Lyssnarkonfiguration i Application Gateway

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

En lyssnare är en logisk entitet som söker efter inkommande anslutningsbegäranden med hjälp av port, protokoll, värd och IP-adress. När du konfigurerar lyssnaren måste du ange värden för dessa som matchar motsvarande värden i den inkommande begäran på gatewayen.

När du skapar en programgateway med hjälp av Azure-portalen skapar du också en standardlyssnare genom att välja protokoll och port för lyssnaren. Du kan välja om du vill aktivera HTTP2-stöd för lyssnaren. När du har skapat programgatewayen kan du redigera inställningarna för standardlyssnaren (appGatewayHttpListener) eller skapa nya lyssnare.

Lyssnartyp

När du skapar en ny lyssnare väljer du mellan grundläggande och flera webbplatser.

• Om du vill att alla dina begäranden (för alla domäner) ska accepteras och vidarebefordras till serverdelspooler väljer du grundläggande. Lär dig hur du skapar en programgateway med en grundläggande lyssnare.

• Om du vill vidarebefordra begäranden till olika serverdelspooler baserat på värdhuvudet eller värdnamnen väljer du lyssnare för flera webbplatser. Application Gateway förlitar sig på HTTP 1.1 värdhuvuden för att ha mer än en webbplats på samma offentliga IP-adress och port. Om du vill särskilja begäranden på samma port måste du ange ett värdnamn som matchar den inkommande begäran. Mer information finns i vara värd för flera webbplatser med Application Gateway.

Ordningen för bearbetning av lyssnare

För V1 SKU matchas begäranden enligt reglernas ordning och typ av lyssnare. Om en regel med grundläggande lyssnare kommer först i ordningen bearbetas den först och accepterar alla begäranden för den port- och IP-kombinationen. För att undvika detta konfigurerar du reglerna med lyssnare med flera platser först och push-överför regeln med den grundläggande lyssnaren till den sista i listan.

För V2 SKU bearbetas lyssnare för flera platser före grundläggande lyssnare, såvida inte regelprioritet har definierats. Om du använder regelprioritet bör jokerteckenlyssnare definieras som en prioritet med ett tal som är större än icke-jokerteckenlyssnare för att säkerställa att lyssnare som inte är jokertecken körs före jokerteckenlyssnare.

Klientdelens IP-adress

Välj den IP-adress för klientdelen som du planerar att associera med den här lyssnaren. Lyssnaren lyssnar på inkommande begäranden på den här IP-adressen.

Kommentar

Application Gateway-klientdelen stöder IP-adresser med dubbla staplar. Du kan skapa upp till fyra IP-adresser för klientdelen: Två IPv4-adresser (offentliga och privata) och två IPv6-adresser (offentliga och privata).

Klientdelsport

Associera en klientdelsport. Du kan välja en befintlig port eller skapa en ny. Välj valfritt värde från det tillåtna portintervallet. Du kan inte bara använda välkända portar, till exempel 80 och 443, utan även alla tillåtna anpassade portar som är lämpliga. Samma port kan användas för offentliga och privata lyssnare.

Kommentar

När du använder privata och offentliga lyssnare med samma portnummer ändrar programgatewayen "målet" för det inkommande flödet till gatewayens klientdels-IP-adresser. Beroende på nätverkssäkerhetsgruppens konfiguration kan du därför behöva en inkommande regel med mål-IP-adresser som programgatewayens offentliga och privata klientdels-IP-adresser.

Inkommande regel:

• Källa: (enligt dina behov)
• Mål-IP-adresser: Offentliga och privata klientdels-IP-adresser för din programgateway.
• Målport: (enligt lyssningskonfiguration)
• Protokoll: TCP

Utgående regel: (inget specifikt krav)

Protokoll

Välj HTTP eller HTTPS:

• Om du väljer HTTP är trafiken mellan klienten och programgatewayen okrypterad.

