Forgalom irányítása földrajzilag elosztott alkalmazással az Azure és az Azure Stack Hub használatával

  • Cikk

Megtudhatja, hogyan irányíthatja a forgalmat adott végpontokra különböző metrikák alapján a földrajzilag elosztott alkalmazások mintájának használatával. A Traffic Manager-profil földrajzi alapú útválasztással és végpontkonfigurációval történő létrehozása biztosítja, hogy az információk a regionális követelmények, a vállalati és nemzetközi szabályozás, valamint az adatigények alapján a végpontokra irányuljanak.

Ebben a megoldásban egy mintakörnyezetet fog létrehozni a következőre:

  • Földrajzilag elosztott alkalmazás létrehozása.
  • Használja a Traffic Managert az alkalmazás megcélzásához.

A földrajzilag elosztott alkalmazások mintájának használata

A földrajzilag elosztott mintával az alkalmazás régiókra terjed ki. Alapértelmezés szerint a nyilvános felhőben is használhatja, de egyes felhasználók megkövetelhetik, hogy adataik a régiójukban maradjanak. A felhasználókat a követelményeknek megfelelően a legmegfelelőbb felhőbe irányíthatja.

Problémák és megfontolandó szempontok

Méretezési szempontok

A jelen cikkben ismertetett megoldás nem a méretezhetőségre épül. Ha azonban más Azure-beli és helyszíni megoldásokkal együtt használják, a méretezhetőségi követelményeknek is megfelelhet.

Rendelkezésre állási szempontok

A méretezhetőségi szempontokhoz hasonlóan ez a megoldás nem foglalkozik közvetlenül a rendelkezésre állással. Az Azure-beli és a helyszíni megoldások azonban implementálhatók ebben a megoldásban, így biztosítva a magas rendelkezésre állást az összes érintett összetevő számára.

Mikor érdemes ezt a mintát használni?

  • A szervezet olyan nemzetközi fiókokkal rendelkezik, amelyek egyéni regionális biztonsági és terjesztési szabályzatokat igényelnek.

  • A szervezet minden irodája lekéri az alkalmazottak, az üzleti és a létesítmény adatait, ami helyi szabályozások és időzónák szerinti jelentéskészítési tevékenységet igényel.

  • A nagy léptékű követelmények teljesítéséhez horizontálisan horizontálisan skálázza ki az alkalmazásokat több alkalmazástelepítéssel egyetlen régión belül és régiók között a szélsőséges terhelési követelmények kezelése érdekében.

A topológia tervezése

Az elosztott alkalmazások lábnyomának kiépítése előtt az alábbiakat érdemes ismernie:

  • Egyéni tartomány az alkalmazáshoz: Mi az az egyéni tartománynév, amelyet az ügyfelek használni fognak az alkalmazás eléréséhez? A mintaalkalmazás esetében az egyéni tartománynév www.scalableasedemo.com.

  • Traffic Manager-tartomány: Az Azure Traffic Manager-profil létrehozásakor tartománynév lesz kiválasztva. Ez a név az trafficmanager.net utótaggal kombinálva regisztrál egy, a Traffic Manager által felügyelt tartománybejegyzést. A mintaalkalmazás esetében a kiválasztott név skálázható-ase-demo. Ennek eredményeképpen a Traffic Manager által felügyelt teljes tartománynév scalable-ase-demo.trafficmanager.net.

  • Az alkalmazáslábnyom skálázásának stratégiája: Döntse el, hogy az alkalmazás lábnyoma több App Service-környezet között lesz-e elosztva egyetlen régióban, több régióban vagy mindkét megközelítés kombinációjában. A döntésnek azon elvárásokon kell alapulnia, hogy honnan indul az ügyfélforgalom, és hogy egy alkalmazás háttérinfrastruktúra többi része milyen mértékben méretezhető. Például egy 100%-os állapot nélküli alkalmazás esetén az alkalmazás nagy mértékben méretezhető az Azure-régiónként több App Service-környezet kombinációjával, több Azure-régióban üzembe helyezett App Service-környezetekkel megszorozva. Mivel több mint 15 globális Azure-régió közül választhat, az ügyfelek valóban létrehozhatnak egy globális hiperméretű alkalmazáslábnyomot. Az itt használt mintaalkalmazáshoz három App Service-környezet jött létre egyetlen Azure-régióban (AZ USA déli középső régiójában).

  • Elnevezési konvenció az App Service-környezetekhez: Minden App Service-környezethez egyedi név szükséges. Egy vagy két App Service-környezeten túl hasznos lehet egy elnevezési konvencióval az egyes App Service-környezetek azonosításához. Az itt használt mintaalkalmazáshoz egy egyszerű elnevezési konvenciót használtunk. A három App Service-környezet neve fe1ase, fe2ase és fe3ase.

