Aktivera ingress-to-app-TLS för ett program
Kommentar
Azure Spring Apps är det nya namnet på Azure Spring Cloud-tjänsten. Även om tjänsten har ett nytt namn ser du det gamla namnet på vissa platser ett tag medan vi arbetar med att uppdatera tillgångar som skärmbilder, videor och diagram.
Den här artikeln gäller för:❌ Basic ✔️ Standard ✔️ Enterprise
Kommentar
Den här funktionen är inte tillgänglig i Basic-planen.
I den här artikeln beskrivs säker kommunikation i Azure Spring Apps. Artikeln beskriver också hur du aktiverar ingress-to-app SSL/TLS för att skydda trafik från en ingresskontrollant till program som stöder HTTPS.
Följande bild visar det övergripande stödet för säker kommunikation i Azure Spring Apps.
Säker kommunikationsmodell i Azure Spring Apps
I det här avsnittet beskrivs den säkra kommunikationsmodell som visas i översiktsdiagrammet ovan.
Klientbegäran från klienten till programmet i Azure Spring Apps kommer in i ingresskontrollanten. Begäran kan vara antingen HTTP eller HTTPS. TLS-certifikatet som returneras av ingresskontrollanten utfärdas av den Microsoft Azure TLS-utfärdande certifikatutfärdare.
Om appen har mappats till en befintlig anpassad domän och endast har konfigurerats som HTTPS kan begäran till ingresskontrollanten endast vara HTTPS. TLS-certifikatet som returneras av ingresskontrollanten är SSL-bindningscertifikatet för den anpassade domänen. SSL/TLS-verifieringen på serversidan för den anpassade domänen görs i ingresskontrollanten.
Den säkra kommunikationen mellan ingresskontrollanten och programmen i Azure Spring Apps styrs av ingress-to-app-TLS. Du kan också styra kommunikationen via portalen eller CLI, som beskrivs senare i den här artikeln. Om ingress-till-app-TLS är inaktiverat är kommunikationen mellan ingresskontrollanten och apparna i Azure Spring Apps HTTP. Om ingress-to-app-TLS är aktiverat är kommunikationen HTTPS och har ingen relation till kommunikationen mellan klienterna och ingresskontrollanten. Ingresskontrollanten verifierar inte certifikatet som returneras från apparna eftersom ingress-to-app-TLS krypterar kommunikationen.
Kommunikationen mellan apparna och Azure Spring Apps-tjänsterna är alltid HTTPS och hanteras av Azure Spring Apps. Sådana tjänster omfattar konfigurationsserver, tjänstregister och Eureka-server.
Du hanterar kommunikationen mellan programmen. Du kan också dra nytta av Azure Spring Apps-funktioner för att läsa in certifikat i programmets förtroendearkiv. Mer information finns i Använda TLS/SSL-certifikat i ett program.
Du hanterar kommunikationen mellan program och externa tjänster. För att minska utvecklingsinsatsen hjälper Azure Spring Apps dig att hantera dina offentliga certifikat och läsa in dem i programmets förtroendearkiv. Mer information finns i Använda TLS/SSL-certifikat i ett program.
Aktivera ingress-to-app-TLS för ett program
I följande avsnitt visas hur du aktiverar ingress-to-app SSL/TLS för att skydda trafik från en ingresskontrollant till program som stöder HTTPS.
Förutsättningar
- En distribuerad Azure Spring Apps-instans. Följ vår snabbstart om att distribuera via Azure CLI för att komma igång.
- Om du inte känner till ingress-to-app-TLS kan du läsa TLS-exemplet från slutpunkt till slutpunkt.
- Om du vill läsa in de certifikat som krävs i Spring Boot-appar på ett säkert sätt kan du använda spring-cloud-azure-starter-keyvault-certificates.
Aktivera ingress-to-app-TLS i en befintlig app
Använd kommandot az spring app update --enable-ingress-to-app-tls för att aktivera eller inaktivera ingress-to-app-TLS för en app.
az spring app update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app update --enable-ingress-to-app-tls false -n app_name -s service_name -g resource_group_name
Aktivera ingress-to-app-TLS när du binder en anpassad domän
Använd kommandot az spring app custom-domain update --enable-ingress-to-app-tls eller az spring app custom-domain bind --enable-ingress-to-app-tls för att aktivera eller inaktivera ingress-to-app-TLS för en app.
az spring app custom-domain update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app custom-domain bind --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
Aktivera ingress-to-app-TLS med hjälp av Azure-portalen
Om du vill aktivera ingress-to-app-TLS i Azure-portalen skapar du först en app och aktiverar sedan funktionen.
- Skapa en app i portalen som vanligt. Gå till den i portalen.
- Rulla ned till gruppen Inställningar i det vänstra navigeringsfönstret.
- Välj Ingress-to-app TLS.
- Växla TLS för ingress till app till Ja.
Verifiera ingress-to-app-TLS-status
Använd kommandot az spring app show för att kontrollera värdet enableEndToEndTlsför .
az spring app show -n app_name -s service_name -g resource_group_name