Configuração do ouvinte do Gateway de Aplicativo

Observação

Este artigo foi atualizado para usar o módulo Az PowerShell do Azure. O módulo Az PowerShell é o módulo do PowerShell recomendado para interagir com o Azure. Para começar a usar o módulo do Az PowerShell, confira Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.

Um ouvinte é uma entidade lógica que verifica as solicitações de conexão de entrada usando porta, protocolo, host e endereço IP. Ao configurar o ouvinte, você deverá inserir valores para que eles correspondam aos valores na solicitação de entrada no gateway.

Ao criar um gateway de aplicativo usando o portal do Azure, você também escolhe o protocolo e a porta para criar um ouvinte padrão. Você pode escolher se deseja habilitar o suporte a HTTP2 no ouvinte. Depois de criar o Gateway de Aplicativo, você pode editar as configurações desse ouvinte padrão (appGatewayHttpListener) ou criar novos ouvintes.

Tipo de ouvinte

Ao criar um novo ouvinte, você escolhe entre básico e multissite.

  • Para que todas as suas solicitações (para qualquer domínio) sejam aceitas e encaminhadas para pools de back-end, escolha básico. Saiba como criar um gateway de aplicativo com um ouvinte básico.

  • Para encaminhar solicitações para diferentes pools de back-end com base no cabeçalho do host ou nomes de host, escolha multissite, em que você também deve especificar um nome de host que corresponda à solicitação de entrada. Isso deve ser feito porque o Gateway de Aplicativo depende de cabeçalhos de host HTTP 1.1 para hospedar mais de um site na mesma porta e endereço IP público. Saiba mais em Hospedagem de vários sites usando o Gateway de Aplicativo.

Ordem de ouvintes de processamento

Para a SKU v1, a correspondência das solicitações são feitas de acordo com a ordem das regras e o tipo de ouvinte. Se uma regra com um ouvinte básico vier primeiro na ordem, ela será processada primeiro e aceitará qualquer solicitação para essa porta e combinação de IP. Para evitar isso, configure as regras com os ouvintes multissite primeiro e envie por push a regra com o ouvinte básico para o último na lista.

Para a SKU v2, os ouvintes multissite são processados antes dos ouvintes básicos.

Endereço IP de front-end

Escolha o endereço IP de front-end que você planeja associar a este ouvinte. O ouvinte ouvirá as solicitações de entrada nesse IP.

Porta de front-end

Escolha a porta de front-end. Selecione uma porta existente ou crie uma. Escolha qualquer valor do intervalo permitido de portas. Você pode usar não apenas portas bem conhecidas, como 80 e 443, mas qualquer porta personalizada que seja adequada. Uma porta pode ser usada para ouvintes voltados para o público ou para ouvintes de face privada.

Protocolo

Escolha HTTP ou HTTPS:

  • Se você escolher HTTP, o tráfego entre o cliente e o Gateway de Aplicativo será descriptografado.

  • Escolha HTTPS se desejar a Terminação TLS ou Criptografia TLS de ponta a ponta. O tráfego entre o cliente e o Gateway de Aplicativo é criptografado. E a conexão TLS é encerrada no Gateway de Aplicativo. Para habilitar a criptografia TLS de ponta a ponta, escolha HTTPS e defina a configuração de HTTP de back-end. Isso garante que o tráfego seja criptografado novamente quando ele viajar do Gateway de Aplicativo para o back-end.

Para configurar a terminação TLS e criptografia TLS de ponta a ponta, você deve adicionar um certificado ao ouvinte para permitir que o Gateway de Aplicativo derive uma chave simétrica. Isso é ditado pela especificação do protocolo TLS. A chave simétrica então é usada para criptografar e descriptografar o tráfego enviado para o gateway. O certificado do gateway deve estar no formato PFX (Troca de Informações Pessoais). Esse formato permite exportar a chave privada que o gateway usa para criptografar e descriptografar o tráfego.

Certificados com suporte

Confira Visão geral do terminação TLS e TLS de ponta a ponta com um Gateway de Aplicativo

Suporte a protocolo adicional

Suporte a HTTP2

O suporte ao protocolo HTTP/2 está disponível para clientes que se conectam somente a ouvintes do gateway de aplicativo. A comunicação para pools de servidores de back-end ocorre no HTTP/1.1. Por padrão, o suporte HTTP/2 está desabilitado. O trecho de código Azure PowerShell a seguir mostra como habilitar isso:

$gw = Get-AzApplicationGateway -Name test -ResourceGroupName hm

$gw.EnableHttp2 = $true

Set-AzApplicationGateway -ApplicationGateway $gw

Suporte para WebSocket

O suporte a ClangFormat é habilitado por padrão. Não há definição configurável pelo usuário para habilitá-lo ou desabilitá-lo. Você pode usar Websockets com ouvintes HTTP e HTTPS.

Páginas de erro personalizadas

Você pode definir um erro personalizado em nível global ou no do ouvinte. Mas não há suporte para a criação de páginas de erro personalizadas no nível global usando o portal do Azure no momento. Configure uma página de erro personalizada para um erro 403 do firewall do aplicativo Web ou uma página de manutenção 502 no nível de ouvinte. Você também deve especificar uma URL de blob publicamente acessível para o código de status de erro fornecido. Para obter mais informações, confira Criar páginas de erro personalizadas do Gateway de Aplicativo.

Códigos de erro do Gateway de Aplicativo

Para configurar uma página de erro personalizada global, confira Configuração do Azure PowerShell.

Política TLS

Você pode centralizar o gerenciamento de certificados TLS/SSL e reduzir a sobrecarga de descriptografia-criptografia para um farm de servidores de back-end. O tratamento centralizado de TLS também permite que você especifique uma política TLS central adequada aos seus requisitos de segurança. Você pode escolher uma política TLS padrão, predefinida ou personalizada.

Você pode configurar a política TSL para controlar as versões do Protocolo SSL. Você pode configurar um gateway de aplicativo para usar uma versão mínima de protocolo para handshakes de TLS do TLS 1.0, TLS 1.1 e TLS 1.2. Por padrão, o SSL 2.0 e 3.0 estão desabilitados e não são configuráveis. Confira mais informações em Visão geral da política TLS do Gateway de Aplicativo.

Depois de criar um ouvinte, você o associa a uma regra de roteamento de solicitação. Essa regra determina como as solicitações recebidas no ouvinte são roteadas para o back-end.

Próximas etapas