Integrace služby App Service Environment s interním nástrojem pro vyrovnávání zatížení se službou Azure Application Gateway

App Service Environment je nasazení služby Aplikace Azure Service v podsíti virtuální sítě Azure zákazníka. Dá se nasadit s externím nebo interním koncovým bodem pro přístup k aplikacím. Nasazení prostředí App Service s interním koncovým bodem se nazývá interní nástroj pro vyrovnávání zatížení (ILB) App Service Environment (ASE).

Firewally webových aplikací pomáhají zabezpečit webové aplikace kontrolou příchozího webového provozu, aby blokovaly injektáže SQL, skriptování mezi weby, nahrávání malwaru a útoky DDoS aplikací a další útoky. Zařízení WAF můžete získat z Azure Marketplace nebo můžete použít bránu Aplikace Azure.

Aplikace Azure Gateway je virtuální zařízení, které poskytuje vyrovnávání zatížení vrstvy 7, přesměrování zpracování TLS/SSL a ochranu firewallu webových aplikací (WAF). Může naslouchat veřejné IP adrese a směrovat provoz do koncového bodu aplikace. Následující informace popisují, jak integrovat aplikační bránu nakonfigurovanou waF s aplikací v prostředí App Service environment s interním nástrojem pro vyrovnávání zatížení.

Integrace aplikační brány s prostředím App Service s interním nástrojem pro vyrovnávání zatížení je na úrovni aplikace. Když nakonfigurujete aplikační bránu s prostředím App Service s interním nástrojem pro vyrovnávání zatížení, provádíte ji pro konkrétní aplikace ve vašem prostředí App Service s interním nástrojem pro vyrovnávání zatížení. Tato technika umožňuje hostování zabezpečených víceklientských aplikací v jednom prostředí App Service s interním nástrojem pro vyrovnávání zatížení.

Tento návod vám ukáže, jak:

• Vytvořte bránu Aplikace Azure.
• Nakonfigurujte aplikační bránu tak, aby odkazovat na aplikaci ve vašem prostředí App Service s interním nástrojem pro vyrovnávání zatížení.
• Upravte veřejný název hostitele DNS, který odkazuje na vaši aplikační bránu.

Požadavky

Pokud chcete integrovat aplikační bránu s prostředím App Service s interním nástrojem pro vyrovnávání zatížení, potřebujete:

• Prostředí App Service s interním nástrojem pro vyrovnávání zatížení
• Privátní zóna DNS pro prostředí App Service s interním nástrojem pro vyrovnávání zatížení
• Aplikace spuštěná v prostředí App Service s interním nástrojem pro vyrovnávání zatížení
• Veřejný název DNS, který se použije později k nasměrování na vaši aplikační bránu.
• Pokud potřebujete k aplikační bráně použít šifrování TLS/SSL, vyžaduje se platný veřejný certifikát, který se používá k vytvoření vazby k vaší aplikační bráně.

Prostředí App Service s interním nástrojem pro vyrovnávání zatížení

Podrobnosti o tom, jak vytvořit prostředí App Service s interním nástrojem pro vyrovnávání zatížení, najdete v tématu Vytvoření služby ASE na webu Azure Portal a vytvoření služby ASE pomocí šablony ARM.

• Po vytvoření služby ASE s interním nástrojem pro vyrovnávání zatížení je <YourAseName>.appserviceenvironment.netvýchozí doména .

  

• Interní nástroj pro vyrovnávání zatížení je zřízený pro příchozí přístup. Příchozí adresu můžete zkontrolovat v IP adresách v Nastavení ASE. Privátní zónu DNS namapovanou na tuto IP adresu můžete vytvořit později.

  

Privátní zóna DNS

Pro interní překlad ip adres potřebujete privátní zónu DNS. Vytvořte ho pomocí názvu ASE pomocí sad záznamů zobrazených v následující tabulce (pokyny najdete v rychlém startu – Vytvoření privátní zóny DNS Azure pomocí webu Azure Portal).

Name	Typ	Hodnota
*	A	Příchozí adresa ASE
@	A	Příchozí adresa ASE
@	SOA	Název DNS ASE
*.Scm	A	Příchozí adresa ASE

App Service ve službě ASE s interním nástrojem pro vyrovnávání zatížení

Musíte vytvořit plán služby App Service a aplikaci ve službě ASE s interním nástrojem pro vyrovnávání zatížení. Při vytváření aplikace na portálu vyberte jako oblast vaši ase s interním nástrojem pro vyrovnávání zatížení.

