Dela via

Tutorial: Configure an Application Gateway with TLS termination using the Azure portal

You can use the Azure portal to configure an application gateway with a certificate for TLS termination that uses virtual machines for backend servers.

I den här tutorialen lär du dig följande:

  • Skapa ett självsignerat certifikat
  • Skapa en programgateway med certifikatet
  • Skapa de virtuella datorer som används som back-end-servrar
  • Testa programgatewayen

Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Anmärkning

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i Migrera Azure PowerShell från AzureRM till Az.

Förutsättningar

  • En prenumeration på Azure

Skapa ett självsignerat certifikat

In this section, you use New-SelfSignedCertificate to create a self-signed certificate. You upload the certificate to the Azure portal when you create the listener for the application gateway.

On your local computer, open a Windows PowerShell window as an administrator. Run the following command to create the certificate:

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

You should see something like this response:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Use Export-PfxCertificate with the Thumbprint that was returned to export a pfx file from the certificate. The supported PFX algorithms are listed at PFXImportCertStore function. Make sure your password is 4 - 12 characters long:

$pwd = ConvertTo-SecureString -String <your password> -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Logga in på Azure

Logga in på Azure-portalen.

Skapa en applikationsgateway

  1. På menyn i Azure-portalen väljer du + Skapa en resurs>Nätverk>Applikationsgateway eller söker efter Application Gateway i sökrutan i portalen.

  2. Välj Skapa.

Grundläggande-fliken

  1. On the Basics tab, enter or select these values:

    • Resursgrupp: Välj myResourceGroupAG för resursgruppen. Om den inte finns väljer du Skapa ny för att skapa den.

    • Namn på programgateway: Ange myAppGateway som namn på programgatewayen.

      Screenshot of creating a new application gateway basics.

  2. För att Azure ska kunna kommunicera mellan resurserna som du skapar krävs ett virtuellt nätverk. Du kan antingen skapa ett nytt virtuellt nätverk eller använda ett befintligt nätverk. I det här exemplet skapar du ett nytt virtuellt nätverk samtidigt som du skapar programgatewayen. Application Gateway-instanser skapas i separata undernät. Du skapar två undernät i det här exemplet: ett för programgatewayen och ett för backend-servrarna.

    Under Konfigurera virtuellt nätverk skapar du ett nytt virtuellt nätverk genom att välja Skapa nytt. I fönstret Skapa virtuellt nätverk som öppnas anger du följande värden för att skapa det virtuella nätverket och två undernät:

    • Namn: Ange myVNet som namn på det virtuella nätverket.

    • Subnet name (Application Gateway subnet): The Subnets grid will show a subnet named Default. Ändra namnet på det här undernätet till myAGSubnet.
      Undernätet för en programgateway kan endast innehålla programgatewayer. Inga andra resurser är tillåtna.

    • Undernätsnamn (backend-serverunderät): På den andra raden i Undernät-rutnätet anger du myBackendSubnet i kolumnen Undernätsnamn.

    • Address range (backend server subnet): In the second row of the Subnets Grid, enter an address range that doesn't overlap with the address range of myAGSubnet. Om adressintervallet för myAGSubnet till exempel är 10.0.0.0/24 anger du 10.0.1.0/24 för adressintervallet för myBackendSubnet.

    Välj OK för att stänga fönstret Skapa virtuellt nätverk och spara inställningarna för det virtuella nätverket.

    Screenshot of creating a new application gateway virtual network.

  3. På fliken Grundläggande accepterar du standardvärdena för de andra inställningarna och väljer sedan Nästa: Klientdelar.

Frontends tab

  1. På fliken Klientdelar kontrollerar du att IP-adresstypen för klientdelen är inställd på Offentlig.
    Du kan konfigurera klientdels-IP-adressen så att den är offentlig eller privat enligt ditt användningsfall. I det här exemplet väljer du en offentlig klientdels-IP- adress.

    Anmärkning

    For the Application Gateway v2 SKU, you can only choose Public frontend IP configuration. Private frontend IP configuration is currently not enabled for this v2 SKU.

  2. Välj Lägg till ny för den offentliga IP-adressen och ange myAGPublicIPAddress som namn på den offentliga IP-adressen och välj sedan OK.

