Samouczek: konfigurowanie Application Gateway z kończeniem szyfrowania TLS przy użyciu Azure Portal

  • Artykuł

Za pomocą Azure Portal można skonfigurować bramę aplikacji z certyfikatem zakończenia protokołu TLS, który używa maszyn wirtualnych dla serwerów zaplecza.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Tworzenie certyfikatu z podpisem własnym
  • Tworzenie bramy aplikacji z certyfikatem
  • Tworzenie maszyn wirtualnych używanych jako serwery zaplecza
  • Testowanie bramy aplikacji

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Uwaga

Zalecamy korzystanie z modułu Azure Az programu PowerShell do interakcji z platformą Azure. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Wymagania wstępne

  • Subskrypcja platformy Azure

Tworzenie certyfikatu z podpisem własnym

W tej sekcji użyjesz polecenia New-SelfSignedCertificate do utworzenia certyfikatu z podpisem własnym. Certyfikat należy przekazać do Azure Portal podczas tworzenia odbiornika dla bramy aplikacji.

Na komputerze lokalnym otwórz okno Windows PowerShell jako administrator. Uruchom następujące polecenie, aby utworzyć certyfikat:

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

Powinna zostać wyświetlona następująca odpowiedź:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Użyj polecenia Export-PfxCertificate z odciskiem palca zwróconym w celu wyeksportowania pliku pfx z certyfikatu. Obsługiwane algorytmy PFX są wyświetlane w funkcji PFXImportCertStore. Upewnij się, że hasło ma długość od 4 do 12 znaków:

$pwd = ConvertTo-SecureString -String <your password> -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Logowanie do platformy Azure

Zaloguj się w witrynie Azure Portal.

Tworzenie bramy aplikacji

  1. Z menu Azure Portal wybierz pozycję + Utwórz zasób>Sieć>Application Gateway lub wyszukaj Application Gateway w polu wyszukiwania portalu.

  2. Wybierz przycisk Utwórz.

Karta Podstawowe

  1. Na karcie Podstawy wprowadź lub wybierz następujące wartości:

    • Grupa zasobów: wybierz grupę zasobów myResourceGroupAG . Jeśli ta grupa nie istnieje, wybierz pozycję Utwórz nową w celu jej utworzenia.

    • Nazwa bramy aplikacji: wprowadź nazwę bramy aplikacji myAppGateway .

      Tworzenie nowej bramy aplikacji: podstawy

  2. Do komunikacji między tworzonymi zasobami platforma Azure potrzebuje sieci wirtualnej. Możesz utworzyć nową sieć wirtualną lub użyć istniejącej. W tym przykładzie utworzysz nową sieć wirtualną w tym samym czasie, w której tworzysz bramę aplikacji. Application Gateway wystąpienia są tworzone w oddzielnych podsieciach. W tym przykładzie tworzysz dwie podsieci: jedną dla bramy aplikacji i drugą dla serwerów zaplecza.

    W obszarze Konfigurowanie sieci wirtualnej utwórz nową sieć wirtualną, wybierając pozycję Utwórz nową. W wyświetlonym oknie Tworzenie sieci wirtualnej wprowadź następujące wartości, aby utworzyć sieć wirtualną i dwie podsieci:

    • Nazwa: wprowadź myVNet jako nazwę sieci wirtualnej.

    • Nazwa podsieci (Application Gateway podsieci): siatka Podsieci będzie zawierać podsieć o nazwie Default. Zmień nazwę tej podsieci na myAGSubnet.
      Podsieć bramy aplikacji może zawierać tylko bramy aplikacji. Inne zasoby nie są dozwolone.

    • Nazwa podsieci (podsieć serwera zaplecza): w drugim wierszu siatki Podsieci wprowadź myBackendSubnet w kolumnie Nazwa podsieci .

    • Zakres adresów (podsieć serwera zaplecza): w drugim wierszu siatki podsieci wprowadź zakres adresów , który nie nakłada się na zakres adresów podsieci myAGSubnet. Jeśli na przykład zakres adresów podsieci myAGSubnet to 10.0.0.0/ 24, wprowadź wartość 10.0.1.0/24 dla zakresu adresów podsieci myBackendSubnet.

