Mengintegrasikan ILB App Service Environment Anda dengan Azure Application Gateway

App Service Environment adalah penyebaran dari Azure App Service dalam subnet jaringan virtual Azure pelanggan. App Service Environment dapat digunakan dengan titik akhir eksternal atau internal untuk akses aplikasi. Penyebaran App Service environment dengan titik akhir internal disebut sebagai internal load balancer (ILB) App Service environment (ASE).

Firewall aplikasi web membantu mengamankan aplikasi web Anda dengan memeriksa lalu lintas web masuk untuk memblokir SQL suntikan, Skrip Lintas Situs, pengunggahan malware & DDoS dan serangan lainnya. Anda bisa mendapatkan perangkat WAF dari Marketplace Azure atau dapat menggunakan Azure Application Gateway.

Azure Application Gateway adalah appliance virtual yang menyediakan penyeimbang muatan 7 lapisan, pemindahan TLS/SSL dan perlindungan Web application firewall (WAF). Hal tersebut dapat diproses pada alamat IP publik dan merutekan lalu lintas ke titik akhir aplikasi Anda. Informasi berikut menjelaskan cara mengintegrasikan gateway aplikasi yang dikonfigurasi WAF dengan aplikasi di ILB App Service environment.

Integrasi gateway aplikasi dengan ILB App Service environment. berada pada tingkat aplikasi. Saat mengonfigurasi gateway aplikasi dengan ILB App Service environment, Anda melakukannya untuk aplikasi tertentu di ILB App Service environment. Teknik ini memungkinkan menghosting aplikasi beberapa penyewa yang aman dalam satu ILB App Service environment.

Cuplikan layar Diagram integrasi tingkat tinggi

Dalam panduan ini, Anda akan:

  • Membuat Azure Application Gateway.
  • Konfigurasikan gateway aplikasi untuk mengarah ke aplikasi di ILB App Service environment Anda.
  • Mengedit nama host DNS publik yang mengarah ke gateway aplikasi Anda.

Prasyarat

Untuk mengintegrasikan gateway aplikasi Anda dengan ILB App Service environment, Anda memerlukan:

  • ILB App Service environment.
  • Zona DNS privat untuk ILB App Service environment.
  • Aplikasi yang berjalan di ILB App Service environment.
  • Nama DNS publik yang digunakan nanti untuk mengarah ke gateway aplikasi Anda.
  • Jika Anda perlu menggunakan enkripsi TLS/SSL ke gateway aplikasi, diperlukan sertifikat publik yang valid yang digunakan untuk mengikat ke gateway aplikasi.

ILB App Service environment

Untuk detail tentang cara membuat ILB App Service environment, lihat Membuat ASE di portal Microsoft Azure dan Membuat ASE dengan ARM.

  • Setelah ILB ASE dibuat, domain default adalah <YourAseName>.appserviceenvironment.net.

    Cuplikan layar Gambaran Umum ILB ASE

  • Internal load balancer tersedia untuk akses masuk. Anda dapat memeriksa alamat Masuk di alamat IP di bawah Pengaturan ASE. Anda dapat membuat zona DNS privat yang dipetakan ke alamat IP ini nanti.

    Cuplikan layar mendapatkan alamat masuk dari pengaturan alamat IP ILB ASE.

Zona DNS privat

Anda memerlukan zona DNS privat untuk resolusi nama internal. Buat menggunakan nama ASE menggunakan kumpulan catatan yang ditampilkan dalam tabel berikut (untuk instruksi, lihat Mulai Cepat - Membuat zona DNS privat Azure menggunakan portal Microsoft Azure).

Nama Jenis Nilai
* A Alamat masuk ASE
@ A Alamat masuk ASE
@ SOA Nama DNS ASE
*.scm A Alamat masuk ASE

App Service di ILB ASE

Anda perlu membuat paket App Service dan aplikasi di ILB ASE. Saat membuat aplikasi di portal, pilih ILB ASE Anda sebagai Wilayah.

Nama DNS publik ke gateway aplikasi

Untuk terhubung ke gateway aplikasi dari internet, Anda memerlukan nama domain yang dapat dirutekan. Dalam hal ini, saya menggunakan nama domain yang dapat dirutekan asabuludemo.com dan berencana untuk terhubung ke App Service dengan nama domain ini app.asabuludemo.com. Alamat IP yang dipetakan ke nama domain aplikasi ini perlu diatur ke IP publik setelah gateway aplikasi dibuat. Dengan domain publik yang dipetakan ke gateway aplikasi, Anda tidak perlu mengonfigurasi domain kustom di App Service. Anda dapat membeli nama domain kustom dengan Domain App Service.