    Screenshot of creating a new application gateway frontends.

  3. Välj Nästa: Backends.

Backends tab

Serverdelspoolen används för att dirigera begäranden till serverdelsservrarna som hanterar begäran. Backend pools can be composed of NICs, virtual machine scale sets, public IPs, internal IPs, fully qualified domain names (FQDN), and multitenant backends like Azure App Service. I det här exemplet skapar du en tom bakomliggande pool med din programgateway och lägger sedan till mål för den bakomliggande poolen.

  1. På fliken Serverdelar väljer du Lägg till en serverdelspool.

  2. I fönstret Lägg till en serverdelspool som öppnas anger du följande värden för att skapa en tom serverdelspool:

    • Namn: Ange myBackendPool som namn på serverdelspoolen.
    • Lägg till serverdelspool utan mål: Välj Ja om du vill skapa en serverdelspool utan mål. Du lägger till backend-mål när du har skapat applikationsgatewayen.

  3. I fönstret Lägg till en serverdelspool väljer du Lägg till för att spara serverdelspoolens konfiguration och återgå till fliken Serverdelar.

    Screenshot of create a new application gateway backends.

  4. På fliken Serverdelar väljer du Nästa: Konfiguration.

Konfigurationsflik

På fliken Konfiguration ansluter du klientdels- och serverdelspoolen som du skapade med hjälp av en routningsregel.

  1. Välj Lägg till en routningsregel i kolumnen Routningsregler .

  2. I fönstret Lägg till en routningsregel som öppnas anger du myRoutingRule som regelnamn.

  3. En routningsregel kräver en lyssnare. På fliken Lyssnare i fönstret Lägg till en routningsregel anger du följande värden för lyssnaren:

    • Lyssnarnamn: Ange myListener som namnet på lyssnaren.
    • Klientdels-IP: Välj Offentlig för att välja den offentliga IP-adress som du skapade för klientdelen.
    • Protocol: Select HTTPS.
    • Port: Verify 443 is entered for the port.

    Under HTTPS Settings:

    • Choose a certificate - Select Upload a certificate.

    • PFX certificate file - Browse to and select the c:\appgwcert.pfx file that you create earlier.

    • Certificate name - Type mycert1 for the name of the certificate.

    • Password - Type the password you used to create the certificate.

      Acceptera standardvärdena för de andra inställningarna på fliken Lyssnare och välj sedan fliken Serverdelsmål för att konfigurera resten av routningsreglerna.

    Screenshot of create a new application gateway listener.

  4. På fliken Serverdelsmål väljer du myBackendPool som serverdelsmål.

  5. For the HTTP setting, select Add new to create a new HTTP setting. HTTP-inställningen avgör beteendet för routningsregeln. In the Add a HTTP setting window that opens, enter myHTTPSetting for the HTTP setting name. Accept the default values for the other settings in the Add a HTTP setting window, then select Add to return to the Add a routing rule window.

    Screenshot of Adding H T T P setting from the configuration tab of Create new Application Gateway

  6. I fönstret Lägg till en routningsregel väljer du Lägg till för att spara routningsregeln och återgår till fliken Konfiguration .

    Screenshot of creating a new application gateway routing rule.

  7. Välj Nästa: Taggar och sedan Nästa: Granska + skapa.

Granska + skapa flik

Granska inställningarna på fliken Granska + skapa och välj sedan Skapa för att skapa det virtuella nätverket, den offentliga IP-adressen och programgatewayen. Det kan ta flera minuter för Azure att skapa programgatewayen. Vänta tills distributionen har slutförts framgångsrikt innan du går vidare till nästa avsnitt.

Lägg till backend-mål

In this example, you'll use virtual machines as the target backend. Du kan antingen använda befintliga virtuella datorer eller skapa nya. Du skapar två virtuella datorer som Azure använder som back-end-servrar för applikationsgatewayen.

För att göra detta gör du följande:

  1. Skapa två nya virtuella datorer, myVM och myVM2, som ska användas som serverdelsservrar.
  2. Installera IIS på de virtuella datorerna för att verifiera att programgatewayen har skapats.
  3. Lägg till backendservrarna i backendpoolen.

