Dela via


Självstudie: Konfigurera en Application Gateway med TLS-avslutning med hjälp av Azure-portalen

Du kan använda Azure-portalen för att konfigurera en programgateway med ett certifikat för TLS-avslutning som använder virtuella datorer för serverdelsservrar.

I den här självstudien lär du dig att:

  • Skapa ett självsignerat certifikat
  • Skapa en programgateway med certifikatet
  • Skapa de virtuella datorer som används som serverdelsservrar
  • Testa programgatewayen

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Information om hur du kommer igång finns i Installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Förutsättningar

  • En Azure-prenumeration

Skapa ett självsignerat certifikat

I det här avsnittet använder du New-SelfSignedCertificate för att skapa ett självsignerat certifikat. Du laddar upp certifikatet till Azure-portalen när du skapar lyssnaren för programgatewayen.

Öppna ett Windows PowerShell-fönster som administratör på den lokala datorn. Kör följande kommando för att skapa certifikatet:

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

Du bör se något som liknar det här svaret:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Använd Export-PfxCertificate med tumavtrycket som returnerades för att exportera en pfx-fil från certifikatet. Pfx-algoritmerna som stöds visas i PFXImportCertStore-funktionen. Kontrollera att lösenordet är 4–12 tecken långt:

$pwd = ConvertTo-SecureString -String <your password> -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Logga in på Azure

Logga in på Azure-portalen.

Skapa en programgateway

  1. På Menyn i Azure-portalen väljer du + Skapa en resurs>Nätverksprogramgateway> eller söker efter Application Gateway i sökrutan i portalen.

  2. Välj Skapa.

Fliken Grundläggande

  1. På fliken Grundläggande anger eller väljer du följande värden:

    • Resursgrupp: Välj myResourceGroupAG för resursgruppen. Om den inte finns väljer du Skapa ny för att skapa den.

    • Namn på programgateway: Ange myAppGateway som namn på programgatewayen.

      Skärmbild av att skapa en ny grund för application gateway.

  2. För att Azure ska kunna kommunicera mellan resurserna som du skapar krävs ett virtuellt nätverk. Du kan antingen skapa ett nytt virtuellt nätverk eller använda ett befintligt nätverk. I det här exemplet skapar du ett nytt virtuellt nätverk samtidigt som du skapar programgatewayen. Application Gateway-instanser skapas i separata undernät. Du skapar två undernät i det här exemplet: ett för programgatewayen och ett för backend-servrarna.

    Under Konfigurera virtuellt nätverk skapar du ett nytt virtuellt nätverk genom att välja Skapa nytt. I fönstret Skapa virtuellt nätverk som öppnas anger du följande värden för att skapa det virtuella nätverket och två undernät:

    • Namn: Ange myVNet som namn på det virtuella nätverket.

    • Undernätsnamn (Application Gateway-undernät): Undernätsrutnätet visar ett undernät med namnet Standard. Ändra namnet på det här undernätet till myAGSubnet.
      Undernätet för en programgateway kan endast innehålla programgatewayer. Inga andra resurser är tillåtna.

    • Undernätsnamn (serverdelsserverundernät): På den andra raden i rutnätet Undernät anger du myBackendSubnet i kolumnen Undernätsnamn .

    • Adressintervall (serverdelsserverundernät): På den andra raden i undernätsrutnätet anger du ett adressintervall som inte överlappar adressintervallet för myAGSubnet. Om adressintervallet för myAGSubnet till exempel är 10.0.0.0/24 anger du 10.0.1.0/24 för adressintervallet för myBackendSubnet.

    Välj OK för att stänga fönstret Skapa virtuellt nätverk och spara inställningarna för det virtuella nätverket.

    Skärmbild av hur du skapar ett nytt virtuellt programgatewaynätverk.

  3. På fliken Grundläggande accepterar du standardvärdena för de andra inställningarna och väljer sedan Nästa: Klientdelar.

Fliken Klientdelar

  1. På fliken Klientdelar kontrollerar du att IP-adresstypen för klientdelen är inställd på Offentlig.
    Du kan konfigurera klientdels-IP-adressen så att den är offentlig eller privat enligt ditt användningsfall. I det här exemplet väljer du en offentlig klientdels-IP- adress.

    Kommentar

    För Application Gateway v2 SKU kan du bara välja OFFENTLIG IP-klientdels-IP-konfiguration. Ip-konfigurationen för den privata klientdelen är för närvarande inte aktiverad för den här V2-SKU:n.

  2. Välj Lägg till ny för den offentliga IP-adressen och ange myAGPublicIPAddress som namn på den offentliga IP-adressen och välj sedan OK.

    Skärmbild av hur du skapar en ny klientdel för programgateway.

  3. Välj Nästa: Serverdelar.

Fliken Serverdelar

Serverdelspoolen används för att dirigera begäranden till serverdelsservrarna som hanterar begäran. Serverdelspooler kan bestå av nätverkskort, vm-skalningsuppsättningar, offentliga IP-adresser, interna IP-adresser, fullständigt kvalificerade domännamn (FQDN) och serverdelar för flera klientorganisationer som Azure App Service. I det här exemplet skapar du en tom serverdelspool med din programgateway och lägger sedan till serverdelsmål i serverdelspoolen.

  1. På fliken Serverdelar väljer du Lägg till en serverdelspool.

  2. I fönstret Lägg till en serverdelspool som öppnas anger du följande värden för att skapa en tom serverdelspool:

    • Namn: Ange myBackendPool som namn på serverdelspoolen.
    • Lägg till serverdelspool utan mål: Välj Ja om du vill skapa en serverdelspool utan mål. Du lägger till serverdelsmål när du har skapat programgatewayen.
  3. I fönstret Lägg till en serverdelspool väljer du Lägg till för att spara serverdelspoolens konfiguration och återgå till fliken Serverdelar.

    Skärmbild av att skapa en ny programgatewayserverdel.

  4. På fliken Serverdelar väljer du Nästa: Konfiguration.

Konfigurationsflik

På fliken Konfiguration ansluter du klientdels- och serverdelspoolen som du skapade med hjälp av en routningsregel.

  1. Välj Lägg till en routningsregel i kolumnen Routningsregler .

  2. I fönstret Lägg till en routningsregel som öppnas anger du myRoutingRule som regelnamn.

  3. En routningsregel kräver en lyssnare. På fliken Lyssnare i fönstret Lägg till en routningsregel anger du följande värden för lyssnaren:

    • Lyssnarnamn: Ange myListener som namnet på lyssnaren.
    • Klientdels-IP: Välj Offentlig för att välja den offentliga IP-adress som du skapade för klientdelen.
    • Protokoll: Välj HTTPS.
    • Port: Kontrollera att 443 har angetts för porten.

    Under HTTPS-inställningar:

    • Välj ett certifikat – Välj Ladda upp ett certifikat.

    • PFX-certifikatfil – Bläddra till och välj filen c:\appgwcert.pfx som du skapade tidigare.

    • Certifikatnamn – Ange mycert1 som namnet på certifikatet.

    • Lösenord – Ange lösenordet som du använde för att skapa certifikatet.

      Acceptera standardvärdena för de andra inställningarna på fliken Lyssnare och välj sedan fliken Serverdelsmål för att konfigurera resten av routningsregeln.

    Skärmbild av hur du skapar en ny programgatewaylyssnare.

  4. På fliken Serverdelsmål väljer du myBackendPool som serverdelsmål.

  5. För HTTP-inställningen väljer du Lägg till ny för att skapa en ny HTTP-inställning. HTTP-inställningen avgör beteendet för routningsregeln. I fönstret Lägg till en HTTP-inställning som öppnas anger du myHTTPSetting som HTTP-inställningsnamn. Acceptera standardvärdena för de andra inställningarna i fönstret Lägg till en HTTP-inställning och välj sedan Lägg till för att återgå till fönstret Lägg till en routningsregel .

    Skärmbild av att lägga till H T T P-inställningen från konfigurationsfliken i Skapa ny Application Gateway

  6. I fönstret Lägg till en routningsregel väljer du Lägg till för att spara routningsregeln och återgår till fliken Konfiguration .

    Skärmbild av hur du skapar en ny routningsregel för application gateway.

  7. Välj Nästa: Taggar och sedan Nästa: Granska + skapa.

Fliken Granska + skapa

Granska inställningarna på fliken Granska + skapa och välj sedan Skapa för att skapa det virtuella nätverket, den offentliga IP-adressen och programgatewayen. Det kan ta flera minuter för Azure att skapa programgatewayen. Vänta tills distributionen har slutförts innan du går vidare till nästa avsnitt.

Lägga till serverdelsmål

I det här exemplet använder du virtuella datorer som målserverdel. Du kan antingen använda befintliga virtuella datorer eller skapa nya. Du skapar två virtuella datorer som Azure använder som serverdelsservrar för programgatewayen.

För att göra detta gör du följande:

  1. Skapa två nya virtuella datorer, myVM och myVM2, som ska användas som serverdelsservrar.
  2. Installera IIS på de virtuella datorerna för att verifiera att programgatewayen har skapats.
  3. Lägg till serverdelsservrarna i serverdelspoolen.