Sertifikat publik yang valid

Untuk peningkatan keamanan, disarankan untuk mengikat sertifikat TLS/SSL untuk enkripsi sesi. Untuk mengikat sertifikat TLS/SSL ke gateway aplikasi, diperlukan sertifikat publik yang valid dengan informasi berikut. Dengan Sertifikat App Service, Anda dapat membeli sertifikat TLS/SSL dan mengekspornya dalam format .pfx.

Nama Nilai Deskripsi
Nama Umum <yourappname>.<yourdomainname>, misalnya: app.asabuludemo.com
atau *.<yourdomainname>, misalnya: *.asabuludemo.com
Sertifikat standar atau sertifikat kartubebas untuk gateway aplikasi
Nama Alternatif Subjek <yourappname>.scm.<yourdomainname>, misalnya: app.scm.asabuludemo.com
atau *.scm.<yourdomainname>, misalnya: *.scm.asabuludemo.com
SAN yang memungkinkan untuk terhubung ke layanan kudu App Service. Ini adalah pengaturan opsional, jika Anda tidak ingin menerbitkan layanan kudu App Service ke internet.

File sertifikat harus memiliki kunci privat dan disimpan dalam format .pfx, file sertifikat kemudian akan diimpor ke gateway aplikasi.

Membuat gateway aplikasi

Untuk pembuatan gateway aplikasi dasar, lihat Tutorial: Membuat gateway aplikasi dengan Web Application Firewall menggunakan portal Microsoft Azure.

Dalam tutorial ini, kita akan menggunakan portal Microsoft Azure untuk membuat gateway aplikasi dengan ILB App Service environment.

Di portal Azure, pilih GatewayAplikasi Jaringan Baru untuk membuat gateway aplikasi.

  1. Pengaturan dasar

    Di daftar dropdown Tier, Anda dapat memilih Standard V2 atau WAF V2 untuk mengaktifkan fitur WAF pada gateway aplikasi.

  2. Pengaturan Frontend

    Pilih jenis alamat IP Frontend ke Publik, Privat atau Keduanya . Jika mengatur ke Privat atau Keduanya, Anda harus menetapkan alamat IP statik dalam rentang subnet gateway aplikasi. Dalam kasus ini, kita mengatur ke IP Publik hanya untuk titik akhir publik.

    • Alamat IP publik - Anda perlu mengaitkan alamat IP publik untuk akses publik gateway aplikasi. Catat alamat IP ini, Anda perlu menambahkan catatan di layanan DNS nanti.

      Cuplikan layar mendapatkan alamat IP publik dari pengaturan frontend gateway aplikasi.

  3. Pengaturan backend

    Masukkan nama kumpulan backend dan pilih App Services atau alamat IP atau FQDN di Jenis target. Dalam kasus ini, kita mengatur ke App Service dan memilih nama App Service dari daftar dropdown target.

    Cuplikan layar menambahkan nama kumpulan backend di pengaturan backend.

  4. Pengaturan Konfigurasi

    Dalam pengaturan Konfigurasi, Anda perlu menambahkan aturan perutean dengan mengeklik ikon Tambahkan aturan perutean.

    Cuplikan layar menambahkan aturan perutean di pengaturan konfigurasi.

    Anda perlu mengonfigurasi target Listener dan Backend dalam aturan perutean. Anda dapat menambahkan pendengar HTTP untuk bukti penyebaran konsep atau menambahkan pendengar HTTPS untuk peningkatan keamanan.

    • Untuk terhubung ke gateway aplikasi dengan protokol HTTP, Anda dapat membuat pendengar dengan pengaturan berikut,

      Parameter Nilai Deskripsi
      Nama aturan Misalnya: http-routingrule Nama perutean
      Nama listener Misalnya: http-listener Nama listener
      IP Frontend Publik Untuk akses internet, atur ke Publik
      Protokol HTTP Jangan gunakan enkripsi TLS/SSL
      Port 80 Port HTTP default
      Tipe listener Beberapa situs Izinkan untuk mendengarkan beberapa situs di gateway aplikasi
      Jenis host Beberapa/Kartubebas Atur ke beberapa atau nama situs web kartubebas jika jenis pendengar diatur ke beberapa situs.
      Nama Host Misalnya: app.asabuludemo.com Atur ke nama domain yang dapat dirutekan untuk App Service

      Cuplikan layar Pendengar HTTP dari Aturan Perutean gateway aplikasi.

