Förstå inaktiverade lyssnare

  • Artikel

SSL/TLS-certifikaten för Azure Application Gateways lyssnare kan refereras från en kunds Key Vault-resurs. Din programgateway måste alltid ha åtkomst till en sådan länkad nyckelvalvsresurs och dess certifikatobjekt för att säkerställa smidiga åtgärder för TLS-avslutningsfunktionen och gatewayresursens övergripande hälsotillstånd.

Det är viktigt att överväga eventuella effekter på din Application Gateway-resurs när du gör ändringar eller återkallar åtkomsten till din Key Vault-resurs. Om programgatewayen inte kan komma åt det associerade nyckelvalvet eller hitta dess certifikatobjekt, förser den lyssnaren automatiskt med inaktiverat tillstånd. Åtgärden utlöses endast för konfigurationsfel. Eventuella kundfel som borttagning/inaktivering av certifikat eller förbud mot programgatewayens åtkomst via nyckelvalvets brandvägg eller behörigheter gör att den nyckelvalvsbaserade HTTPS-lyssnaren inaktiveras. Tillfälliga anslutningsproblem påverkar inte lyssnarna.

En inaktiverad lyssnare påverkar inte trafiken för andra driftlyssnare på din Application Gateway. Till exempel inaktiveras aldrig DE HTTP-lyssnare eller HTTPS-lyssnare för vilka PFX-certifikatfilen laddas upp direkt på Application Gateway-resursen.

An illustration showing affected listeners.

Periodisk kontroll och dess inverkan på lyssnare

Att förstå beteendet för Application Gateways periodiska kontroll och dess potentiella inverkan på tillståndet för en nyckelvalvsbaserad lyssnare kan hjälpa dig att föregripa sådana förekomster eller lösa dem mycket snabbare.

Hur fungerar den periodiska kontrollen?

  1. Application Gateway-instanser avsöker regelbundet nyckelvalvsresursen för att hämta en ny certifikatversion.
  2. Om instanserna i stället identifierar en bruten åtkomst till nyckelvalvsresursen eller ett certifikatobjekt som saknas under den här aktiviteten, kommer lyssnarna som är associerade med nyckelvalvet att vara inaktiverade. Instanserna uppdateras med den här inaktiverade statusen för lyssnarna inom 60 sekunder för att ge ett konsekvent dataplansbeteende.
  3. När problemet har lösts av kunden verifierar samma periodiska avsökning på fyra timmar åtkomsten till key vault-certifikatobjektet och återaktiverar automatiskt lyssnare på alla instanser av den gatewayen.

Sätt att identifiera en inaktiverad lyssnare

  1. Klienterna ser felet "ERR_SSL_UNRECOGNIZED_NAME_ALERT" om någon begäran görs till en inaktiverad lyssnare av din Application Gateway.

Screenshot of client error will look.

  1. Du kan kontrollera om klientfelet beror på en inaktiverad lyssnare på din gateway genom att kontrollera sidan Resource Health för Application Gateway enligt skärmbilden.

A screenshot of user-driven resource health.

Lösa konfigurationsfel för Key Vault

Du kan begränsa till den exakta orsaken och hitta steg för att lösa problemet genom att gå till Azure Advisor-rekommendationen i ditt konto.

  1. Logga in på Azure-portalen
  2. Välj Advisor
  3. Välj kategorin Operational Excellence (Driftskvalitet) på den vänstra menyn.
  4. Hitta rekommendationen Lös Azure Key Vault-problem för din Application Gateway (visas endast om din gateway har det här problemet). Kontrollera att rätt prenumeration har valts.
  5. Välj den för att visa felinformationen och den associerade nyckelvalvsresursen tillsammans med felsökningsguiden för att åtgärda ditt exakta problem.

Kommentar

Inaktiverade lyssnare aktiveras automatiskt om Application Gateway-resursen upptäcker att det underliggande problemet har lösts. Den här kontrollen utförs var fjärde timmes intervall. Du kan påskynda det genom att utföra eventuella mindre ändringar i Application Gateway (för HTTP-inställning, resurstaggar osv.) som framtvingar en kontroll mot Key Vault.

Nästa steg

Felsöka key vault-fel i Azure Application Gateway