Een toepassingsgateway maken met een interne load balancer (ILB)

  • Artikel

Azure-toepassing Gateway Standard v1 kan worden geconfigureerd met een internetgerichte VIP of met een intern eindpunt dat niet beschikbaar is voor internet, ook wel een intern load balancer-eindpunt (ILB) genoemd. Het is een goed idee om de gateway te configureren met een ILB als u interne line-of-business-toepassingen gebruikt die geen toegang hebben tot het internet. Het is ook handig voor services en lagen binnen een toepassing met meerdere lagen die zich in een beveiligingsgrens bevinden die niet beschikbaar is voor internet, maar nog steeds round robin load distribution, sessie stickiness of Transport Layer Security (TLS), voorheen bekend als SSL (Secure Sockets Layer), beëindiging vereisen.

In dit artikel worden de stappen beschreven voor het configureren van een Standard v1 Application Gateway met een ILB.

Voordat u begint

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

  1. Installeer de nieuwste versie van de Azure PowerShell-module door de installatie-instructies te volgen.
  2. U maakt een virtueel netwerk en een subnet voor de toepassingsgateway. Zorg ervoor dat er geen virtuele machines en cloudimplementaties zijn die gebruikmaken van het subnet. De toepassingsgateway moet afzonderlijk in een subnet van een virtueel netwerk staan.
  3. De servers die u voor gebruik van de toepassingsgateway configureert, moeten al bestaan in het virtuele netwerk of hier hun eindpunten hebben. Een andere optie is om er een openbaar IP- of VIP-adres aan toe te wijzen.

Wat is er vereist om een toepassingsgateway te maken?

  • Back-endservergroep: de lijst met IP-adressen van de back-endservers. De IP-adressen moeten ofwel deel uitmaken van het virtueel netwerk, maar zich bevinden in een ander subnet voor de toepassingsgateway, ofwel openbare IP-/VIP-adressen zijn.
  • Back-endserverpoolinstellingen: elke pool heeft instellingen, zoals voor de poort, het protocol en de op cookies gebaseerde affiniteit. Deze instellingen zijn gekoppeld aan een pool en worden toegepast op alle servers in de pool.
  • Front-endpoort: Deze poort is de openbare poort die wordt geopend op de toepassingsgateway. Het verkeer komt binnen via deze poort en wordt vervolgens omgeleid naar een van de back-endservers.
  • Listener: De listener heeft een front-endpoort, een protocol (Http of Https, dit zijn hoofdlettergevoelig) en de naam van het SSL-certificaat (als u SSL-offload configureert).
  • Regel: De regel verbindt de listener en de back-endservergroep en definieert naar welke back-endserverpool het verkeer moet worden omgeleid wanneer deze een bepaalde listener bereikt. Momenteel wordt alleen de regel basic ondersteund. De regel basic is een vorm van round-robinbelastingverdeling.

Een toepassingsgateway maken

Het verschil tussen het gebruik van Azure Classic en Azure Resource Manager zit hem in de volgorde waarin u de toepassingsgateway maakt en in de items die u moet configureren. Met Resource Manager worden alle items waaruit een toepassingsgateway bestaat, afzonderlijk geconfigureerd en vervolgens samengesteld om de toepassingsgatewayresource te maken.

Dit zijn de stappen voor het maken van een toepassingsgateway:

  1. Een resourcegroep maken voor Resource Manager
  2. Een virtueel netwerk en een subnet maken voor de toepassingsgateway
  3. Een configuratieobject voor de toepassingsgateway maken
  4. Een toepassingsgatewayresource maken

Een resourcegroep maken voor Resource Manager

Zorg ervoor dat u overschakelt naar de PowerShell-modus om de Azure Resource Manager-cmdlets te gebruiken. Zie Using Windows PowerShell with Resource Manager (Windows PowerShell gebruiken met Resource Manager) voor meer informatie.

Stap 1

Connect-AzAccount

Stap 2

Controleer de abonnementen voor het account.

Get-AzSubscription

U wordt gevraagd om u te verifiëren met uw referenties.

Stap 3

Kies welk Azure-abonnement u wilt gebruiken.

