Integrate your ILB App Service Environment with the Azure Application Gateway (Integrowanie środowiska App Service Environment wewnętrznego modułu równoważenia obciążenia z usługą Azure Application Gateway)

  • Artykuł

Środowisko App Service Environment to wdrożenie usługi aplikacja systemu Azure Service w podsieci sieci wirtualnej platformy Azure klienta. Można go wdrożyć przy użyciu zewnętrznego lub wewnętrznego punktu końcowego na potrzeby dostępu do aplikacji. Wdrożenie środowiska usługi App Service z wewnętrznym punktem końcowym jest nazywane wewnętrznym środowiskiem app service environment (ASE) wewnętrznego modułu równoważenia obciążenia (ILB).

Zapory aplikacji internetowej pomagają zabezpieczyć aplikacje internetowe przez inspekcję przychodzącego ruchu internetowego w celu zablokowania iniekcji SQL, skryptów między witrynami, przekazywania złośliwego oprogramowania i ataków DDoS aplikacji oraz innych ataków. Możesz uzyskać urządzenie zapory aplikacji internetowej z witryny Azure Marketplace lub użyć bramy aplikacja systemu Azure Gateway.

Brama aplikacja systemu Azure to urządzenie wirtualne, które zapewnia równoważenie obciążenia warstwy 7, odciążanie protokołu TLS/SSL i ochronę zapory aplikacji internetowej (WAF). Może nasłuchiwać publicznego adresu IP i kierować ruch do punktu końcowego aplikacji. Poniższe informacje opisują sposób integrowania bramy aplikacji skonfigurowanej przez zaporę aplikacji internetowej z aplikacją w środowisku usługi App Service modułu równoważenia obciążenia.

Integracja bramy aplikacji ze środowiskiem usługi App Service wewnętrznym modułem równoważenia obciążenia jest na poziomie aplikacji. Podczas konfigurowania bramy aplikacji przy użyciu środowiska usługi App Service modułu równoważenia obciążenia wykonujesz je dla określonych aplikacji w środowisku usługi App Service modułu równoważenia obciążenia. Ta technika umożliwia hostowanie bezpiecznych aplikacji wielodostępnych w jednym środowisku usługi App Service z wewnętrznym modułem równoważenia obciążenia.

Screenshot of High level integration diagram

Korzystając z tego przewodnika, wykonasz następujące czynności:

  • Utwórz bramę aplikacja systemu Azure.
  • Skonfiguruj bramę aplikacji tak, aby wskazywała aplikację w środowisku usługi App Service modułu równoważenia obciążenia.
  • Edytuj publiczną nazwę hosta DNS wskazującą bramę aplikacji.

Wymagania wstępne

Aby zintegrować bramę aplikacji ze środowiskiem usługi App Service modułu równoważenia obciążenia, potrzebne są następujące elementy:

  • Środowisko usługi App Service z wewnętrznym modułem równoważenia obciążenia.
  • Prywatna strefa DNS dla środowiska usługi App Service wewnętrznego modułu równoważenia obciążenia.
  • Aplikacja działająca w środowisku usługi App Service modułu równoważenia obciążenia.
  • Publiczna nazwa DNS używana później do wskazywania bramy aplikacji.
  • Jeśli musisz użyć szyfrowania TLS/SSL do bramy aplikacji, wymagany jest prawidłowy certyfikat publiczny używany do powiązania z bramą aplikacji.

Środowisko usługi App Service z wewnętrznym modułem równoważenia obciążenia

Aby uzyskać szczegółowe informacje na temat tworzenia środowiska usługi App Service z wewnętrznym modułem równoważenia obciążenia, zobacz Tworzenie środowiska ASE w witrynie Azure Portal i Tworzenie środowiska ASE przy użyciu szablonu usługi ARM.

  • Po utworzeniu środowiska ASE z wewnętrznym modułem równoważenia obciążenia domena domyślna to <YourAseName>.appserviceenvironment.net.

