练习 - 为加密配置应用程序网关侦听器
现在,你已为 Azure 应用程序网关和后端池配置了证书,你可以创建一个侦听器,用于处理传入的请求。 侦听器会等待消息、使用私钥解密消息,然后将消息路由到后端池。
在本单元中,你将使用 443 端口和在第一个练习中创建的 SSL 证书来设置侦听器。 下图突出显示你将在本练习中设置的元素。
配置侦听器
运行以下命令,为网关创建新的前端端口 (443):
az network application-gateway frontend-port create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name https-port \ --port 8443上传应用程序网关的 SSL 证书。 安装脚本在上一个练习中生成了此证书。 证书存储在“server-config”文件夹中的“appgateway.pfx”文件中。
为 .pfx 文件生成的密码为“somepassword”。 请勿在以下命令中更改它。
az network application-gateway ssl-cert create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name appgateway-cert \ --cert-file server-config/appgateway.pfx \ --cert-password somepassword运行以下命令,新建一个用于接受 443 端口的传入流量的侦听器。 侦听器使用“appgateway-cert”证书来解密消息。
az network application-gateway http-listener create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name https-listener \ --frontend-port https-port \ --ssl-cert appgateway-cert运行以下命令,创建将通过新侦听器接收的流量定向到后端池的规则。 完成此命令可能需要一到两分钟的时间。
az network application-gateway rule create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name https-rule \ --address-pool ap-backend \ --http-listener https-listener \ --http-settings https-settings \ --rule-type Basic \ --priority 102
测试应用程序网关
检索应用程序网关的公共 URL。
echo https://$(az network public-ip show \ --resource-group $rgName \ --name appgwipaddr \ --query ipAddress \ --output tsv)在 Web 浏览器中转到 URL。
与之前一样,浏览器可能会显示一条警告消息,说明 SSL 连接正在使用未经身份验证的证书。 显示此警告是因为证书是自签名的。 你可以忽略此警告,继续访问网站。
验证系统是否显示传送门户的主页。
你已经将侦听器配置为:侦听 443 端口,并解密准备传送到后端池的数据。 数据从网关传输到后端池中的服务器时,会得到重新加密。 设置好该侦听器,也就是已为传送门户设置了端到端加密。
可根据需要删除这些资源。 删除你在本模块中创建的所有资源的最简单方法是直接删除资源组。