Share via

為應用程式啟用輸入對應用程式 TLS

  • 發行項

注意

Azure Spring Apps 是 Azure Spring Cloud 服務的新名稱。 雖然服務有新的名稱,但在我們努力更新資產,例如螢幕快照、影片和圖表時,您會在某些地方看到舊名稱一段時間。

本文適用於:❌ 基本✔️標準✔️企業

注意

基本方案不提供這項功能。

本文說明 Azure Spring Apps 中的安全通訊。 本文也說明如何啟用輸入到應用程式 SSL/TLS,以保護從輸入控制器到支援 HTTPS 的應用程式流量。

下圖顯示 Azure Spring Apps 中的整體安全通訊支援。

Diagram that shows the secured TLS flow in Azure Spring Apps.

保護 Azure Spring Apps 內的通訊模型

本節說明上述概觀圖表中顯示的安全通訊模型。

  1. Azure Spring Apps 中用戶端對應用程式的用戶端要求會進入輸入控制器。 要求可以是 HTTP 或 HTTPS。 輸入控制器傳回的 TLS 憑證是由 Microsoft Azure TLS 發行 CA 所簽發。

    如果應用程式已對應至現有的自定義網域,且僅設定為 HTTPS,則對輸入控制器的要求只能是 HTTPS。 輸入控制器傳回的 TLS 憑證是該自定義網域的 SSL 系結憑證。 自訂網域的伺服器端 SSL/TLS 驗證是在輸入控制器中完成。

  2. 輸入控制器與 Azure Spring Apps 中的應用程式之間的安全通訊是由輸入對應用程式 TLS 所控制。 您也可以透過入口網站或 CLI 控制通訊,本文稍後將加以說明。 如果停用輸入對應用程式 TLS,輸入控制器與 Azure Spring Apps 中的應用程式之間的通訊會是 HTTP。 如果已啟用輸入對應用程式 TLS,則通訊會是 HTTPS,且與客戶端與輸入控制器之間的通訊無關。 輸入控制器不會驗證從應用程式傳回的憑證,因為輸入到應用程式 TLS 會加密通訊。

  3. 應用程式和 Azure Spring Apps 服務之間的通訊一律為 HTTPS,並由 Azure Spring Apps 處理。 這類服務包括組態伺服器、服務登錄和 Eureka 伺服器。

  4. 您可以管理應用程式之間的通訊。 您也可以利用 Azure Spring Apps 功能,將憑證載入應用程式的信任存放區。 如需詳細資訊,請參閱 在應用程式中使用 TLS/SSL 憑證。

  5. 您可以管理應用程式和外部服務之間的通訊。 為了減少開發工作,Azure Spring Apps 可協助您管理公用憑證,並將其載入應用程式的信任存放區。 如需詳細資訊,請參閱 在應用程式中使用 TLS/SSL 憑證。

為應用程式啟用輸入對應用程式 TLS

下一節說明如何啟用輸入到應用程式 SSL/TLS,以保護從輸入控制器到支援 HTTPS 的應用程式流量。

必要條件

在現有的應用程式上啟用輸入對應用程式 TLS

使用 命令 az spring app update --enable-ingress-to-app-tls 來啟用或停用應用程式的輸入對應用程式 TLS。

az spring app update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app update --enable-ingress-to-app-tls false -n app_name -s service_name -g resource_group_name

當您系結自定義網域時,啟用輸入到應用程式 TLS

使用 命令 az spring app custom-domain update --enable-ingress-to-app-tls ,或 az spring app custom-domain bind --enable-ingress-to-app-tls 為應用程式啟用或停用輸入對應用程式 TLS。

az spring app custom-domain update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app custom-domain bind --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name

使用 Azure 入口網站 啟用輸入對應用程式 TLS

若要在 Azure 入口網站啟用輸入對應用程式 TLS,請先建立應用程式,然後啟用此功能。

  1. 像平常一樣,在入口網站中建立應用程式。 在入口網站中流覽至它。
  2. 向下捲動至左側瀏覽窗格中的 設定 群組。
  3. 選取 [輸入到應用程式 TLS]。
  4. 將輸入轉應用程式 TLS 切換[是]。

Screenshot of the Azure portal that shows the app Ingress-to-app TLS page.

確認輸入到應用程式 TLS 狀態

使用 命令 az spring app show 來檢查的值 enableEndToEndTls

az spring app show -n app_name -s service_name -g resource_group_name

下一步

存取設定伺服器和服務登錄