Integrace služby App Service Environment s interním nástrojem pro vyrovnávání zatížení se službou Azure Application Gateway

Článek
11/12/2021
7 min ke čtení

App Service Environment je nasazení Azure App Service v podsíti virtuální sítě Azure zákazníka. Dá se nasadit pomocí externího nebo interního koncového bodu pro přístup k aplikaci. Nasazení App Serviceho prostředí s vnitřním koncovým bodem se nazývá interního nástroje (interní nástroj pro vyrovnávání zatížení) App Service prostředí (pomocného programu).

firewall webových aplikací vám pomůžou zabezpečit webové aplikace tím, že kontrolují příchozí webový provoz a blokují SQL injektáže, skriptování mezi weby, nahrávání malwaru & DDoS aplikací a další útoky. Zařízení WAF můžete získat z Azure Marketplace nebo můžete použít Azure Application Gateway.

Azure Application Gateway je virtuální zařízení, které poskytuje ochranu vyrovnávání zatížení vrstvy 7, snižování zátěže TLS/SSL a bránu firewall webových aplikací (WAF). Může naslouchat na veřejné IP adrese a směrovat provoz do koncového bodu aplikace. Následující informace popisují, jak integrovat WAF konfigurovanou Aplikační bránu do aplikace v prostředí interního nástroje App Service.

Integrace služby Application Gateway s prostředím App Service interního nástroje je na úrovni aplikace. Když konfigurujete Aplikační bránu ve vašem prostředí interního nástroje App Service, provádíte ji pro konkrétní aplikace ve vašem prostředí interního nástroje App Service. Tento postup umožňuje hostování zabezpečených víceklientské aplikací v jednom interního nástroje App Service prostředí.

Snímek obrazovky s diagramem integrace na vysoké úrovni

Tento návod vám ukáže, jak:

Vytvořte Application Gateway Azure.
Nakonfigurujte Aplikační bránu tak, aby odkazovala na aplikaci v prostředí interního nástroje App Service.
Upravte název veřejného hostitele DNS, který odkazuje na vaši Aplikační bránu.

Požadavky

K integraci aplikační brány do interního nástroje App Service prostředí potřebujete:

Prostředí interního nástroje App Service.
Privátní zóna DNS pro prostředí interního nástroje App Service.
Aplikace spuštěná v prostředí interního nástroje App Service.
Veřejný název DNS, který se později používá k odkazování na aplikační bránu.
Pokud k aplikační bráně potřebujete použít šifrování TLS/SSL, vyžaduje se platný veřejný certifikát, který se používá k vytvoření vazby k aplikační bráně.

Prostředí interního nástroje App Service

Podrobnosti o tom, jak vytvořit prostředí interního nástroje App Service, najdete v tématu Vytvoření POmocného mechanismu v Azure Portal a Vytvoření pomocného panelu s nástrojem ARM.

Po vytvoření pomocného mechanismu interního nástroje je výchozí doména <YourAseName>.appserviceenvironment.net .
Interní nástroj pro vyrovnávání zatížení se zřizuje pro příchozí přístup. příchozí adresu můžete vyhledat na adrese IP v části pomocného mechanismu Nastavení. Můžete vytvořit privátní zónu DNS namapovanou na tuto IP adresu později.

Privátní zóna DNS

K internímu překladu názvů potřebujete privátní ZÓNU DNS . Vytvořte ho pomocí názvu pomocného mechanismu služby pomocí sad záznamů uvedených v následující tabulce (pokyny najdete v tématu rychlý Start – vytvoření privátní zóny DNS Azure pomocí Azure Portal).

Název	Typ	Hodnota
*	A	Příchozí adresa pomocného mechanismu
@	A	Příchozí adresa pomocného mechanismu
@	SOA	Název DNS pro pomocného jména
*. SCM	A	Příchozí adresa pomocného mechanismu

App Service v pomocném mechanismu pro interního nástroje

Musíte vytvořit plán App Service a aplikaci v pomocném mechanismu pro interního nástroje. Při vytváření aplikace na portálu vyberte jako oblast interního nástroje pomocného mechanismu.

Veřejný název DNS pro aplikační bránu

Pokud se chcete připojit k aplikační bráně z Internetu, potřebujete směrovatelné názvy domén. V tomto případě jsem použil název směrování domény asabuludemo.com a plánuje se připojit k App Service s tímto názvem domény app.asabuludemo.com . Po vytvoření služby Application Gateway musí být IP adresy mapované na tento název domény aplikace nastavené na veřejnou IP adresu. S veřejnou doménou namapovanou na aplikační bránu nemusíte konfigurovat vlastní doménu v App Service. Můžete koupit vlastní název domény s App Service doménami.