Veřejný název DNS pro aplikační bránu

Pokud se chcete připojit ke službě Application Gateway z internetu, potřebujete směrovatelný název domény. V tomto případě jsem použil směrovatelný název asabuludemo.com domény a plánování připojení ke službě App Service s tímto názvem app.asabuludemo.comdomény . PO vytvoření aplikační brány musí být IP adresa namapovaná na tento název domény aplikace nastavená na veřejnou IP adresu služby Application Gateway. Když je veřejná doména namapovaná na aplikační bránu, nemusíte ve službě App Service konfigurovat vlastní doménu. Vlastní název domény si můžete koupit s doménami služby App Service.

Platný veřejný certifikát

Pro vylepšení zabezpečení se doporučuje vytvořit vazbu certifikátu TLS/SSL pro šifrování relace. K vytvoření vazby certifikátu TLS/SSL ke službě Application Gateway se vyžaduje platný veřejný certifikát s následujícími informacemi. Pomocí certifikátů služby App Service si můžete koupit certifikát TLS/SSL a exportovat ho ve formátu .pfx.

Jméno	Hodnota	Popis
Běžný název	<yourappname>.<yourdomainname>, například: app.asabuludemo.com nebo *.<yourdomainname>, například: *.asabuludemo.com	Standardní certifikát nebo certifikát se zástupným znakem pro aplikační bránu
Alternativní název subjektu	<yourappname>.scm.<yourdomainname>, například: app.scm.asabuludemo.com nebo *.scm.<yourdomainname>, například: *.scm.asabuludemo.com	Síť SAN, která umožňuje připojení ke službě App Service kudu. Pokud nechcete publikovat službu Kudu služby App Service na internetu, je to volitelné nastavení.

Soubor certifikátu by měl mít privátní klíč a uložit ho ve formátu .pfx, bude importován do aplikační brány později.

Vytvoření brány Application Gateway

Základní vytvoření aplikační brány najdete v kurzu: Vytvoření aplikační brány s firewallem webových aplikací pomocí webu Azure Portal.

V tomto kurzu pomocí webu Azure Portal vytvoříme aplikační bránu s prostředím App Service s interním nástrojem pro vyrovnávání zatížení.

Na webu Azure Portal vyberte Novou>síťovou>aplikační bránu a vytvořte aplikační bránu.

1. Základní nastavení

   V rozevíracím seznamu vrstvy můžete vybrat Standard V2 nebo WAF V2 a povolit funkci WAF ve službě Application Gateway.

2. Nastavení front-endů

   Vyberte typ IP adresy front-endu pro veřejné, privátní nebo obojí . Pokud jste nastavili možnost Privátní nebo Obojí, musíte přiřadit statickou IP adresu v rozsahu podsítě služby Application Gateway. V tomto případě jsme pro veřejný koncový bod nastavili veřejnou IP adresu.

   • Veřejná IP adresa – Musíte přidružit veřejnou IP adresu pro veřejný přístup ke službě Application Gateway. Zaznamenejte tuto IP adresu, musíte později přidat záznam ve službě DNS.

     

3. Nastavení back-endů

   Zadejte název back-endového fondu a vyberte službu App Services nebo IP adresu nebo plně kvalifikovaný název domény v cílovém typu. V tomto případě jsme nastavili službu App Services a v cílovém rozevíracím seznamu vyberte název služby App Service.

   

4. Nastavení konfigurace

   V nastavení Konfigurace musíte přidat pravidlo směrování výběrem ikony Přidat pravidlo směrování.

   

   V pravidle směrování je potřeba nakonfigurovat cíle naslouchacího procesu a back-endu. Můžete přidat naslouchací proces HTTP pro testování konceptu nasazení nebo přidat naslouchací proces HTTPS pro vylepšení zabezpečení.

   • Pokud se chcete připojit ke službě Application Gateway pomocí protokolu HTTP, můžete vytvořit naslouchací proces s následujícím nastavením.

     Parametr	Hodnota	Popis
     Název pravidla	Příklad: http-routingrule	Název směrování
     Název naslouchacího procesu	Příklad: http-listener	Název naslouchacího procesu
     IP adresa front-endu	Veřejná	Pro přístup k internetu nastavte hodnotu Public (Veřejné).
     Protokol	HTTP	Nepoužívejte šifrování TLS/SSL
     Port	80	Výchozí port HTTP
     Typ naslouchacího procesu	Více webů	Povolit naslouchání více lokalitám ve službě Application Gateway
     Typ hostitele	Vícenásobný nebo zástupný znak	Pokud je typ naslouchacího procesu nastavený na více webů, nastavte na více webů nebo název webu se zástupnými vozy.
     Název hostitele	Příklad: app.asabuludemo.com	Nastavení na směrovatelný název domény pro Službu App Service

     

   • Pokud se chcete připojit k aplikační bráně pomocí šifrování TLS/SSL, můžete vytvořit naslouchací proces s následujícím nastavením.

     Parametr	Hodnota	Popis
     Název pravidla	Příklad: https-routingrule	Název směrování
     Název naslouchacího procesu	Příklad: https-listener	Název naslouchacího procesu
     IP adresa front-endu	Veřejná	Pro přístup k internetu nastavte hodnotu Public (Veřejné).
     Protokol	HTTPS	Použití šifrování TLS/SSL
     Port	443	Výchozí port HTTPS
     Nastavení protokolu HTTPS	Nahrát certifikát	Nahrání certifikátu obsahuje cn a privátní klíč s formátem .pfx.
     Typ naslouchacího procesu	Více webů	Povolit naslouchání více lokalitám ve službě Application Gateway
     Typ hostitele	Vícenásobný nebo zástupný znak	Pokud je typ naslouchacího procesu nastavený na více webů, nastavte na více webů nebo název webu se zástupnými vozy.
     Název hostitele	Příklad: app.asabuludemo.com	Nastavení na směrovatelný název domény pro Službu App Service

     

   • V cílech back-endu musíte nakonfigurovat back-endový fond a nastaveníHTTP. Back-endový fond byl nakonfigurovaný v předchozích krocích. Vyberte Přidat nový odkaz a přidejte nastavení HTTP.

     

   • Nastavení HTTP uvedené níže:

     Parametr	Hodnota	Popis
     Název nastavení HTTP	Příklad: https-setting	Název nastavení HTTP
     Protokol back-endu	HTTPS	Použití šifrování TLS/SSL
     Back-endový port	443	Výchozí port HTTPS
     Použití dobře známého certifikátu certifikační autority	Ano	Výchozí název domény služby ASE s interním nástrojem pro vyrovnávání zatížení je .appserviceenvironment.net, certifikát této domény je vystavený veřejnou důvěryhodnou kořenovou autoritou. V nastavení důvěryhodného kořenového certifikátu můžete nastavit použití dobře známého kořenového certifikátu důvěryhodné certifikační autority.
     Přepsání novým názvem hostitele	Ano	Hlavička názvu hostitele se přepíše při připojování k aplikaci ve službě ASE s interním nástrojem pro vyrovnávání zatížení.
     Přepsání názvu hostitele	Výběr názvu hostitele z back-endového cíle	Při nastavování back-endového fondu na službu App Service můžete vybrat hostitele z cíle back-endu.
     Vytváření vlastních sond	No	Použít výchozí sondu stavu

     

Konfigurace integrace služby Application Gateway se službou ASE s interním nástrojem pro vyrovnávání zatížení

Pokud chcete získat přístup ke službě ASE s interním nástrojem pro vyrovnávání zatížení z aplikační brány, musíte zkontrolovat, jestli je připojení virtuální sítě k privátní zóně DNS. Pokud není žádná virtuální síť propojená s virtuální sítí vaší služby Application Gateway, přidejte propojení virtuální sítě pomocí následujícího postupu.

Konfigurace propojení virtuální sítě s privátní zónou DNS

• Pokud chcete nakonfigurovat propojení virtuální sítě s privátní zónou DNS, přejděte do roviny konfigurace privátní zóny DNS. Výběr propojení>virtuální sítě – Přidat

• Zadejte název odkazu a vyberte příslušné předplatné a virtuální síť, ve které se nachází aplikační brána.

• Stav back-endu můžete potvrdit z stavu back-endu v rovině aplikační brány.

Přidání veřejného záznamu DNS

Při přístupu ke službě Application Gateway z internetu je potřeba nakonfigurovat správné mapování DNS.

• Veřejnou IP adresu aplikační brány najdete v konfiguraci front-endových IP adres v rovině aplikační brány.

• Například službu Azure DNS můžete přidat sadu záznamů pro mapování názvu domény aplikace na veřejnou IP adresu služby Application Gateway.

Ověření připojení

• Na počítači s přístupem z internetu můžete ověřit překlad ip adres pro název domény aplikace na veřejnou IP adresu služby Application Gateway.

• Na počítači z internetu otestujte webový přístup z prohlížeče.