Skapa en virtuell dator

  1. From the Azure portal menu, select + Create a resource>Compute>Windows Server 2016 Datacenter, or search for Windows Server in the portal search box and select Windows Server 2016 Datacenter.

  2. Välj Skapa.

    Application Gateway kan dirigera trafik till alla typer av virtuella datorer som används i dess serverdelspool. I det här exemplet använder du ett Windows Server 2016 Datacenter.

  3. Ange dessa värden på fliken Grundläggande inställningar för följande inställningar för virtuella datorer:

    • Resursgrupp: Välj myResourceGroupAG som resursgruppsnamn.
    • Namn på virtuell dator: Ange myVM som namn på den virtuella datorn.
    • Användarnamn: Ange ett namn för administratörens användarnamn.
    • Password: Enter a password for the administrator account.

  4. Acceptera de andra standardvärdena och välj sedan Nästa: Diskar.

  5. Acceptera standardinställningarna för fliken Diskar och välj sedan Nästa: Nätverk.

  6. På fliken Nätverk kontrollerar du att myVNet har valts för Virtuellt nätverk och att Undernät är inställt på myBackendSubnet. Acceptera de andra standardvärdena och välj sedan Nästa: Hantering.

    Application Gateway kan kommunicera med instanser utanför det virtuella nätverk som det finns i, men du måste se till att det finns EN IP-anslutning.

  7. På fliken Hantering anger du Startdiagnostik till Inaktivera. Acceptera övriga standardinställningar och välj sedan Granska + skapa.

  8. Gå igenom inställningarna på fliken Granska + skapa och åtgärda eventuella verifieringsfel och välj sedan Skapa.

  9. Vänta tills distributionen har slutförts innan du fortsätter.

Installera IIS för testning

I det här exemplet installerar du endast IIS på de virtuella datorerna för att verifiera att Azure har skapat programgatewayen.

  1. Öppna Azure PowerShell. Det gör du genom att först välja Cloud Shell i det övre navigeringsfältet på Azure-portalen och sedan välja PowerShell i listrutan.

    Screenshot of installing custom extension.

  2. Change the location setting for your environment, and then run the following command to install IIS on the virtual machine:

           Set-AzVMExtension `
         -ResourceGroupName myResourceGroupAG `
         -ExtensionName IIS `
         -VMName myVM `
         -Publisher Microsoft.Compute `
         -ExtensionType CustomScriptExtension `
         -TypeHandlerVersion 1.4 `
         -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
         -Location <location>

  3. Skapa en andra virtuell dator och installera IIS genom att följa stegen som du utförde tidigare. Använd myVM2 för namnet på den virtuella datorn och för VMName-inställningen för cmdleten Set-AzVMExtension.

Lägga till backend-servrar i backend-poolen

  1. Välj Alla resurser och välj sedan myAppGateway.

  2. Välj Backend pools i den vänstra menyn.

  3. Välj myBackendPool.

  4. Under Måltyp väljer du Virtuell dator i listrutan.

  5. Under Target, select the network interface under myVM from the drop-down list.

  6. Repeat to add the network interface for myVM2.

    Screenshot of adding backend servers.

  7. Välj Spara.

  8. Vänta tills distributionen har slutförts innan du fortsätter till nästa steg.

Testa programgatewayen

  1. Välj Alla resurser och välj sedan myAGPublicIPAddress.

    Screenshot of finding the application gateway public IP address.

  2. In the address bar of your browser, type https://<your application gateway ip address>.

    To accept the security warning if you used a self-signed certificate, select Details (or Advanced on Chrome) and then go on to the webpage:

    Screenshot of a browser security warning.

    Din skyddade IIS-webbplats visas sedan som i exemplet nedan:

    Screenshot of testing the base URL in application gateway.

Rensa resurser

Ta bort resursgruppen och alla relaterade resurser när den inte längre behövs. To do so, select the resource group and select Delete resource group.

Nästa steg

I den här handledningen kommer du att:

  • Created a self-signed certificate
  • Created an application gateway with the certificate

To learn more about Application Gateway TLS support, see end to end TLS with Application Gateway and Application Gateway TLS policy.

To learn how to create and configure an Application Gateway to host multiple web sites using the Azure portal, advance to the next tutorial.

Host multiple sites