Integrace služby App Service Environment s interním nástrojem pro vyrovnávání zatížení se službou Azure Application Gateway

  • Článek

App Service Environment je nasazení služby Aplikace Azure Service v podsíti virtuální sítě Azure zákazníka. Dá se nasadit s externím nebo interním koncovým bodem pro přístup k aplikacím. Nasazení prostředí App Service s interním koncovým bodem se nazývá interní nástroj pro vyrovnávání zatížení (ILB) App Service Environment (ASE).

Firewally webových aplikací pomáhají zabezpečit webové aplikace kontrolou příchozího webového provozu, aby blokovaly injektáže SQL, skriptování mezi weby, nahrávání malwaru a útoky DDoS aplikací a další útoky. Zařízení WAF můžete získat z Azure Marketplace nebo můžete použít bránu Aplikace Azure.

Aplikace Azure Gateway je virtuální zařízení, které poskytuje vyrovnávání zatížení vrstvy 7, přesměrování zpracování TLS/SSL a ochranu firewallu webových aplikací (WAF). Může naslouchat veřejné IP adrese a směrovat provoz do koncového bodu aplikace. Následující informace popisují, jak integrovat aplikační bránu nakonfigurovanou waF s aplikací v prostředí App Service environment s interním nástrojem pro vyrovnávání zatížení.

Integrace aplikační brány s prostředím App Service s interním nástrojem pro vyrovnávání zatížení je na úrovni aplikace. Když nakonfigurujete aplikační bránu s prostředím App Service s interním nástrojem pro vyrovnávání zatížení, provádíte ji pro konkrétní aplikace ve vašem prostředí App Service s interním nástrojem pro vyrovnávání zatížení. Tato technika umožňuje hostování zabezpečených víceklientských aplikací v jednom prostředí App Service s interním nástrojem pro vyrovnávání zatížení.

Screenshot of High level integration diagram

Tento návod vám ukáže, jak:

  • Vytvořte bránu Aplikace Azure.
  • Nakonfigurujte aplikační bránu tak, aby odkazovat na aplikaci ve vašem prostředí App Service s interním nástrojem pro vyrovnávání zatížení.
  • Upravte veřejný název hostitele DNS, který odkazuje na vaši aplikační bránu.

Požadavky

Pokud chcete integrovat aplikační bránu s prostředím App Service s interním nástrojem pro vyrovnávání zatížení, potřebujete:

  • Prostředí App Service s interním nástrojem pro vyrovnávání zatížení
  • Privátní zóna DNS pro prostředí App Service s interním nástrojem pro vyrovnávání zatížení
  • Aplikace spuštěná v prostředí App Service s interním nástrojem pro vyrovnávání zatížení
  • Veřejný název DNS, který se použije později k nasměrování na vaši aplikační bránu.
  • Pokud potřebujete k aplikační bráně použít šifrování TLS/SSL, vyžaduje se platný veřejný certifikát, který se používá k vytvoření vazby k vaší aplikační bráně.

Prostředí App Service s interním nástrojem pro vyrovnávání zatížení

Podrobnosti o tom, jak vytvořit prostředí App Service s interním nástrojem pro vyrovnávání zatížení, najdete v tématu Vytvoření služby ASE na webu Azure Portal a vytvoření služby ASE pomocí šablony ARM.

  • Po vytvoření služby ASE s interním nástrojem pro vyrovnávání zatížení je <YourAseName>.appserviceenvironment.netvýchozí doména .

    Screenshot of ILB ASE Overview

  • Interní nástroj pro vyrovnávání zatížení je zřízený pro příchozí přístup. Příchozí adresu můžete zkontrolovat v IP adresách v Nastavení ASE. Privátní zónu DNS namapovanou na tuto IP adresu můžete vytvořit později.

    Screenshot of getting the inbound address from ILB ASE IP addresses settings.

Privátní zóna DNS

Pro interní překlad ip adres potřebujete privátní zónu DNS. Vytvořte ho pomocí názvu ASE pomocí sad záznamů zobrazených v následující tabulce (pokyny najdete v rychlém startu – Vytvoření privátní zóny DNS Azure pomocí webu Azure Portal).

Name Typ Hodnota
* A Příchozí adresa ASE
@ A Příchozí adresa ASE
@ SOA Název DNS ASE
*.Scm A Příchozí adresa ASE

App Service ve službě ASE s interním nástrojem pro vyrovnávání zatížení

Musíte vytvořit plán služby App Service a aplikaci ve službě ASE s interním nástrojem pro vyrovnávání zatížení. Při vytváření aplikace na portálu vyberte jako oblast vaši ase s interním nástrojem pro vyrovnávání zatížení.

