Şifreleme için Application Gateway dinleyicisini yapılandırma
Azure Uygulaması lication Gateway ile arka uç havuzundaki sunucular arasındaki bağlantı için SSL'yi yapılandırdıysanız. Sevkiyat portalı için tam uçtan uca şifrelemeye ihtiyacınız vardır. Bu şifrelemeyi yapmak için istemcinin Application Gateway'e gönderdiği iletileri de şifrelemeniz gerekir.
Bir ön uç bağlantı noktası oluşturma
Application Gateway bir veya daha fazla bağlantı noktası üzerinden istekleri alır. Ağ geçidi ile HTTPS üzerinden iletişim kuruluyorsanız bir SSL bağlantı noktası yapılandırmanız gerekir. Geleneksel olarak HTTPS, 443 numaralı bağlantı noktasını kullanır. Yeni bir ön uç bağlantı noktası oluşturmak için az network application-gateway frontend-port create komutunu kullanın. Aşağıdaki örnekte 443 numaralı bağlantı noktası için bir ön uç bağlantı noktası oluşturma işlemi gösterilmektedir:
az network application-gateway frontend-port create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name my-https-port \
--port 443
Dinleyici yapılandırma
Dinleyici, belirtilen bir ön uç bağlantı noktası üzerinde ağ geçidine gelen trafiği bekler. Bu trafik daha sonra arka uç havuzundaki bir sunucuya yönlendirilir. Ön uç bağlantı noktası SSL kullanıyorsa, gelen iletilerin şifresini çözmek için kullanılacak sertifikayı belirtmeniz gerekir. Sertifika, özel anahtarı içerir.
az network application-gateway ssl-cert create komutunu kullanarak sertifikayı ekleyebilirsiniz. Sertifika dosyası PFX biçiminde olmalıdır. Bu dosya özel anahtarı içerdiği için büyük olasılıkla parola korumalı olacaktır. Aşağıdaki örnekte gösterildiği gibi, parolayı cert-password bağımsız değişkeni içinde belirtin.
az network application-gateway ssl-cert create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name shipping-ssl.crt \
--cert-file shippingportal/server-config/shipping-ssl.pfx \
--cert-password <password for certificate file>
Ardından ön uç bağlantı noktasından istekleri alan ve bu sertifikayı kullanarak şifresini çözen dinleyiciyi oluşturabilirsiniz. az network application-gateway http-listener create komutunu kullanın.
az network application-gateway http-listener create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name http-listener \
--frontend-port my-https-port \
--ssl-cert shipping-ssl.crt
Sunuculara HTTPS istekleri göndermek için bir kural tanımlama
Son adım, dinleyici aracılığıyla iletileri arka uç havuzundaki sunuculara yönlendiren bir kural oluşturmaktır. Ön uç bağlantı noktasından alınan iletilerin şifresi, dinleyici için belirtilen SSL sertifikası aracılığıyla çözülür. Arka uç havuzundaki sunucular için istemci tarafı sertifikasını kullanarak bu iletileri yeniden şifrelemeniz gerekir. Bu bilgileri kuralda tanımlarsınız.
Aşağıdaki örnekte bir dinleyiciyi arka uç havuzuna bağlayan bir kural oluşturmak için az network application-gateway rule create komutunun nasıl kullanılacağı gösterilmektedir. --http-settings parametresi, sunucular için istemci tarafı sertifikasına başvuran HTTP ayarlarını belirtir. Bu ayarları önceki ünitede oluşturmuştunuz.
az network application-gateway rule create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name app-gw-rule \
--address-pool ap-backend \
--http-listener http-listener \
--http-settings https-settings \
--rule-type Basic
--priority 101
Artık Application Gateway üzerinden yönlendirilmiş iletiler için eksiksiz bir uçtan uca şifrelemeniz olmalıdır. İstemciler, Application Gateway’in ileti göndermesi için SSL sertifikası kullanır. Application Gateway bu SSL sertifikayı kullanarak bu iletilerin şifresini çözer. Ardından, arka uç havuzundaki sunucular için sertifikayı kullanarak iletileri yeniden şifreler.