    • Untuk terhubung ke gateway aplikasi dengan enkripsi TLS/SSL, Anda dapat membuat pendengar dengan pengaturan berikut,

      Parameter Nilai Deskripsi
      Nama aturan Misalnya: https-routingrule Nama perutean
      Nama listener Misalnya: https-listener Nama listener
      IP Frontend Publik Untuk akses internet, atur ke Publik
      Protokol HTTPS Gunakan enkripsi TLS/SSL
      Port 443 Port HTTPS Default
      Pengaturan Https Mengunggah sertifikat Unggah sertifikat yang berisi CN dan kunci privat dengan format .pfx.
      Tipe listener Beberapa situs Izinkan untuk mendengarkan beberapa situs di gateway aplikasi
      Jenis host Beberapa/Kartubebas Atur ke beberapa atau nama situs web kartubebas jika jenis pendengar diatur ke beberapa situs.
      Nama Host Misalnya: app.asabuludemo.com Atur ke nama domain yang dapat dirutekan untuk App Service

      Aturan Perutean gateway aplikasi Pendengar H T T P S.

    • Anda harus mengonfigurasi Kumpulan Backend dan pengaturan HTTP di target Backend. Kumpulan Backend dikonfigurasikan pada langkah sebelumnya. Klik tautan Tambahkan baru untuk menambahkan pengaturan HTTP.

      Cuplikan layar penambahan tautan baru untuk menambahkan pengaturan H T T P.

    • Pengaturan HTTP dicantumkan seperti di bawah ini:

      Parameter Nilai Deskripsi
      Nama pengaturan HTTP Misalnya: https-setting Nama pengaturan HTTP
      Protokol backend HTTPS Gunakan enkripsi TLS/SSL
      Port Backend 443 Port HTTPS Default
      Gunakan sertifikat CA yang dikenal Ya Nama domain default ILB ASE adalah .appserviceenvironment.net, sertifikat domain ini diterbitkan oleh otoritas akar tepercaya publik. Dalam pengaturan Sertifikat akar tepercaya, Anda dapat mengatur untuk menggunakan sertifikat akar tepercaya CA yang dikenal.
      Ganti dengan nama host baru Ya Header nama host akan ditimpa saat menghubungkan ke aplikasi di ILB ASE
      Ganti nama host Pilih nama host dari target backend Saat mengatur kumpulan backend ke App Service, Anda dapat memilih host dari target backend
      Buat penyelidikan kustom Tidak Gunakan penyelidikan kesehatan default

      Cuplikan layar **Tambahkan dialog pengaturan H T T P**.

Konfigurasikan integrasi gateway aplikasi dengan ILB ASE

Untuk mengakses ILB ASE dari gateway aplikasi, Anda perlu memeriksa apakah jaringan virtual tertaut ke zona DNS privat. Jika tidak ada jaringan virtual yang ditautkan ke VNet gateway aplikasi Anda, tambahkan tautan jaringan virtual dengan langkah-langkah berikut.

  • Untuk mengonfigurasi tautan jaringan virtual dengan zona DNS privat, buka bidang konfigurasi zona DNS privat. Pilih link jaringan virtualTambahkan

Tambahkan tautan jaringan virtual ke zona DNS privat.

  • Masukkan Nama tautan dan pilih langganan masing-masing dan jaringan virtual tempat gateway aplikasi berada.

Cuplikan layar detail nama tautan input ke pengaturan tautan jaringan virtual di zona DNS privat.

  • Anda dapat mengonfirmasi status kesehatan backend dari Kesehatan backend di bidang gateway aplikasi.

Cuplikan layar konfirmasi status kesehatan backend dari kesehatan backend.

Tambahkan baris DNS publik

Anda perlu mengonfigurasi pemetaan DNS yang tepat saat mengakses gateway aplikasi dari internet.

  • Alamat IP publik dari gateway aplikasi dapat ditemukan di konfigurasi IP Frontend di bidang gateway aplikasi.

Alamat IP frontend gateway aplikasi dapat ditemukan di konfigurasi IP Frontend.

  • Gunakan layanan Azure DNS sebagai contoh, Anda dapat menambahkan kumpulan catatan untuk memetakan nama domain aplikasi ke alamat IP publik dari gateway aplikasi.

Cuplikan layar menambahkan kumpulan catatan untuk memetakan nama domain aplikasi ke alamat IP publik gateway aplikasi.

Validasi koneksi

  • Pada akses mesin dari internet, Anda dapat memverifikasi resolusi nama untuk nama domain aplikasi ke alamat IP publik gateway aplikasi.

validasi resolusi nama dari perintah.

  • Pada akses mesin dari internet, uji akses web dari browser.

Cuplikan layar membuka browser, akses ke web.