Select-AzSubscription -Subscriptionid "GUID of subscription"

Stap 4

Maak een nieuwe resourcegroep (u kunt deze stap overslaan als u een bestaande resourcegroep gebruikt).

New-AzResourceGroup -Name appgw-rg -location "West US"

Azure Resource Manager vereist dat er voor alle resourcegroepen een locatie wordt opgegeven. Deze locatie wordt gebruikt als de standaardlocatie voor resources in die resourcegroep. Zorg ervoor dat bij alle opdrachten voor het maken van een toepassingsgateway dezelfde resourcegroep wordt gebruikt.

In het vorige voorbeeld hebben we een resourcegroep gemaakt met de naam appgw-rg en locatie VS - west.

Een virtueel netwerk en een subnet maken voor de toepassingsgateway

In het volgende voorbeeld ziet u hoe u een virtueel netwerk maakt met Resource Manager:

Stap 1

$subnetconfig = New-AzVirtualNetworkSubnetConfig -Name subnet01 -AddressPrefix 10.0.0.0/24

Met deze stap wordt het adresbereik 10.0.0.0/24 toegewezen aan een subnetvariabele die moet worden gebruikt om een virtueel netwerk te maken.

Stap 2

$vnet = New-AzVirtualNetwork -Name appgwvnet -ResourceGroupName appgw-rg -Location "West US" -AddressPrefix 10.0.0.0/16 -Subnet $subnetconfig

Met deze stap maakt u een virtueel netwerk met de naam appgwvnet in resourcegroep appgw-rg voor de regio VS - west met het voorvoegsel 10.0.0.0/16 met subnet 10.0.0.0/24.

Stap 3

$subnet = $vnet.subnets[0]

Met deze stap wordt het subnetobject toegewezen aan variabele $subnet voor de volgende stappen.

Een configuratieobject voor de toepassingsgateway maken

Stap 1

$gipconfig = New-AzApplicationGatewayIPConfiguration -Name gatewayIP01 -Subnet $subnet

Met deze stap maakt u een IP-configuratie van de toepassingsgateway met de naam gatewayIP01. Wanneer Application Gateway wordt gestart, wordt een IP-adres opgehaald uit het geconfigureerde subnet en wordt netwerkverkeer doorgestuurd naar de IP-adressen in de back-end-IP-adresgroep. Onthoud dat elk exemplaar één IP-adres gebruikt.

Stap 2

$pool = New-AzApplicationGatewayBackendAddressPool -Name pool01 -BackendIPAddresses 10.1.1.8,10.1.1.9,10.1.1.10

Met deze stap configureert u de back-end-IP-adresgroep met de naam pool01 met IP-adressen 10.1.1.8, 10.1.1.9, 10.1.1.10. Dit zijn de IP-adressen die het netwerkverkeer ontvangen dat afkomstig is van het front-end-IP-eindpunt. U vervangt de bovenstaande IP-adressen met de IP-adreseindpunten van uw eigen toepassing.

Stap 3

$poolSetting = New-AzApplicationGatewayBackendHttpSettings -Name poolsetting01 -Port 80 -Protocol Http -CookieBasedAffinity Disabled

Met deze stap configureert u de toepassingsgatewayinstelling 'poolsetting01' voor het netwerkverkeer met gelijke taakverdeling in de back-endpool.

Stap 4

$fp = New-AzApplicationGatewayFrontendPort -Name frontendport01  -Port 80

Met deze stap configureert u de front-end-IP-poort met de naam 'frontendport01' voor de ILB.

Stap 5

$fipconfig = New-AzApplicationGatewayFrontendIPConfig -Name fipconfig01 -Subnet $subnet

Met deze stap maakt u de front-end-IP-configuratie met de naam fipconfig01 en koppelt u deze aan een privé-IP-adres van het huidige subnet van het virtuele netwerk.

Stap 6

$listener = New-AzApplicationGatewayHttpListener -Name listener01  -Protocol Http -FrontendIPConfiguration $fipconfig -FrontendPort $fp

Met deze stap maakt u de listener met de naam listener01 en koppelt u de front-endpoort aan de front-end-IP-configuratie.

