Skydda webbappar på Azure VMware Solution med Azure Application Gateway

  • Artikel
  • 5 minuter för att läsa

Azure Application Gateway är en lastbalanserare för Layer 7-webbtrafik som gör att du kan hantera trafik till dina webbprogram. Den erbjuds i både Azure VMware Solution v1.0 och v2.0. Båda versionerna har testats med webbappar som körs Azure VMware Solution.

Funktionerna är:

  • Cookiebaserad sessionstillhörighet
  • URL-baserad routning
  • Brandvägg för webbaserade program (WAF)

En fullständig lista över funktioner finns i Azure Application Gateway funktioner.

Den här artikeln visar hur du använder Application Gateway framför en webbservergrupp för att skydda en webbapp som körs Azure VMware Solution.

Topologi

Diagrammet visar hur Application Gateway används för att skydda virtuella Azure IaaS-datorer (VM), skalningsuppsättningar för virtuella Azure-datorer eller lokala servrar. Application Gateway hanterar Azure VMware Solution virtuella datorer som lokala servrar.

Diagram som visar Application Gateway skyddar virtuella Azure IaaS-datorer (VM), skalningsuppsättningar för virtuella Azure-datorer eller lokala servrar.

Viktigt

Azure Application Gateway är för närvarande den enda metod som stöds för att exponera webbappar som körs Azure VMware Solution virtuella datorer.

Diagrammet visar det testscenario som används för att verifiera Application Gateway med Azure VMware Solution webbappar.

Diagram som visar det testscenario som används för att verifiera Application Gateway med Azure VMware Solution webbappar.

Instansen Application Gateway distribueras på hubben i ett dedikerat undernät med en offentlig IP-adress i Azure. Aktivering av Azure DDoS Protection Standard för det virtuella nätverket rekommenderas. Webbservern finns i ett privat Azure VMware Solution bakom NSX T0- och T1-gatewayer. Dessutom Azure VMware Solution ExpressRoute-Global Reach för att möjliggöra kommunikation med hubben och lokala system.

Förutsättningar

  • Ett Azure-konto med en aktiv prenumeration.
  • Ett Azure VMware Solution privat moln som distribueras och körs.

Distribution och konfiguration

  1. I den Azure Portal söker du efter Application Gateway och väljer Skapa programgateway.

  2. Ange grundläggande information som i följande bild: välj sedan Nästa:>.

    Skärmbild som visar sidan Skapa programgateway i Azure Portal.

  3. Välj IP-adresstyp för frontend. För offentlig väljer du en befintlig offentlig IP-adress eller skapar en ny. Välj Nästa:>.

    Anteckning

    Endast standard- och Web Application Firewall-SKU:er (WAF) stöds för privata frontends.

  4. Lägg till en backend-pool för de virtuella datorer som körs Azure VMware Solution infrastrukturen. Ange information om webbservrar som körs i det privata Azure VMware Solution och välj Lägg till. Välj sedan Nästa: Konfiguration>.

  5. På fliken Konfiguration väljer du Lägg till en routningsregel.

  6. fliken Lyssnare anger du information för lyssnaren. Om HTTPS har valts måste du ange ett certifikat, antingen från en PFX-fil eller ett befintligt Azure Key Vault certifikat.

  7. Välj fliken Backend-mål och välj den backend-pool som du skapade tidigare. I fältet HTTP-inställningar väljer du Lägg till ny.

  8. Konfigurera parametrarna för HTTP-inställningarna. Välj Lägg till.

  9. Om du vill konfigurera sökvägsbaserade regler väljer du Lägg till flera mål för att skapa en sökvägsbaserad regel.

  10. Lägg till en sökvägsbaserad regel och välj Lägg till. Upprepa för att lägga till fler sökvägsbaserade regler.

  11. När du har lagt till sökvägsbaserade regler väljer du Lägg till igen. välj sedan Nästa: Taggar>.

  12. Lägg till taggar och välj sedan Nästa: Granska + skapa>.

  13. En validering körs på Application Gateway. Om det lyckas väljer du Skapa för att distribuera.

Konfigurationsexempel

Nu ska du konfigurera Application Gateway med Azure VMware Solution virtuella datorer som backend-pooler för följande användningsfall:

Vara värd för flera webbplatser

Den här proceduren visar hur du definierar adresspooler för backend med hjälp av virtuella datorer som körs Azure VMware Solution ett privat moln på en befintlig programgateway.

Anteckning

Den här proceduren förutsätter att du har flera domäner, så vi använder exempel på www.contoso.com och www.fabrikam.com.

  1. Skapa två olika pooler med virtuella datorer i ditt privata moln. En representerar Contoso och den andra Fabrikam.

    Skärmbild som visar en sammanfattning av en webbserverinformation i VSphere-klienten.

    Vi har använt Windows Server 2016 med Internet Information Services (IIS)-rollen installerad. När de virtuella datorerna har installerats kör du följande PowerShell-kommandon för att konfigurera IIS på var och en av de virtuella datorerna.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

  2. I en befintlig programgatewayinstans väljer du Backend-pooler på den vänstra menyn, väljer Lägg till och anger information om de nya poolerna. Välj Lägg till i den högra rutan.

    Skärmbild av sidan För backend-pooler för att lägga till backend-pooler.

  3. I avsnittet Lyssnare skapar du en ny lyssnare för varje webbplats. Ange information för varje lyssnare och välj Lägg till.

  4. Till vänster väljer du HTTP-inställningar och väljer Lägg till i den vänstra rutan. Fyll i informationen för att skapa en ny HTTP-inställning och välj Spara.

    Skärmbild av sidan HTTP-inställningar för att skapa en ny HTTP-inställning.

  5. Skapa reglerna i avsnittet Regler på den vänstra menyn. Associera varje regel med motsvarande lyssnare. Välj Lägg till.

  6. Konfigurera motsvarande backend-pool och HTTP-inställningar. Välj Lägg till.

  7. Testa anslutningen. Öppna den webbläsare du föredrar och gå till de olika webbplatser som Azure VMware Solution din miljö, till exempel http://www.fabrikam.com .

    Skärmbild av webbläsarsidan som visar ett lyckat test av anslutningen.

Routning efter URL

Följande steg definierar backend-adresspooler med hjälp av virtuella datorer som körs Azure VMware Solution ett privat moln. Det privata molnet finns på en befintlig programgateway. Sedan skapar du routningsregler som ser till att webbtrafiken anländer till lämpliga servrar i poolerna.

  1. I ditt privata moln skapar du en virtuell datorpool som representerar webbservergruppen.

    Skärmbild av sidan i VMSphere-klienten som visar en sammanfattning av en annan virtuell dator.

    Windows Server 2016 med IIS-rollen installerad har använts för att illustrera den här självstudien. När de virtuella datorerna har installerats kör du följande PowerShell-kommandon för att konfigurera IIS för varje virtuell dator.

    Den första virtuella datorn, contoso-web-01, är värd för huvudwebbplatsen.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

    Den andra virtuella datorn, contoso-web-02, är värd för avbildningsplatsen.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "images" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\images\test.htm -Value $($env:computername)

    Den tredje virtuella datorn, contoso-web-03, är värd för videowebbplatsen.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "video" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\video\test.htm -Value $($env:computername)

  2. Lägg till tre nya backend-pooler i en befintlig application gateway-instans.

    1. Välj Serverdelspooler på den vänstra menyn.
    2. Välj Lägg till och ange information om den första poolen, contoso-web.
    3. Lägg till en virtuell dator som mål.
    4. Välj Lägg till.
    5. Upprepa den här processen för contoso-images och contoso-video och lägg till en unik virtuell dator som mål.

    Skärmbild av sidan Backend-pooler som visar tillägget av tre nya backend-pooler.

  3. I avsnittet Lyssnare skapar du en ny lyssnare av typen Basic med port 8080.

  4. I det vänstra navigeringsfönstret väljer du HTTP-inställningar och sedan Lägg till i det vänstra fönstret. Fyll i informationen för att skapa en ny HTTP-inställning och välj Spara.

    Skärmbild av sidan Lägg till HTTP-inställning som visar konfiguration av HTTP-inställningar.

  5. Skapa reglerna i avsnittet Regler på den vänstra menyn och associera varje regel med den tidigare skapade lyssnaren. Konfigurera sedan den huvudsakliga backend-poolen och HTTP-inställningarna och välj sedan Lägg till.

    Skärmbild av sidan Lägg till en routningsregel för att konfigurera routningsregler till ett serversidemål.

  6. Testa konfigurationen. Öppna programgatewayen på Azure Portal och kopiera den offentliga IP-adressen i avsnittet Översikt.

    1. Öppna ett nytt webbläsarfönster och ange URL:en http://<app-gw-ip-address>:8080 .

      Skärmbild av webbläsarsidan som visar ett lyckat test av konfigurationen.

    2. Ändra URL:en till http://<app-gw-ip-address>:8080/images/test.htm.

      Skärmbild av ett annat lyckat test med den nya URL:en.

    3. Ändra URL:en igen till http://<app-gw-ip-address>:8080/video/test.htm .

      Skärmbild av lyckat test med den slutliga URL:en.

Nästa steg

Nu när du har gått Application Gateway för att skydda en webbapp som körs Azure VMware Solution kanske du vill veta mer om: