Een toepassingsgateway maken met een interne load balancer (ILB)

Azure Application Gateway Standard v1 kan worden geconfigureerd met een internet-gerichte VIP of met een intern eindpunt dat niet wordt blootgesteld aan internet, ook wel een intern load balancer -eindpunt (ILB) genoemd. Het is een goed idee om de gateway te configureren met een ILB als u interne line-of-business-toepassingen gebruikt die geen toegang hebben tot het internet. Het is ook nuttig voor services en lagen binnen een toepassing met meerdere lagen die zich in een beveiligingsgrens die niet wordt blootgesteld aan internet, maar die nog steeds round robin-belastingsdistributie, sessie-aangrenzing of Transport Layer Security (TLS), voorheen bekend als Secure Sockets Layer (SSL), beëindiging vereisen.

In dit artikel wordt u door de stappen voor het configureren van een Standard v1-Application Gateway met een ILB.

Voordat u begint

Notitie

In dit artikel wordt de Azure Az PowerShell-module gebruikt. Dit is de aanbevolen PowerShell-module voor interactie met Azure. Raadpleeg Azure PowerShell installeren om aan de slag te gaan met de Az PowerShell-module. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

  1. Installeer de nieuwste versie van de Azure PowerShell module door de installatie-instructies te volgen.
  2. U maakt een virtueel netwerk en een subnet voor de toepassingsgateway. Zorg ervoor dat er geen virtuele machines en cloudimplementaties zijn die gebruikmaken van het subnet. De toepassingsgateway moet afzonderlijk in een subnet van een virtueel netwerk staan.
  3. De servers die u voor gebruik van de toepassingsgateway configureert, moeten al bestaan in het virtuele netwerk of hier hun eindpunten hebben. Een andere optie is om er een openbaar IP- of VIP-adres aan toe te wijzen.

Wat is er vereist om een toepassingsgateway te maken?

  • Back-endserverpool: de lijst met IP-adressen van de back-endservers. De IP-adressen moeten ofwel deel uitmaken van het virtueel netwerk, maar zich bevinden in een ander subnet voor de toepassingsgateway, ofwel openbare IP-/VIP-adressen zijn.
  • Instellingen voor back-endserverpools: Elke pool heeft instellingen zoals poort, protocol en op cookies gebaseerde affiniteit. Deze instellingen zijn gekoppeld aan een pool en worden toegepast op alle servers in de pool.
  • Front-endpoort: dit is de openbare poort die in de toepassingsgateway wordt geopend. Het verkeer komt binnen via deze poort en wordt vervolgens omgeleid naar een van de back-endservers.
  • Listener: de listener beschikt over een front-endpoort, een protocol (Http of Https; deze zijn hoofdlettergevoelig) en de SSL-certificaatnaam (als u SSL-offloading configureert).
  • Regel: de regel verbindt de listener met de back-endserverpool en definieert naar welke back-endserverpool het verkeer moet worden omgeleid wanneer dit bij een bepaalde listener aankomt. Momenteel wordt alleen de regel basic ondersteund. De regel basic is een vorm van round-robinbelastingverdeling.

Een toepassingsgateway maken

Het verschil tussen het gebruik van Azure Classic en Azure Resource Manager zit hem in de volgorde waarin u de toepassingsgateway maakt en in de items die u moet configureren. Met Resource Manager worden alle items waaruit een toepassingsgateway bestaat afzonderlijk geconfigureerd en vervolgens samengesteld om de toepassingsgatewayresource te maken.

Dit zijn de stappen voor het maken van een toepassingsgateway:

  1. Een resourcegroep maken voor Resource Manager
  2. Een virtueel netwerk en een subnet maken voor de toepassingsgateway
  3. Een configuratieobject voor de toepassingsgateway maken
  4. Een toepassingsgatewayresource maken

Een resourcegroep maken voor Resource Manager

Zorg ervoor dat u overschakelt naar de PowerShell-modus om de Azure Resource Manager-cmdlets te gebruiken. Zie Using Windows PowerShell with Resource Manager (Windows PowerShell gebruiken met Resource Manager) voor meer informatie.

Stap 1

Connect-AzAccount

Stap 2

Controleer de abonnementen voor het account.

