本文討論如何在已使用內部負載平衡器的虛擬網路內新增 Azure 應用程式閘道,讓因特網存取 Microsoft Azure 雲端服務(外延支援)更安全。 將 應用程式閘道 新增至此案例可提供下列優點:
從公用因特網,流量只能透過 應用程式閘道 到達 雲端服務(外延支援)。
在虛擬網路中,此設計不會封鎖因特網流量。
您可以新增額外的功能,例如 Azure Web 應用程式防火牆 (WAF) 來提供更安全的因特網流量存取。
一般來說,應用程式閘道 是國際標準化組織(ISO)開放系統互連(OSI)參考模型第 7 層服務。 您可以使用 應用程式閘道 進行負載平衡、WAF 和其他用途。
必要條件
執行中 雲端服務 實例(外延支援)。
虛擬網路。
設定為與虛擬網路內 雲端服務(外延支援)通訊的內部負載平衡器。 如需如何設定內部負載平衡器以使用 雲端服務(外延支援),請參閱將虛擬網路的存取權授與 Azure 雲端服務(外延支援)。
內部負載平衡器組態
下列 Azure 入口網站 影像顯示使用因特網指派號碼授權單位 (IANA) 保留為私人因特網 IP 位址的前端 IP 位址10.0.3.200的範例負載平衡器環境。 此組態表示負載平衡器供內部使用。
負載平衡器前端IP組態
![Azure 入口網站 Azure 雲端服務 內部負載平衡器 [前端 IP 組態] 頁面的螢幕快照(外延支援)。](media/allow-internet-traffic-cses-application-gateway/load-balancer-frontend-ip-configuration.png)
負載平衡器後端集區
![Azure 入口網站 Azure 雲端服務 內部負載平衡器 [後端集區] 頁面的螢幕快照(外延支援)。](media/allow-internet-traffic-cses-application-gateway/load-balancer-backend-pools.png)
負載平衡器健康情況探查
![Azure 入口網站 Azure 雲端服務 內部負載平衡器 [健康情況探查] 頁面的螢幕快照(外延支援)。](media/allow-internet-traffic-cses-application-gateway/load-balancer-health-probes.png)
負載平衡規則
![Azure 入口網站 Azure 雲端服務 內部負載平衡器 [負載平衡規則] 頁面的螢幕快照(外延支援)。](media/allow-internet-traffic-cses-application-gateway/load-balancing-rules.png)
![Azure 入口網站 Azure 雲端服務 內部負載平衡器 [前端 IP 組態] 頁面的螢幕快照(外延支援)。](media/allow-internet-traffic-cses-application-gateway/load-balancer-frontend-ip-configuration.png#lightbox)
![Azure 入口網站 Azure 雲端服務 內部負載平衡器 [後端集區] 頁面的螢幕快照(外延支援)。](media/allow-internet-traffic-cses-application-gateway/load-balancer-backend-pools.png#lightbox)
![Azure 入口網站 Azure 雲端服務 內部負載平衡器 [健康情況探查] 頁面的螢幕快照(外延支援)。](media/allow-internet-traffic-cses-application-gateway/load-balancer-health-probes.png#lightbox)
![Azure 入口網站 Azure 雲端服務 內部負載平衡器 [負載平衡規則] 頁面的螢幕快照(外延支援)。](media/allow-internet-traffic-cses-application-gateway/load-balancing-rules.png#lightbox)
網路流量架構
在將虛擬網路唯一存取權授與 Azure 雲端服務(外延支援)一文中,您會瞭解如何設定和限制對 雲端服務 的存取權(外延支援),以便使用內部負載平衡器只與特定虛擬網路通訊。 不過,您可以使用應用程式閘道,讓與 雲端服務(外延支援)通訊更安全,而不需要完全封鎖來自公用因特網的流量。 下圖顯示新增應用程式閘道之後的網路架構。
在此圖表中,虛線方塊中顯示的元件位於虛擬網路內。 公用因特網位於方塊外。 由於 雲端服務 (擴充支援) 只會與內部負載平衡器通訊,因此會封鎖通過公用負載平衡器的流量。 在此案例中,若要能夠瀏覽裝載於 雲端服務(外延支援)的網站,您必須使用另一個服務作為跳躍方塊,將流量轉送至 雲端服務(外延支援)。 該服務是應用程式閘道。
流量流程如下所示:
> >
應用程式閘道設定指導方針
注意
為了讓程式更容易遵循,本節只會說明流量轉送的基本功能。 如果需要其他功能,請參閱Microsoft網站上的其他文章。 (例如,若要搭配 HTTPS 流量使用 應用程式閘道,請參閱使用 TLS 終止設定 應用程式閘道。或者,若要將 WAF 設定套用至 應用程式閘道,請參閱什麼是 azure Web 應用程式防火牆 Azure 應用程式閘道?)