• Välj HTTPS om du vill ha TLS-avslutning eller TLS-kryptering från slutpunkt till slutpunkt. Trafiken mellan klienten och programgatewayen krypteras och TLS-anslutningen avslutas vid programgatewayen. Om du vill ha TLS-kryptering från slutpunkt till slutpunkt till serverdelsmålet måste du också välja HTTPS i http-inställningen för serverdelen. Detta säkerställer att trafiken krypteras när application gateway initierar en anslutning till serverdelsmålet.

För att konfigurera TLS-avslutning måste ett TLS/SSL-certifikat läggas till i lyssnaren. På så sätt kan Application Gateway dekryptera inkommande trafik och kryptera svarstrafik till klienten. Certifikatet som tillhandahålls till Application Gateway måste vara i PFX-format (Personal Information Exchange), som innehåller både privata och offentliga nycklar.

Kommentar

När du använder ett TLS-certifikat från Key Vault för en lyssnare måste du se till att Application Gateway alltid har åtkomst till den länkade nyckelvalvsresursen och certifikatobjektet i den. Detta möjliggör sömlösa åtgärder för TLS-avslutningsfunktionen och upprätthåller den övergripande hälsan för din gatewayresurs. Om en application gateway-resurs identifierar ett felkonfigurerat nyckelvalv placeras automatiskt de associerade HTTPS-lyssnarna i ett inaktiverat tillstånd. Läs mer.

Certifikat som stöds

Se Översikt över TLS-avslutning och TLS från slutpunkt till slutpunkt med Application Gateway

Ytterligare protokollstöd

HTTP2-stöd

HTTP/2-protokollstöd är endast tillgängligt för klienter som ansluter till application gateway-lyssnare. Kommunikation till serverdelsserverpooler är alltid HTTP/1.1. Som standard är HTTP/2-stöd inaktiverat. Följande Kodfragment i Azure PowerShell visar hur du aktiverar detta:

$gw = Get-AzApplicationGateway -Name test -ResourceGroupName hm

$gw.EnableHttp2 = $true

Set-AzApplicationGateway -ApplicationGateway $gw

Du kan också aktivera HTTP2-stöd med hjälp av Azure-portalen genom att välja Aktiverad under HTTP2 i Application Gateway > Configuration.

WebSocket-stöd

WebSocket-stöd är aktiverat som standard. Det finns ingen inställning som kan konfigureras av användaren för att aktivera eller inaktivera den. Du kan använda WebSockets med både HTTP- och HTTPS-lyssnare.

Anpassade felsidor

Du kan definiera anpassade felsidor för olika svarskoder som returneras av Application Gateway. Svarskoderna som du kan konfigurera felsidor för är 400, 403, 405, 408, 500, 502, 503 och 504. Du kan använda konfiguration på global nivå eller lyssnarspecifik felsida för att ange dem detaljerat för varje lyssnare. Mer information finns i Skapa anpassade felsidor i Application Gateway.

Kommentar

Ett fel som kommer från serverdelsservern skickas oförändrad av Application Gateway till klienten.

TLS-princip

Du kan centralisera TLS/SSL-certifikathantering och minska kostnaderna för krypteringsdekryptering för en servergrupp på serverdelen. Med centraliserad TLS-hantering kan du också ange en central TLS-princip som passar dina säkerhetskrav. Du kan välja fördefinierad eller anpassad TLS-princip.

Du konfigurerar TLS-principen för att kontrollera TLS-protokollversioner. Du kan konfigurera en programgateway för att använda en lägsta protokollversion för TLS-handskakningar från TLS1.0, TLS1.1, TLS1.2 och TLS1.3. Som standard är SSL 2.0 och 3.0 inaktiverade och kan inte konfigureras. Mer information finns i Översikt över TLS-princip för Application Gateway.

När du har skapat en lyssnare associerar du den med en regel för begärandedirigering. Den regeln avgör hur begäranden som tas emot på lyssnaren dirigeras till serverdelen.

Nästa steg

• Läs mer om routningsregler för begäranden.