تكوين مجموعات الواجهة الخلفية للتشفير

  • 10 دقائق

تحتوي مجموعة الواجهة الخلفية على الخوادم التي تقوم بتنفيذ التطبيق. تقوم خدمة بوابة التطبيق بتوجيه الطلبات إلى هذه الخوادم، ويمكن موازنة تحميل نسبة استخدام الشبكة عبر هذه الخوادم.

في مدخل الشحن، يجب أن تقوم خوادم التطبيق في مجموعة الواجهة الخلفية باستخدام طبقة مآخذ توصيل آمنة (SSL) لتشفير البيانات التي تمر بين بوابة التطبيق والخوادم في مجموعة الواجهة الخلفية. تستخدم خدمة بوابة التطبيق شهادة SSL مع مفتاح عام لتشفير البيانات. وتستخدم الخوادم المفتاح الخاص المطابق لفك تشفير البيانات كما تم تلقيها. في هذه الوحدة، سترى كيفية إنشاء تجمع الواجهة الخلفية وتثبيت الشهادات الضرورية في بوابة التطبيق. تساعد هذه الشهادات في حماية الرسائل المرسلة من وإلى تجمع الواجهة الخلفية.

التشفير من بوابة التطبيق إلى مجموعة الواجهة الخلفية

يمكن أن تشير مجموعة الواجهة الخلفية إلى الأجهزة الظاهرية الفردية، أو مجموعة مقياس الجهاز الظاهري، أو عناوين IP لأجهزة الكمبيوتر الحقيقية (إما في الموقع أو قيد التشغيل عن بُعد)، أو الخدمات المستضافة عبر خدمة "Azure App Service". يجب تكوين كافة الخوادم في مجموعة الواجهة الخلفية بنفس الطريقة، بما في ذلك إعدادات الأمان الخاصة بها.

Diagram showing how Application Gateway routes a request to a web server.

إذا كانت نسبة استخدام الشبكة الموجهة إلى مجموعة الواجهة الخلفية محمية من خلال طبقة مآخذ توصيل آمنة (SSL)، فإنه يجب على كل خادم في مجموعة الواجهة الخلفية أن يوفّر شهادة مناسبة. لأغراض الاختبار، يُمكنك إنشاء شهادة موقعة ذاتياً. في بيئة إنتاج، احرص دائمًا على إنشاء أو شراء شهادة يمكن أن يصادق عليها مصدر الشهادة (CA).

يتوفّر في الوقت الحالي إصداران من بوابة التطبيق وهما: v1 وv2. لديهم قدرات مماثلة، ولكن لديهم تفاصيل تنفيذ مختلفة قليلا. ويوفّر الإصدار v2 ميزات إضافية وتحسينات للأداء.

تكوين الشهادة في بوابة التطبيق بالإصدار v1

يتطّلب الإصدار v1 من بوابة التطبيق تثبيت شهادة مصادقة للخوادم الموجودة في تكوين البوابة. تحتوي هذه الشهادة على المفتاح العام الذي يمكن أن تستخدمه Application Gateway لتشفير الرسائل ومصادقة الخوادم الخاصة بك. يُمكنك إنشاء هذه الشهادة عن طريق تصديرها من الخادم. ويستخدم خادم التطبيق المفتاح الخاص المطابق لفك تشفير هذه الرسائل. يجب تخزين هذا المفتاح الخاص على خوادم التطبيقات الخاصة بك فقط.

يُمكنك إضافة شهادة مصادقة إلى بوابة التطبيق عبر استخدام أمر az network application-gateway auth-cert create من واجهة سطر أوامر Azure. يوضح المثال التالي بناء الجملة لهذا الأمر. يجب أن تكون الشهادة بتنسيق CER (المطالبة والأدلة والإدراك).

az network application-gateway auth-cert create \
    --resource-group <resource group name> \
    --gateway-name <application gateway name> \
    --name <certificate name> \
    --cert-file <path to authentication certificate>

يوفر Application Gateway أوامر أخرى يُمكنك استخدامها لسرد شهادات المصادقة وإدارتها. على سبيل المثال:

  • يقوم أمر az network application-gateway auth-cert list بعرض الشهادات التي تم تثبيتها.
  • يمكنك استخدام az network application-gateway auth-cert update الأمر لتغيير الشهادة.
  • يقوم أمر az network application-gateway auth-cert delete بإزالة شهادة.

تكوين الشهادة في بوابة التطبيق بالإصدار v2

يحتوي الإصدار v2 من بوابة التطبيق على متطلبات مصادقة مختلفة قليلاً. أنت توفّر الشهادة لمصدر الشهادة الذي قام بمصادقة شهادة SSL للخوادم الموجودة في مجموعة الواجهة الخلفية. ثم تضيف هذه الشهادة إلى بوابة التطبيق بوصفها شهادة جذر موثوقًا بها. استخدم أمر az network application-gateway root-cert create من واجهة سطر أوامر Azure.

az network application-gateway root-cert create \
      --resource-group <resource group name> \
      --gateway-name <application gateway name> \
      --name <certificate name> \
      --cert-file <path to trusted CA certificate>

إذا كانت الخوادم الخاصة بك تستخدم شهادة موقعة ذاتياً، فأضِف هذه الشهادة إلى بوابة التطبيق بوصفها شهادة جذر موثوقًا بها.

إعدادات HTTP

تستخدم بوابة التطبيق قاعدة لتحديد كيفية توجيه الرسائل التي تتلقاها على منفذها الوارد إلى الخوادم الموجودة في تجمع الواجهة الخلفية. إذا كانت الخوادم تستخدم طبقة مآخذ توصيل آمنة (SSL)، فإنه يجب تكوين القاعدة للإشارة إلى ما يلي:

  • تتوقع الخوادم نسبة استخدام الشبكة عبر بروتوكول HTTPS.
  • ما الشهادة التي يلزم استخدامها لتشفير نسبة استخدام الشبكة ومصادقة الاتصال بأحد الخوادم.

يُمكنك تحديد معلومات التكوين هذه باستخدام إعداد HTTP.

يمكنك تعريف إعداد HTTP باستخدام az network application-gateway http-settings create الأمر في Azure CLI. يوضّح المثال التالي بناء جملة لإنشاء إعداد يوجه نسبة استخدام الشبكة إلى المنفذ 443 على الخوادم في مجموعة الواجهة الخلفية، وذلك باستخدام بروتوكول HTTPS. إذا كنت تستخدم الإصدار v1 من بوابة التطبيق، فإن معلمة --auth-certs هي اسم شهادة المصادقة التي كنت قد أضفتها إلى بوابة التطبيق سابقًا.

az network application-gateway http-settings create \
    --resource-group <resource group name> \
    --gateway-name <application gateway name> \
    --name <HTTPS settings name> \
    --port 443 \
    --protocol Https \
    --auth-certs <certificate name>

أما إذا كنت تستخدم الإصدار v2 من بوابة التطبيق فإنه عليك حذف معلمة --auth-certs. تقوم خدمة بوابة التطبيق بالتواصل مع الخادم الخلفي. وتتحقق من صحة مصادقة الشهادة المقدمة من قبل الخادم مقابل مُنشئ الشهادة (CA) الذي تم تحديده من قبل قائمة الشهادات الجذرية الموثوق بها. إذا لم يكن هناك تطابق، فإن بوابة التطبيق لن تتصل بالخادم الخلفي وستفشل مع حدوث خطأ HTTP 502 (بوابة غير صحيحة).