificate to the Azure portal when you create the listener for the application gateway.

On your local computer, open a Windows PowerShell window as an administrator. Run the following command to create the certificate:

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

You should see something like this response:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Use Export-PfxCertificate with the Thumbprint that was returned to export a pfx file from the certificate. Os algoritmos PFX suportados estão listados na função PFXImportCertStore. Make sure your password is 4 - 12 characters long:

$pwd = ConvertTo-SecureString -String <your password> -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Iniciar sessão no Azure

Inicie sessão no portal Azure.

Criar um gateway de aplicação

1. No menu do portal do Azure, selecione + Criar um recurso>Rede>Gateway de Aplicação, ou procure por Gateway de Aplicação na caixa de pesquisa do portal.

2. Selecione Criar.

Basics tab

1. On the Basics tab, enter or select these values:

   • Grupo de recursos: Selecione myResourceGroupAG para o grupo de recursos. Se ele não existir, selecione Criar novo para criá-lo.

   • Nome do gateway de aplicativo: digite myAppGateway para o nome do gateway de aplicativo.

     

2. Para que o Azure se comunique entre os recursos que você cria, ele precisa de uma rede virtual. Você pode criar uma nova rede virtual ou usar uma existente. Neste exemplo, você criará uma nova rede virtual ao mesmo tempo em que cria o gateway de aplicativo. As instâncias do Application Gateway são criadas em sub-redes separadas. Você cria duas sub-redes neste exemplo: uma para o gateway de aplicativo e outra para os servidores back-end.

   Em Configurar rede virtual, crie uma nova rede virtual selecionando Criar nova. Na janela Criar rede virtual que se abre, insira os seguintes valores para criar a rede virtual e duas sub-redes:

   • Nome: Digite myVNet para o nome da rede virtual.

   • Subnet name (Application Gateway subnet): The Subnets grid will show a subnet named Default. Altere o nome desta sub-rede para myAGSubnet.
     The application gateway subnet can contain only application gateways. Não são permitidos outros recursos.

   • Subnet name (backend server subnet): In the second row of the Subnets grid, enter myBackendSubnet in the Subnet name column.

   • Address range (backend server subnet): In the second row of the Subnets Grid, enter an address range that doesn't overlap with the address range of myAGSubnet. For example, if the address range of myAGSubnet is 10.0.0.0/24, enter 10.0.1.0/24 for the address range of myBackendSubnet.

   Selecione OK para fechar a janela Criar rede virtual e salvar as configurações de rede virtual.

   

3. Na guia Noções básicas, aceite os valores padrão para as outras configurações e selecione Avançar: Front-ends.

Frontends tab

1. No separador Frontends, verifique se o tipo de endereço IP Frontend está definido como Público.
   Você pode configurar o IP do Frontend para ser Público ou Privado de acordo com seu caso de uso. Neste exemplo, você escolherá um IP de Frontend Público.

   Observação

   Para a SKU do Application Gateway v2, pode-se apenas escolher configuração IP de frontend pública. A configuração de IP de frontend privado não está habilitada no momento para este SKU v2.

2. Choose Add new for the Public IP address and enter myAGPublicIPAddress for the public IP address name, and then select OK.

   

3. Select Next: Backends.

Backends tab

O pool de back-end é usado para rotear solicitações para os servidores de back-end que atendem à solicitação. Backend pools can be composed of NICs, virtual machine scale sets, public IPs, internal IPs, fully qualified domain names (FQDN), and multitenant backends like Azure App Service. In this example, you'll create an empty backend pool with your application gateway and then add backend targets to the backend pool.

1. Na guia Back-ends, selecione Adicionar um pool de back-ends.

2. Na janela Adicionar um pool de back-end que se abre, insira os seguintes valores para criar um pool de back-end vazio:

   • Nome: insira myBackendPool para o nome do pool de back-end.
   • Adicionar um pool de back-end sem destinos: selecione Sim para criar um pool de back-end sem destinos. You'll add backend targets after creating the application gateway.

3. Na janela Adicionar um pool de back-end, selecione Adicionar para salvar a configuração do pool de back-end e retornar à guia Back-ends.

   

4. Na guia Back-ends, selecione Next: Configuration.

Aba de Configurações

Na guia Configuração, você conectará o pool de front-end e back-end criado usando uma regra de roteamento.

1. Selecione Adicionar uma regra de roteamento na coluna Regras de roteamento.

2. Na janela Adicionar uma regra de roteamento que é aberta, digite myRoutingRule para o nome da regra.

3. A routing rule requires a listener. Na guia Ouvinte na janela Adicionar uma regra de roteamento, insira os seguintes valores para o ouvinte:

   • Nome do ouvinte: digite myListener para o nome do ouvinte.
   • IP Frontend: Selecione Público para escolher o IP público que você criou para o frontend.
   • Protocol: Select HTTPS.
   • Port: Verify 443 is entered for the port.

   Under HTTPS Settings:

   • Choose a certificate - Select Upload a certificate.

   • PFX certificate file - Browse to and select the c:\appgwcert.pfx file that you create earlier.

   • Certificate name - Type mycert1 for the name of the certificate.

   • Password - Type the password you used to create the certificate.

     Accept the default values for the other settings on the Listener tab, then select the Backend targets tab to configure the rest of the routing rule.