    Screenshot of ILB ASE Overview

  • Wewnętrzny moduł równoważenia obciążenia jest aprowizowany na potrzeby dostępu przychodzącego. Adres przychodzący można sprawdzić w adresach IP w obszarze Ustawienia ŚRODOWISKA ASE. Możesz utworzyć prywatną strefę DNS zamapowana na ten adres IP później.

    Screenshot of getting the inbound address from ILB ASE IP addresses settings.

Prywatna strefa DNS

Do rozpoznawania nazw wewnętrznych potrzebna jest prywatna strefa DNS. Utwórz ją przy użyciu nazwy środowiska ASE przy użyciu zestawów rekordów przedstawionych w poniższej tabeli (aby uzyskać instrukcje, zobacz Szybki start — tworzenie prywatnej strefy DNS platformy Azure przy użyciu witryny Azure Portal).

Nazwisko Typ Wartość
* A Adres przychodzący środowiska ASE
@ A Adres przychodzący środowiska ASE
@ SOA Nazwa DNS środowiska ASE
*.Scm A Adres przychodzący środowiska ASE

Usługa App Service w usłudze ASE z wewnętrznym modułem równoważenia obciążenia

Musisz utworzyć plan usługi App Service i aplikację w środowisku ASE z wewnętrznym modułem równoważenia obciążenia. Podczas tworzenia aplikacji w portalu wybierz środowisko ASE z wewnętrznym modułem równoważenia obciążenia jako region.

Publiczna nazwa DNS bramy aplikacji

Aby nawiązać połączenie z bramą aplikacji z Internetu, potrzebna jest routable nazwa domeny. W tym przypadku użyto nazwy asabuludemo.com domeny z routingiem i zaplanowano nawiązanie połączenia z usługą App Service o tej nazwie app.asabuludemo.comdomeny. Adres IP zamapowany na tę nazwę domeny aplikacji musi być ustawiony na publiczny adres IP usługi Application Gateway po utworzeniu bramy aplikacji. W przypadku domeny publicznej zamapowanej na bramę aplikacji nie trzeba konfigurować domeny niestandardowej w usłudze App Service. Możesz kupić niestandardową nazwę domeny za pomocą domen usługi App Service.

Prawidłowy certyfikat publiczny

W celu ulepszenia zabezpieczeń zaleca się powiązanie certyfikatu TLS/SSL na potrzeby szyfrowania sesji. Aby powiązać certyfikat TLS/SSL z bramą aplikacji, wymagany jest prawidłowy certyfikat publiczny z następującymi informacjami. Za pomocą certyfikatów usługi App Service można kupić certyfikat TLS/SSL i wyeksportować go w formacie pfx.

Nazwa/nazwisko Wartość Opis
Nazwa pospolita <yourappname>.<yourdomainname>, na przykład: app.asabuludemo.com
lub *.<yourdomainname>, na przykład: *.asabuludemo.com		 Certyfikat standardowy lub certyfikat wieloznaczny dla bramy aplikacji
Alternatywna nazwa podmiotu <yourappname>.scm.<yourdomainname>, na przykład: app.scm.asabuludemo.com
lub *.scm.<yourdomainname>, na przykład: *.scm.asabuludemo.com		 Sieć SAN, która umożliwia nawiązanie połączenia z usługą Kudu usługi App Service. Jest to opcjonalne ustawienie, jeśli nie chcesz publikować usługi App Service kudu w Internecie.

Plik certyfikatu powinien mieć klucz prywatny i zapisać go w formacie pfx, który zostanie zaimportowany do bramy aplikacji później.

Tworzenie bramy aplikacji

Aby zapoznać się z podstawowym tworzeniem bramy aplikacji, zobacz Samouczek: tworzenie bramy aplikacji przy użyciu zapory aplikacji internetowej przy użyciu witryny Azure Portal.

W tym samouczku utworzymy bramę aplikacji z wewnętrznym modułem równoważenia obciążenia środowiska app service przy użyciu witryny Azure Portal.

W witrynie Azure Portal wybierz pozycję Nowa>usługa Application Gateway sieci>, aby utworzyć bramę aplikacji.