下列各節概述應用程式閘道組態的各個層面。
前端公用IP位址
下列 Azure 入口網站 螢幕快照來自應用程式閘道的 [概觀] 頁面。 在 [ 前端公用 IP 位址 ] 欄位中, 值為 172.191.12.201。
後端集區
在應用程式閘道的 [ 編輯後端集 區] 頁面上,確定 [後端目標 ] 資料表包含具有下列域值的專案:
| 欄位 | 值 |
|---|---|
| 目標類型 | IP 位址或 FQDN |
| Target | 您在內部負載平衡器 [前端 IP 組態] 頁面上指定的 IP 位址 |
在下列 Azure 入口網站 螢幕快照中,後端目標是 10.0.3.200 IP 位址。 這符合內部負載平衡器前端IP組態螢幕快照中指定的內容。
![Azure 入口網站 應用程式閘道 [編輯後端集區] 頁面的螢幕快照。](media/allow-internet-traffic-cses-application-gateway/application-gateway-backend-pool.png#lightbox)
後端設定
除了後端集區之外,您必須設定另一個後端設定來控制如何轉送流量。 在下列 Azure 入口網站 螢幕快照中,會在應用程式閘道的 [新增後端] 設定頁面中指定使用埠 80 的簡單 HTTP 流量組態。 如果 雲端服務(擴充支援)正在接聽另一個埠,例如埠 700,則應用程式網關應設定為 700 的後埠設定。
![Azure 入口網站 應用程式閘道 [新增後端設定] 頁面的螢幕快照。](media/allow-internet-traffic-cses-application-gateway/application-gateway-add-backend-setting.png#lightbox)
接聽程式
在應用程式閘道的特定接聽程式頁面上,您可以指定公用因特網用來將流量傳送至 雲端服務 的應用程式閘道埠(外延支援)。 在下列 Azure 入口網站 螢幕快照中,埠 8080 是在 [埠] 欄位中指定。 當公用因特網中的用戶嘗試與 雲端服務 通訊時(外延支援),他們必須使用埠 8080 將流量傳送至應用程式閘道。 您仍然可以指定埠 80,但此處顯示 8080,以說明應用程式閘道接聽埠可能不同於 雲端服務(擴充支援)接聽埠。
![Azure 入口網站 應用程式閘道 [接聽程式] 頁面的螢幕快照。](media/allow-internet-traffic-cses-application-gateway/application-gateway-listener.png#lightbox)
規則
最後一個步驟是建立應用程式閘道規則,結合您為後端集區、後端設定和接聽程式指定的組態。 在規則的 [ 接聽程式] 索引標籤上,選取您先前定義的接聽程式名稱(在此範例中為 cses-httplistener)。
![Azure 入口網站 應用程式閘道路由規則中 [接聽程式] 索引標籤的螢幕快照。](media/allow-internet-traffic-cses-application-gateway/application-gateway-routing-rule-listener.png#lightbox)
在規則的 [後端目標] 索引標籤上,選取 [後端集區的目標類型],然後選取您先前針對 [後端目標] 和 [後端設定] 列表定義的名稱(cses-backendpool 和 appgwtest-cses)。
![Azure 入口網站 應用程式閘道路由規則中 [後端目標] 索引標籤的螢幕快照。](media/allow-internet-traffic-cses-application-gateway/application-gateway-routing-rule-backend-targets.png#lightbox)
預期的結果
開啟網頁瀏覽器以測試應用程式閘道是否正常運作。 在網址列中,輸入您在應用程式閘道中定義的前端IP位址、冒號和接聽程式埠(172.191.12.201:8080),然後選取 Enter。 瀏覽器應該會成功顯示您要裝載於 雲端服務 的應用程式首頁(外延支援)。
雲端服務 中的自動調整和負載平衡(外延支援)
在本文中,您會在 Azure 中同時實作兩個不同的負載平衡服務:負載平衡器和應用程式網關。 此重複可能會導致網路層級流量的效能小幅降低。 不過,如果您在 雲端服務 中使用自動調整功能,雙負載平衡服務會很有説明(外延支援)。
如果您只在網路流量架構中使用應用程式閘道,應用程式閘道必須將每個 雲端服務 (擴充支援) 實例的私人IP位址新增至後端集區。 如果 雲端服務(擴充支持)實例相應放大(增加實例數目),新的實例會使用新的私人IP位址。 然後,您必須手動將這些新實例新增至應用程式閘道的後端集區。 如果您也使用負載平衡器,您可以消除這種不便。