konfigurace infrastruktury Application Gateway

Infrastruktura aplikační brány zahrnuje virtuální síť, podsítě, skupiny zabezpečení sítě a trasy definované uživatelem.

Virtuální síť a vyhrazená podsíť

Aplikační brána je vyhrazené nasazení ve vaší virtuální síti. Ve vaší virtuální síti se pro aplikační bránu vyžaduje vyhrazená podsíť. V podsíti můžete mít několik instancí daného nasazení služby Application Gateway. V podsíti můžete také nasadit další aplikační brány. V podsíti služby Application Gateway ale nemůžete nasadit žádný jiný prostředek. Ve stejné podsíti nemůžete kombinovat skladové položky v1 a v2 Azure Application Gateway.

Poznámka

Zásady koncového bodu služby virtuální sítě se v současné době v podsíti Application Gateway nepodporují.

Velikost podsítě

Application Gateway používá jednu privátní IP adresu na instanci a další privátní IP adresu, pokud je nakonfigurovaná privátní front-endová IP adresa.

Azure také vyhrazuje pět IP adres v každé podsíti pro interní použití: první čtyři a poslední IP adresy. Představte si například 15 instancí aplikační brány bez privátní front-endové IP adresy. Pro tuto podsíť potřebujete alespoň 20 IP adres: pět pro interní použití a 15 pro instance služby Application Gateway.

Představte si podsíť, která má 27 instancí aplikační brány a IP adresu pro privátní front-endovou IP adresu. V tomto případě potřebujete 33 IP adres: 27 pro instance aplikační brány, jednu pro privátní front-end a pět pro interní použití.

skladová položka Application Gateway (Standard nebo WAF) může podporovat až 32 instancí (32 IP adres instancí + 1 privátní ip adresa front-endu + 5 rezervovaných Azure), takže se doporučuje minimální velikost podsítě /26.

Application Gateway (Standard_v2 nebo skladová položka WAF_v2) může podporovat až 125 instancí (125 IP adres instancí + 1 privátní front-endová IP adresa + 5 rezervovaných Azure). Doporučuje se minimální velikost podsítě /24.

Důležité

I když se podsíť /24 nevyžaduje na nasazení skladové položky Application Gateway v2, důrazně se doporučuje. To zajistí, že Application Gateway v2 má dostatek místa pro rozšíření automatického škálování a upgrady údržby. Měli byste zajistit, aby podsíť Application Gateway v2 měla dostatek adresního prostoru, aby vyhovovala počtu instancí potřebných k poskytování maximálního očekávaného provozu. Pokud zadáte maximální počet instancí, měla by mít podsíť kapacitu alespoň pro tolik adres. Informace o plánování kapacity týkající se počtu instancí najdete v podrobnostech počtu instancí.

Tip

IP adresy se přidělují od začátku definovaného prostoru podsítě pro instance brány. Vzhledem k tomu, že se instance vytvářejí a odebírají z důvodu vytváření bran nebo událostí škálování, může být obtížné pochopit, jaká je další dostupná adresa v podsíti. Pokud chcete zjistit další adresu, kterou chcete použít pro budoucí bránu, a mít souvislý motiv adresování front-endových IP adres, zvažte přiřazení front-endových IP adres z horní poloviny definovaného prostoru podmnožina. Příklad: Pokud je adresní prostor podsítě 10.5.5.0/24, zvažte nastavení front-endové IP adresy bran počínaje 10.5.5.254 a následné s 10.5.5.253, 10.5.252, 10.5.5.251 a tak dále pro budoucí brány.

Tip

Podsíť existujícího Application Gateway ve stejné virtuální síti je možné změnit. Můžete to udělat pomocí Azure PowerShell nebo Azure CLI. Další informace najdete v tématu Nejčastější dotazy k Application Gateway

Skupiny zabezpečení sítě

Služba Application Gateway podporuje skupiny zabezpečení sítě (NSG). Platí však určitá omezení:

  • Příchozí internetový provoz musíte povolit na portech TCP 65503-65534 pro skladovou položku Application Gateway v1 a porty TCP 65200-65535 pro skladovou položku v2 s cílovou podsítí jako Libovolná a zdrojová jako značka služby GatewayManager. Tento rozsah portů se vyžaduje pro komunikaci s infrastrukturou Azure. Tyto porty jsou chráněné (uzamknuté) pomocí certifikátů Azure. Externí entity, včetně zákazníků těchto bran, na těchto koncových bodech nemůžou komunikovat.

  • Odchozí připojení k internetu nesmí být zablokované. Výchozí pravidla odchozích přenosů ve skupině zabezpečení sítě umožňují připojení k internetu. Doporučený postup:

    • Neodebírejte výchozí pravidla odchozích přenosů.
    • Nevytvářejte další pravidla odchozích přenosů, která zamítají jakékoli odchozí připojení.
  • Provoz ze značky AzureLoadBalancer s cílovou podsítí musí být povolený.