  1. Ustawienie Podstawy

    Na liście rozwijanej Warstwa możesz wybrać opcję Standardowa v2 lub WAF V2, aby włączyć funkcję zapory aplikacji internetowej w bramie aplikacji.

  2. Ustawienie Frontonów

    Wybierz typ adresu IP frontonu na Publiczny, Prywatny lub Oba . Jeśli ustawisz wartość Prywatny lub Oba, musisz przypisać statyczny adres IP w zakresie podsieci bramy aplikacji. W tym przypadku ustawiliśmy wartość Publiczny adres IP tylko dla publicznego punktu końcowego.

    • Publiczny adres IP — musisz skojarzyć publiczny adres IP dla publicznego dostępu bramy aplikacji. Zarejestruj ten adres IP, musisz dodać rekord w usłudze DNS później.

      Screenshot of getting a public IP address from the application gateway frontends setting.

  3. Ustawienie zaplecza

    Wprowadź nazwę puli zaplecza i wybierz usługę App Services lub adres IP lub nazwę FQDN w polu Typ docelowy. W takim przypadku ustawiliśmy pozycję App Services i wybierzemy pozycję Nazwa usługi App Service z listy rozwijanej docelowej.

    Screenshot of adding a backend pool name in backends setting.

  4. Ustawienie konfiguracji

    W obszarze Konfiguracja należy dodać regułę routingu, wybierając ikonę Dodaj regułę routingu.

    Screenshot of adding a routing rule in configuration setting.

    Należy skonfigurować obiekty docelowe odbiornika i zaplecza w regule routingu. Możesz dodać odbiornik HTTP do weryfikacji wdrożenia koncepcji lub dodać odbiornik HTTPS w celu ulepszenia zabezpieczeń.

    • Aby nawiązać połączenie z bramą aplikacji przy użyciu protokołu HTTP, możesz utworzyć odbiornik z następującymi ustawieniami,

      Parametr Wartość Opis
      Nazwa reguły Na przykład: http-routingrule. Nazwa routingu
      Nazwa odbiornika Na przykład: http-listener. Nazwa odbiornika
      Adres IP frontonu Publiczne W przypadku dostępu do Internetu ustaw wartość Publiczna
      Protokół HTTP Nie używaj szyfrowania TLS/SSL
      Port 80 Domyślny port HTTP
      Typ odbiornika Wiele witryn Zezwalaj na nasłuchiwanie wielu witryn w bramie aplikacji
      Host type Wiele/symbol wieloznaczny Ustaw wartość na wiele lub wieloznacznych nazw witryny sieci Web, jeśli typ odbiornika jest ustawiony na wiele witryn.
      Nazwa hosta Na przykład: app.asabuludemo.com. Ustaw na nazwę domeny routingu dla usługi App Service

      Screenshot of HTTP Listener of the application gateway Routing Rule.

    • Aby nawiązać połączenie z bramą aplikacji przy użyciu szyfrowania TLS/SSL, możesz utworzyć odbiornik z następującymi ustawieniami,

      Parametr Wartość Opis
      Nazwa reguły Na przykład: https-routingrule. Nazwa routingu
      Nazwa odbiornika Na przykład: https-listener. Nazwa odbiornika
      Adres IP frontonu Publiczne W przypadku dostępu do Internetu ustaw wartość Publiczna
      Protokół HTTPS Korzystanie z szyfrowania TLS/SSL
      Port 443 Domyślny port HTTPS
      Ustawienia protokołu HTTPS Przekaż certyfikat Przekaż certyfikat zawiera nazwę CN i klucz prywatny z formatem pfx.
      Typ odbiornika Wiele witryn Zezwalaj na nasłuchiwanie wielu witryn w bramie aplikacji
      Host type Wiele/symbol wieloznaczny Ustaw wartość na wiele lub wieloznacznych nazw witryny sieci Web, jeśli typ odbiornika jest ustawiony na wiele witryn.
      Nazwa hosta Na przykład: app.asabuludemo.com. Ustaw na nazwę domeny routingu dla usługi App Service

      HTTPS listener of the application gateway Routing Rule.