  • Elnevezési konvenció az alkalmazásokhoz: Mivel az alkalmazás több példánya lesz üzembe helyezve, az üzembe helyezett alkalmazás minden példányához névre van szükség. A Power Apps App Service-környezetében ugyanaz az alkalmazásnév több környezetben is használható. Mivel minden App Service-környezetnek egyedi tartomány utótagja van, a fejlesztők dönthetnek úgy, hogy minden környezetben ugyanazt az alkalmazásnevet használják újra. Egy fejlesztő például a következőképpen nevezheti el az alkalmazásokat: myapp.foo1.p.azurewebsites.net, myapp.foo2.p.azurewebsites.net, myapp.foo3.p.azurewebsites.net stb. Az itt használt alkalmazás esetében minden alkalmazáspéldánynak egyedi neve van. A használt alkalmazáspéldányok neve a webfrontend1, a webfrontend2 és a webfrontend3.

Tipp.

Hibrid pillérek diagramja A Microsoft Azure Stack Hub az Azure bővítménye. Az Azure Stack Hub a felhőalapú számítástechnika rugalmasságát és innovációját a helyszíni környezetbe helyezi, így az egyetlen hibrid felhő, amely lehetővé teszi hibrid alkalmazások bárhol történő kiépítését és üzembe helyezését.

A hibrid alkalmazástervezési szempontok a szoftverminőség alappilléreit (elhelyezés, méretezhetőség, rendelkezésre állás, rugalmasság, kezelhetőség és biztonság) vizsgálják a hibrid alkalmazások tervezése, üzembe helyezése és üzemeltetése során. A tervezési szempontok segítenek optimalizálni a hibrid alkalmazástervezést, minimalizálva az éles környezetben jelentkező kihívásokat.

1. rész: Földrajzilag elosztott alkalmazás létrehozása

Ebben a részben egy webalkalmazást fog létrehozni.

  • Webalkalmazások létrehozása és közzététele.
  • Kód hozzáadása az Azure-adattárakhoz.
  • Mutasson az alkalmazás buildelésére több felhőbeli célra.
  • A CD-folyamat kezelése és konfigurálása.

Előfeltételek

Azure-előfizetésre és Azure Stack Hub telepítésre van szükség.

Földrajzilag elosztott alkalmazás lépései

Egyéni tartomány beszerzése és a DNS konfigurálása

Frissítse a tartomány DNS-zónafájlát. A Microsoft Entra ID ezután ellenőrizheti az egyéni tartománynév tulajdonjogát. Használja az Azure DNS-t az Azure/Microsoft 365/külső DNS-rekordokhoz az Azure-ban, vagy adja hozzá a DNS-bejegyzést egy másik DNS-regisztrálóhoz.

  1. Egyéni tartomány regisztrálása nyilvános regisztrálónál.

  2. Jelentkezzen be a tartomány tartománynév-regisztrálójába. Előfordulhat, hogy a DNS-frissítések elvégzéséhez egy jóváhagyott rendszergazdára van szükség.

  3. Frissítse a tartomány DNS-zónafájlját a Microsoft Entra ID által megadott DNS-bejegyzés hozzáadásával. A DNS-bejegyzés nem módosítja az olyan viselkedéseket, mint a levelezési útválasztás vagy a webszolgáltatás.

Webalkalmazások létrehozása és közzététele

Konfigurálja a hibrid folyamatos integrációt/folyamatos kézbesítést (CI/CD) a webalkalmazás Azure-ban és az Azure Stack Hubban való üzembe helyezéséhez, valamint a módosítások automatikus leküldéséhez mindkét felhőbe.

Feljegyzés

Az Azure Stack Hub megfelelő rendszerképekkel (Windows Server és SQL) és App Service-telepítéssel van szükség. További információ: Az App Service Azure Stack Hubon való üzembe helyezésének előfeltételei.

Kód hozzáadása az Azure-adattárakhoz

  1. Jelentkezzen be a Visual Studióba egy olyan fiókkal, amely projektlétrehozási jogosultságokkal rendelkezik az Azure-adattárakban.

    A CI/CD alkalmazáskódra és infrastruktúra-kódra is alkalmazható. Azure Resource Manager-sablonokat használhat privát és üzemeltetett felhőfejlesztésekhez is.

    Csatlakozás projektbe a Visual Studióban

  2. Klónozza az adattárat az alapértelmezett webalkalmazás létrehozásával és megnyitásával.

    Adattár klónozása a Visual Studióban

Webalkalmazás üzembe helyezésének létrehozása mindkét felhőben

  1. A WebApplication.csproj fájl szerkesztése: Kijelölés Runtimeidentifier és hozzáadáswin10-x64. (Lásd: Önálló üzembehelyezési dokumentáció.)