Veřejný název DNS pro aplikační bránu

Pokud se chcete připojit ke službě Application Gateway z internetu, potřebujete směrovatelný název domény. V tomto případě jsem použil směrovatelný název asabuludemo.com domény a plánování připojení ke službě App Service s tímto názvem app.asabuludemo.comdomény . PO vytvoření aplikační brány musí být IP adresa namapovaná na tento název domény aplikace nastavená na veřejnou IP adresu služby Application Gateway. Když je veřejná doména namapovaná na aplikační bránu, nemusíte ve službě App Service konfigurovat vlastní doménu. Vlastní název domény si můžete koupit s doménami služby App Service.

Platný veřejný certifikát

Pro vylepšení zabezpečení se doporučuje vytvořit vazbu certifikátu TLS/SSL pro šifrování relace. K vytvoření vazby certifikátu TLS/SSL ke službě Application Gateway se vyžaduje platný veřejný certifikát s následujícími informacemi. Pomocí certifikátů služby App Service si můžete koupit certifikát TLS/SSL a exportovat ho ve formátu .pfx.

Jméno Hodnota Popis
Běžný název <yourappname>.<yourdomainname>, například: app.asabuludemo.com
nebo *.<yourdomainname>, například: *.asabuludemo.com		 Standardní certifikát nebo certifikát se zástupným znakem pro aplikační bránu
Alternativní název subjektu <yourappname>.scm.<yourdomainname>, například: app.scm.asabuludemo.com
nebo *.scm.<yourdomainname>, například: *.scm.asabuludemo.com		 Síť SAN, která umožňuje připojení ke službě App Service kudu. Pokud nechcete publikovat službu Kudu služby App Service na internetu, je to volitelné nastavení.

Soubor certifikátu by měl mít privátní klíč a uložit ho ve formátu .pfx, bude importován do aplikační brány později.

Vytvoření brány Application Gateway

Základní vytvoření aplikační brány najdete v kurzu: Vytvoření aplikační brány s firewallem webových aplikací pomocí webu Azure Portal.

V tomto kurzu pomocí webu Azure Portal vytvoříme aplikační bránu s prostředím App Service s interním nástrojem pro vyrovnávání zatížení.

Na webu Azure Portal vyberte Novou>síťovou>aplikační bránu a vytvořte aplikační bránu.

  1. Základní nastavení

    V rozevíracím seznamu vrstvy můžete vybrat Standard V2 nebo WAF V2 a povolit funkci WAF ve službě Application Gateway.

  2. Nastavení front-endů

    Vyberte typ IP adresy front-endu pro veřejné, privátní nebo obojí . Pokud jste nastavili možnost Privátní nebo Obojí, musíte přiřadit statickou IP adresu v rozsahu podsítě služby Application Gateway. V tomto případě jsme pro veřejný koncový bod nastavili veřejnou IP adresu.

    • Veřejná IP adresa – Musíte přidružit veřejnou IP adresu pro veřejný přístup ke službě Application Gateway. Zaznamenejte tuto IP adresu, musíte později přidat záznam ve službě DNS.

      Screenshot of getting a public IP address from the application gateway frontends setting.

  3. Nastavení back-endů

    Zadejte název back-endového fondu a vyberte službu App Services nebo IP adresu nebo plně kvalifikovaný název domény v cílovém typu. V tomto případě jsme nastavili službu App Services a v cílovém rozevíracím seznamu vyberte název služby App Service.

    Screenshot of adding a backend pool name in backends setting.

  4. Nastavení konfigurace

    V nastavení Konfigurace musíte přidat pravidlo směrování výběrem ikony Přidat pravidlo směrování.

    Screenshot of adding a routing rule in configuration setting.

    V pravidle směrování je potřeba nakonfigurovat cíle naslouchacího procesu a back-endu. Můžete přidat naslouchací proces HTTP pro testování konceptu nasazení nebo přidat naslouchací proces HTTPS pro vylepšení zabezpečení.

    • Pokud se chcete připojit ke službě Application Gateway pomocí protokolu HTTP, můžete vytvořit naslouchací proces s následujícím nastavením.

      Parametr Hodnota Popis
      Název pravidla Příklad: http-routingrule Název směrování
      Název naslouchacího procesu Příklad: http-listener Název naslouchacího procesu
      IP adresa front-endu Veřejná Pro přístup k internetu nastavte hodnotu Public (Veřejné).
      Protokol HTTP Nepoužívejte šifrování TLS/SSL
      Port 80 Výchozí port HTTP
      Typ naslouchacího procesu Více webů Povolit naslouchání více lokalitám ve službě Application Gateway
      Typ hostitele Vícenásobný nebo zástupný znak Pokud je typ naslouchacího procesu nastavený na více webů, nastavte na více webů nebo název webu se zástupnými vozy.
      Název hostitele Příklad: app.asabuludemo.com Nastavení na směrovatelný název domény pro Službu App Service

      Screenshot of HTTP Listener of the application gateway Routing Rule.

    • Pokud se chcete připojit k aplikační bráně pomocí šifrování TLS/SSL, můžete vytvořit naslouchací proces s následujícím nastavením.

      Parametr Hodnota Popis
      Název pravidla Příklad: https-routingrule Název směrování
      Název naslouchacího procesu Příklad: https-listener Název naslouchacího procesu
      IP adresa front-endu Veřejná Pro přístup k internetu nastavte hodnotu Public (Veřejné).
      Protokol HTTPS Použití šifrování TLS/SSL
      Port 443 Výchozí port HTTPS
      Nastavení protokolu HTTPS Nahrát certifikát Nahrání certifikátu obsahuje cn a privátní klíč s formátem .pfx.
      Typ naslouchacího procesu Více webů Povolit naslouchání více lokalitám ve službě Application Gateway
      Typ hostitele Vícenásobný nebo zástupný znak Pokud je typ naslouchacího procesu nastavený na více webů, nastavte na více webů nebo název webu se zástupnými vozy.
      Název hostitele Příklad: app.asabuludemo.com Nastavení na směrovatelný název domény pro Službu App Service

      HTTPS listener of the application gateway Routing Rule.

    • V cílech back-endu musíte nakonfigurovat back-endový fond a nastavení HTTP. Back-endový fond byl nakonfigurovaný v předchozích krocích. Vyberte Přidat nový odkaz a přidejte nastavení HTTP.

      Screenshot of adding new link to add an H T T P setting.

    • Nastavení HTTP uvedené níže:

      Parametr Hodnota Popis
      Název nastavení HTTP Příklad: https-setting Název nastavení HTTP
      Protokol back-endu HTTPS Použití šifrování TLS/SSL
      Back-endový port 443 Výchozí port HTTPS
      Použití dobře známého certifikátu certifikační autority Ano Výchozí název domény služby ASE s interním nástrojem pro vyrovnávání zatížení je .appserviceenvironment.net, certifikát této domény je vystavený veřejnou důvěryhodnou kořenovou autoritou. V nastavení důvěryhodného kořenového certifikátu můžete nastavit použití dobře známého kořenového certifikátu důvěryhodné certifikační autority.
      Přepsání novým názvem hostitele Ano Hlavička názvu hostitele se přepíše při připojování k aplikaci ve službě ASE s interním nástrojem pro vyrovnávání zatížení.
      Přepsání názvu hostitele Výběr názvu hostitele z back-endového cíle Při nastavování back-endového fondu na službu App Service můžete vybrat hostitele z cíle back-endu.
      Vytváření vlastních sond No Použít výchozí sondu stavu

      Screenshot of **Add an H T T P setting** dialog.

Konfigurace integrace služby Application Gateway se službou ASE s interním nástrojem pro vyrovnávání zatížení

Pokud chcete získat přístup ke službě ASE s interním nástrojem pro vyrovnávání zatížení z aplikační brány, musíte zkontrolovat, jestli je připojení virtuální sítě k privátní zóně DNS. Pokud není žádná virtuální síť propojená s virtuální sítí vaší služby Application Gateway, přidejte propojení virtuální sítě pomocí následujícího postupu.

  • Pokud chcete nakonfigurovat propojení virtuální sítě s privátní zónou DNS, přejděte do roviny konfigurace privátní zóny DNS. Výběr propojení>virtuální sítě – Přidat

Add a virtual network link to private DNS zone.

  • Zadejte název odkazu a vyberte příslušné předplatné a virtuální síť, ve které se nachází aplikační brána.

Screenshot of input link name details to virtual network links setting in private DNS zone.

  • Stav back-endu můžete potvrdit z stavu back-endu v rovině aplikační brány.

Screenshot of confirm the backend health status from backend health.

Přidání veřejného záznamu DNS

Při přístupu ke službě Application Gateway z internetu je potřeba nakonfigurovat správné mapování DNS.

  • Veřejnou IP adresu aplikační brány najdete v konfiguraci front-endových IP adres v rovině aplikační brány.

Application gateway frontend IP address can be found in Frontend IP configuration.

  • Například službu Azure DNS můžete přidat sadu záznamů pro mapování názvu domény aplikace na veřejnou IP adresu služby Application Gateway.

Screenshot of adding a record set to map the app domain name to the public IP address of the application gateway.

Ověření připojení

  • Na počítači s přístupem z internetu můžete ověřit překlad ip adres pro název domény aplikace na veřejnou IP adresu služby Application Gateway.

validate the name resolution from a command prompt.

  • Na počítači z internetu otestujte webový přístup z prohlížeče.

Screenshot of opening a browser, access to the web.