Kurz: Konfigurace aplikační brány s ukončením TLS pomocí Azure Portal

Pomocí Azure Portal můžete nakonfigurovat Aplikační bránu s certifikátem pro ukončení protokolu TLS, který používá virtuální počítače pro back-end servery.

V tomto kurzu se naučíte:

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Požadavky

Přihlaste se k Azure Portal v https://portal.azure.com

Vytvoření certifikátu podepsaného svým držitelem (self-signed certificate)

V této části použijete příkaz New-SelfSignedCertificate k vytvoření certifikátu podepsaného svým držitelem. Certifikát nahrajete do Azure Portal při vytváření naslouchacího procesu pro službu Application Gateway.

V místním počítači otevřete okno Windows PowerShellu jako správce. Spuštěním následujícího příkazu vytvořte certifikát:

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

Mělo by se zobrazit něco podobného jako tato odpověď:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Použijte příkaz Export-vybíráte s kryptografickým otiskem, který byl vrácen pro export souboru PFX z certifikátu. Ujistěte se, že heslo je 4-12 znaků:

$pwd = ConvertTo-SecureString -String <your password> -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Vytvoření brány Application Gateway

1. V levé nabídce Azure Portal vyberte vytvořit prostředek . Zobrazí se nové okno.

2. Vyberte sítě a v seznamu Doporučené vyberte Application Gateway .

Karta základy

1. Na kartě základy zadejte tyto hodnoty pro následující nastavení služby Application Gateway:

   • Skupina prostředků: pro skupinu prostředků vyberte myResourceGroupAG . Pokud neexistuje, vyberte vytvořit novou a vytvořte ji.

   • Název aplikační brány: jako název služby Application Gateway zadejte myAppGateway .

     

2. Aby mohl Azure komunikovat mezi prostředky, které vytvoříte, potřebuje virtuální síť. Můžete buď vytvořit novou virtuální síť, nebo použít existující. V tomto příkladu vytvoříte novou virtuální síť ve stejnou chvíli, kdy vytvoříte Aplikační bránu. Instance Application Gateway se vytvářejí v oddělených podsítích. V tomto příkladu vytvoříte dvě podsítě: jednu pro aplikační bránu a druhou pro back-end servery.

   V části Konfigurovat virtuální síť vytvořte novou virtuální síť výběrem možnosti vytvořit nový. V okně vytvořit virtuální síť , které se otevře, zadejte následující hodnoty pro vytvoření virtuální sítě a dvě podsítě:

   • Název: jako název virtuální sítě zadejte myVNet .

   • Název podsítě (Application Gateway podsíť): v mřížce podsítě se zobrazí podsíť s názvem výchozí. Změňte název této podsítě na myAGSubnet.
     Podsíť aplikační brány může obsahovat jenom aplikační brány. Žádné další prostředky nejsou povoleny.

   • Název podsítě (podsíť back-end serveru): v druhém řádku mřížky podsítě zadejte myBackendSubnet do sloupce název podsítě .

   • Rozsah adres (podsíť back-end serveru): ve druhém řádku mřížky podsítě zadejte rozsah adres, který se nepřekrývá s rozsahem adres myAGSubnet. Pokud má například rozsah adres myAGSubnet 10.0.0.0/24, zadejte pro rozsah adres myBackendSubnet 10.0.1.0/24 .

   Výběrem OK zavřete okno vytvořit virtuální síť a uložte nastavení virtuální sítě.

   

3. Na kartě základy přijměte výchozí hodnoty pro ostatní nastavení a potom vyberte Další: front-endu.

Karta front-endu

1. Na kartě front-endu ověřte, že typ IP adresy front-end je nastavený na veřejné.
   Front-end IP adresu můžete nakonfigurovat tak, aby byla veřejná nebo soukromá jako na základě vašeho případu použití. V tomto příkladu zvolíte veřejnou front-end IP adresu.

   Poznámka

   V případě SKU Application Gateway v2 můžete zvolit jenom veřejnou konfiguraci IP adresy front-endu. V tuto chvíli není u této SKU verze V2 povolená soukromá konfigurace IP adresy front-endu.

2. Zvolte možnost Přidat nový pro veřejnou IP adresu a jako název veřejné IP adresy zadejte myAGPublicIPAddress a pak vyberte OK.