    Webalkalmazás-projektfájl szerkesztése a Visual Studióban

  2. A Team Explorerrel adja meg a kódot az Azure Reposban .

  3. Ellenőrizze, hogy az alkalmazáskód be van-e jelentkezve az Azure-adattárakba.

A builddefiníció létrehozása

  1. Jelentkezzen be az Azure Pipelinesba a builddefiníciók létrehozásának megerősítéséhez.

  2. Kód hozzáadása -r win10-x64 . Ez a kiegészítés szükséges a .NET Core-nal való önálló üzembe helyezés elindításához.

    Kód hozzáadása a builddefinícióhoz az Azure Pipelinesban

  3. Futtassa a buildet. A saját üzembe helyezés buildelési folyamata közzéteszi az Azure-ban és az Azure Stack Hubon futtatható összetevőket.

Azure-beli üzemeltetett ügynök használata

Egy üzemeltetett ügynök használata az Azure Pipelinesban kényelmes megoldás webalkalmazások létrehozására és üzembe helyezésére. A Microsoft Azure automatikusan elvégzi a karbantartást és a frissítéseket, ami folyamatos fejlesztést, tesztelést és üzembe helyezést tesz lehetővé.

A CD-folyamat kezelése és konfigurálása

Az Azure DevOps Services egy nagy mértékben konfigurálható és kezelhető folyamatot biztosít a különböző környezetek , például fejlesztési, előkészítési, minőségbiztosítási és éles környezetek kiadásához; beleértve a jóváhagyást meghatározott szakaszokban.

Kiadási definíció létrehozása

  1. A plusz gombra kattintva új kiadást vehet fel az Azure DevOps Services Build and Release szakaszÁnak Kiadások lapján.

    Kiadási definíció létrehozása az Azure DevOps Servicesben

  2. Alkalmazza a Azure-alkalmazás szolgáltatás üzembehelyezési sablont.

    Azure-alkalmazás szolgáltatás üzembehelyezési sablon alkalmazása az Azure DevOps Servicesben

  3. Az Összetevő hozzáadása csoportban adja hozzá az összetevőt az Azure Cloud buildalkalmazáshoz.

    Összetevő hozzáadása az Azure Cloud buildjéhez az Azure DevOps Servicesben

  4. A Folyamat lapon válassza ki a környezet Fázis, Tevékenység hivatkozását, és állítsa be az Azure felhőkörnyezet értékeit.

    Azure-felhőkörnyezet értékeinek beállítása az Azure DevOps Servicesben

  5. Adja meg a környezet nevét , és válassza ki az Azure-előfizetést az Azure Cloud-végponthoz.

    Azure-előfizetés kiválasztása Azure Cloud-végponthoz az Azure DevOps Servicesben

  6. Az App Service neve területen adja meg a szükséges Azure App Service-nevet.

    Az Azure App Service nevének beállítása az Azure DevOps Servicesben

  7. Adja meg a "Hosted VS2017" (Üzemeltetett VS2017) kifejezést az Azure cloud hosted environment ügynöksorában.

    Ügynöki üzenetsor beállítása azure-beli felhőbeli környezethez az Azure DevOps Servicesben

  8. A Azure-alkalmazás szolgáltatás üzembe helyezése menüben válassza ki a környezet érvényes csomagjának vagy mappájának megfelelőt. Válassza az OK gombot a mappa helyéhez.

    Csomag vagy mappa kiválasztása Azure-alkalmazás Szolgáltatáskörnyezethez az Azure DevOps Servicesben

    Mappaválasztó párbeszédpanel 1

  9. Mentse az összes módosítást, és térjen vissza a kiadási folyamathoz.

    Módosítások mentése a kiadási folyamatban az Azure DevOps Servicesben

  10. Adjon hozzá egy új összetevőt, amely kiválasztja az Azure Stack Hub-alkalmazás buildét.

    Új összetevő hozzáadása az Azure Stack Hub-alkalmazáshoz az Azure DevOps Servicesben

  11. Adjon hozzá még egy környezetet a Azure-alkalmazás szolgáltatás üzembe helyezésének alkalmazásával.

    Környezet hozzáadása Azure-alkalmazás szolgáltatás üzembe helyezéséhez az Azure DevOps Servicesben

  12. Nevezze el az új környezetet az Azure Stack Hubnak.

    Névkörnyezet Azure-alkalmazás szolgáltatás üzembe helyezésében az Azure DevOps Servicesben

  13. Keresse meg az Azure Stack Hub-környezetet a Feladat lap alatt.

    Azure Stack Hub-környezet az Azure DevOps Servicesben az Azure DevOps Servicesben

  14. Válassza ki az Azure Stack Hub-végpont előfizetését.

    Válassza ki az Azure Stack Hub-végpont előfizetését az Azure DevOps Servicesben

  15. Állítsa be az Azure Stack Hub webalkalmazás nevét App Service-névként.

    Az Azure Stack Hub webalkalmazás nevének beállítása az Azure DevOps Servicesben

  16. Válassza ki az Azure Stack Hub-ügynököt.

    Az Azure Stack Hub-ügynök kiválasztása az Azure DevOps Servicesben

  17. A Azure-alkalmazás szolgáltatás üzembe helyezése szakaszban válassza ki a környezethez tartozó érvényes csomagot vagy mappát. Válassza az OK gombot a mappa helyéhez.

    Mappa kiválasztása Azure-alkalmazás szolgáltatás üzembe helyezéséhez az Azure DevOps Servicesben

    Mappaválasztó párbeszédpanel 2

  18. A Változó lapon adjon hozzá egy névvel ellátott VSTS\_ARM\_REST\_IGNORE\_SSL\_ERRORSváltozót, állítsa az értékét igazként, és hatókört az Azure Stack Hubra.

    Változó hozzáadása Azure-alkalmazás Üzembe helyezéshez az Azure DevOps Servicesben

  19. Válassza a Folyamatos üzembehelyezési eseményindító ikont mindkét összetevőben, és engedélyezze a Folytatás központi telepítési eseményindítót.

    Folyamatos üzembehelyezési eseményindító kiválasztása az Azure DevOps Servicesben

  20. Válassza az Üzembe helyezés előtti feltételek ikont az Azure Stack Hub-környezetben, és állítsa az eseményindítót a kiadás után értékre .

    Az üzembe helyezés előtti feltételek kiválasztása az Azure DevOps Servicesben

  21. Mentse az összes módosítást.

Feljegyzés

Előfordulhat, hogy a feladatok bizonyos beállításai automatikusan környezeti változókként lettek definiálva, amikor kiadásdefiníciót hoztak létre egy sablonból. Ezek a beállítások nem módosíthatók a tevékenységbeállításokban; ehelyett a szülőkörnyezet elemét kell kijelölni a beállítások szerkesztéséhez.

2. rész: Webalkalmazás-beállítások frissítése

Az Azure App Service egy hatékonyan méretezhető, önjavító webes üzemeltetési szolgáltatás.

Azure App Service

  • Meglévő egyéni DNS-név leképezése az Azure Web Appsbe.
  • Az egyéni DNS-név App Service-be való leképezéséhez használjon CNAME rekordot és A rekordot.

Meglévő egyéni DNS-név hozzákapcsolása az Azure-webalkalmazásokhoz

Feljegyzés

Használjon CNAME-t az összes egyéni DNS-névhez, kivéve a gyökértartományt (például northwind.com).

Élő webhely és hozzá tartozó DNS-tartománynév migrálása az App Service-be: Aktív DNS-név migrálása az Azure App Service-be.

Előfeltételek

A megoldás elvégzéséhez:

  • Hozzon létre egy App Service-alkalmazást, vagy használjon egy másik megoldáshoz létrehozott alkalmazást.

  • Vásároljon tartománynevet, és győződjön meg arról, hogy a tartományszolgáltató dns-beállításjegyzékéhez fér hozzá.

Frissítse a tartomány DNS-zónafájlát. A Microsoft Entra ID ellenőrzi az egyéni tartománynév tulajdonjogát. Használja az Azure DNS-t az Azure/Microsoft 365/külső DNS-rekordokhoz az Azure-ban, vagy adja hozzá a DNS-bejegyzést egy másik DNS-regisztrálóhoz.

  • Egyéni tartomány regisztrálása nyilvános regisztrálónál.

  • Jelentkezzen be a tartomány tartománynév-regisztrálójába. (Előfordulhat, hogy egy jóváhagyott rendszergazdára van szükség a DNS-frissítések elvégzéséhez.)

  • Frissítse a tartomány DNS-zónafájlját a Microsoft Entra ID által megadott DNS-bejegyzés hozzáadásával.

Ha például DNS-bejegyzéseket szeretne hozzáadni northwindcloud.com és www.northwindcloud.com, konfigurálja az northwindcloud.com gyökértartomány DNS-beállításait.

Feljegyzés

A tartománynév az Azure Portalon vásárolható meg. Egy egyéni DNS-név webalkalmazásra való leképezéséhez a webalkalmazás App Service-csomagjának fizetős rétegben kell lennie (megosztott, alapvető, szabványos vagy prémium szintű).

CNAME és A rekordok létrehozása és leképezése

DNS-rekordok elérése tartományszolgáltató esetén

Feljegyzés

Az Azure DNS használatával egyéni DNS-nevet konfigurálhat az Azure Web Appshez. További információt az egyéni tartománybeállítások egy Azure-szolgáltatáshoz az Azure DNS használatával történő megadását ismertető cikkben talál.

  1. Jelentkezzen be a fő szolgáltató webhelyére.

  2. Keresse meg a DNS-rekordok kezelésére szolgáló oldalt. Minden tartományszolgáltató saját DNS-rekord-kezelőfelülettel rendelkezik. A webhely Tartománynév, DNS vagy Névkiszolgáló kezelése címkével ellátott területeit keresse.

A DNS-rekordok lapja a Saját tartományokban tekinthető meg. Keresse meg a Zónafájl, a DNS-rekordok vagy a Speciális konfiguráció nevű hivatkozást.

A következő képernyőkép egy DNS-rekordokat tartalmazó oldalra mutat példát:

DNS-rekordokat tartalmazó oldal példája

  1. A tartománynévregisztrálóban válassza a Hozzáadás vagy létrehozás lehetőséget egy rekord létrehozásához. Egyes szolgáltatók eltérő hivatkozásokat használnak a különböző rekordtípusok hozzáadásához. Tekintse meg a szolgáltató dokumentációját.

  2. Adjon hozzá egy CNAME rekordot egy altartománynak az alkalmazás alapértelmezett gazdagépnevére való leképezéséhez.

    A www.northwindcloud.com tartomány példájához adjon hozzá egy CNAME rekordot, amely megfelel a névnek <app_name>.azurewebsites.net.

A CNAME hozzáadása után a DNS-rekordok lap a következő példához hasonlóan néz ki:

Navigálás a portálon egy Azure-alkalmazáshoz

A CNAME rekord hozzárendelésének engedélyezése az Azure-ban

  1. Egy új lapon jelentkezzen be az Azure Portalra.

  2. Lépjen az App Servicesbe.

  3. Válassza ki a webalkalmazást.

  4. Az Azure Portal bal oldali navigációs sávján válassza ki az Egyéni tartományok elemet.

  5. Válassza ki a Gazdagépnév hozzáadása elem melletti + ikont.

  6. Írja be a teljes tartománynevet, például www.northwindcloud.com.

  7. Válassza az Ellenőrzés lehetőséget.

  8. Ha van ilyen, adjon hozzá más típusú (A vagy TXT) rekordokat a tartománynév-regisztrálók DNS-rekordjaihoz. Az Azure a következő rekordok értékeit és típusait biztosítja:

    a. egy A rekordra, amelyet leképezhet az alkalmazás IP-címére.

    b. egy TXT típusú rekordra, amelyet leképezhet az alkalmazás alapértelmezett <app_name>.azurewebsites.net gazdagépnevére. Az App Service ezt a rekordot csak konfigurációs időpontban használja az egyéni tartomány tulajdonjogának ellenőrzéséhez. Az ellenőrzés után törölje a TXT rekordot.

  9. Végezze el ezt a feladatot a tartományregisztráló lapon, és értékelje újra, amíg a Gazdagépnév hozzáadása gomb be nem aktiválódik.

  10. Győződjön meg arról, hogy a Gazdagépnév rekordtípus CNAME (www.example.com vagy altartomány) értékre van állítva.

  11. Válassza a Gazdagépnév hozzáadása lehetőséget.

  12. Írja be a teljes tartománynevet, például northwindcloud.com.

  13. Válassza az Ellenőrzés lehetőséget. A Hozzáadás aktiválva van.

  14. Győződjön meg arról, hogy a Gazdagépnév rekordtípusa beállítás értéke A rekord (example.com).

  15. Adjon hozzá állomásnevet.

    Eltarthat egy ideig, mire az új gazdagépnevek megjelennek az alkalmazás Egyéni tartományok lapján. Próbálja meg frissíteni a böngészőt az adatok frissítéséhez.

    Egyéni tartományok

    Hiba esetén az oldal alján megjelenik egy ellenőrzési hibaértesítés. Tartomány-ellenőrzési hiba

Feljegyzés

A fenti lépések megismételhetők egy helyettesítő tartomány (*.northwindcloud.com) leképezéséhez. Ez lehetővé teszi további altartományok hozzáadását ehhez az app service-hez anélkül, hogy külön CNAME rekordot kellene létrehoznia mindegyikhez. A beállítás konfigurálásához kövesse a regisztrátor utasításait.

Tesztelés böngészőben

Keresse meg a korábban konfigurált DNS-nevet (például northwindcloud.com vagy www.northwindcloud.com).

