Habilitar TLS de entrada para o aplicativo para um aplicativo
Observação
Os planos Básico, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de desativação de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira o anúncio de desativação dos Aplicativos Spring do Azure.
O plano Standard de consumo e dedicado será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira Migrar o plano Standard de consumo e dedicado dos Aplicativos Spring do Azure para os Aplicativos de Contêiner do Azure.
Este artigo se aplica aos níveis:❌ ✔️ Básico ✔️ Standard ✔️ Enterprise
Observação
Esse recurso não está disponível no plano Básico.
Este artigo descreve as comunicações seguras no Azure Spring Apps. Este artigo também explica como habilitar o SSL/TLS de ingresso para o aplicativo para proteger o tráfego de um controlador de entrada para aplicativos que permitem HTTPS.
A imagem a seguir mostra o suporte geral de comunicação segura no Azure Spring Apps.
Modelo de comunicação segura no Azure Spring Apps
Esta seção explica o modelo de comunicação segura mostrado no diagrama de visão geral acima.
A solicitação do cliente para o aplicativo no Azure Spring Apps entra no controlador de entrada. A solicitação pode ser HTTP ou HTTPS. O certificado TLS retornado pelo controlador de entrada é emitido pela AC emissora do TLS do Microsoft Azure.
Se o aplicativo tiver sido mapeado para um domínio personalizado existente e for configurado apenas como HTTPS, a solicitação para o controlador de entrada só poderá ser HTTPS. O certificado TLS retornado pelo controlador de entrada é o certificado de associação SSL para esse domínio personalizado. A verificação SSL/TLS do lado do servidor para o domínio personalizado é feita no controlador de entrada.
A comunicação segura entre o controlador de entrada e os aplicativos no Azure Spring Apps é controlada pelo TLS de entrada para o aplicativo. Você também pode controlar a comunicação por meio do portal ou da CLI, que será explicado posteriormente neste artigo. Se o TLS de entrada para o aplicativo estiver desabilitado, a comunicação entre o controlador de entrada e os aplicativos no Azure Spring Apps será HTTP. Se o TLS de entrada para o aplicativo estiver habilitado, a comunicação será HTTPS e não terá nenhuma relação com a comunicação entre os clientes e o controlador de entrada. O controlador de entrada não verificará o certificado retornado dos aplicativos porque o TLS de entrada para o aplicativo criptografa a comunicação.
A comunicação entre os aplicativos e os serviços do Azure Spring Apps é sempre HTTPS e tratada pelo Azure Spring Apps. Esses serviços incluem servidor de configuração, registro de serviço e servidor Eureka.
Você gerencia a comunicação entre os aplicativos. Você também pode aproveitar os recursos do Azure Spring Apps para carregar certificados no repositório confiável do aplicativo. Para obter mais informações, consulte Usar certificados TLS/SSL em um aplicativo.
Você gerencia a comunicação entre aplicativos e serviços externos. Para reduzir seu esforço de desenvolvimento, o Azure Spring Apps ajuda você a gerenciar seus certificados públicos e os carrega no repositório confiável do seu aplicativo. Para obter mais informações, consulte Usar certificados TLS/SSL em um aplicativo.
Habilitar TLS de entrada para o aplicativo para um aplicativo
A seção a seguir mostra como habilitar o SSL/TLS de ingresso para o aplicativo para proteger o tráfego de um controlador de entrada para aplicativos que permitem HTTPS.
Pré-requisitos
- Uma instância do Azure Spring Apps implantada. Siga nosso início rápido sobre implantação por meio da CLI do Azure para obter uma introdução.
- Se não estiver familiarizado com o TLS de ingresso para o aplicativo, confira o exemplo de TLS de ponta a ponta.
- Para carregar com segurança os certificados necessários em aplicativos Spring Boot, use spring-cloud-azure-starter-keyvault-certificates.
Habilitar TLS de ingresso para o aplicativo em um aplicativo existente
Use o comando az spring app update --enable-ingress-to-app-tls para habilitar ou desabilitar o TLS de entrada para o aplicativo para um aplicativo.
az spring app update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app update --enable-ingress-to-app-tls false -n app_name -s service_name -g resource_group_name
Habilitar o TLS de ingresso para o aplicativo ao associar um domínio personalizado
Use o comando az spring app custom-domain update --enable-ingress-to-app-tls ou az spring app custom-domain bind --enable-ingress-to-app-tls para habilitar ou desabilitar o TLS de entrada para o aplicativo para um aplicativo.
az spring app custom-domain update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app custom-domain bind --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
Habilitar o TLS de ingresso para o aplicativo ao usar o portal do Azure
Para habilitar o TLS de ingresso para o aplicativo no portal do Azure, primeiro, crie um aplicativo e, em seguida, habilite o recurso.
- Crie um aplicativo no portal, como você faria normalmente. Navegue até ele no portal.
- Role a página para baixo até o grupo Configurações no painel de navegação esquerdo.
- Selecione TLS de entrada para o aplicativo.
- Alterne TLS de entrada para o aplicativo para Sim.
Verificar o status do TLS de entrada para o aplicativo
Use o comando az spring app show para verificar o valor de enableEndToEndTls.
az spring app show -n app_name -s service_name -g resource_group_name