Povolit přístup k několika zdrojovým IP adresám

V tomto scénáři použijte skupiny zabezpečení sítě v podsíti Application Gateway. Do podsítě umístěte následující omezení v tomto pořadí priority:

  1. Povolte příchozí provoz ze zdrojové IP adresy nebo rozsahu IP adres s cílem jako celý rozsah adres podsítě Application Gateway a cílový port jako příchozí přístupový port, například port 80 pro přístup HTTP.
  2. Povolte příchozí požadavky ze zdroje jako značku služby GatewayManager a cíl jako všechny a cílové porty jako 65503-65534 pro skladovou položku Application Gateway v1 a porty 65200-65535 pro skladovou položku v2 pro komunikaci stavu back-endu. Tento rozsah portů se vyžaduje pro komunikaci s infrastrukturou Azure. Tyto porty jsou chráněné (uzamknuté) pomocí certifikátů Azure. Bez příslušných certifikátů nemůžou externí entity iniciovat změny v těchto koncových bodech.
  3. Povolte příchozí sondy Azure Load Balancer (značka AzureLoadBalancer) ve skupině zabezpečení sítě.
  4. Povolte očekávaný příchozí provoz tak, aby odpovídal konfiguraci naslouchacího procesu (tj. pokud máte naslouchací procesy nakonfigurované pro port 80, budete chtít povolit příchozí pravidlo pro port 80).
  5. Zablokujte všechny ostatní příchozí přenosy pomocí pravidla odepření.
  6. Povolte odchozí provoz do internetu pro všechny cíle.

Podporované trasy definované uživatelem

Důležité

Použití trasy definované uživatelem v podsíti Application Gateway může způsobit, že se stav v zobrazení stavu back-endu zobrazí jako Neznámý. Může také způsobit selhání generování protokolů Application Gateway a metrik. Doporučujeme nepoužívat trasy definované uživatelem v podsíti Application Gateway, abyste mohli zobrazit stav back-endu, protokoly a metriky.

  • v1

    V případě SKU v1 se v podsíti služby Application Gateway podporují uživatelsky definované trasy (UDR), pokud nemění kompletní komunikaci mezi žádostmi a odpověďmi. Můžete například nastavit trasy UDR v podsíti služby Application Gateway tak, aby odkazovaly na zařízení brány firewall pro kontrolu paketů. Musíte se ale ujistit, že paket může po kontrole dosáhnout požadovaného cíle. Pokud to neuděláte, může to způsobit nesprávné chování sondy stavu nebo směrování provozu. Mezi tyto trasy patří zjištěné trasy nebo výchozí trasy 0.0.0.0/0 šířené službou Azure ExpressRoute nebo branami VPN ve virtuální síti.

  • v2

    Pro skladovou položku v2 existují podporované a nepodporované scénáře:

    Podporované scénáře verze 2

    Upozornění

    Nesprávná konfigurace směrovací tabulky by mohla vést k asymetrickým směrováním v Application Gateway v2. Ujistěte se, že se veškerý provoz roviny správy nebo řídicí roviny odesílá přímo do internetu, a ne prostřednictvím virtuálního zařízení. Může to mít vliv také na protokolování, metriky a kontroly seznamu CRL.

    Scénář 1: Trasa definovaná uživatelem pro zakázání šíření trasy protokolu BGP (Border Gateway Protocol) do podsítě Application Gateway

    Někdy se výchozí trasa brány (0.0.0.0/0) inzeruje prostřednictvím bran ExpressRoute nebo VPN přidružených k Application Gateway virtuální síti. Tím se přeruší provoz roviny správy, který vyžaduje přímou cestu k internetu. V takových scénářích lze trasu definovanou uživatelem použít k zakázání šíření tras protokolu BGP.

    Pokud chcete zakázat šíření tras protokolu BGP, postupujte následovně:

    1. Vytvořte prostředek směrovací tabulky v Azure.
    2. Zakažte parametr šíření trasy brány virtuální sítě .
    3. Přidružte směrovací tabulku k příslušné podsíti.

    Povolení trasy definované uživatelem pro tento scénář by nemělo narušit žádné existující nastavení.

    Scénář 2: Trasu definovanou uživatelem směrovat na internet 0.0.0.0/0

    Můžete vytvořit trasu definovanou uživatelem pro odesílání provozu 0.0.0.0/0 přímo do internetu.

    Scénář 3: Trasy definované uživatelem pro Azure Kubernetes Service s kubenetem

    Pokud používáte kubenet s Azure Kubernetes Service (AKS) a Application Gateway kontrolerem příchozího přenosu dat (AGIC), budete potřebovat směrovací tabulku, která umožní směrování provozu do podů z Application Gateway směrovat do správného uzlu. To nebude nutné, pokud použijete Azure CNI.

    Pokud chcete pomocí směrovací tabulky povolit fungování kubenetu, postupujte následovně:

    1. Přejděte do skupiny prostředků vytvořené službou AKS (název skupiny prostředků by měl začínat textem "MC_")
    2. Vyhledejte směrovací tabulku vytvořenou službou AKS v této skupině prostředků. Směrovací tabulka by měla být vyplněna následujícími informacemi:
      • Předpona adresy by měla být rozsah IP podů, které chcete v AKS kontaktovat.
      • Typ dalšího segmentu směrování by měl být virtuální zařízení.
      • Adresa dalšího segmentu směrování by měla být IP adresa uzlu hostujícího pody.
    3. Přidružte tuto směrovací tabulku k podsíti Application Gateway.

    Nepodporované scénáře verze 2

    Scénář 1: Trasy definované uživatelem pro virtuální zařízení

    Jakýkoli scénář, kdy 0.0.0.0/0 je potřeba přesměrovat přes jakékoli virtuální zařízení, hvězdicovou virtuální síť nebo místní (vynucené tunelování) není pro V2 podporované.

Další kroky