3. rész: Egyéni SSL-tanúsítvány kötése

Ebben a részben a következőt fogjuk:

  • Az egyéni SSL-tanúsítvány kötése az App Service-hez.
  • HTTPS kényszerítése az alkalmazáshoz.
  • SSL-tanúsítványkötés automatizálása szkriptekkel.

Feljegyzés

Szükség esetén szerezze be az ügyfél SSL-tanúsítványát az Azure Portalon, és kösse hozzá a webalkalmazáshoz. További információkért tekintse meg az App Service-tanúsítványok oktatóanyagát.

Előfeltételek

A megoldás elvégzéséhez:

Az SSL-tanúsítvány követelményei

A tanúsítvány App Service-ben történő használatához a tanúsítványnak meg kell felelnie az alábbi követelmények mindegyikének:

  • Megbízható hitelesítésszolgáltató írta alá.

  • Jelszóval védett PFX-fájlként exportálva.

  • Legalább 2048 bites titkos kulcsot tartalmaz.

  • A tanúsítványlánc összes köztes tanúsítványát tartalmazza.

Feljegyzés

Az elliptikus görbe titkosítási (ECC) tanúsítványai az App Service-vel működnek, de ez az útmutató nem tartalmazza. Kérjen segítséget egy hitelesítésszolgáltatótól az ECC-tanúsítványok létrehozásához.

A webalkalmazás előkészítése

Ha egyéni SSL-tanúsítványt szeretne a webalkalmazáshoz kötni, az App Service-csomagnak alapszintű, standard vagy prémium szintűnek kell lennie.

Bejelentkezés az Azure-ba

  1. Nyissa meg az Azure Portalt , és nyissa meg a webalkalmazást.

  2. A bal oldali menüben válassza az App Services elemet, majd a webalkalmazás nevét.

Webalkalmazás kiválasztása az Azure Portalon

A tarifacsomag ellenőrzése

  1. A webalkalmazás lapjának bal oldali navigációs sávján görgessen a Gépház szakaszhoz, és válassza a Felskálázás (App Service-csomag) lehetőséget.

    Vertikális felskálázási menü a webalkalmazásban

  2. Győződjön meg arról, hogy a webalkalmazás nincs az ingyenes vagy a megosztott szinten. A webalkalmazás aktuális szintje sötétkék mezőben van kiemelve.

    Tarifacsomag ellenőrzése a webalkalmazásban

Az egyéni SSL nem támogatott az ingyenes vagy a megosztott szinten. A méretezéshez kövesse a következő szakaszban vagy a Tarifacsomag kiválasztása lapon található lépéseket, és ugorjon az SSL-tanúsítvány feltöltéséhez és kötéséhez.

Az App Service-csomag vertikális felskálázása

  1. Válassza az Alapszintű, a Standard vagy a Prémium szintet.

  2. Válassza a lehetőséget.

A webalkalmazás tarifacsomagjának kiválasztása

A méretezési művelet az értesítés megjelenésekor befejeződik.

Vertikális felskálázási értesítés

Ssl-tanúsítvány kötése és köztes tanúsítványok egyesítése

Több tanúsítvány egyesítése a láncban.

  1. Nyissa meg a szövegszerkesztőben kapott összes tanúsítványt .

  2. Hozzon létre egy fájlt az mergedcertificate.crt nevű egyesített tanúsítványhoz. Egy szövegszerkesztőben másolja ebbe a fájlba az egyes tanúsítványok tartalmát. A tanúsítványok sorrendjének egyeznie kell a tanúsítványláncban lévő sorrenddel, a saját tanúsítvánnyal kezdve és a főtanúsítvánnyal végződve. Az alábbi példához hasonlóan néz ki:

    
-----BEGIN CERTIFICATE-----

<your entire Base64 encoded SSL certificate>

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

<The entire Base64 encoded intermediate certificate 1>

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

<The entire Base64 encoded intermediate certificate 2>

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

<The entire Base64 encoded root certificate>

-----END CERTIFICATE-----

Tanúsítvány exportálása PFX-fájlba

Exportálja az egyesített SSL-tanúsítványt a tanúsítvány által létrehozott titkos kulccsal.

A rendszer létrehoz egy titkos kulcsfájlt az OpenSSL-en keresztül. A tanúsítvány PFX-be való exportálásához futtassa a következő parancsot, és cserélje le a helyőrzőket <private-key-file> , <merged-certificate-file> valamint a titkos kulcs elérési útját és az egyesített tanúsítványfájlt:

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>

Amikor a rendszer kéri, adjon meg egy exportálási jelszót az SSL-tanúsítvány App Service-be való későbbi feltöltéséhez.

