Aktivera ingress-to-app-TLS för ett program

Kommentar

Basic-, Standard- och Enterprise-planerna kommer att vara inaktuella från och med mitten av mars 2025, med en 3-årig pensionsperiod. Vi rekommenderar att du övergår till Azure Container Apps. Mer information finns i meddelandet om azure Spring Apps-pensionering.

Standardförbrukningen och den dedikerade planen kommer att vara inaktuell från och med den 30 september 2024, med en fullständig avstängning efter sex månader. Vi rekommenderar att du övergår till Azure Container Apps. Mer information finns i Migrera Azure Spring Apps Standard-förbrukning och dedikerad plan till Azure Container Apps.

Den här artikeln gäller för:❌ Basic ✔️ Standard ✔️ Enterprise

Kommentar

Den här funktionen är inte tillgänglig i Basic-planen.

I den här artikeln beskrivs säker kommunikation i Azure Spring Apps. Artikeln beskriver också hur du aktiverar ingress-to-app SSL/TLS för att skydda trafik från en ingresskontrollant till program som stöder HTTPS.

Följande bild visar det övergripande stödet för säker kommunikation i Azure Spring Apps.

Säker kommunikationsmodell i Azure Spring Apps

I det här avsnittet beskrivs den säkra kommunikationsmodell som visas i översiktsdiagrammet ovan.

1. Klientbegäran från klienten till programmet i Azure Spring Apps kommer in i ingresskontrollanten. Begäran kan vara antingen HTTP eller HTTPS. TLS-certifikatet som returneras av ingresskontrollanten utfärdas av den Microsoft Azure TLS-utfärdande certifikatutfärdare.

   Om appen har mappats till en befintlig anpassad domän och endast har konfigurerats som HTTPS kan begäran till ingresskontrollanten endast vara HTTPS. TLS-certifikatet som returneras av ingresskontrollanten är SSL-bindningscertifikatet för den anpassade domänen. SSL/TLS-verifieringen på serversidan för den anpassade domänen görs i ingresskontrollanten.

2. Den säkra kommunikationen mellan ingresskontrollanten och programmen i Azure Spring Apps styrs av ingress-to-app-TLS. Du kan också styra kommunikationen via portalen eller CLI, som beskrivs senare i den här artikeln. Om ingress-till-app-TLS är inaktiverat är kommunikationen mellan ingresskontrollanten och apparna i Azure Spring Apps HTTP. Om ingress-to-app-TLS är aktiverat är kommunikationen HTTPS och har ingen relation till kommunikationen mellan klienterna och ingresskontrollanten. Ingresskontrollanten verifierar inte certifikatet som returneras från apparna eftersom ingress-to-app-TLS krypterar kommunikationen.

3. Kommunikationen mellan apparna och Azure Spring Apps-tjänsterna är alltid HTTPS och hanteras av Azure Spring Apps. Sådana tjänster omfattar konfigurationsserver, tjänstregister och Eureka-server.

4. Du hanterar kommunikationen mellan programmen. Du kan också dra nytta av Azure Spring Apps-funktioner för att läsa in certifikat i programmets förtroendearkiv. Mer information finns i Använda TLS/SSL-certifikat i ett program.

5. Du hanterar kommunikationen mellan program och externa tjänster. För att minska utvecklingsinsatsen hjälper Azure Spring Apps dig att hantera dina offentliga certifikat och läsa in dem i programmets förtroendearkiv. Mer information finns i Använda TLS/SSL-certifikat i ett program.

Aktivera ingress-to-app-TLS för ett program

I följande avsnitt visas hur du aktiverar ingress-to-app SSL/TLS för att skydda trafik från en ingresskontrollant till program som stöder HTTPS.

Förutsättningar

• En distribuerad Azure Spring Apps-instans. Följ vår snabbstart om att distribuera via Azure CLI för att komma igång.
• Om du inte känner till ingress-to-app-TLS kan du läsa TLS-exemplet från slutpunkt till slutpunkt.
• Om du vill läsa in de certifikat som krävs i Spring Boot-appar på ett säkert sätt kan du använda spring-cloud-azure-starter-keyvault-certificates.

Aktivera ingress-to-app-TLS i en befintlig app

Använd kommandot az spring app update --enable-ingress-to-app-tls för att aktivera eller inaktivera ingress-to-app-TLS för en app.

az spring app update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app update --enable-ingress-to-app-tls false -n app_name -s service_name -g resource_group_name

Aktivera ingress-to-app-TLS när du binder en anpassad domän

Använd kommandot az spring app custom-domain update --enable-ingress-to-app-tls eller az spring app custom-domain bind --enable-ingress-to-app-tls för att aktivera eller inaktivera ingress-to-app-TLS för en app.

az spring app custom-domain update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app custom-domain bind --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name

Aktivera ingress-till-app-TLS med hjälp av Azure Portal

Om du vill aktivera ingress-to-app-TLS i Azure Portal skapar du först en app och aktiverar sedan funktionen.

1. Skapa en app i portalen som vanligt. Gå till den i portalen.
2. Rulla ned till gruppen Inställningar i det vänstra navigeringsfönstret.
3. Välj Ingress-to-app TLS.
4. Växla TLS för ingress till app till Ja.

Verifiera ingress-to-app-TLS-status

Använd kommandot az spring app show för att kontrollera värdet enableEndToEndTlsför .

az spring app show -n app_name -s service_name -g resource_group_name

Nästa steg

Access Config Server och Service Registry