Sdílet prostřednictvím


Konfigurace infrastruktury služby Application Gateway

Infrastruktura brány Aplikace Azure lication zahrnuje virtuální síť, podsítě, skupiny zabezpečení sítě (NSG) a trasy definované uživatelem.

Virtuální síť a vyhrazená podsíť

Aplikační brána je vyhrazené nasazení ve vaší virtuální síti. Ve vaší virtuální síti se pro aplikační bránu vyžaduje vyhrazená podsíť. V podsíti můžete mít několik instancí konkrétního nasazení služby Application Gateway. V podsíti můžete také nasadit další aplikační brány. V podsíti služby Application Gateway ale nemůžete nasadit žádný jiný prostředek. Skladové položky služby Application Gateway v1 a v2 nemůžete kombinovat ve stejné podsíti.

Poznámka:

Zásady koncového bodu služby virtuální sítě se v současné době nepodporují v podsíti služby Application Gateway.

Velikost podsítě

Služba Application Gateway používá jednu privátní IP adresu na instanci a další privátní IP adresu, pokud je nakonfigurovaná privátní IP adresa front-endu.

Azure také vyhrazuje pět IP adres v každé podsíti pro interní použití. Jedná se o první čtyři adresy a poslední IP adresy. Představte si například 15 instancí služby Application Gateway bez privátní IP adresy front-endu. Pro tuto podsíť potřebujete aspoň 20 IP adres. Pro interní použití potřebujete 5 a 15 pro instance služby Application Gateway.

Představte si podsíť, která má 27 instancí služby Application Gateway a IP adresu privátní front-endové IP adresy. V takovém případě potřebujete 33 IP adres. Potřebujete 27 pro instance služby Application Gateway, jednu pro privátní front-end a 5 pro interní použití.

Application Gateway (skladová položka Standard nebo WAF) může podporovat až 32 instancí (32 IP adres instancí + 1 konfigurace privátní ip adresy front-endu + 5 rezervovaných Azure). Doporučujeme minimální velikost podsítě /26.

Application Gateway (Standard_v2 nebo SKU WAF_v2) může podporovat až 125 instancí (125 IP adres instancí, 1 konfigurace privátní IP adresy front-endu a 5 vyhrazených Azure). Doporučujeme minimální velikost podsítě /24.

Pokud chcete zjistit dostupnou kapacitu podsítě, která má zřízené existující aplikační brány, vezměte velikost podsítě a odečtěte pět rezervovaných IP adres podsítě rezervované platformou. Dále vezměte každou bránu a odečtěte maximální počet instancí. Pro každou bránu, která má konfiguraci privátní ip adresy front-endu, odečtěte jednu další IP adresu na bránu.

Tady je příklad, jak vypočítat dostupné adresování podsítě se třemi bránami různých velikostí:

  • Brána 1: Maximálně 10 instancí. Používá konfiguraci privátní front-endové IP adresy.
  • Brána 2: Maximálně 2 instance. Žádná konfigurace privátní front-endové IP adresy.
  • Brána 3: Maximálně 15 instancí. Používá konfiguraci privátní front-endové IP adresy.
  • Velikost podsítě: /24
    • Velikost podsítě /24 = 256 IP adres – 5 rezervované z platformy = 251 dostupných adres
    • 251: Brána 1 (10) – 1 konfigurace privátní ip adresy front-endu = 240
    • 240: Brána 2 (2) = 238
    • 238: Brána 3 (15) – 1 konfigurace privátní ip adresy front-endu = 222

Důležité

Přestože se pro nasazení skladové položky Application Gateway v2 nevyžaduje podsíť /24, důrazně ji doporučujeme. Podsíť /24 zajišťuje, aby služba Application Gateway v2 byla dostatek místa pro upgrady automatického rozšíření a údržby.

Měli byste zajistit, aby podsíť služby Application Gateway v2 měla dostatečný adresní prostor pro přizpůsobení počtu instancí potřebných k poskytování maximálního očekávaného provozu. Pokud zadáte maximální počet instancí, měla by mít podsíť kapacitu alespoň pro tolik adres. Informace o plánování kapacity týkající se počtu instancí najdete v podrobnostech počtu instancí.

Pojmenovaná GatewaySubnet podsíť je vyhrazená pro brány VPN. Prostředky služby Application Gateway v1, které používají GatewaySubnet podsíť, je potřeba přesunout do jiné podsítě nebo migrovat do skladové položky v2 před 30. zářím 2023, aby nedocházelo k chybám řídicí roviny a nekonzistence platformy. Informace o změně podsítě existující instance služby Application Gateway najdete v tématu Nejčastější dotazy týkající se služby Application Gateway.

Tip

IP adresy se přidělují od začátku definovaného prostoru podsítě pro instance brány. Při vytváření a odebírání instancí kvůli vytváření bran nebo škálování událostí může být obtížné pochopit, jaká je další dostupná adresa v podsíti. Abyste mohli určit další adresu, která se má použít pro budoucí bránu, a mít souvislý motiv adresování front-endových IP adres, zvažte přiřazení IP adres front-endu z horní poloviny definovaného prostoru podmnožina.

Pokud je například adresní prostor podsítě 10.5.5.0/24, zvažte nastavení konfigurace privátní ip adresy front-endu vašich bran počínaje verzí 10.5.5.254 a poté 10.5.5.253, 10.5.5.252, 10.5.5.251 a tak dále pro budoucí brány.

Je možné změnit podsíť existující instance služby Application Gateway ve stejné virtuální síti. K provedení této změny použijte Azure PowerShell nebo Azure CLI. Další informace najdete v tématu Nejčastější dotazy ke službě Application Gateway.

Servery DNS pro překlad názvů

Prostředek virtuální sítě podporuje konfiguraci serveru DNS, která umožňuje zvolit mezi výchozími nebo vlastními servery DNS poskytovanými v Azure. Instance vaší aplikační brány také respektují tuto konfiguraci DNS pro jakýkoli překlad ip adres. Po změně tohoto nastavení je nutné restartovat (zastavit a spustit) službu Application Gateway, aby se tyto změny projevily na instancích.

Když instance vaší služby Application Gateway vydá dotaz DNS, použije hodnotu ze serveru, který odpoví jako první.

Poznámka:

Pokud ve virtuální síti služby Application Gateway používáte vlastní servery DNS, musí být server DNS schopný přeložit veřejné internetové názvy. Application Gateway vyžaduje tuto funkci.

Oprávnění virtuální sítě

Prostředek služby Application Gateway se nasadí ve virtuální síti, takže se prověří také oprávnění k prostředku virtuální sítě. Toto ověření se provádí během operací vytváření a správy a vztahuje se také na spravované identity kontroleru příchozího přenosu dat služby Application Gateway.

Zkontrolujte řízení přístupu na základě role Azure a ověřte, že uživatelé a instanční objekty, které provozují aplikační brány, mají alespoň následující oprávnění ve virtuální síti nebo podsíti:

  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Network/virtualNetworks/subnets/read

Můžete použít předdefinované role, například přispěvatel sítě, které už tato oprávnění podporují. Pokud předdefinovaná role neposkytuje správné oprávnění, můžete vytvořit a přiřadit vlastní roli. Přečtěte si další informace o správě oprávnění podsítě.

Oprávnění

V závislosti na tom, jestli vytváříte nové prostředky nebo používáte existující prostředky, přidejte příslušná oprávnění z následujícího seznamu:

Prostředek Stav prostředku Vyžadovaná oprávnění Azure
Podsíť vytvoření nových Microsoft.Network/virtualNetworks/subnets/write
Microsoft.Network/virtualNetworks/subnets/join/action
Podsíť Použít existující Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/join/action
Adresy IP vytvoření nových Microsoft.Network/publicIPAddresses/write
Microsoft.Network/publicIPAddresses/join/action
Adresy IP Použít existující Microsoft.Network/publicIPAddresses/read
Microsoft.Network/publicIPAddresses/join/action
ApplicationGatewayWebApplicationFirewallPolicies Vytvoření nové / aktualizovat existující Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/write Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/join/action

Další informace najdete v tématu Oprávnění Azure pro oprávnění sítě a virtuální sítě.

