Web-apps op uw Azure VMware Solution beveiligen met Azure Application Gateway

  • Artikel
  • 5 minuten om te lezen

Azure Application Gateway is een laag 7 webverkeerslaag load balancer waarmee u verkeer naar uw webtoepassingen kunt beheren. Het wordt aangeboden in Azure VMware Solution v1.0 en v2.0. Beide versies zijn getest met web-apps die worden uitgevoerd op Azure VMware Solution.

De mogelijkheden zijn onder andere:

  • Sessie-affiniteit op basis van cookies
  • URL-gebaseerde routering
  • Web Application Firewall (WAF)

Zie voor een volledige lijst met functies Azure Application Gateway functies.

In dit artikel wordt beschreven hoe u Application Gateway webserverfarm gebruikt om een web-app te beveiligen die wordt uitgevoerd op Azure VMware Solution.

Topologie

In het diagram ziet u Application Gateway wordt gebruikt voor het beveiligen van virtuele Azure IaaS-machines (VM's), virtuele-machineschaalsets van Azure of on-premises servers. Application Gateway worden virtuele Azure VMware Solution behandeld als on-premises servers.

Diagram waarin wordt Application Gateway virtuele Azure IaaS-machines (VM's), azure-schaalsets voor virtuele machines of on-premises servers worden beschermd.

Belangrijk

Azure Application Gateway is momenteel de enige ondersteunde methode voor het beschikbaar maken van web-apps die worden uitgevoerd op Azure VMware Solution-VM's.

In het diagram ziet u het testscenario dat wordt gebruikt om de Application Gateway met Azure VMware Solution webtoepassingen te valideren.

Diagram met het testscenario dat wordt gebruikt voor het valideren van de Application Gateway met Azure VMware Solution webtoepassingen.

Het Application Gateway wordt geïmplementeerd op de hub in een toegewezen subnet met een openbaar Ip-adres van Azure. Het wordt aanbevolen Azure DDoS Protection Standaard voor het virtuele netwerk te activeren. De webserver wordt gehost op een Azure VMware Solution privécloud achter NSX T0- en T1-gateways. Daarnaast gebruikt Azure VMware Solution ExpressRoute-Global Reach communicatie met de hub- en on-premises systemen mogelijk te maken.

Vereisten

  • Een Azure-account met een actief abonnement.
  • Een Azure VMware Solution privécloud geïmplementeerd en uitgevoerd.

Implementatie en configuratie

  1. Zoek in Azure Portal naar Application Gateway en selecteer Toepassingsgateway maken.

  2. Geef de basisgegevens op zoals in de volgende afbeelding; selecteer vervolgens Volgende: Front->.

    Schermopname van de pagina Toepassingsgateway maken in Azure Portal.

  3. Kies het type front-end-IP-adres. Kies voor openbaar een bestaand openbaar IP-adres of maak een nieuw IP-adres. Selecteer Volgende: Back->.

    Notitie

    Alleen standaard- en Web Application Firewall (WAF)-SKU's worden ondersteund voor privéfront-enden.

  4. Voeg een back-endpool toe van de VM's die worden uitgevoerd op Azure VMware Solution infrastructuur. Geef de details op van webservers die worden uitgevoerd op Azure VMware Solution privécloud en selecteer Toevoegen. Selecteer vervolgens Volgende: Configuratie>.

  5. Selecteer op het tabblad Configuratie de optie Een routeringsregel toevoegen.

  6. Geef op het tabblad Listener de details voor de listener op. Als HTTPS is geselecteerd, moet u een certificaat van een PFX-bestand of een bestaand Azure Key Vault certificaat.

  7. Selecteer het tabblad Back-enddoelen en selecteer de back-endpool die u eerder hebt gemaakt. Selecteer voor het veld HTTP-instellingen de optie Nieuwe toevoegen.

  8. Configureer de parameters voor de HTTP-instellingen. Selecteer Toevoegen.

  9. Als u regels op basis van paden wilt configureren, selecteert u Meerdere doelen toevoegen om een padgebaseerde regel te maken.

  10. Voeg een padgebaseerde regel toe en selecteer Toevoegen. Herhaal dit om meer padgebaseerde regels toe te voegen.

  11. Wanneer u klaar bent met het toevoegen van regels op basis van een pad, selecteert u opnieuw Toevoegen; selecteer vervolgens Volgende: Tags>.

  12. Voeg tags toe en selecteer vervolgens Volgende: Beoordelen en maken>.

  13. Er wordt een validatie uitgevoerd op uw Application Gateway. Als dit is gelukt, selecteert u Maken om te implementeren.

Configuratievoorbeelden

Nu configureert u een Application Gateway virtuele Azure VMware Solution als back-endpools voor de volgende gebruiksgevallen:

Meerdere sites hosten

Deze procedure laat zien hoe u back-adresgroepen definieert met behulp van VM's die worden uitgevoerd op een Azure VMware Solution privécloud op een bestaande toepassingsgateway.

Notitie

In deze procedure wordt ervan uitgenomen dat u meerdere domeinen hebt. Daarom gebruiken we voorbeelden van www.contoso.com en www.fabrikam.com.

  1. Maak in uw privécloud twee verschillende groepen VM's. De ene vertegenwoordigt Contoso en de tweede Fabrikam.

    Schermopname met een samenvatting van de details van een webserver in VSphere Client.

    We hebben een Windows Server 2016 met de Internet Information Services (IIS) geïnstalleerd. Zodra de VM's zijn geïnstalleerd, voert u de volgende PowerShell-opdrachten uit om IIS te configureren op elk van de VM's.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

  2. Selecteer in een bestaand exemplaar van de toepassingsgateway Back-endpools in het linkermenu, selecteer Toevoegen en voer de details van de nieuwe pools in. Selecteer Toevoegen in het rechterdeelvenster.

    Schermopname van de pagina Back-endpools voor het toevoegen van back-endpools.

  3. Maak in de sectie Listeners een nieuwe listener voor elke website. Voer de details voor elke listener in en selecteer Toevoegen.

  4. Selecteer aan de linkerkant HTTP-instellingen en selecteer Toevoegen in het linkerdeelvenster. Vul de details in om een nieuwe HTTP-instelling te maken en selecteer Opslaan.

    Schermopname van de pagina HTTP-instellingen om een nieuwe HTTP-instelling te maken.

  5. Maak de regels in de sectie Regels van het menu links. Koppel elke regel aan de bijbehorende listener. Selecteer Toevoegen.

  6. Configureer de bijbehorende back-en HTTP-instellingen. Selecteer Toevoegen.

  7. Test de verbinding. Open uw voorkeursbrowser en navigeer naar de verschillende websites die in uw Azure VMware Solution worden gehost, bijvoorbeeld http://www.fabrikam.com .

    Schermopname van de browserpagina met een geslaagde test van de verbinding.

Routering op URL

Met de volgende stappen definieert u back-endadresgroepen met behulp van VM's die worden uitgevoerd op Azure VMware Solution privécloud. De privécloud is op een bestaande toepassingsgateway. Vervolgens maakt u routeringsregels die ervoor zorgen dat webverkeer wordt omgeleid naar de servers in de pools.

  1. Maak in uw privécloud een virtuele-machinegroep die de webfarm vertegenwoordigt.

    Schermopname van de pagina in de VMSphere-client met een samenvatting van een andere VM.

    Windows Server 2016 iis-rol is geïnstalleerd, is gebruikt om deze zelfstudie te illustreren. Zodra de VM's zijn geïnstalleerd, voert u de volgende PowerShell-opdrachten uit om IIS te configureren voor elke VM-zelfstudie.

    De eerste virtuele machine, contoso-web-01, host de hoofdwebsite.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

    De tweede virtuele machine, contoso-web-02, host de site met afbeeldingen.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "images" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\images\test.htm -Value $($env:computername)

    De derde virtuele machine, contoso-web-03, host de videosite.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "video" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\video\test.htm -Value $($env:computername)

  2. Voeg drie nieuwe back-endpools toe aan een bestaand exemplaar van de toepassingsgateway.

    1. Selecteer Back-endpools in het linkermenu.
    2. Selecteer Toevoegen en voer de details van de eerste pool in, contoso-web.
    3. Voeg één VM toe als doel.
    4. Selecteer Toevoegen.
    5. Herhaal dit proces voor contoso-images en contoso-video, waarbij u één unieke VM als doel toevoegt.

    Schermopname van de pagina Back-endpools met de toevoeging van drie nieuwe back-endpools.

  3. Maak in de sectie Listeners een nieuwe listener van het type Basic met behulp van poort 8080.

  4. Selecteer in het linkernavigatievenster HTTP-instellingen en selecteer Toevoegen in het linkerdeelvenster. Vul de details in om een nieuwe HTTP-instelling te maken en selecteer Opslaan.

    Schermopname van de pagina HTTP-instelling toevoegen met de configuratie van de HTTP-instellingen.

  5. Maak de regels in de sectie Regels van het menu links en koppel elke regel aan de eerder gemaakte listener. Configureer vervolgens de hoofd-back-en-back-en HTTP-instellingen en selecteer vervolgens Toevoegen.

    Schermopname van de pagina Een regel voor doorsturen toevoegen om routeringsregels voor een back-enddoel te configureren.

  6. Test de configuratie. Open de toepassingsgateway op Azure Portal en kopieer het openbare IP-adres in de sectie Overzicht.

    1. Open een nieuw browservenster en voer de URL http://<app-gw-ip-address>:8080 in.

      Schermopname van browserpagina met een geslaagde test van de configuratie.

    2. Wijzig de URL in http://<app-gw-ip-address>:8080/images/test.htm.

      Schermopname van een andere geslaagde test met de nieuwe URL.

    3. Wijzig de URL opnieuw in http://<app-gw-ip-address>:8080/video/test.htm .

      Schermopname van een geslaagde test met de uiteindelijke URL.

Volgende stappen

Nu u het gebruik van Application Gateway hebt behandeld voor het beveiligen van een web-app die wordt uitgevoerd op Azure VMware Solution, wilt u mogelijk meer informatie over: