Упражнение. Настройка прослушивателя Шлюза приложений для шифрования

  • 10 мин

Настроив сертификаты для Шлюза приложений Azure и внутреннего пула, вы можете создать прослушиватель для обработки входящих запросов. Прослушиватель ожидает сообщений, расшифровывает их с помощью закрытого ключа, а затем направляет эти сообщения в внутренний пул.

В этом уроке вы настроите прослушиватель с портом 443 и SSL-сертификатом, созданным в первом упражнении. На следующем рисунке выделены элементы, настроенные в этом упражнении.

Diagram that highlights the elements (frontend port, SSL certificate for Application Gateway, listener, and rule) created in this exercise.

Настройка прослушивателя

  1. Выполните следующую команду, чтобы создать интерфейсный порт (443) для шлюза:

    az network application-gateway frontend-port create \
  --resource-group $rgName \
  --gateway-name gw-shipping \
  --name https-port \
  --port 8443

  2. Отправьте SSL-сертификат для Шлюза приложений. Скрипт установки создал сертификат в предыдущем упражнении. Сертификат хранится в файле appgateway.pfx в папке server-config.

    Пароль, созданный для PFX-файла, — somepassword. Не изменяйте его в следующей команде.

    az network application-gateway ssl-cert create \
   --resource-group $rgName \
   --gateway-name gw-shipping \
   --name appgateway-cert \
   --cert-file server-config/appgateway.pfx \
   --cert-password somepassword

  3. Чтобы создать прослушиватель, принимающий входящий трафик через порт 443, выполните приведенную ниже команду. Для расшифровки сообщений прослушиватель использует сертификат appgateway-cert.

    az network application-gateway http-listener create \
  --resource-group $rgName \
  --gateway-name gw-shipping \
  --name https-listener \
  --frontend-port https-port \
  --ssl-cert appgateway-cert

  4. Чтобы создать правило для перенаправления трафика, принимаемого новым прослушивателем, во внутренний пул, выполните приведенную ниже команду. Выполнение команды может занять одну-две минуты.

    az network application-gateway rule create \
    --resource-group $rgName \
    --gateway-name gw-shipping \
    --name https-rule \
    --address-pool ap-backend \
    --http-listener https-listener \
    --http-settings https-settings \
    --rule-type Basic \
    --priority 102

Тестирование шлюза приложений

  1. Получите общедоступный URL-адрес шлюза приложений.

    echo https://$(az network public-ip show \
  --resource-group $rgName \
  --name appgwipaddr \
  --query ipAddress \
  --output tsv)

  2. В веб-браузере перейдите по URL-адресу.

    Как и ранее, в браузере может появиться предупреждение о том, что SSL-подключение устанавливается с использованием непроверенного сертификата. Это предупреждение отображается, так как сертификат является самозаверяющим. Это предупреждение можно проигнорировать и перейти на веб-сайт.

  3. Убедитесь в том, что открылась домашняя страница портала доставки.

Итак, вы настроили прослушиватель для приема данных через порт 443 и их расшифровки перед передачей во внутренний пул. При передаче из шлюза на сервер во внутреннем пуле данные зашифровываются повторно. Реализовав этот прослушиватель, вы настроили сквозное шифрование для портала доставки.

При необходимости эти ресурсы можно удалить. Самый простой способ удалить все ресурсы, созданные в этом модуле, — просто удалить группу ресурсов.