Obor rolí

V procesu definice vlastní role můžete zadat obor přiřazení role na čtyřech úrovních: skupina pro správu, předplatné, skupina prostředků a prostředky. Chcete-li udělit přístup, přiřaďte role uživatelům, skupinám, instančním objektům nebo spravovaným identitám v konkrétním rozsahu. Tyto obory jsou strukturovány ve vztahu nadřazenosti a podřízenosti, přičemž každá úroveň hierarchie zpřístupňuje obor konkrétněji. Role můžete přiřadit na kterékoli z těchto úrovní oboru a úroveň, kterou vyberete, určuje, jak široce se role použije. Například role přiřazená na úrovni předplatného se může kaskádově snížit na všechny prostředky v rámci daného předplatného, zatímco role přiřazená na úrovni skupiny prostředků se bude vztahovat pouze na prostředky v rámci této konkrétní skupiny. Další informace o úrovni oboru Další informace najdete v tématu Úrovně oboru.

Poznámka:

Po změně přiřazení role možná budete muset povolit dostatek času na aktualizaci mezipaměti Azure Resource Manageru.

Identifikace ovlivněných uživatelů nebo instančních objektů pro vaše předplatné

Když navštívíte Azure Advisor pro váš účet, můžete ověřit, jestli vaše předplatné má nějaké uživatele nebo instanční objekty s nedostatečným oprávněním. Podrobnosti o doporučení jsou následující:

Název: Aktualizace oprávnění virtuální sítě pro uživatele
služby Application Gateway Category: Reliability
Impact: High

Použití dočasného příznaku AFEC (Azure Feature Exposure Control)

Jako dočasné rozšíření jsme zavedli řízení expozice funkcí Azure na úrovni předplatného (AFEC). Můžete se zaregistrovat pro AFEC a používat ho, dokud neopravíte oprávnění pro všechny uživatele a instanční objekty. Zaregistrujte se k této funkci podle stejných kroků jako registrace funkcí ve verzi Preview pro vaše předplatné Azure.

Název: Microsoft.Network/DisableApplicationGatewaySubnetPermissionCheck
Description: Disable Application Gateway Subnet Permission Check
ProviderNamespace: Microsoft.Network
EnrollmentType: AutoApprove

Poznámka:

Doporučujeme použít zřízení AFEC pouze jako dočasné zmírnění, dokud nepřiřadíte správná oprávnění. Musíte určit prioritu opravy oprávnění pro všechny příslušné uživatele (a instanční objekty) a pak zrušit registraci tohoto příznaku AFEC, aby bylo možné znovu vytvořit ověření oprávnění u prostředku virtuální sítě. Doporučujeme, abyste na této metodě AFEC nezávisí trvale, protože se v budoucnu odebere.

Azure Virtual Network Manager

Azure Virtual Network Manager je služba pro správu, která umožňuje seskupovat, konfigurovat, nasazovat a spravovat virtuální sítě globálně napříč předplatnými. Pomocí nástroje Virtual Network Manager můžete definovat skupiny sítí, které identifikují a logicky segmentuje virtuální sítě. Potom můžete určit požadované možnosti připojení a zabezpečení a použít je ve všech vybraných virtuálních sítích ve skupinách sítě najednou.

Konfigurace pravidla správce zabezpečení ve službě Azure Virtual Network Manager umožňuje definovat zásady zabezpečení ve velkém měřítku a aplikovat je na více virtuálních sítí najednou.

Poznámka:

Pravidla správce zabezpečení Azure Virtual Network Manageru se vztahují jenom na podsítě služby Application Gateway, které obsahují aplikační brány s povolenou izolací sítě. Podsítě s aplikačními bránami, které mají zakázanou izolaci sítě, nemají pravidla správce zabezpečení.

Skupiny zabezpečení sítě

Skupiny zabezpečení sítě můžete použít pro podsíť služby Application Gateway, ale mějte na paměti některé klíčové body a omezení.

Důležité

Tato omezení NSG jsou uvolněná, když používáte nasazení privátní služby Application Gateway (Preview).

Požadovaná pravidla zabezpečení

Pokud chcete použít skupinu zabezpečení sítě se službou Application Gateway, musíte vytvořit nebo zachovat některá základní pravidla zabezpečení. Prioritu můžete nastavit ve stejném pořadí.

Příchozí pravidla

Klientský provoz: Povolte příchozí provoz z očekávaných klientů (jako zdrojové IP adresy nebo rozsahu IP adres) a jako cíl jako předponu IP celé podsítě služby Application Gateway a příchozí přístupové porty. Pokud například máte naslouchací procesy nakonfigurované pro porty 80 a 443, musíte tyto porty povolit. Toto pravidlo můžete také nastavit na Any.

Zdroj Zdrojové porty Cíl Cílové porty Protokol Access
<as per need> Všechny <Subnet IP Prefix> <listener ports> TCP Povolit

Jakmile nakonfigurujete aktivní veřejné a privátní naslouchací procesy (s pravidly) se stejným číslem portu, vaše aplikační brána změní cíl všech příchozích toků na IP adresy front-endu vaší brány. K této změně dochází i u naslouchacích procesů, které nesdílejí žádný port. Pokud použijete stejnou konfiguraci portu, musíte do cíle příchozího pravidla zahrnout front-endové veřejné a privátní IP adresy vaší brány.

Zdroj Zdrojové porty Cíl Cílové porty Protokol Access
<as per need> Všechny <Public and Private frontend IPs> <listener ports> TCP Povolit

Porty infrastruktury: Povolí příchozí požadavky ze zdroje jako značku služby GatewayManager a jakýkoli cíl. Rozsah cílových portů se liší podle skladové položky a vyžaduje se pro komunikaci stavu back-endu. Tyto porty jsou chráněné nebo uzamčené certifikáty Azure. Externí entity nemůžou v těchto koncových bodech zahajovat změny bez příslušných certifikátů.

  • V2: Porty 65200-65535
  • V1: Porty 65503-65534
Zdroj Zdrojové porty Cíl Cílové porty Protokol Access
GatewayManager Všechny Všechny <as per SKU given above> TCP Povolit

Sondy Azure Load Balanceru: Povolí příchozí provoz ze zdroje jako značku služby AzureLoadBalancer . Toto pravidlo se ve výchozím nastavení vytvoří pro skupiny zabezpečení sítě. Abyste zajistili hladké operace služby Application Gateway, nesmíte ho přepsat ručním pravidlem zamítnutí .

Zdroj Zdrojové porty Cíl Cílové porty Protokol Access
AzureLoadBalancer Všechny Všechny Všechny Všechny Povolit

Všechny ostatní příchozí přenosy můžete blokovat pomocí pravidla Odepřít vše .

Pravidla odchozích přenosů

Odchozí provoz na internet: Povolí odchozí provoz do internetu pro všechny cíle. Toto pravidlo se ve výchozím nastavení vytvoří pro skupiny zabezpečení sítě. Abyste zajistili hladké operace služby Application Gateway, nesmíte ho přepsat ručním pravidlem zamítnutí . Pravidla odchozí skupiny zabezpečení sítě, která zakazují jakékoli odchozí připojení, se nesmí vytvářet.

Zdroj Zdrojové porty Cíl Cílové porty Protokol Access
Všechny Všechny Internet Všechny Všechny Povolit

Poznámka:

Brány Application Gateway, které nemají povolenou izolaci sítě, neumožňují odesílání provozu mezi partnerskými virtuálními sítěmi, když je zakázaný provoz do vzdálené virtuální sítě .

Podporované trasy definované uživatelem

Podrobná kontrola podsítě služby Application Gateway prostřednictvím pravidel směrovací tabulky je možná ve verzi Public Preview. Další informace najdete v tématu Nasazení privátní služby Application Gateway (Preview).

U aktuálních funkcí platí určitá omezení:

Důležité

Použití trasy definované uživatelem v podsíti služby Application Gateway může způsobit, že se stav v zobrazení stavu back-endu zobrazí jako Neznámý. Může také způsobit selhání generování protokolů a metrik služby Application Gateway. Doporučujeme v podsíti služby Application Gateway nepoužít trasy definované uživatelem, abyste mohli zobrazit stav back-endu, protokoly a metriky.