    Wybierz przycisk OK , aby zamknąć okno Tworzenie sieci wirtualnej i zapisać ustawienia sieci wirtualnej.

    Tworzenie nowej bramy aplikacji: sieć wirtualna

  3. Na karcie Podstawy zaakceptuj wartości domyślne innych ustawień, a następnie wybierz pozycję Dalej: frontony.

Karta Frontonów

  1. Na karcie Frontony sprawdź, czy typ adresu IP frontonu jest ustawiony na Publiczny.
    Adres IP frontonu można skonfigurować tak, aby był publiczny lub prywatny zgodnie z twoim przypadkiem użycia. W tym przykładzie wybierzesz publiczny adres IP frontonu.

    Uwaga

    W przypadku jednostki SKU Application Gateway w wersji 2 można wybrać tylko konfigurację publicznego adresu IP frontonu. Konfiguracja prywatnego adresu IP frontonu nie jest obecnie włączona dla tej jednostki SKU w wersji 2.

  2. Wybierz pozycję Dodaj nowy dla publicznego adresu IP i wprowadź wartość myAGPublicIPAddress jako nazwę publicznego adresu IP, a następnie wybierz przycisk OK.

    Tworzenie nowej bramy aplikacji: frontony

  3. Wybierz pozycję Dalej: zaplecza.

Karta Zaplecza

Pula zaplecza służy do kierowania żądań do serwerów zaplecza, które obsługują żądanie. Pule zaplecza mogą składać się z kart sieciowych, zestawów skalowania maszyn wirtualnych, publicznych adresów IP, wewnętrznych adresów IP, w pełni kwalifikowanych nazw domen (FQDN) i zapleczy wielodostępnych, takich jak Azure App Service. W tym przykładzie utworzysz pustą pulę zaplecza z bramą aplikacji, a następnie dodasz obiekty docelowe zaplecza do puli zaplecza.

  1. Na karcie Zaplecza wybierz pozycję Dodaj pulę zaplecza.

  2. W wyświetlonym oknie Dodawanie puli zaplecza wprowadź następujące wartości, aby utworzyć pustą pulę zaplecza:

    • Nazwa: wprowadź nazwę puli zaplecza myBackendPool .
    • Dodaj pulę zaplecza bez obiektów docelowych: wybierz pozycję Tak , aby utworzyć pulę zaplecza bez obiektów docelowych. Obiekty docelowe zaplecza zostaną dodane po utworzeniu bramy aplikacji.

  3. W oknie Dodawanie puli zaplecza wybierz pozycję Dodaj , aby zapisać konfigurację puli zaplecza i wrócić do karty Zaplecza .

    Tworzenie nowej bramy aplikacji: zaplecza

  4. Na karcie Zaplecza wybierz pozycję Dalej: Konfiguracja.

Karta Konfiguracja

Na karcie Konfiguracja połączysz pulę frontonu i zaplecza utworzoną przy użyciu reguły routingu.

  1. Wybierz pozycję Dodaj regułę routingu w kolumnie Reguły routingu .

  2. W wyświetlonym oknie Dodawanie reguły routingu wprowadź nazwę regułymyRoutingRule.

  3. Reguła routingu wymaga odbiornika. Na karcie Odbiornik w oknie Dodawanie reguły routingu wprowadź następujące wartości dla odbiornika:

    • Nazwa odbiornika: wprowadź myListener jako nazwę odbiornika.
    • Adres IP frontonu: wybierz pozycję Publiczny , aby wybrać publiczny adres IP utworzony dla frontonu.
    • Protokół: wybierz pozycję HTTPS.
    • Port: Sprawdź, czy dla portu wprowadzono wartość 443.

    W obszarze Ustawienia protokołu HTTPS:

    • Wybierz certyfikat — wybierz pozycję Przekaż certyfikat.

    • Plik certyfikatu PFX — przejdź do pliku c:\appgwcert.pfx utworzonego wcześniej.

    • Nazwa certyfikatu — wpisz mycert1 jako nazwę certyfikatu.

    • Hasło — wpisz hasło użyte do utworzenia certyfikatu.

      Zaakceptuj wartości domyślne innych ustawień na karcie Odbiornik , a następnie wybierz kartę Elementy docelowe zaplecza , aby skonfigurować pozostałą część reguły routingu.

