Testowanie za zaporą
Aby zapewnić dostępność punktu końcowego za zaporami, włącz publiczne testy dostępności lub uruchom testy dostępności w scenariuszach rozłączenia lub braku ruchu przychodzącego.
Włączanie testu dostępności publicznej
Upewnij się, że wewnętrzna witryna internetowa ma publiczny rekord systemu nazw domen (DNS). Testy dostępności kończą się niepowodzeniem, jeśli nie można rozpoznać systemu DNS. Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowej nazwy domeny dla aplikacji wewnętrznej.
Ostrzeżenie
Adresy IP używane przez usługę testów dostępności są współużytkowane i mogą uwidaczniać punkty końcowe usługi chronionej przez zaporę innym testom. Filtrowanie adresów IP nie zabezpiecza ruchu usługi, dlatego zaleca się dodanie dodatkowych nagłówków niestandardowych w celu zweryfikowania źródła żądania internetowego. Aby uzyskać więcej informacji, zobacz Tagi usługi dla sieci wirtualnej.
Uwierzytelnianie ruchu
Ustaw nagłówki niestandardowe w standardowych testach dostępności, aby zweryfikować ruch.
Wygeneruj token lub identyfikator GUID, aby zidentyfikować ruch z testów dostępności.
Dodaj nagłówek niestandardowy "X-Customer-InstanceId" z wartością
ApplicationInsightsAvailability:<GUID generated in step 1>
w sekcji "Standardowe informacje testowe" podczas tworzenia lub aktualizowania testów dostępności.Upewnij się, że usługa sprawdza, czy ruch przychodzący zawiera nagłówek i wartość zdefiniowaną w poprzednich krokach.
Alternatywnie ustaw token jako parametr zapytania. Na przykład https://yourtestendpoint/?x-customer-instanceid=applicationinsightsavailability:<your guid>
.
Konfigurowanie zapory w celu zezwolenia na żądania przychodzące z testów dostępności
Uwaga
Ten przykład jest specyficzny dla użycia tagów usługi sieciowej grupy zabezpieczeń. Wiele usług platformy Azure akceptuje tagi usług, z których każdy wymaga różnych kroków konfiguracji.
Aby uprościć włączanie usług platformy Azure bez autoryzowania poszczególnych adresów IP lub obsługi aktualnej listy adresów IP, użyj tagów usługi. Zastosuj te tagi w usłudze Azure Firewall i sieciowych grupach zabezpieczeń, umożliwiając dostęp usługi Test dostępności do punktów końcowych. Tag
ApplicationInsightsAvailability
usługi ma zastosowanie do wszystkich testów dostępności.Jeśli używasz sieciowych grup zabezpieczeń platformy Azure, przejdź do zasobu sieciowej grupy zabezpieczeń i w obszarze Ustawienia wybierz reguły zabezpieczeń dla ruchu przychodzącego. Następnie wybierz pozycję Dodaj.
Następnie wybierz pozycję Tag usługi jako źródło i wybierz pozycję Aplikacja Szczegółowe informacje Dostępność jako tag usługi źródłowej. Użyj otwartych portów 80 (http) i 443 (https) dla ruchu przychodzącego z tagu usługi.
Aby zarządzać dostępem, gdy punkty końcowe znajdują się poza platformą Azure lub gdy tagi usług nie są opcją, dodaj adresy IP naszych agentów testów internetowych. Zakresy adresów IP można wykonywać za pomocą programu PowerShell, interfejsu wiersza polecenia platformy Azure lub wywołania REST przy użyciu interfejsu API tagów usługi. Aby uzyskać kompleksową listę bieżących tagów usługi i ich szczegółów adresu IP, pobierz plik JSON.
W zasobie sieciowej grupy zabezpieczeń w obszarze Ustawienia wybierz pozycję Reguły zabezpieczeń dla ruchu przychodzącego. Następnie wybierz pozycję Dodaj.
Następnie wybierz pozycję Adresy IP jako źródło. Następnie dodaj swoje adresy IP na liście rozdzielanej przecinkami w źródłowych zakresach adresów IP/CIRD.
Scenariusze rozłączenia lub braku ruchu przychodzącego
- Połączenie zasób aplikacji Szczegółowe informacje do wewnętrznego punktu końcowego usługi przy użyciu usługi Azure Private Link.
- Pisanie niestandardowego kodu w celu okresowego testowania wewnętrznego serwera lub punktów końcowych. Wyślij wyniki do usługi Application Szczegółowe informacje przy użyciu interfejsu API TrackAvailability() w podstawowym pakiecie SDK.
Rozwiązywanie problemów
Aby uzyskać więcej informacji, zobacz artykuł dotyczący rozwiązywania problemów.