  • v1: U skladové položky v1 se trasy definované uživatelem podporují v podsíti služby Application Gateway, pokud nemění komunikaci mezi koncovými požadavky a odpověďmi. Můžete například nastavit trasy UDR v podsíti služby Application Gateway tak, aby odkazovaly na zařízení brány firewall pro kontrolu paketů. Musíte se ale ujistit, že paket může po kontrole dosáhnout požadovaného cíle. Pokud to neuděláte, může to způsobit nesprávné chování sondy stavu nebo směrování provozu. Zahrnuté jsou také naučené trasy nebo výchozí trasy 0.0.0.0/0, které se šíří službou Azure ExpressRoute nebo bránami VPN ve virtuální síti.

  • v2: Pro skladovou položku v2 existují podporované a nepodporované scénáře.

Podporované scénáře v2

Upozorňující

Nesprávná konfigurace směrovací tabulky může vést k asymetrického směrování ve službě Application Gateway v2. Ujistěte se, že se veškerý provoz roviny správy a řídicí roviny odesílá přímo na internet, a ne přes virtuální zařízení. Může to mít vliv také na protokolování, metriky a kontroly seznamu CRL.

Scénář 1: Trasa definovaná uživatelem pro zakázání šíření trasy protokolu BGP (Border Gateway Protocol) do podsítě služby Application Gateway

Někdy se výchozí trasa brány (0.0.0.0/0) inzeruje prostřednictvím bran ExpressRoute nebo VPN přidružených k virtuální síti služby Application Gateway. Toto chování přeruší provoz roviny správy, který vyžaduje přímou cestu k internetu. V takových scénářích můžete pomocí trasy definované uživatelem zakázat šíření tras protokolu BGP.

Zakázání šíření tras protokolu BGP:

  1. Vytvořte prostředek směrovací tabulky v Azure.
  2. Zakažte parametr šíření tras brány virtuální sítě.
  3. Přidružte směrovací tabulku k příslušné podsíti.

Povolení trasy definované uživatelem pro tento scénář by nemělo narušit žádná existující nastavení.

Scénář 2: Trasy definované uživatelem směrovat na internet 0.0.0.0/0

Můžete vytvořit trasu definovanou uživatelem, která odešle provoz 0.0.0.0/0 přímo na internet.

Scénář 3: Trasy definované uživatelem pro Azure Kubernetes Service (AKS) s využitím kubenetu

Pokud používáte kubenet s kontrolerem příchozího přenosu dat AKS a služby Application Gateway, potřebujete směrovací tabulku, která umožní směrování provozu do podů ze služby Application Gateway do správného uzlu. Pokud používáte rozhraní Azure Container Networking Interface, nemusíte používat směrovací tabulku.

Použití směrovací tabulky k povolení fungování kubenetu:

  1. Přejděte do skupiny prostředků vytvořené službou AKS. Název skupiny prostředků by měl začínat MC_.

  2. Najděte směrovací tabulku vytvořenou službou AKS v této skupině prostředků. Směrovací tabulka by měla být naplněna následujícími informacemi:

    • Předpona adresy by měla být rozsahEM IP podů, které chcete v AKS dosáhnout.
    • Typ dalšího segmentu směrování by měl být virtuální zařízení.
    • Adresa dalšího segmentu směrování by měla být IP adresa uzlu, který je hostitelem podů.
  3. Přidružte tuto směrovací tabulku k podsíti služby Application Gateway.

Nepodporované scénáře v2

Scénář 1: Trasy definované uživatelem pro virtuální zařízení

V případě položky v2 se nepodporují žádné scénáře vyžadující směrování trasy 0.0.0.0/0 přes jakékoli virtuální zařízení, virtuální síť centra, paprskovou virtuální síť nebo místní prostředí (vynucené tunelování).

Další služby

Pokud chcete zobrazit role a oprávnění pro jiné služby, podívejte se na následující odkazy:

Další kroky