    • Musisz skonfigurować ustawienie Pula zaplecza i HTTP w celach zaplecza. Pula zaplecza została skonfigurowana w poprzednich krokach. Wybierz pozycję Dodaj nowy link, aby dodać ustawienie HTTP.

      Screenshot of adding new link to add an H T T P setting.

    • Ustawienia PROTOKOŁU HTTP wymienione poniżej:

      Parametr Wartość Opis
      Nazwa ustawienia HTTP Na przykład: https-setting. Nazwa ustawienia HTTP
      Protokół zaplecza HTTPS Korzystanie z szyfrowania TLS/SSL
      Port zaplecza 443 Domyślny port HTTPS
      Używanie dobrze znanego certyfikatu urzędu certyfikacji Tak Domyślna nazwa domeny środowiska ASE z wewnętrznym modułem równoważenia obciążenia to .appserviceenvironment.net, certyfikat tej domeny jest wystawiany przez publiczny zaufany urząd główny. W ustawieniu Zaufany certyfikat główny można ustawić tak, aby używał dobrze znanego zaufanego certyfikatu głównego urzędu certyfikacji.
      Zastąpij nową nazwą hosta Tak Nagłówek nazwy hosta zostanie zastąpiony podczas nawiązywania połączenia z aplikacją w usłudze ASE z wewnętrznym modułem równoważenia obciążenia
      Zastąpienie nazwy hosta Wybierz nazwę hosta z obiektu docelowego zaplecza Podczas ustawiania puli zaplecza na usługę App Service można wybrać hosta z docelowego zaplecza
      Tworzenie niestandardowych sond Nie. Użyj domyślnej sondy kondycji

      Screenshot of **Add an H T T P setting** dialog.

Konfigurowanie integracji bramy aplikacji ze środowiskiem ASE z wewnętrznym modułem równoważenia obciążenia

Aby uzyskać dostęp do środowiska ASE z wewnętrznym modułem równoważenia obciążenia z bramy aplikacji, należy sprawdzić, czy łącze sieci wirtualnej do prywatnej strefy DNS. Jeśli nie ma sieci wirtualnej połączonej z siecią wirtualną bramy aplikacji, dodaj link do sieci wirtualnej, wykonując następujące kroki.

  • Aby skonfigurować połączenie sieci wirtualnej z prywatną strefą DNS, przejdź do prywatnej płaszczyzny konfiguracji strefy DNS. Wybieranie linków >sieci wirtualnej Dodaj

Add a virtual network link to private DNS zone.

  • Wprowadź nazwę linku i wybierz odpowiednią subskrypcję i sieć wirtualną, w której znajduje się brama aplikacji.

Screenshot of input link name details to virtual network links setting in private DNS zone.

  • Stan kondycji zaplecza można potwierdzić z poziomu kondycji zaplecza w płaszczyźnie bramy aplikacji.

Screenshot of confirm the backend health status from backend health.

Dodawanie publicznego rekordu DNS

Podczas uzyskiwania dostępu do bramy aplikacji z Internetu należy skonfigurować odpowiednie mapowanie DNS.

  • Publiczny adres IP bramy aplikacji można znaleźć w konfiguracjach adresów IP frontonu w płaszczyźnie bramy aplikacji.

Application gateway frontend IP address can be found in Frontend IP configuration.

  • Użyj usługi Azure DNS, na przykład możesz dodać zestaw rekordów, aby zamapować nazwę domeny aplikacji na publiczny adres IP bramy aplikacji.

Screenshot of adding a record set to map the app domain name to the public IP address of the application gateway.

Weryfikowanie połączenia

  • W przypadku dostępu do maszyny z Internetu możesz zweryfikować rozpoznawanie nazw dla nazwy domeny aplikacji do publicznego adresu IP bramy aplikacji.

validate the name resolution from a command prompt.

  • Na komputerze z Internetu przetestuj dostęp do internetu z przeglądarki.

Screenshot of opening a browser, access to the web.