Skapa en virtuell dator

  1. På Menyn i Azure-portalen väljer du + Skapa en resurs>Compute>Windows Server 2016 Datacenter eller söker efter Windows Server i portalsökningsrutan och väljer Windows Server 2016 Datacenter.

  2. Välj Skapa.

    Application Gateway kan dirigera trafik till alla typer av virtuella datorer som används i dess serverdelspool. I det här exemplet använder du ett Windows Server 2016 Datacenter.

  3. Ange dessa värden på fliken Grundläggande inställningar för följande inställningar för virtuella datorer:

    • Resursgrupp: Välj myResourceGroupAG som resursgruppsnamn.
    • Namn på virtuell dator: Ange myVM som namn på den virtuella datorn.
    • Användarnamn: Ange ett namn för administratörens användarnamn.
    • Lösenord: Ange ett lösenord för administratörskontot.
  4. Acceptera de andra standardvärdena och välj sedan Nästa: Diskar.

  5. Acceptera standardinställningarna för fliken Diskar och välj sedan Nästa: Nätverk.

  6. På fliken Nätverk kontrollerar du att myVNet har valts för Virtuellt nätverk och att Undernät är inställt på myBackendSubnet. Acceptera de andra standardvärdena och välj sedan Nästa: Hantering.

    Application Gateway kan kommunicera med instanser utanför det virtuella nätverk som det finns i, men du måste se till att det finns EN IP-anslutning.

  7. På fliken Hantering anger du Startdiagnostik till Inaktivera. Acceptera de övriga standardinställningarna och välj sedan Granska + skapa.

  8. Gå igenom inställningarna på fliken Granska + skapa och åtgärda eventuella verifieringsfel och välj sedan Skapa.

  9. Vänta tills distributionen är klar innan du fortsätter.

Installera IIS för testning

I det här exemplet installerar du endast IIS på de virtuella datorerna för att verifiera att Azure har skapat programgatewayen.

  1. Öppna Azure PowerShell. Det gör du genom att först välja Cloud Shell i det övre navigeringsfältet på Azure-portalen och sedan välja PowerShell i listrutan.

    Skärmbild av installation av anpassat tillägg.

  2. Ändra platsinställningen för din miljö och kör sedan följande kommando för att installera IIS på den virtuella datorn:

           Set-AzVMExtension `
             -ResourceGroupName myResourceGroupAG `
             -ExtensionName IIS `
             -VMName myVM `
             -Publisher Microsoft.Compute `
             -ExtensionType CustomScriptExtension `
             -TypeHandlerVersion 1.4 `
             -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
             -Location <location>
    
  3. Skapa en andra virtuell dator och installera IIS genom att följa stegen som du utförde tidigare. Använd myVM2 för namnet på den virtuella datorn och för VMName-inställningen för cmdleten Set-AzVMExtension.

Lägga till serverdelsservrar i serverdelspoolen

  1. Välj Alla resurser och välj sedan myAppGateway.

  2. Välj Serverdelspooler på den vänstra menyn.

  3. Välj myBackendPool.

  4. Under Måltyp väljer du Virtuell dator i listrutan.

  5. Under Mål väljer du nätverksgränssnittet under myVM i listrutan.

  6. Upprepa för att lägga till nätverksgränssnittet för myVM2.

    Skärmbild av att lägga till serverdelsservrar.

  7. Välj Spara.

  8. Vänta tills distributionen har slutförts innan du fortsätter till nästa steg.

Testa programgatewayen

  1. Välj Alla resurser och välj sedan myAGPublicIPAddress.

    Skärmbild av att hitta den offentliga IP-adressen för programgatewayen.

  2. I webbläsarens adressfält skriver du https://< dår ip-adress> för programgatewayen.

    Om du vill acceptera säkerhetsvarningen om du använde ett självsignerat certifikat väljer du Information (eller Avancerat i Chrome) och går sedan vidare till webbsidan:

    Skärmbild av en webbläsarsäkerhetsvarning.

    Din skyddade IIS-webbplats visas sedan som i exemplet nedan:

    Skärmbild av testning av bas-URL:en i programgatewayen.

Rensa resurser

Ta bort resursgruppen och alla relaterade resurser när den inte längre behövs. Om du vill göra det väljer du resursgruppen och väljer Ta bort resursgrupp.

Nästa steg

I den här kursen får du:

  • Skapade ett självsignerat certifikat
  • Skapade en programgateway med certifikatet

Mer information om TLS-stöd för Application Gateway finns i TLS från slutpunkt till slutpunkt med Application Gateway och Application Gateway TLS-princip.

Om du vill lära dig hur du skapar och konfigurerar en Application Gateway som värd för flera webbplatser med hjälp av Azure-portalen går du vidare till nästa självstudie.