Aktivieren von Eingang-zu-App-TLS für eine Anwendung

Hinweis

Azure Spring Apps ist der neue Name für den Azure Spring Cloud-Dienst. Obwohl der Dienst umbenannt wurde, wird der alte Name noch an einigen Stellen verwendet, solange wir Ressourcen wie Screenshots, Videos und Diagramme aktualisieren.

Dieser Artikel gilt für:❌ Basic ✔️ Standard ✔️ Enterprise

Hinweis

Dieses Feature ist im Standardplan nicht verfügbar.

In diesem Artikel wird die sichere Kommunikation in Azure Spring Apps beschrieben. In diesem Artikel erfahren Sie, wie Sie Eingang-zu-App-SSL/TLS aktivieren, um Datenverkehr von einem Eingangsdatencontroller zu Anwendungen zu schützen, die HTTPS unterstützen.

Die folgende Abbildung zeigt die gesamte Unterstützung für die sichere Kommunikation in Azure Spring Apps.

Sicheres Kommunikationsmodell in Azure Spring Apps

In diesem Abschnitt wird das im obigen Übersichtsdiagramm gezeigte sichere Kommunikationsmodell erläutert.

1. Die Clientanforderung vom Client an die Anwendung in Azure Spring Apps trifft am Eingangsdatencontroller ein. Die Anforderung kann per HTTP oder HTTPS eintreffen. Das vom Eingangsdatencontroller zurückgegebene TLS-Zertifikat wird von der Microsoft Azure-Zertifizierungsstelle für TLS ausgestellt.

   Wenn die App einer vorhandenen benutzerdefinierten Domäne zugeordnet wurde und nur mit HTTPS konfiguriert ist, dürfen Anforderungen an den Eingangsdatencontroller nur HTTPS verwenden. Das vom Eingangsdatencontroller zurückgegebene TLS-Zertifikat ist das SSL-Bindungszertifikat für diese benutzerdefinierte Domäne. Die serverseitige SSL/TLS-Überprüfung für die benutzerdefinierte Domäne erfolgt im Eingangsdatencontroller.

2. Die sichere Kommunikation zwischen dem Eingangsdatencontroller und den Anwendungen in Azure Spring Apps wird durch das Eingang-zu-App-TLS gesteuert. Sie können die Kommunikation auch über das Portal oder die Befehlszeilenschnittstelle steuern. Die Vorgehensweise wird weiter unten in diesem Artikel erläutert. Wenn Eingang-zu-App-TLS deaktiviert ist, erfolgt die Kommunikation zwischen dem Eingangsdatencontroller und den Apps in Azure Spring Apps per HTTP. Wenn Eingang-zu-App-TLS aktiviert ist, erfolgt die Kommunikation per HTTPS. Sie steht in keinem Zusammenhang mit der Kommunikation zwischen den Clients und dem Eingangsdatencontroller. Der Eingangsdatencontroller überprüft das von den Apps zurückgegebene Zertifikat nicht, da die Kommunikation bei Eingang-zu-App-TLS verschlüsselt wird.

3. Die Kommunikation zwischen den Apps und den Azure Spring Apps-Diensten erfolgt immer per HTTPS und wird von Azure Spring Apps verarbeitet. Zu diesen Dienste gehören Konfigurationsserver, Dienstregistrierung und Eureka-Server.

4. Sie verwalten die Kommunikation zwischen den Anwendungen. Sie können auch Azure Spring Apps-Features nutzen, um Zertifikate in den Vertrauensspeicher der Anwendung zu laden. Weitere Informationen finden Sie unter Verwenden von TLS/SSL-Zertifikaten in einer Anwendung.

5. Sie verwalten die Kommunikation zwischen Anwendungen und externen Diensten. Um Ihren Entwicklungsaufwand zu verringern, hilft Ihnen Azure Spring Apps bei der Verwaltung Ihrer öffentlichen Zertifikate und lädt sie in den Vertrauensspeicher Ihrer Anwendung. Weitere Informationen finden Sie unter Verwenden von TLS/SSL-Zertifikaten in einer Anwendung.

Aktivieren von Eingang-zu-App-TLS für eine Anwendung

Im folgenden Abschnitt erfahren Sie, wie Sie Eingang-zu-App-SSL/TLS aktivieren, um Datenverkehr von einem Eingangsdatencontroller zu Anwendungen zu schützen, die HTTPS unterstützen.

Voraussetzungen

• Eine bereitgestellte Azure Spring Apps-Instanz Informationen zu den ersten Schritten finden Sie unter Schnellstart: Starten einer Java Spring-Anwendung mit der Azure CLI.
• Wenn Sie mit Eingang-zu-App-TLS nicht vertraut sind, finden Sie weitere Informationen im Beispiel für End-to-End-TLS.
• Um die erforderlichen Zertifikate sicher in Spring Boot-Apps zu laden, können Sie spring-cloud-azure-starter-keyvault-certificates verwenden.

Aktivieren von Eingang-zu-App-TLS in einer vorhandenen App

Verwenden Sie den Befehl az spring app update --enable-ingress-to-app-tls, um Eingang-zu-App-TLS für eine App zu aktivieren oder zu deaktivieren.

az spring app update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app update --enable-ingress-to-app-tls false -n app_name -s service_name -g resource_group_name

Aktivieren von Eingang-zu-App-TLS beim Binden einer benutzerdefinierten Domäne

Verwenden Sie den Befehl az spring app custom-domain update --enable-ingress-to-app-tls oder az spring app custom-domain bind --enable-ingress-to-app-tls, um Eingang-zu-App-TLS für eine App zu aktivieren oder zu deaktivieren.

az spring app custom-domain update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app custom-domain bind --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name

Aktivieren von Eingang-zu-App-TLS über das Azure-Portal

Um Eingang-zu-App-TLS im Azure-Portal zu aktivieren, richten Sie zunächst eine App ein und aktivieren dann die Funktion.

1. Erstellen Sie wie gewohnt eine App im Portal. Navigieren Sie im Portal zu dieser App.
2. Scrollen Sie im linken Navigationsbereich nach unten zur Gruppe Einstellungen.
3. Wählen Sie Eingang-zu-App-TLS aus.
4. Schalten Sie Eingang-zu-App-TLS auf Ja um.

Überprüfen des Status von Eingang-zu-App-TLS

Verwenden Sie den Befehl az spring app show, um den Wert von enableEndToEndTls zu überprüfen.

az spring app show -n app_name -s service_name -g resource_group_name

Nächste Schritte

Zugreifen auf den Konfigurationsserver und die Dienstregistrierung