   

3. Vyberte Další: back-endy.

Karta back-endy

Back-end fond slouží ke směrování požadavků na servery back-end, které obsluhují požadavek. Back-endové fondy se dají skládat ze síťových adaptérů, virtuálních počítačů a virtuálních IP adres, interních IP adres, plně kvalifikovaných názvů domény (FQDN) a back-endu s více klienty, jako je Azure App Service. V tomto příkladu vytvoříte prázdný back-end fond s aplikační bránou a potom přidáte cíle back-end do fondu back-end.

1. Na kartě back- endy vyberte Přidat back-end fond.

2. V okně Přidat fond back-end , které se otevře, zadejte následující hodnoty a vytvořte prázdný back-end fond:

   • Název: jako název back-end fondu zadejte myBackendPool .
   • Přidat back-end fond bez cílů: vyberte Ano , pokud chcete vytvořit back-end fond bez cílů. Po vytvoření aplikační brány přidáte cíle back-endu.

3. V okně Přidat fond back-endu vyberte Přidat a uložte konfiguraci fondu back-end a vraťte se na kartu back- endy .

   

4. Na kartě back-endy vyberte Další: Konfigurace.

Karta konfigurace

Na kartě Konfigurace se připojíte k front-endovému a back-endovému fondu, který jste vytvořili pomocí pravidla směrování.

1. Ve sloupci pravidla směrování vyberte Přidat pravidlo směrování .

2. V okně Přidat pravidlo směrování , které se otevře, jako název pravidla zadejte myRoutingRule .

3. Pravidlo směrování vyžaduje naslouchací proces. Na kartě naslouchací proces v okně Přidat pravidlo směrování zadejte následující hodnoty pro naslouchací proces:

   • Název naslouchacího procesu: jako název naslouchacího procesu zadejte MyListener .
   • Front-end IP adresa: vyberte veřejné a zvolte veřejnou IP adresu, kterou jste vytvořili pro front-end.
   • Protokol: vyberte https.
   • Port: pro port se zadá ověření 443.

   V části nastavení https:

   • Zvolte certifikát – vyberte Odeslat certifikát.

   • Soubor certifikátu PFX – vyhledejte a vyberte soubor c:\appgwcert.pfx, který jste vytvořili dříve.

   • Název certifikátu – jako název certifikátu zadejte mycert1 .

   • Heslo – zadejte heslo, které jste použili k vytvoření certifikátu.

     Přijměte výchozí hodnoty pro ostatní nastavení na kartě naslouchací proces a potom vyberte kartu cílení na back-end a nakonfigurujte zbývající část pravidla směrování.

   

4. Na kartě cílení na server back-end vyberte MyBackendPool pro cíl back-endu.

5. Pro Nastavení http vyberte Přidat nový a vytvořte nové nastavení http. Nastavením protokolu HTTP se určí chování pravidla směrování. V okně Přidat nastavení protokolu HTTP , které se otevře, zadejte myHTTPSetting pro název nastavení http. Přijměte výchozí hodnoty pro ostatní nastavení v okně Přidat nastavení http a pak vyberte Přidat a vraťte se do okna Přidat pravidlo směrování .

   

6. V okně Přidat pravidlo směrování vyberte Přidat a uložte pravidlo směrování a vraťte se na kartu Konfigurace .

   

7. Vyberte Další: značky a potom Další: zkontrolovat + vytvořit.

Revize + vytvořit kartu

Zkontrolujte nastavení na kartě Revize + vytvořit a pak vyberte vytvořit k vytvoření virtuální sítě, veřejné IP adresy a aplikační brány. Vytvoření služby Application Gateway v Azure může trvat několik minut. Před přechodem k další části počkejte na úspěšné dokončení nasazení.

Přidat cíle back-endu

V tomto příkladu budete jako cílový back-end používat virtuální počítače. Můžete buď použít stávající virtuální počítače, nebo vytvořit nové. Vytvoříte dva virtuální počítače, které Azure používá jako servery back-end pro službu Application Gateway.

Uděláte to takto:

1. Vytvořte dva nové virtuální počítače, myVM a myVM2, které se budou používat jako servery back-end.
2. Nainstalujte službu IIS na virtuální počítače, abyste ověřili, že se služba Application Gateway úspěšně vytvořila.
3. Přidejte back-end servery do fondu back-end.

Vytvoření virtuálního počítače

1. V Azure Portal vyberte vytvořit prostředek. Zobrazí se nové okno.

2. V seznamu oblíbených vyberte Windows Server 2016 Datacenter . Zobrazí se stránka vytvořit virtuální počítač .

   Application Gateway může směrovat provoz na libovolný typ virtuálního počítače, který se používá v jeho fondu back-endu. V tomto příkladu použijete Windows Server 2016 Datacenter.

3. Zadejte tyto hodnoty na kartě základy pro následující nastavení virtuálního počítače:

   • Skupina prostředků: pro název skupiny prostředků vyberte myResourceGroupAG .
   • Název virtuálního počítače: jako název virtuálního počítače zadejte myVM .
   • Uživatelské jméno: zadejte název uživatelského jména správce.
   • Heslo: zadejte heslo pro účet správce.

4. Přijměte ostatní výchozí hodnoty a potom vyberte Další: disky.

5. Přijměte výchozí hodnoty na kartě disky a potom vyberte Další: sítě.

6. Na kartě sítě ověřte, že je pro virtuální síť vybraný myVNet a že podsíť je nastavená na myBackendSubnet. Přijměte ostatní výchozí hodnoty a potom vyberte Další: Správa.

   Application Gateway může komunikovat s instancemi mimo virtuální síť, ve které je, ale je potřeba zajistit připojení k IP adrese.

7. Na kartě Správa nastavte diagnostiku spouštění na zakázáno. Přijměte ostatní výchozí hodnoty a pak vyberte zkontrolovat + vytvořit.

8. Na kartě Revize + vytvořit zkontrolujte nastavení, opravte chyby ověřování a potom vyberte vytvořit.

9. Než budete pokračovat, počkejte, dokud nasazování neskončí.

Nainstalovat službu IIS pro testování

V tomto příkladu nainstalujete službu IIS na virtuální počítače jenom k úspěšnému ověření, že se brána Application Gateway úspěšně vytvořila.

1. Otevřete Azure PowerShell. Provedete to tak, že v horním navigačním panelu Azure Portal vyberete Cloud Shell a v rozevíracím seznamu vyberete PowerShell .

   

2. Změňte nastavení umístění pro vaše prostředí a pak spusťte následující příkaz pro instalaci služby IIS na virtuálním počítači:

          Set-AzVMExtension `
            -ResourceGroupName myResourceGroupAG `
            -ExtensionName IIS `
            -VMName myVM `
            -Publisher Microsoft.Compute `
            -ExtensionType CustomScriptExtension `
            -TypeHandlerVersion 1.4 `
            -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
            -Location <location>
   

3. Vytvořte druhý virtuální počítač a nainstalujte službu IIS pomocí dříve dokončených kroků. Pro název virtuálního počítače a pro nastavení VMName rutiny set-AzVMExtension použijte myVM2 .

Přidání back-end serverů do fondu back-endu

1. Vyberte všechny prostředky a pak vyberte myAppGateway.

2. V nabídce vlevo vyberte back-endové fondy .

3. Vyberte myBackendPool.

4. V části cílový typ vyberte z rozevíracího seznamu možnost virtuální počítač .

5. V části cíl vyberte v rozevíracím seznamu v části myVM síťové rozhraní.

6. Opakujte pro přidání síťového rozhraní pro myVM2.

   

7. Vyberte Uložit.

8. Než budete pokračovat k dalšímu kroku, počkejte na dokončení nasazení.

Otestování aplikační brány

1. Vyberte všechny prostředky a pak vyberte myAGPublicIPAddress.

   

2. Do panelu Adresa v prohlížeči zadejte https:// <your application gateway ip address>.

   Pokud chcete upozornění zabezpečení přijmout, pokud jste použili certifikát podepsaný svým držitelem, vyberte Podrobnosti (nebo Upřesnit na Chrome) a pak se na webovou stránku dostanete takto:

   

   Potom se zobrazí váš zabezpečený web služby IIS, jak je znázorněno v následujícím příkladu:

   

Vyčištění prostředků

Pokud už je nepotřebujete, odstraňte skupinu prostředků a všechny související prostředky. Provedete to tak, že vyberete skupinu prostředků a vyberete Odstranit skupinu prostředků.

Další kroky