Ha a tanúsítványkérelem létrehozásához IIS vagy Certreq.exe használ, telepítse a tanúsítványt egy helyi gépre, majd exportálja a tanúsítványt a PFX-be.

Az SSL-tanúsítvány feltöltése

  1. Válassza ki az SSL-beállításokat a webalkalmazás bal oldali navigációs sávjában.

  2. Válassza a Tanúsítvány feltöltése lehetőséget.

  3. A PFX-tanúsítványfájlban válassza a PFX-fájlt.

  4. A tanúsítványjelszóba írja be a PFX-fájl exportálásakor létrehozott jelszót.

  5. Válassza a Feltöltés lehetőséget.

    SSL-tanúsítvány feltöltése

Amikor az App Service befejezi a tanúsítvány feltöltését, megjelenik az SSL-beállítások lapon.

SSL Settings (SSL-beállítások)

Az SSL-tanúsítvány kötése

  1. Az SSL-kötések szakaszban válassza a Kötés hozzáadása lehetőséget.

    Feljegyzés

    Ha a tanúsítvány fel lett töltve, de nem jelenik meg a tartománynév(ek)ben a Gazdagépnév legördülő listában, próbálja meg frissíteni a böngészőlapot.

  2. Az SSL-kötés hozzáadása lapon a legördülő listából válassza ki a biztonságos tartománynevet és a használni kívánt tanúsítványt.

  3. Az SSL Type (SSL típusa) területen válassza ki, hogy a kiszolgálónév jelzésén (SNI) alapuló vagy IP-alapú SSL-t kíván-e használni.

    • SNI-alapú SSL: Több SNI-alapú SSL-kötés is hozzáadható. Ez a beállítás lehetővé teszi, hogy több SSL-tanúsítvány biztosítson védelmet több tartomány számára ugyanazon az IP-címen. A legtöbb modern böngésző (beleértve az Internet Explorert, a Chrome-ot, a Firefox-ot és az Operát) támogatja az SNI-t (átfogóbb böngészőtámogatási információkat a Kiszolgálónév jelzése című szakaszban talál).

    • IP-alapú SSL: Csak egy IP-alapú SSL-kötés adható hozzá. Ez a beállítás csak egy SSL-tanúsítványnak engedélyezi egy dedikált nyilvános IP-cím védelmét. Több tartomány biztonságossá tételéhez az összes tartományt ugyanazzal az SSL-tanúsítvánnyal kell biztonságossá tenni. Az IP-alapú SSL az SSL-kötés hagyományos lehetősége.

  4. Válassza a Kötés hozzáadása lehetőséget.

    SSL-kötés hozzáadása

Amikor az App Service befejezi a tanúsítvány feltöltését, megjelenik az SSL-kötések szakaszaiban.

Az SSL-kötések feltöltése befejeződött

Az IP SSL A rekordjának újraképe

Ha az IP-alapú SSL-t nem használja a webalkalmazás, ugorjon az egyéni tartomány HTTPS tesztelésére.

A webalkalmazás alapértelmezés szerint megosztott nyilvános IP-címet használ. Ha a tanúsítvány IP-alapú SSL-hez van kötve, az App Service létrehoz egy új és dedikált IP-címet a webalkalmazás számára.

Ha egy A rekordot leképez a webalkalmazásra, a tartományregisztrációs adatbázist frissíteni kell a dedikált IP-címmel.

Az Egyéni tartomány lapja frissül az új, dedikált IP-címmel. Másolja ki ezt az IP-címet, majd másolja újra az A rekordot erre az új IP-címre.

HTTPS tesztelése

A különböző böngészőkben ellenőrizze, hogy https://<your.custom.domain> a webalkalmazás kiszolgálva van-e.

tallózás a webalkalmazáshoz

Feljegyzés

Ha tanúsítványérvényesítési hibák lépnek fel, előfordulhat, hogy egy önaláírt tanúsítvány okozza, vagy a köztes tanúsítványok kimaradtak a PFX-fájlba való exportáláskor.

HTTPS kényszerítése

Alapértelmezés szerint bárki elérheti a webalkalmazást HTTP használatával. A HTTPS-portra irányuló összes HTTP-kérés átirányítható.

A webalkalmazás lapján válassza az SL-beállításokat. Ezután a HTTPS Only (Csak HTTPS) területen válassza az On (Be) elemet.

HTTPS kényszerítése

Ha a művelet befejeződött, lépjen az alkalmazásra mutató HTTP-URL-címek bármelyikére. Példa:

  • <https:// app_name.azurewebsites.net>
  • https://northwindcloud.com
  • https://www.northwindcloud.com

A TLS 1.1/1.2 kényszerítése

Az alkalmazás alapértelmezés szerint engedélyezi a TLS 1.0-t, amelyet az iparági szabványok (például a PCI DSS) már nem tartanak biztonságosnak. A TLS újabb verziójának kényszerítéséhez kövesse az alábbi lépéseket:

  1. A webalkalmazás lap bal oldali navigációs sávján válassza az SSL-beállításokat.

  2. A TLS-verzióban válassza ki a minimális TLS-verziót.

    A TLS 1.1 vagy 1.2 kényszerítése

Traffic Manager-profil létrehozása

  1. Válassza az Erőforrás-hálózatkezelés>>Traffic Manager-profil>létrehozása lehetőséget.

  2. A Traffic Manager-profil létrehozása területen adja meg a következőket:

    1. A Név területen adja meg a profil nevét. Ennek a névnek egyedinek kell lennie a forgalom manager.net zónában, és a Traffic Manager-profil eléréséhez használt DNS-nevet (trafficmanager.net) kell eredményeznie.

    2. Az Útválasztás metódusban válassza ki a földrajzi útválasztási módszert.

    3. Az Előfizetésben válassza ki azt az előfizetést, amely alatt létre szeretné hozni ezt a profilt.

    4. Az Erőforráscsoport mezőben hozzon létre egy új erőforráscsoportot, amely alá ezt a profilt helyezi.

    5. Az Erőforráscsoport helye területen válassza ki az erőforráscsoport helyét. Ez a beállítás az erőforráscsoport helyére vonatkozik, és nincs hatással a globálisan üzembe helyezett Traffic Manager-profilra.

    6. Válassza a Létrehozás lehetőséget.

    7. Ha a Traffic Manager-profil globális üzembe helyezése befejeződött, az adott erőforráscsoportban szerepel az erőforrások egyikeként.

      Erőforráscsoportok a Traffic Manager-profil létrehozása során

Traffic Manager-végpontok hozzáadása

  1. A portál keresősávján keresse meg az előző szakaszban létrehozott Traffic Manager-profilnevet , és válassza ki a traffic manager-profilt a megjelenített eredmények között.

  2. A Traffic Manager-profilban a Gépház szakaszban válassza a Végpontok lehetőséget.

  3. Válassza a Hozzáadás lehetőséget.

  4. Az Azure Stack Hub-végpont hozzáadása.

  5. Típus esetén válassza a Külső végpont lehetőséget.

  6. Adja meg a végpont nevét, ideális esetben az Azure Stack Hub nevét.

  7. Teljes tartománynév (FQDN) esetén használja az Azure Stack Hub Web App külső URL-címét.

  8. A Geoleképezés területen válasszon ki egy régiót/kontinenst, ahol az erőforrás található. Például Európa.

  9. A megjelenő Ország/régió legördülő menüben válassza ki az erre a végpontra vonatkozó országot/régiót. Például Németország.

  10. A Beállítás letiltottként jelölőnégyzetet ne jelölje ki.

  11. Kattintson az OK gombra.

  12. Az Azure-végpont hozzáadása:

    1. Típus esetén válassza az Azure-végpontot.

    2. Adja meg a végpont nevét.

    3. A Cél típusú erőforrás esetében válassza az App Service lehetőséget.

    4. A Célerőforrás esetében válassza az App Service kiválasztása lehetőséget a webalkalmazások listájának megjelenítéséhez ugyanabban az előfizetésben. Az Erőforrásban válassza ki az első végpontként használt App service-t.

  13. A Geoleképezés területen válasszon ki egy régiót/kontinenst, ahol az erőforrás található. Például Észak-Amerika/Közép-Amerika/Karib-térség.

  14. A megjelenő Ország/régió legördülő menüben hagyja üresen ezt a helyet a fenti regionális csoportosítás kiválasztásához.

  15. A Beállítás letiltottként jelölőnégyzetet ne jelölje ki.

  16. Kattintson az OK gombra.

    Feljegyzés

    Hozzon létre legalább egy végpontot az Összes (Világ) földrajzi hatókörrel, hogy az alapértelmezett végpontként szolgáljon az erőforráshoz.

  17. Ha mindkét végpont hozzáadása befejeződött, azok megjelennek a Traffic Manager-profilban, valamint online állapotukkal együtt.

    Traffic Manager-profil végpontállapota

A Global Enterprise az Azure geoelosztási képességeire támaszkodik

Az adatforgalom Azure Traffic Manageren és földrajzilag specifikus végpontokon keresztül történő irányítása lehetővé teszi, hogy a globális vállalatok betartsák a regionális előírásokat, és az adatok megfelelőek és biztonságosak maradjanak, ami elengedhetetlen a helyi és távoli üzleti helyek sikeressége szempontjából.

Következő lépések