Stap 7

$rule = New-AzApplicationGatewayRequestRoutingRule -Name rule01 -RuleType Basic -BackendHttpSettings $poolSetting -HttpListener $listener -BackendAddressPool $pool

Met deze stap maakt u de regel voor routering van de load balancer met de naam rule01 waarmee het gedrag van de load balancer wordt geconfigureerd.

Stap 8

$sku = New-AzApplicationGatewaySku -Name Standard_Small -Tier Standard -Capacity 2

Met deze stap configureert u de instantiegrootte van de toepassingsgateway.

Notitie

De standaardwaarde voor Capaciteit is 2. Voor SKU-naam kunt u kiezen tussen Standard_Small, Standard_Medium en Standard_Large.

Een toepassingsgateway maken met behulp van New-AzureApplicationGateway

Hiermee maakt u een toepassingsgateway met alle configuratie-items uit de voorgaande stappen. In dit voorbeeld heeft de toepassingsgateway de naam appgwtest.

$appgw = New-AzApplicationGateway -Name appgwtest -ResourceGroupName appgw-rg -Location "West US" -BackendAddressPools $pool -BackendHttpSettingsCollection $poolSetting -FrontendIpConfigurations $fipconfig  -GatewayIpConfigurations $gipconfig -FrontendPorts $fp -HttpListeners $listener -RequestRoutingRules $rule -Sku $sku

Met deze stap maakt u een toepassingsgateway met alle configuratie-items uit de voorgaande stappen. In dit voorbeeld heeft de toepassingsgateway de naam appgwtest.

Een toepassingsgateway verwijderen

Als u een toepassingsgateway wilt verwijderen, moet u de volgende stappen uitvoeren in de volgende volgorde:

  1. Gebruik de cmdlet Stop-AzApplicationGateway om de gateway te stoppen.
  2. Gebruik de cmdlet Remove-AzApplicationGateway om de gateway te verwijderen.
  3. Gebruik de cmdlet Get-AzureApplicationGateway om te controleren of de gateway is verwijderd.

Stap 1

Haal het toepassingsgatewayobject op en koppel dit aan de variabele $getgw.

$getgw =  Get-AzApplicationGateway -Name appgwtest -ResourceGroupName appgw-rg

Stap 2

Gebruik Stop-AzApplicationGateway om de toepassingsgateway te stoppen. In dit voorbeeld ziet u de Stop-AzApplicationGateway cmdlet op de eerste regel, gevolgd door de uitvoer.

Stop-AzApplicationGateway -ApplicationGateway $getgw  

VERBOSE: 9:49:34 PM - Begin Operation: Stop-AzureApplicationGateway
VERBOSE: 10:10:06 PM - Completed Operation: Stop-AzureApplicationGateway
Name       HTTP Status Code     Operation ID                             Error
----       ----------------     ------------                             ----
Successful OK                   ce6c6c95-77b4-2118-9d65-e29defadffb8

Nadat de toepassingsgateway is gestopt, gebruikt u de cmdlet Remove-AzApplicationGateway om de service te verwijderen.

Remove-AzApplicationGateway -Name appgwtest -ResourceGroupName appgw-rg -Force

VERBOSE: 10:49:34 PM - Begin Operation: Remove-AzureApplicationGateway
VERBOSE: 10:50:36 PM - Completed Operation: Remove-AzureApplicationGateway
Name       HTTP Status Code     Operation ID                             Error
----       ----------------     ------------                             ----
Successful OK                   055f3a96-8681-2094-a304-8d9a11ad8301

Notitie

U kunt de switch -force gebruiken om het bevestigingsbericht voor de verwijdering niet te laten weergeven.

Gebruik de cmdlet Get-AzApplicationGateway als u wilt controleren of de service is verwijderd. Deze stap is niet vereist.

Get-AzApplicationGateway -Name appgwtest -ResourceGroupName appgw-rg

VERBOSE: 10:52:46 PM - Begin Operation: Get-AzureApplicationGateway

Get-AzureApplicationGateway : ResourceNotFound: The gateway doesn't exist.

Volgende stappen

Als u SSL-offload wilt configureren, raadpleegt u Configure an application gateway for SSL offload (Een toepassingsgateway voor SSL-offload configureren).

Als u meer informatie wilt over de algemene opties voor load balancing, raadpleegt u: