Управление веб-трафиком с помощью шлюза приложений и Azure CLI
Шлюз приложений используется для контроля и защиты веб-трафика, поступающего на обслуживаемые вами серверы. Azure CLI можно использовать для создания шлюза приложений, использующего масштабируемый набор виртуальных машин для внутренних серверов. В этом примере масштабируемый набор содержит два экземпляра виртуальных машин. Масштабируемый набор добавляется в серверный пул шлюза приложений по умолчанию.
Вы узнаете, как выполнять следующие задачи:
- Настройка сети
- Создание Шлюза приложений
- Создание масштабируемого набора виртуальных машин с серверным пулом по умолчанию
При необходимости эти инструкции можно выполнить с помощью Azure PowerShell.
Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.
Необходимые компоненты
Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Bash в Azure Cloud Shell.
Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.
Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.
Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.
Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.
- Для работы с этим учебником требуется Azure CLI версии 2.0.4 или более поздней. Если вы используете Azure Cloud Shell, последняя версия уже установлена.
Создание или изменение группы ресурсов
Группа ресурсов — это логический контейнер, в котором происходит развертывание ресурсов Azure и управление ими. Создайте группу ресурсов, используя команду az group create.
В следующем примере создается группа ресурсов с именем myResourceGroupAG в расположении eastus.
az group create --name myResourceGroupAG --location eastus
Создание сетевых ресурсов
Создайте виртуальную сеть с именем myVNet и подсеть myAGSubnet с помощью команды az network vnet create. Затем можно добавить подсеть с именем myBackendSubnet , необходимую серверным серверам, с помощью az network vnet subnet create. Создайте общедоступный IP-адрес с именем myAGPublicIPAddress, используя команду az network public-ip create.
az network vnet create \
--name myVNet \
--resource-group myResourceGroupAG \
--location eastus \
--address-prefix 10.0.0.0/16 \
--subnet-name myAGSubnet \
--subnet-prefix 10.0.1.0/24
az network vnet subnet create \
--name myBackendSubnet \
--resource-group myResourceGroupAG \
--vnet-name myVNet \
--address-prefix 10.0.2.0/24
az network public-ip create \
--resource-group myResourceGroupAG \
--name myAGPublicIPAddress \
--allocation-method Static \
--sku Standard
Создание Шлюза приложений
Выполните команду az network application-gateway create, чтобы создать шлюз приложений myAppGateway. При создании шлюза приложений с помощью Azure CLI укажите такие сведения о конфигурации, как емкость, номер SKU и параметры HTTP. Шлюз приложений назначается подсети myAGSubnet и адресу myPublicIPAddressddress, созданным ранее.
az network application-gateway create \
--name myAppGateway \
--location eastus \
--resource-group myResourceGroupAG \
--vnet-name myVNet \
--subnet myAGsubnet \
--capacity 2 \
--sku Standard_v2 \
--http-settings-cookie-based-affinity Disabled \
--frontend-port 80 \
--http-settings-port 80 \
--http-settings-protocol Http \
--public-ip-address myAGPublicIPAddress \
--priority 100
Создание шлюза приложений может занять несколько минут. Когда шлюз приложений будет создан, вы увидите такие новые функции:
- appGatewayBackendPool — шлюз приложений должен иметь по крайней мере один внутренний пул адресов.
- appGatewayBackendHttpSettings — указывает, что для обмена данными используются порт 80 и протокол HTTP.
- appGatewayHttpListener — прослушиватель по умолчанию, связанный с appGatewayBackendPool.
- appGatewayFrontendIP — назначает адрес myAGPublicIPAddress для прослушивателя appGatewayHttpListener.
- rule1 — правило маршрутизации по умолчанию, связанное с прослушивателем appGatewayHttpListener.
Создание масштабируемого набора виртуальных машин
В этом примере создается масштабируемый набор виртуальных машин, предоставляющий серверные пулы в шлюзе приложений. Виртуальные машины в масштабируемом наборе связаны с подсетью myBackendSubnet и пулом appGatewayBackendPool. Чтобы создать масштабируемый набор, выполните команду az vmss create.
az vmss create \
--name myvmss \
--resource-group myResourceGroupAG \
--image Ubuntu2204 \
--admin-username azureuser \
--admin-password Azure123456! \
--instance-count 2 \
--vnet-name myVNet \
--subnet myBackendSubnet \
--vm-sku Standard_DS2 \
--upgrade-policy-mode Automatic \
--app-gateway myAppGateway \
--backend-pool-name appGatewayBackendPool
Установка nginx
Теперь можно установить NGINX в масштабируемом наборе виртуальных машин, чтобы проверить подключение HTTP к внутреннему пулу.
az vmss extension set \
--publisher Microsoft.Azure.Extensions \
--version 2.0 \
--name CustomScript \
--resource-group myResourceGroupAG \
--vmss-name myvmss \
--settings '{ "fileUris": ["https://raw.githubusercontent.com/Azure/azure-docs-powershell-samples/master/application-gateway/iis/install_nginx.sh"], "commandToExecute": "./install_nginx.sh" }'
Тестирование шлюза приложений
Чтобы получить общедоступный IP-адрес шлюза приложений, используйте команду az network public-ip show. Скопируйте общедоступный IP-адрес и вставьте его в адресную строку браузера.
az network public-ip show \
--resource-group myResourceGroupAG \
--name myAGPublicIPAddress \
--query [ipAddress] \
--output tsv
Очистка ресурсов
При необходимости вы можете удалить группу ресурсов, шлюз приложений и все связанные ресурсы.
az group delete --name myResourceGroupAG --location eastus
Следующие шаги
Ограничение веб-трафика с помощью брандмауэра веб-приложения