Get-AzSubscription

U wordt gevraagd om u te verifiëren met uw referenties.

Stap 3

Kies welk Azure-abonnement u wilt gebruiken.

Select-AzSubscription -Subscriptionid "GUID of subscription"

Stap 4

Maak een nieuwe resourcegroep (u kunt deze stap overslaan als u een bestaande resourcegroep gebruikt).

New-AzResourceGroup -Name appgw-rg -location "West US"

Azure Resource Manager vereist dat er voor alle resourcegroepen een locatie wordt opgegeven. Deze locatie wordt gebruikt als de standaardlocatie voor resources in die resourcegroep. Zorg ervoor dat bij alle opdrachten voor het maken van een toepassingsgateway dezelfde resourcegroep wordt gebruikt.

In het voorgaande voorbeeld hebben we een resourcegroep gemaakt met de naam appgw-rg en de locatie US - west.

Een virtueel netwerk en een subnet maken voor de toepassingsgateway

In het volgende voorbeeld ziet u hoe u een virtueel netwerk maakt met Resource Manager:

Stap 1

$subnetconfig = New-AzVirtualNetworkSubnetConfig -Name subnet01 -AddressPrefix 10.0.0.0/24

In deze stap wordt het adresbereik 10.0.0.0/24 toegewezen aan een subnetvariabele die moet worden gebruikt om een virtueel netwerk te maken.

Stap 2

$vnet = New-AzVirtualNetwork -Name appgwvnet -ResourceGroupName appgw-rg -Location "West US" -AddressPrefix 10.0.0.0/16 -Subnet $subnetconfig

Met deze stap maakt u een virtueel netwerk met de naam appgwvnet in de resourcegroep appgw-rg voor de regio VS - west met het voorvoegsel 10.0.0.0/16 met subnet 10.0.0.0/24.

Stap 3

$subnet = $vnet.subnets[0]

In deze stap wordt het subnetobject toegewezen aan $subnet voor de volgende stappen.

Een configuratieobject voor de toepassingsgateway maken

Stap 1

$gipconfig = New-AzApplicationGatewayIPConfiguration -Name gatewayIP01 -Subnet $subnet

In deze stap maakt u een IP-configuratie voor de toepassingsgateway met de naam gatewayIP01. Wanneer de toepassingsgateway wordt geopend, wordt er een IP-adres opgehaald via het geconfigureerde subnet en wordt het netwerkverkeer omgeleid naar de IP-adressen in de back-end-IP-pool. Onthoud dat elk exemplaar één IP-adres gebruikt.

Stap 2

$pool = New-AzApplicationGatewayBackendAddressPool -Name pool01 -BackendIPAddresses 10.1.1.8,10.1.1.9,10.1.1.10

Met deze stap configureert u de back-end-IP-adresgroep met de naam pool01 met IP-adressen 10.1.1.8, 10.1.1.9, 10.1.1.10. Dit zijn de IP-adressen waardoor het netwerkverkeer van het front-end-IP-eindpunt binnenkomt. U vervangt de bovenstaande IP-adressen met de IP-adreseindpunten van uw eigen toepassing.

Stap 3

$poolSetting = New-AzApplicationGatewayBackendHttpSettings -Name poolsetting01 -Port 80 -Protocol Http -CookieBasedAffinity Disabled

Met deze stap configureert u de toepassingsgatewayinstelling poolsetting01 voor het netwerkverkeer met load balanced in de back-endpool.

Stap 4

$fp = New-AzApplicationGatewayFrontendPort -Name frontendport01  -Port 80

Met deze stap configureert u de front-end-IP-poort met de naam frontendport01 voor de ILB.

Stap 5

$fipconfig = New-AzApplicationGatewayFrontendIPConfig -Name fipconfig01 -Subnet $subnet

In deze stap maakt u de front-end-IP-configuratie fipconfig01 en koppelt u deze aan een privé-IP-adres uit het huidige subnet van het virtuele netwerk.

Stap 6

$listener = New-AzApplicationGatewayHttpListener -Name listener01  -Protocol Http -FrontendIPConfiguration $fipconfig -FrontendPort $fp

Met deze stap maakt u de listener met de naam listener01 en koppelt u de front-endpoort aan de front-end-IP-configuratie.

Stap 7

$rule = New-AzApplicationGatewayRequestRoutingRule -Name rule01 -RuleType Basic -BackendHttpSettings $poolSetting -HttpListener $listener -BackendAddressPool $pool

Met deze stap maakt u load balancer regel voor doorsturen met de naam rule01, die het gedrag van load balancer configureert.

Stap 8

$sku = New-AzApplicationGatewaySku -Name Standard_Small -Tier Standard -Capacity 2

Met deze stap configureert u de instantiegrootte van de toepassingsgateway.

Notitie

De standaardwaarde voor Capaciteit is 2. Voor SKU-naam kunt u kiezen tussen Standard_Small, Standard_Medium en Standard_Large.

Een toepassingsgateway maken met behulp van New-AzureApplicationGateway

Hiermee maakt u een toepassingsgateway met alle configuratie-items uit de voorgaande stappen. In dit voorbeeld heeft de toepassingsgateway de naam appgwtest.

$appgw = New-AzApplicationGateway -Name appgwtest -ResourceGroupName appgw-rg -Location "West US" -BackendAddressPools $pool -BackendHttpSettingsCollection $poolSetting -FrontendIpConfigurations $fipconfig  -GatewayIpConfigurations $gipconfig -FrontendPorts $fp -HttpListeners $listener -RequestRoutingRules $rule -Sku $sku

Met deze stap maakt u een toepassingsgateway met alle configuratie-items uit de voorgaande stappen. In dit voorbeeld heeft de toepassingsgateway de naam appgwtest.

Een toepassingsgateway verwijderen

Als u een toepassingsgateway wilt verwijderen, moet u de volgende stappen in de volgorde ervan volgen:

  1. Gebruik de cmdlet Stop-AzApplicationGateway om de gateway te stoppen.
  2. Gebruik de cmdlet Remove-AzApplicationGateway om de gateway te verwijderen.
  3. Gebruik de cmdlet Get-AzureApplicationGateway om te controleren of de gateway is verwijderd.

Stap 1

Haal het toepassingsgatewayobject op en koppel dit aan de variabele $getgw.

$getgw =  Get-AzApplicationGateway -Name appgwtest -ResourceGroupName appgw-rg

Stap 2

Gebruik Stop-AzApplicationGateway om de toepassingsgateway te stoppen. In dit voorbeeld ziet u Stop-AzApplicationGateway de cmdlet op de eerste regel, gevolgd door de uitvoer.

Stop-AzApplicationGateway -ApplicationGateway $getgw  
VERBOSE: 9:49:34 PM - Begin Operation: Stop-AzureApplicationGateway
VERBOSE: 10:10:06 PM - Completed Operation: Stop-AzureApplicationGateway
Name       HTTP Status Code     Operation ID                             Error
----       ----------------     ------------                             ----
Successful OK                   ce6c6c95-77b4-2118-9d65-e29defadffb8

Nadat de toepassingsgateway is gestopt, gebruikt u de cmdlet Remove-AzApplicationGateway om de service te verwijderen.

Remove-AzApplicationGateway -Name appgwtest -ResourceGroupName appgw-rg -Force
VERBOSE: 10:49:34 PM - Begin Operation: Remove-AzureApplicationGateway
VERBOSE: 10:50:36 PM - Completed Operation: Remove-AzureApplicationGateway
Name       HTTP Status Code     Operation ID                             Error
----       ----------------     ------------                             ----
Successful OK                   055f3a96-8681-2094-a304-8d9a11ad8301

Notitie

U kunt de switch -force gebruiken om het bevestigingsbericht voor de verwijdering niet te laten weergeven.

Gebruik de cmdlet Get-AzApplicationGateway als u wilt controleren of de service is verwijderd. Deze stap is niet vereist.

Get-AzApplicationGateway -Name appgwtest -ResourceGroupName appgw-rg
VERBOSE: 10:52:46 PM - Begin Operation: Get-AzureApplicationGateway

Get-AzureApplicationGateway : ResourceNotFound: The gateway does not exist.

Volgende stappen

Als u SSL-offload wilt configureren, raadpleegt u Configure an application gateway for SSL offload (Een toepassingsgateway voor SSL-offload configureren).

Als u meer informatie wilt over de algemene opties voor load balancing, raadpleegt u: