konfigurace naslouchacího procesu Application Gateway

Poznámka

Tento článek používá modul Azure Az PowerShell, což je doporučený modul PowerShellu pro interakci s Azure. Pokud chcete začít s modulem Az PowerShell, projděte si téma věnované instalaci Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Naslouchací proces je logická entita, která kontroluje příchozí požadavky na připojení pomocí portu, protokolu, hostitele a IP adresy. Při konfiguraci naslouchacího procesu musíte zadat hodnoty, které odpovídají odpovídajícím hodnotám v příchozím požadavku na bráně.

Když vytvoříte aplikační bránu pomocí Azure Portal, vytvoříte také výchozí naslouchací proces výběrem protokolu a portu pro naslouchací proces. Můžete zvolit, jestli chcete povolit podporu HTTP2 na naslouchacím procesu. Po vytvoření aplikační brány můžete upravit nastavení tohoto výchozího naslouchacího procesu (appGatewayHttpListener) nebo vytvořit nové naslouchací procesy.

Typ naslouchacího procesu

Při vytváření nového naslouchacího procesu si zvolíte mezi základními a více lokalitami.

  • Pokud chcete, aby všechny vaše požadavky (pro libovolnou doménu) byly přijaty a přeposílané do back-endových fondů, zvolte základní. Zjistěte , jak vytvořit aplikační bránu pomocí základního naslouchacího procesu.

  • Pokud chcete předávat požadavky do různých back-endových fondů na základě hlavičky hostitele nebo názvů hostitelů, zvolte naslouchací proces s více weby, kde musíte také zadat název hostitele, který odpovídá příchozímu požadavku. Důvodem je to, že Application Gateway spoléhá na hlavičky hostitele HTTP 1.1 k hostování více než jednoho webu na stejné veřejné IP adrese a portu. Další informace najdete v tématu hostování více webů pomocí Application Gateway.

Pořadí zpracování naslouchacích procesů

Pro skladovou položku v1 se požadavky shodují podle pořadí pravidel a typu naslouchacího procesu. Pokud pravidlo se základním naslouchacím procesem přijde jako první v pořadí, zpracuje se nejprve a přijme všechny požadavky na tento port a kombinaci IP adres. Abyste tomu předešli, nejprve nakonfigurujte pravidla s naslouchacími procesy s více weby a nasdílejte pravidlo základním naslouchacím procesem na poslední v seznamu.

Pro skladovou položku v2 se před základními naslouchacími procesy zpracovávají naslouchací procesy ve více lokalitách.

Front-endová IP adresa

Zvolte front-endovou IP adresu, kterou plánujete přidružit k tomuto naslouchacímu procesu. Naslouchací proces bude naslouchat příchozím požadavkům na této IP adrese.

Front-endový port

Zvolte front-endový port. Vyberte existující port nebo vytvořte nový. Zvolte libovolnou hodnotu z povoleného rozsahu portů. Můžete použít nejen dobře známé porty, například 80 a 443, ale jakýkoli povolený vlastní port, který je vhodný. Port lze použít pro veřejné naslouchací procesy nebo privátní naslouchací procesy.

Protokol

Zvolte HTTP nebo HTTPS:

  • Pokud zvolíte PROTOKOL HTTP, provoz mezi klientem a aplikační bránou není zašifrovaný.

  • Pokud chcete ukončit protokol TLS nebo šifrování TLS ukončit, zvolte https. Provoz mezi klientem a aplikační bránou je šifrovaný. Připojení TLS se ukončí ve službě Application Gateway. Pokud chcete šifrování TLS ukončit, musíte zvolit HTTPS a nakonfigurovat nastavení HTTP back-endu . Tím zajistíte, že se provoz při přenosu ze služby Application Gateway do back-endu znovu zašifruje.

Aby bylo možné nakonfigurovat ukončení protokolu TLS, musí být do naslouchacího procesu přidán certifikát TLS/SSL. To umožňuje Application Gateway dešifrovat příchozí provoz a šifrovat provoz odpovědí klientovi. Certifikát poskytnutý Application Gateway musí být ve formátu osobních údajů Exchange (PFX), který obsahuje privátní i veřejné klíče.

Poznámka

Při použití certifikátu TLS z Key Vault pro naslouchací proces musíte zajistit, aby váš Application Gateway vždy měl přístup k danému prostředku propojeného trezoru klíčů a objektu certifikátu v něm. To umožňuje bezproblémové operace funkce ukončení protokolu TLS a udržuje celkový stav prostředku brány. Pokud prostředek služby Application Gateway zjistí nesprávně nakonfigurovaný trezor klíčů, automaticky umístí přidružené naslouchací procesy HTTPS do zakázaného stavu. Přečtěte si další informace.

Podporované certifikáty

Podívejte se na přehled ukončení protokolu TLS a ukončení protokolu TLS s Application Gateway

Další podpora protokolu

Podpora HTTP2

Podpora protokolu HTTP/2 je k dispozici klientům, kteří se připojují pouze k naslouchacím procesům aplikační brány. Komunikace s fondy back-endových serverů je přes HTTP/1.1. Ve výchozím nastavení je podpora HTTP/2 zakázaná. Následující fragment kódu Azure PowerShell ukazuje, jak to povolit:

$gw = Get-AzApplicationGateway -Name test -ResourceGroupName hm

$gw.EnableHttp2 = $true

Set-AzApplicationGateway -ApplicationGateway $gw

Podpora protokolu WebSocket

Podpora protokolu WebSocket je ve výchozím nastavení povolená. Neexistuje žádné uživatelsky konfigurovatelné nastavení pro povolení nebo zakázání. WebSockety můžete použít s naslouchacími procesy HTTP i HTTPS.

Vlastní chybové stránky

Vlastní chybu můžete definovat na globální úrovni nebo na úrovni naslouchacího procesu. Vytváření vlastních chybových stránek na globální úrovni z Azure Portal se v současné době nepodporuje. Můžete nakonfigurovat vlastní chybovou stránku pro chybu brány firewall webových aplikací 403 nebo stránku údržby 502 na úrovni naslouchacího procesu. Pro zadaný stavový kód chyby musíte také zadat veřejně dostupnou adresu URL objektu blob. Další informace najdete v tématu Vytvoření vlastních chybových stránek služby Application Gateway.

Application Gateway error codes

Pokud chcete nakonfigurovat globální vlastní chybovou stránku, podívejte se na Azure PowerShell konfiguraci.

Zásady protokolu TLS

Pro back-end serverovou farmu můžete centralizovanou správu certifikátů TLS/SSL a snížit režii na dešifrování šifrování. Centralizované zpracování protokolu TLS také umožňuje zadat centrální zásady TLS, které jsou vhodné pro vaše požadavky na zabezpečení. Můžete zvolit výchozí, předdefinované nebo vlastní zásady TLS.

Nakonfigurujete zásadu PROTOKOLU TLS pro řízení verzí protokolu TLS. Aplikační bránu můžete nakonfigurovat tak, aby používala minimální verzi protokolu pro handshakes protokolu TLS z protokolu TLS1.0, TLS1.1 a TLS1.2. Ve výchozím nastavení jsou protokoly SSL 2.0 a 3.0 zakázané a nejsou konfigurovatelné. Další informace najdete v tématu Application Gateway přehled zásad PROTOKOLU TLS.

Po vytvoření naslouchacího procesu ho přidružíte k pravidlu směrování požadavků. Toto pravidlo určuje, jak se požadavky přijaté v naslouchacím procesu směrují do back-endu.

Další kroky