    Tworzenie nowej bramy aplikacji: odbiornik

  4. Na karcie Elementy docelowe zaplecza wybierz pozycję myBackendPool dla elementu docelowego zaplecza.

  5. Dla ustawienia HTTP wybierz pozycję Dodaj nowe , aby utworzyć nowe ustawienie HTTP. Ustawienie HTTP określi zachowanie reguły rozsyłania. W wyświetlonym oknie Dodawanie ustawienia HTTP wprowadź wartość myHTTPSetting jako nazwę ustawienia HTTP. Zaakceptuj wartości domyślne innych ustawień w oknie Dodawanie ustawienia HTTP , a następnie wybierz pozycję Dodaj , aby powrócić do okna Dodawanie reguły routingu .

    Zrzut ekranu przedstawiający dodawanie ustawienia H T T P na karcie konfiguracji na karcie Tworzenie nowego Application Gateway

  6. W oknie Dodawanie reguły routingu wybierz pozycję Dodaj , aby zapisać regułę routingu i wrócić do karty Konfiguracja .

    Tworzenie nowej bramy aplikacji: reguła routingu

  7. Wybierz pozycję Dalej: tagi , a następnie pozycję Dalej: Przejrzyj i utwórz.

Karta Przeglądanie i tworzenie

Przejrzyj ustawienia na karcie Przeglądanie i tworzenie , a następnie wybierz pozycję Utwórz , aby utworzyć sieć wirtualną, publiczny adres IP i bramę aplikacji. Tworzenie bramy aplikacji na platformie Azure może potrwać kilka minut. Zaczekaj na pomyślne zakończenie wdrożenia, zanim przejdziesz do kolejnej sekcji.

Dodawanie obiektów docelowych zaplecza

W tym przykładzie użyjesz maszyn wirtualnych jako docelowego zaplecza. Możesz użyć istniejących maszyn wirtualnych lub utworzyć nowe. Utworzysz dwie maszyny wirtualne używane przez platformę Azure jako serwery zaplecza dla bramy aplikacji.

W tym celu wykonasz następujące czynności:

  1. Utwórz dwie nowe maszyny wirtualne, myVM i myVM2, które mają być używane jako serwery zaplecza.
  2. Zainstaluj usługi IIS na maszynach wirtualnych, aby sprawdzić, czy brama aplikacji została pomyślnie utworzona.
  3. Dodaj serwery zaplecza do puli zaplecza.

Tworzenie maszyny wirtualnej

  1. W menu Azure Portal wybierz pozycję + Utwórz zasób>Compute>Windows Server 2016 Datacenter lub wyszukaj pozycję Windows Server w polu wyszukiwania portalu i wybierz pozycję Windows Server 2016 Centrum danych.

  2. Wybierz przycisk Utwórz.

    Application Gateway może kierować ruch do dowolnego typu maszyny wirtualnej używanej w puli zaplecza. W tym przykładzie użyto Windows Server 2016 Datacenter.

  3. Wprowadź następujące wartości na karcie Podstawy dla poniższych ustawień maszyny wirtualnej:

    • Grupa zasobów: wybierz nazwę grupy zasobów myResourceGroupAG .
    • Nazwa maszyny wirtualnej: wprowadź nazwę maszyny wirtualnej myVM .
    • Nazwa użytkownika: wprowadź nazwę użytkownika administratora.
    • Hasło: wprowadź hasło dla konta administratora.

  4. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Dalej: Dyski.

  5. Zaakceptuj wartości domyślne karty Dyski , a następnie wybierz pozycję Dalej: Sieć.

  6. Na karcie Sieć sprawdź, czy wybrano pozycję myVNet w obszarze Sieć wirtualna oraz czy pozycja Podsieć została ustawiona na wartość myBackendSubnet. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Dalej: Zarządzanie.

    Application Gateway może komunikować się z wystąpieniami spoza sieci wirtualnej, w której się znajduje, ale musisz upewnić się, że istnieje łączność IP.

  7. Na karcie Zarządzanie ustaw opcję Diagnostyka rozruchu na Wartość Wyłącz. Zaakceptuj pozostałe wartości domyślne, a następnie wybierz pozycję Przeglądanie + tworzenie.

  8. Na karcie Przeglądanie + tworzenie przejrzyj ustawienia, usuń wszystkie błędy walidacji, a następnie wybierz pozycję Utwórz.

  9. Przed kontynuowaniem zaczekaj na ukończenie wdrażania.

Instalowanie usług IIS do testowania

W tym przykładzie zainstalujesz usługi IIS na maszynach wirtualnych tylko w celu sprawdzenia, czy platforma Azure pomyślnie utworzyła bramę aplikacji.

  1. Otwórz program Azure PowerShell. W tym celu wybierz pozycję Cloud Shell na górnym pasku nawigacyjnym w witrynie Azure Portal, a następnie wybierz pozycję PowerShell z listy rozwijanej.

    Instalowanie rozszerzenia niestandardowego

  2. Zmień ustawienie lokalizacji środowiska, a następnie uruchom następujące polecenie, aby zainstalować usługi IIS na maszynie wirtualnej:

           Set-AzVMExtension `
         -ResourceGroupName myResourceGroupAG `
         -ExtensionName IIS `
         -VMName myVM `
         -Publisher Microsoft.Compute `
         -ExtensionType CustomScriptExtension `
         -TypeHandlerVersion 1.4 `
         -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
         -Location <location>

  3. Utwórz drugą maszynę wirtualną i zainstaluj usługi IIS, wykonując kroki ukończone wcześniej. Użyj maszyny wirtualnej myVM2 jako nazwy maszyny wirtualnej i dla ustawienia VMName polecenia cmdlet Set-AzVMExtension .

Dodawanie serwerów zaplecza do puli zaplecza

  1. Wybierz pozycję Wszystkie zasoby, a następnie wybierz pozycję myAppGateway.

  2. Wybierz pozycję Pule zaplecza w menu po lewej stronie.

  3. Wybierz pozycję myBackendPool.

  4. W obszarze Typ docelowy wybierz pozycję Maszyna wirtualna z listy rozwijanej.

  5. W obszarze Cel wybierz interfejs sieciowy w obszarze myVM z listy rozwijanej.

  6. Powtórz, aby dodać interfejs sieciowy dla maszyny wirtualnej myVM2.

    Dodawanie serwerów zaplecza

  7. Wybierz pozycję Zapisz.

  8. Przed przejściem do następnego kroku poczekaj na zakończenie wdrożenia.

Testowanie bramy aplikacji

  1. Wybierz pozycję Wszystkie zasoby, a następnie wybierz pozycję myAGPublicIPAddress.

    Rejestrowanie publicznego adresu IP bramy aplikacji

  2. Na pasku adresu przeglądarki wpisz https://< our adres> IP bramy aplikacji.

    Aby zaakceptować ostrzeżenie o zabezpieczeniach, jeśli użyto certyfikatu z podpisem własnym, wybierz pozycję Szczegóły (lub Zaawansowane w przeglądarce Chrome), a następnie przejdź do strony internetowej:

    Ostrzeżenie o zabezpieczeniach

    Zostanie wyświetlona zabezpieczona witryna internetowa usług IIS, tak jak w poniższym przykładzie:

    Testowanie podstawowego adresu URL w bramie aplikacji

Czyszczenie zasobów

Gdy grupa zasobów i wszystkie powiązane zasoby nie będą już potrzebne, usuń je. W tym celu wybierz grupę zasobów i wybierz pozycję Usuń grupę zasobów.

Następne kroki

W tym samouczku zostały wykonane następujące czynności:

  • Utworzono certyfikat z podpisem własnym
  • Tworzenie bramy aplikacji przy użyciu certyfikatu

Aby dowiedzieć się więcej na temat obsługi protokołu APPLICATION GATEWAY TLS, zobacz end to end TLS with Application Gateway and Application Gateway TLS policy (Kompleksowe szyfrowanie TLS przy użyciu Application Gateway i Application Gateway zasad protokołu TLS).

Aby dowiedzieć się, jak utworzyć i skonfigurować Application Gateway do hostowania wielu witryn internetowych przy użyciu Azure Portal, przejdź do następnego samouczka.

Hostowanie wielu witryn