Platný veřejný certifikát

Pro zvýšení zabezpečení doporučujeme vytvořit pro šifrování relace certifikát TLS/SSL. Pro vytvoření vazby certifikátu TLS/SSL k aplikační bráně je vyžadován platný veřejný certifikát s následujícími informacemi. Pomocí App Service certifikátůmůžete koupit certifikát TLS/SSL a exportovat ho ve formátu. pfx.

Název	Hodnota	Popis
Běžný název	`<yourappname>.<yourdomainname>`například: `app.asabuludemo.com` nebo například `.<yourdomainname>` : `.asabuludemo.com`	Standardní certifikát nebo certifikát se zástupnými znaky pro aplikační bránu
Alternativní název subjektu	`<yourappname>.scm.<yourdomainname>`například: `app.scm.asabuludemo.com` nebo například `.scm.<yourdomainname>` : `.scm.asabuludemo.com`	SÍŤ SAN, která umožňuje připojení ke službě App Service Kudu. Pokud nechcete publikovat službu App Service Kudu na Internet, jedná se o volitelné nastavení.

Soubor certifikátu by měl mít privátní klíč a uložit ve formátu. pfx, bude později importován do služby Application Gateway.

Vytvoření brány Application Gateway

Základní informace o vytváření aplikační brány najdete v tématu kurz: vytvoření aplikační brány pomocí brány firewall webových aplikací pomocí Azure Portal.

V tomto kurzu použijeme Azure Portal k vytvoření aplikační brány s prostředím App Service interního nástroje.

V Azure Portal vyberte Nový > síťový > Application Gateway a vytvořte Aplikační bránu.

Nastavení základů

V rozevíracím seznamu úroveň můžete vybrat možnost Standard v2 nebo WAF v2 a povolit funkci WAF na aplikační bráně.
Nastavení front-endu

Vyberte typ IP adresy front-endu veřejné, privátní nebo obojí . Pokud nastavíte soukromé nebo oboje, budete muset přiřadit statickou IP adresu v rozsahu podsítě aplikační brány. V tomto případě jsme pro veřejný koncový bod nastavili veřejné IP adresy.
- Veřejná IP adresa – je potřeba přidružit veřejnou IP adresu pro veřejný přístup Application Gateway. Zaznamenejte si tuto IP adresu, budete muset později přidat záznam do služby DNS.
Nastavení back-endu

Zadejte název back-endu a v cílovém typu vyberte App Services nebo IP adresu nebo plně kvalifikovaný název domény . V tomto případě jsme nastavili služby App Services a v rozevíracím seznamu cíl vyberte App Service název.

Nastavení konfigurace

V nastavení Konfigurace budete muset přidat pravidlo směrování kliknutím na přidat ikonu pravidla směrování .

Snímek obrazovky s přidáním pravidla směrování v nastavení konfigurace.

Je potřeba nakonfigurovat naslouchací proces a cíle back-endu v pravidle směrování. Můžete přidat naslouchací proces HTTP pro ověření nasazení konceptu nebo přidat naslouchací proces HTTPS pro vylepšení zabezpečení.

Pokud se chcete připojit k aplikační bráně pomocí protokolu HTTP, můžete vytvořit naslouchací proces s následujícím nastavením.

Parametr	Hodnota	Popis
Název pravidla	Příklad: `http-routingrule`	Název směrování
Název naslouchacího procesu	Příklad: `http-listener`	Název naslouchacího procesu
IP adresa front-endu	Veřejná	Pro přístup k Internetu nastavte na veřejné.
Protokol	HTTP	Nepoužívat šifrování TLS/SSL
Port	80	Výchozí port HTTP
Typ naslouchacího procesu	Více lokalit	Povolení poslechu více webů ve službě Application Gateway
Typ hostitele	Vícenásobné/zástupné znaky	Pokud je typ naslouchacího procesu nastavený na více lokalit, nastavte na více nebo zástupný název webu.
Název hostitele	Například: `app.asabuludemo.com`	Nastavte na název směrovatelný domény pro App Service

Snímek obrazovky s naslouchací proces HTTP pravidla směrování služby Application Gateway.

Pokud se chcete připojit k aplikační bráně pomocí šifrování TLS/SSL, můžete vytvořit naslouchací proces s následujícím nastavením.

Parametr	Hodnota	Popis
Název pravidla	Příklad: `https-routingrule`	Název směrování
Název naslouchacího procesu	Příklad: `https-listener`	Název naslouchacího procesu
IP adresa front-endu	Veřejná	Pro přístup k Internetu nastavte na veřejné.
Protokol	HTTPS	Použít šifrování TLS/SSL
Port	443	Výchozí port HTTPS
Nastavení Https	Upload certifikátu	Upload certifikát obsahuje soubor CN a privátní klíč ve formátu. pfx.
Typ naslouchacího procesu	Více lokalit	Povolení poslechu více webů ve službě Application Gateway
Typ hostitele	Vícenásobné/zástupné znaky	Pokud je typ naslouchacího procesu nastavený na více lokalit, nastavte na více nebo zástupný název webu.
Název hostitele	Například: `app.asabuludemo.com`	Nastavte na název směrovatelný domény pro App Service

H T t P S naslouchací proces pravidla směrování služby Application Gateway.

Musíte nakonfigurovat back-end fond a Nastavení http v cílech back-endu. Back-end fond byl nakonfigurován v předchozích krocích. Klikněte na tlačítko Přidat nový odkaz a přidejte nastavení http.

Nastavení HTTP uvedená níže:

Parametr	Hodnota	Popis
Název nastavení HTTP	Příklad: `https-setting`	Název nastavení HTTP
Back-end protokol	HTTPS	Použít šifrování TLS/SSL
Back-endový port	443	Výchozí port HTTPS
Použít dobře známý certifikát certifikační autority	Yes	Výchozím názvem domény interního nástroje pomocného programu pro pojmenování je `.appserviceenvironment.net` certifikát této domény vydaný veřejnou důvěryhodnou kořenovou autoritou. V nastavení důvěryhodného kořenového certifikátu můžete nastavit, aby používala dobře známý důvěryhodný kořenový certifikát certifikační autority.
Přepsat novým názvem hostitele	Yes	Při připojování k aplikaci na interního nástroje pomocného modulu pro zápis do aplikace bude přepsána hlavička názvu hostitele.
Přepsání názvu hostitele	Vybrat název hostitele z back-endu cíle	Při nastavování back-end fondu na App Service můžete vybrat možnost hostitel z back-endu cíle.
Vytváření vlastních sond	No	Použít výchozí sondu stavu

Snímek obrazovky * * přidejte nastavení H T T P * * dialog.

Konfigurace integrace služby Application Gateway pomocí pomocného programu interního nástroje

Pokud chcete získat přístup k interního nástroje pomocnému programu z brány Application Gateway, musíte zjistit, jestli virtuální síť odkazuje na privátní zónu DNS. Pokud není žádná virtuální síť propojená s virtuální sítí služby Application Gateway, přidejte odkaz virtuální sítě pomocí následujících kroků.

Konfigurace propojení virtuálních sítí s privátní zónou DNS

Pokud chcete konfigurovat propojení virtuální sítě s privátní zónou DNS, otevřete plochu konfigurace privátní zóny DNS. Vybrat odkazy virtuální sítě > Přidat

Přidejte propojení virtuální sítě do privátní zóny DNS.

Zadejte název odkazu a vyberte příslušné předplatné a virtuální síť, ve které se Aplikační brána nachází.

Snímek obrazovky s podrobnostmi o názvu vstupního odkazu v nastavení odkazy virtuální sítě v privátní zóně DNS

Stav back-endu můžete potvrdit ze stavu back-endu v rovině služby Application Gateway.

Snímek obrazovky s potvrzením stavu back-endu ze stavu back-endu

Přidání veřejného záznamu DNS

Při přístupu k aplikační bráně z internetu musíte nakonfigurovat správné mapování DNS.

Veřejnou IP adresu aplikační brány najdete v části Konfigurace IP adres front-endu v rovině aplikační brány.

IP adresu front-endu služby Application Gateway najdete v části Konfigurace IP adresy front-endu.

Pomocí Azure DNS můžete například přidat sadu záznamů pro mapování názvu domény aplikace na veřejnou IP adresu aplikační brány.

Snímek obrazovky s přidáním sady záznamů pro mapování názvu domény aplikace na veřejnou IP adresu aplikační brány

Ověření připojení

Na počítači s přístupem z internetu můžete ověřit překlad adres IP pro název domény aplikace na veřejnou IP adresu aplikační brány.

ověřte překlad adres IP z příkazového řádku.

Na počítači s přístupem z internetu otestujte webový přístup z prohlížeče.

Snímek obrazovky s otevřením prohlížeče a přístupem k webu