   

4. On the Backend targets tab, select myBackendPool for the Backend target.

5. For the HTTP setting, select Add new to create a new HTTP setting. A configuração HTTP determinará o comportamento da regra de roteamento. In the Add a HTTP setting window that opens, enter myHTTPSetting for the HTTP setting name. Accept the default values for the other settings in the Add a HTTP setting window, then select Add to return to the Add a routing rule window.

   

6. Na janela Adicionar uma regra de roteamento, selecione Adicionar para salvar a regra de roteamento e retornar à guia Configuração.

   

7. Selecione Seguinte: Etiquetas e, em seguida, Seguinte: Rever + criar.

Review + create tab

Revise as configurações na guia Revisar + criar e selecione Criar para criar a rede virtual, o endereço IP público e o gateway de aplicativo. Pode levar vários minutos para o Azure criar o gateway de aplicativo. Aguarde até que a implantação seja concluída com êxito antes de passar para a próxima seção.

Add backend targets

Neste exemplo, você usará máquinas virtuais como back-end de destino. Você pode usar máquinas virtuais existentes ou criar novas. Você criará duas máquinas virtuais que o Azure usa como servidores back-end para o gateway de aplicativo.

Para fazer isso, você:

1. Crie duas novas VMs, myVM e myVM2, para serem usadas como servidores back-end.
2. Instale o IIS nas máquinas virtuais para verificar se o gateway de aplicativo foi criado com êxito.
3. Adicione os servidores de back-end ao pool de back-end.

Criar uma máquina virtual

1. From the Azure portal menu, select + Create a resource>Compute>Windows Server 2016 Datacenter, or search for Windows Server in the portal search box and select Windows Server 2016 Datacenter.

2. Selecione Criar.

   O Application Gateway pode rotear o tráfego para qualquer tipo de máquina virtual usada em seu pool de back-end. Neste exemplo, você usa um Windows Server 2016 Datacenter.

3. Insira estes valores no separador Basicos para as seguintes configurações de máquina virtual:

   • Grupo de recursos: Selecione myResourceGroupAG para o nome do grupo de recursos.
   • Nome da máquina virtual: insira myVM para o nome da máquina virtual.
   • Nome de usuário: insira um nome para o nome de usuário do administrador.
   • Password: Enter a password for the administrator account.

4. Aceite os outros padrões e selecione Avançar: Discos.

5. Aceite os padrões da guia Discos e selecione Avançar: Rede.

6. Na guia Rede, verifique se myVNet está selecionado para a rede virtual e se a Sub-rede está definida como myBackendSubnet. Aceite os outros padrões e selecione Avançar: Gerenciamento.

   O Application Gateway pode se comunicar com instâncias fora da rede virtual em que está, mas você precisa garantir que haja conectividade IP.

7. Na guia Gerenciamento, defina Diagnóstico de inicialização como Desabilitar. Aceite os outros padrões e selecione Revisar + criar.

8. No separador Rever + criar, reveja as definições, corrija quaisquer erros de validação e, em seguida, selecione Criar.

9. Aguarde a conclusão da implantação antes de continuar.

Instalar o IIS para teste

Neste exemplo, você instala o IIS nas máquinas virtuais apenas para verificar se o Azure criou o gateway de aplicativo com êxito.

1. Abra o Azure PowerShell. Para fazer isso, selecione Cloud Shell na barra de navegação superior do portal do Azure e, em seguida, selecione PowerShell na lista suspensa.

   

2. Change the location setting for your environment, and then run the following command to install IIS on the virtual machine:

          Set-AzVMExtension `
            -ResourceGroupName myResourceGroupAG `
            -ExtensionName IIS `
            -VMName myVM `
            -Publisher Microsoft.Compute `
            -ExtensionType CustomScriptExtension `
            -TypeHandlerVersion 1.4 `
            -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
            -Location <location>
   

3. Crie uma segunda máquina virtual e instale o IIS usando as etapas concluídas anteriormente. Use myVM2 for the virtual machine name and for the VMName setting of the Set-AzVMExtension cmdlet.

Add backend servers to backend pool

1. Selecione Todos os recursos e, em seguida, selecione myAppGateway.

2. Selecione Pools de servidor no menu à esquerda.

3. Selecione myBackendPool.

4. Under Target type, select Virtual machine from the drop-down list.

5. Under Target, select the network interface under myVM from the drop-down list.

6. Repeat to add the network interface for myVM2.

   

7. Selecione Guardar.

8. Aguarde a conclusão da implantação antes de prosseguir para a próxima etapa.

Testar o portal de aplicações

1. Selecione Todos os recursos e, em seguida, selecione myAGPublicIPAddress.

   

2. In the address bar of your browser, type https://<your application gateway ip address>.

   To accept the security warning if you used a self-signed certificate, select Details (or Advanced on Chrome) and then go on to the webpage:

   

   O site IIS protegido é apresentado como no exemplo seguinte:

   

Limpeza de recursos

Quando não for mais necessário, exclua o grupo de recursos e todos os recursos relacionados. Para fazer isso, selecione o grupo de recursos e selecione Excluir grupo de recursos.

Próximos passos

Neste tutorial, você:

• Created a self-signed certificate
• Created an application gateway with the certificate

To learn more about Application Gateway TLS support, see end to end TLS with Application Gateway and Application Gateway TLS policy.

To learn how to create and configure an Application Gateway to host multiple web sites using the Azure portal, advance to the next tutorial.

Host multiple sites