Habilitar TLS de entrada no aplicativo para um aplicativo
Nota
Azure Spring Apps é o novo nome para o serviço Azure Spring Cloud. Embora o serviço tenha um novo nome, você verá o nome antigo em alguns lugares por um tempo enquanto trabalhamos para atualizar ativos, como capturas de tela, vídeos e diagramas.
Este artigo aplica-se a:❌ Basic ✔️ Standard ✔️ Enterprise
Nota
Este recurso não está disponível no plano Básico.
Este artigo descreve comunicações seguras no Azure Spring Apps. O artigo também explica como habilitar o SSL/TLS de entrada no aplicativo para proteger o tráfego de um controlador de entrada para aplicativos que suportam HTTPS.
A imagem a seguir mostra o suporte geral de comunicação segura no Azure Spring Apps.
Modelo de comunicação seguro no Azure Spring Apps
Esta seção explica o modelo de comunicação segura mostrado no diagrama de visão geral acima.
A solicitação do cliente do cliente para o aplicativo no Azure Spring Apps entra no controlador de entrada. A solicitação pode ser HTTP ou HTTPS. O certificado TLS retornado pelo controlador de entrada é emitido pela CA emissora de TLS do Microsoft Azure.
Se o aplicativo tiver sido mapeado para um domínio personalizado existente e estiver configurado apenas como HTTPS, a solicitação para o controlador de entrada só poderá ser HTTPS. O certificado TLS retornado pelo controlador de entrada é o certificado de vinculação SSL para esse domínio personalizado. A verificação SSL/TLS do lado do servidor para o domínio personalizado é feita no controlador de entrada.
A comunicação segura entre o controlador de entrada e os aplicativos no Azure Spring Apps é controlada pelo TLS de entrada no aplicativo. Você também pode controlar a comunicação através do portal ou CLI, que será explicado mais adiante neste artigo. Se o TLS de entrada no aplicativo estiver desabilitado, a comunicação entre o controlador de entrada e os aplicativos no Azure Spring Apps será HTTP. Se o TLS de entrada no aplicativo estiver habilitado, a comunicação será HTTPS e não terá relação com a comunicação entre os clientes e o controlador de entrada. O controlador de entrada não verificará o certificado retornado dos aplicativos porque o TLS de entrada no aplicativo criptografa a comunicação.
A comunicação entre os aplicativos e os serviços do Azure Spring Apps é sempre HTTPS e tratada pelo Azure Spring Apps. Esses serviços incluem o servidor de configuração, o registro de serviço e o servidor Eureka.
Você gerencia a comunicação entre os aplicativos. Você também pode aproveitar os recursos do Azure Spring Apps para carregar certificados no repositório confiável do aplicativo. Para obter mais informações, consulte Usar certificados TLS/SSL em um aplicativo.
Você gerencia a comunicação entre aplicativos e serviços externos. Para reduzir seu esforço de desenvolvimento, o Azure Spring Apps ajuda você a gerenciar seus certificados públicos e os carrega no repositório confiável do seu aplicativo. Para obter mais informações, consulte Usar certificados TLS/SSL em um aplicativo.
Habilitar TLS de entrada no aplicativo para um aplicativo
A seção a seguir mostra como habilitar SSL/TLS de entrada no aplicativo para proteger o tráfego de um controlador de entrada para aplicativos que suportam HTTPS.
Pré-requisitos
- Uma instância implantada do Azure Spring Apps. Siga nosso início rápido na implantação por meio da CLI do Azure para começar.
- Se você não estiver familiarizado com o TLS de entrada no aplicativo, consulte o exemplo de TLS de ponta a ponta.
- Para carregar com segurança os certificados necessários em aplicativos Spring Boot, você pode usar spring-cloud-azure-starter-keyvault-certificates.
Habilitar TLS de entrada no aplicativo em um aplicativo existente
Use o comando az spring app update --enable-ingress-to-app-tls
para habilitar ou desabilitar o TLS de entrada no aplicativo para um aplicativo.
az spring app update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app update --enable-ingress-to-app-tls false -n app_name -s service_name -g resource_group_name
Habilite o TLS de entrada no aplicativo quando você vincula um domínio personalizado
Use o comando az spring app custom-domain update --enable-ingress-to-app-tls
ou para habilitar ou az spring app custom-domain bind --enable-ingress-to-app-tls
desabilitar o TLS de entrada no aplicativo para um aplicativo.
az spring app custom-domain update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app custom-domain bind --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
Habilitar TLS de entrada no aplicativo usando o portal do Azure
Para habilitar o TLS de entrada no aplicativo no portal do Azure, primeiro crie um aplicativo e, em seguida, habilite o recurso.
- Crie um aplicativo no portal como faria normalmente. Navegue até ele no portal.
- Role para baixo até o grupo Configurações no painel de navegação esquerdo.
- Selecione TLS de entrada no aplicativo.
- Mude o TLS de entrada no aplicativo para Sim.
Verificar o status do TLS de entrada no aplicativo
Use o comando az spring app show
para verificar o valor de enableEndToEndTls
.
az spring app show -n app_name -s service_name -g resource_group_name