Uw ILB App Service-omgeving integreren met Azure Application Gateway

  • Artikel
  • 7 minuten om te lezen

De App Service Environment is een implementatie van Azure App Service in het subnet van het virtuele Azure-netwerk van een klant. Het kan worden geïmplementeerd met een extern of intern eindpunt voor toegang tot apps. De implementatie van de App Service omgeving met een intern eindpunt wordt een interne load balancer (ILB) App Service-omgeving (ASE) genoemd.

Web Application Firewalls helpen uw webtoepassingen te beveiligen door inkomende webverkeer te inspecteren om SQL-injecties, cross-site scripting, malware uploads & application DDoS en andere aanvallen te blokkeren. U kunt een WAF-apparaat op de Azure Marketplace of u kunt de Azure Application Gateway.

De Azure Application Gateway is een virtueel apparaat dat laag 7-taakverdeling, TLS/SSL-offloading en WAF-beveiliging (Web Application Firewall) biedt. Het kan luisteren op een openbaar IP-adres en verkeer naar het eindpunt van uw toepassing sturen. De volgende informatie beschrijft hoe u een WAF-geconfigureerde toepassingsgateway integreert met een app in een ILB-App Service omgeving.

De integratie van de toepassingsgateway met de ILB App Service-omgeving is op app-niveau. Wanneer u de toepassingsgateway configureert met uw ILB App Service omgeving, doet u dit voor specifieke apps in uw ILB-App Service omgeving. Met deze techniek kunnen beveiligde multitenant-toepassingen in één ILB-App Service hosten.

Schermopname van een integratiediagram op hoog niveau

In deze procedure gaat u het volgende doen:

  • Maak een Azure Application Gateway.
  • Configureer de toepassingsgateway zo dat deze naar een app in uw ILB-App Service wijzen.
  • Bewerk de openbare DNS-hostnaam die naar uw toepassingsgateway wijst.

Vereisten

Als u uw toepassingsgateway wilt integreren met uw ILB App Service omgeving, hebt u het volgende nodig:

  • Een ILB App Service omgeving.
  • Een privé-DNS-zone voor ILB App Service omgeving.
  • Een app die wordt uitgevoerd in de ILB-App Service omgeving.
  • Een openbare DNS-naam die later wordt gebruikt om naar uw toepassingsgateway te wijzen.
  • Als u TLS/SSL-versleuteling moet gebruiken voor de toepassingsgateway, is een geldig openbaar certificaat vereist dat wordt gebruikt om verbinding te maken met uw toepassingsgateway.

ILB-App Service omgeving

Zie Create an ASE in the Azure Portal and Create an ASE with ARM (Een AS-omgeving maken in de Azure Portal en Een AS-omgeving maken met ARM) voor meer informatie over het maken van een ILB App Service-omgeving.

  • Nadat de ILB ASE is gemaakt, is het standaarddomein <YourAseName>.appserviceenvironment.net .

    Schermopname van overzicht van ILB ASE

  • Er wordt load balancer interne toegang ingericht voor binnenkomende toegang. U kunt het binnenkomende adres controleren in de IP-adressen onder ASE-Instellingen. U kunt later een privé-DNS-zone maken die is toe te voegen aan dit IP-adres.

    Schermopname van het verkrijgen van het binnenkomende adres van ip-adressen van ILB ASE- instellingen.

Een privé-DNS-zone

U hebt een privé-DNS-zone nodig voor interne naamresolutie. Maak deze met behulp van de ASE-naam met behulp van de recordsets die worden weergegeven in de volgende tabel (zie Quickstart - Een privé-DNS-zonein Azure maken met behulp van de Azure Portal ).

Naam Type Waarde
* A Inkomende ASE-adres
@ A Inkomende ASE-adres
@ SOA DNS-naam van ASE
*.scm A Inkomende ASE-adres

App Service on ILB ASE

U moet een App Service en een app maken in uw ILB AS-account. Wanneer u de app in de portal maakt, selecteert u uw ILB AS-omgeving als de Regio.

Een openbare DNS-naam voor de toepassingsgateway

Als u vanaf internet verbinding wilt maken met de toepassingsgateway, hebt u een routeerbare domeinnaam nodig. In dit geval heb ik een routeerbare domeinnaam gebruikt en ben ik van plan om verbinding te maken asabuludemo.com met een App Service met deze domeinnaam app.asabuludemo.com . De IP-adressen die aan deze app-domeinnaam zijn toegesneden, moeten worden ingesteld op het openbare IP-adres nadat de toepassingsgateway is gemaakt. Als er een openbaar domein is ingesteld op de toepassingsgateway, hoeft u geen aangepast domein te configureren in App Service. U kunt een aangepaste domeinnaam kopen met App Service Domeinen.

Een geldig openbaar certificaat

Voor een verbeterde beveiliging is het raadzaam om het TLS/SSL-certificaat te binden voor sessieversleuteling. Als u een TLS/SSL-certificaat wilt verbinden met de toepassingsgateway, is een geldig openbaar certificaat met de volgende informatie vereist. Met App Service certificatenkunt u een TLS/SSL-certificaat kopen en exporteren in PFX-indeling.

Naam Waarde Beschrijving
Algemene naam <yourappname>.<yourdomainname>, bijvoorbeeld: app.asabuludemo.com
of *.<yourdomainname> , bijvoorbeeld: *.asabuludemo.com		 Een standaardcertificaat of een jokertekencertificaat voor de toepassingsgateway
Alternatieve onderwerpnaam <yourappname>.scm.<yourdomainname>, bijvoorbeeld: app.scm.asabuludemo.com
of *.scm.<yourdomainname> , bijvoorbeeld: *.scm.asabuludemo.com		 De SAN waarmee verbinding kan worden App Service kudu-service. Dit is een optionele instelling als u de kudu-service niet wilt publiceren App Service op internet.

Het certificaatbestand moet een persoonlijke sleutel hebben en opslaan in PFX-indeling. Het wordt later geïmporteerd in de toepassingsgateway.

Een toepassingsgateway maken

Raadpleeg Zelfstudie: Een toepassingsgateway met een Web Application Firewall maken met behulp van de Azure Portal voor het maken van de basistoepassingsgateway.

In deze zelfstudie gebruiken we een Azure Portal voor het maken van een toepassingsgateway met ILB App Service omgeving.

Selecteer in Azure Portal de optie Nieuw netwerk > > Application Gateway een toepassingsgateway te maken.

  1. Basisinstelling

    In de vervolgkeuzelijst Laag kunt u Standard V2 of WAF V2 selecteren om de WAF-functie in teschakelen op de toepassingsgateway.

  2. Instelling voor front-enden

    Selecteer FRONT-adrestype op Openbaar, Privé of Beide. Als u in stelt op Privé of Beide, moet u een statisch IP-adres toewijzen in het subnetbereik van de toepassingsgateway. In dit geval stellen we in op Openbaar IP voor alleen openbaar eindpunt.

    • Openbaar IP-adres: u moet een openbaar IP-adres koppelen voor openbare toegang tot de toepassingsgateway. Neem dit IP-adres op. U moet later een record toevoegen aan uw DNS-service.

      Schermopname van het verkrijgen van een openbaar IP-adres van de instelling voor front-enden van de toepassingsgateway.

  3. Instelling voor back-enden

    Voer de naam van een back-endpool in en selecteer App Services ip-adres of FQDN in Doeltype. In dit geval stellen we in op App Services en selecteren App Service naam in de vervolgkeuzelijst doel.

    Schermopname van het toevoegen van de naam van een back-endpool in de instelling voor back-ends.

  4. Configuratie-instelling

    In Configuratie-instelling moet u een routeringsregel toevoegen door te klikken op het pictogram Een regel voor doorsturen toevoegen.

    Schermopname van het toevoegen van een routeringsregel in de configuratie-instelling.

    U moet een Listener- en Back-end-doelen configureren in een regel voor doorsturen. U kunt een HTTP-listener toevoegen voor de implementatie van het concept of een HTTPS-listener toevoegen voor beveiligingsverbetering.

    • Als u verbinding wilt maken met de toepassingsgateway via het HTTP-protocol, kunt u een listener maken met de volgende instellingen:

      Parameter Waarde Beschrijving
      Regelnaam Bijvoorbeeld: http-routingrule Routeringsnaam
      Listenernaam Bijvoorbeeld: http-listener Listenernaam
      IP-adres front-end Openbaar Stel voor internettoegang in op Openbaar
      Protocol HTTP Geen TLS/SSL-versleuteling gebruiken
      Poort 80 Standaard-HTTP-poort
      Listenertype Meerdere site Toestaan om te luisteren naar meerdere sites op de toepassingsgateway
      Hosttype Meerdere/jokertekens Stel in op de naam van een website met meerdere of jokertekens als het listenertype is ingesteld op meerdere sites.
      Hostnaam Bijvoorbeeld: app.asabuludemo.com Ingesteld op een routeerbare domeinnaam voor App Service

      Schermopname van de HTTP-listener van de routeringsregel van de toepassingsgateway.

    • Als u verbinding wilt maken met de toepassingsgateway met TLS/SSL-versleuteling, kunt u een listener maken met de volgende instellingen:

      Parameter Waarde Beschrijving
      Regelnaam Bijvoorbeeld: https-routingrule Routeringsnaam
      Listenernaam Bijvoorbeeld: https-listener Listenernaam
      IP-adres front-end Openbaar Stel voor internettoegang in op Openbaar
      Protocol HTTPS TLS/SSL-versleuteling gebruiken
      Poort 443 Standaard HTTPS-poort
      Https Instellingen Upload certificaat maken Upload een certificaat bevat de CN en de persoonlijke sleutel met pfx-indeling.
      Listenertype Meerdere site Toestaan om te luisteren naar meerdere sites op de toepassingsgateway
      Hosttype Meerdere/jokertekens Stel in op de naam van een website met meerdere of jokertekens als het listenertype is ingesteld op meerdere sites.
      Hostnaam Bijvoorbeeld: app.asabuludemo.com Ingesteld op een routeerbare domeinnaam voor App Service

      H T T P S-listener van de routeringsregel van de toepassingsgateway.

    • U moet een back-en HTTP-instelling configureren in Back-end-doelen. De back-endpool is in de vorige stappen geconfigureerd. Klik op Nieuwe koppeling toevoegen om een HTTP-instelling toe te voegen.

      Schermopname van het toevoegen van een nieuwe koppeling om een H T T P-instelling toe te voegen.

    • HTTP-instellingen die hieronder worden vermeld:

      Parameter Waarde Beschrijving
      Naam van HTTP-instelling Bijvoorbeeld: https-setting Naam van HTTP-instelling
      Back-endprotocol HTTPS TLS/SSL-versleuteling gebruiken
      Back-endpoort 443 Standaard HTTPS-poort
      Een bekend CA-certificaat gebruiken Yes De standaarddomeinnaam van ILB ASE is , het certificaat van dit .appserviceenvironment.net domein wordt uitgegeven door een openbare vertrouwde basisinstantie. In de instelling Vertrouwd basiscertificaat kunt u instellen dat het vertrouwde basiscertificaat van de CERTIFICERINGsinstantie wordt gebruikt.
      Overschrijven met nieuwe hostnaam Yes De hostnaamheader wordt overschreven bij het maken van verbinding met de app op ILB ASE
      Hostnaam overschrijven Hostnaam kiezen uit back-enddoel Wanneer u de back-App Service in te stellen op App Service, kunt u host kiezen uit het back-enddoel
      Aangepaste tests maken No Standaardtest gebruiken

      Schermopname van het dialoogvenster **Een H T T P-instelling toevoegen**.

Een toepassingsgatewayintegratie configureren met ILB ASE

Als u toegang wilt krijgen tot ILB ASE vanuit de toepassingsgateway, moet u controleren of een virtueel netwerk is gekoppeld aan de privé-DNS-zone. Als er geen virtueel netwerk is gekoppeld aan het VNet van uw toepassingsgateway, voegt u een koppeling naar een virtueel netwerk toe met de volgende stappen.

  • Als u een koppeling naar een virtueel netwerk wilt configureren met een privé-DNS-zone, gaat u naar het configuratievlak van de privé-DNS-zone. Selecteer de koppelingen voor het virtuele netwerk > Toevoegen

Voeg een koppeling naar een virtueel netwerk toe aan een privé-DNS-zone.

  • Voer de koppelingsnaam in en selecteer het respectieve abonnement en virtuele netwerk waarin de toepassingsgateway zich bevindt.

Schermopname van de naamdetails van de invoerkoppeling naar de instelling voor koppelingen van virtuele netwerken in de privé-DNS-zone.

  • U kunt de status van de back-end bevestigen vanuit Back-endstatus in het vlak van de toepassingsgateway.

Schermopname van confirm the backend health status from backend health.

Een openbare DNS-record toevoegen

U moet een juiste DNS-toewijzing configureren bij toegang tot de toepassingsgateway vanaf internet.

  • Het openbare IP-adres van de toepassingsgateway vindt u in front-end-IP-configuraties in het vlak van de toepassingsgateway.

Het front-end-IP-adres van de toepassingsgateway vindt u in front-end-IP-configuratie.

  • Gebruik Azure DNS service als voorbeeld. U kunt een recordset toevoegen om de domeinnaam van de app toe te voegen aan het openbare IP-adres van de toepassingsgateway.

Schermopname van het toevoegen van een recordset om de domeinnaam van de app toe te voegen aan het openbare IP-adres van de toepassingsgateway.

Verbinding valideren

  • Op een computer kunt u via internet de naam van de domeinnaam van de app controleren op het openbare IP-adres van de toepassingsgateway.

valideer de naamresolutie vanaf een opdrachtprompt.

  • Test de webtoegang vanuit een browser op een computertoegang via internet.

Schermopname van het openen van een browser, toegang tot internet.