Konfigurace naslouchacího procesu služby Application Gateway
Poznámka:
Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Pokud chcete začít, přečtěte si téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Naslouchací proces je logická entita, která kontroluje příchozí požadavky na připojení pomocí portu, protokolu, hostitele a IP adresy. Při konfiguraci naslouchacího procesu musíte zadat hodnoty, které odpovídají odpovídajícím hodnotám v příchozím požadavku brány.
Když vytvoříte aplikační bránu pomocí webu Azure Portal, vytvoříte také výchozí naslouchací proces tak, že zvolíte protokol a port naslouchacího procesu. Můžete zvolit, jestli chcete povolit podporu HTTP2 v naslouchacím procesu. Po vytvoření aplikační brány můžete upravit nastavení tohoto výchozího naslouchacího procesu (appGatewayHttpListener) nebo vytvořit nové naslouchací procesy.
Typ naslouchacího procesu
Při vytváření nového naslouchacího procesu si zvolíte mezi základními a více weby.
Pokud chcete, aby všechny vaše požadavky (pro libovolnou doménu) byly přijaté a přeposílané do back-endových fondů, zvolte základní. Zjistěte , jak vytvořit aplikační bránu pomocí základního naslouchacího procesu.
Pokud chcete předávat požadavky různým back-endovým fondům na základě hlavičky hostitele nebo názvů hostitelů, zvolte naslouchací proces pro více webů. Služba Application Gateway se při hostování více než jednoho webu na stejné veřejné IP adrese a portu spoléhá na hlavičky hostitele HTTP 1.1. Pokud chcete rozlišovat požadavky na stejném portu, musíte zadat název hostitele, který odpovídá příchozímu požadavku. Další informace najdete v tématu Hostování více webů pomocí služby Application Gateway.
Pořadí zpracování naslouchacích procesů
U skladové položky v1 se požadavky shodují podle pořadí pravidel a typu naslouchacího procesu. Pokud pravidlo se základním naslouchacím procesem přichází jako první v pořadí, zpracuje se jako první a přijme všechny požadavky na tento port a kombinaci IP adres. Abyste tomu předešli, nakonfigurujte nejprve pravidla pro naslouchací procesy pro více webů a nasdílejte pravidlo se základním naslouchacím procesem na poslední v seznamu.
U skladové položky v2 se naslouchací procesy s více lokalitami zpracovávají před základními naslouchacími procesy, pokud není definována priorita pravidla. Pokud používáte prioritu pravidla, měly by být naslouchací procesy se zástupnými čísly definované s číslem větším než naslouchacími procesy bez zástupných znaků, aby se zajistilo, že se před naslouchacími procesy se zástupnými čísly spustí jiné než naslouchací procesy se zástupnými čísly.
Front-endová IP adresa
Zvolte front-endovou IP adresu, kterou chcete přidružit k tomuto naslouchacímu procesu. Naslouchací proces bude naslouchat příchozím požadavkům na této IP adrese.
Poznámka:
Front-end služby Application Gateway podporuje IP adresy se dvěma zásobníky. Můžete vytvořit až čtyři front-endové IP adresy: dvě IPv4 adresy (veřejné a soukromé) a dvě IPv6 adresy (veřejné a soukromé).
Front-endový port
Přidružte front-endový port. Můžete vybrat existující port nebo vytvořit nový. Zvolte libovolnou hodnotu z povoleného rozsahu portů. Můžete použít nejen dobře známé porty, například 80 a 443, ale všechny povolené vlastní porty, které jsou vhodné. Stejný port lze použít pro veřejné a privátní naslouchací procesy.
Poznámka:
Pokud používáte privátní a veřejné naslouchací procesy se stejným číslem portu, vaše aplikační brána změní "cíl" příchozího toku na IP adresy front-endu vaší brány. V závislosti na konfiguraci vaší skupiny zabezpečení sítě proto možná budete potřebovat příchozí pravidlo s cílovými IP adresami jako veřejnými a privátními IP adresami vaší aplikační brány.
Příchozí pravidlo:
- Zdroj: (podle vašeho požadavku)
- Cílové IP adresy: Veřejné a privátní front-endové IP adresy vaší aplikační brány.
- Cílový port: (podle konfigurace naslouchacího procesu)
- Protokol: TCP
Odchozí pravidlo: (bez konkrétního požadavku)
Protokol
Zvolte HTTP nebo HTTPS:
Pokud zvolíte PROTOKOL HTTP, provoz mezi klientem a aplikační bránou není zašifrovaný.
Zvolte HTTPS, pokud chcete šifrování TLS ukončit nebo kompletní šifrování TLS. Provoz mezi klientem a aplikační bránou se zašifruje a připojení TLS se ukončí ve službě Application Gateway. Pokud chcete šifrování TLS koncového typu do cíle back-endu, musíte zvolit protokol HTTPS i v nastavení HTTP back-endu. Tím se zajistí, že se provoz zašifruje, když služba Application Gateway zahájí připojení k back-endovému cíli.
Pokud chcete nakonfigurovat ukončení protokolu TLS, musí se do naslouchacího procesu přidat certifikát TLS/SSL. To umožňuje službě Application Gateway dešifrovat příchozí provoz a šifrovat provoz odpovědí klientovi. Certifikát poskytnutý službě Application Gateway musí být ve formátu PFX (Personal Information Exchange), který obsahuje privátní i veřejné klíče.
Poznámka:
Při použití certifikátu TLS ze služby Key Vault pro naslouchací proces musíte zajistit, aby vaše služba Application Gateway vždy měl přístup k danému prostředku propojeného trezoru klíčů a objektu certifikátu v něm. To umožňuje bezproblémové operace funkce ukončení protokolu TLS a udržuje celkový stav vašeho prostředku brány. Pokud prostředek služby Application Gateway zjistí chybně nakonfigurovaný trezor klíčů, automaticky umístí přidružené naslouchací procesy HTTPS do zakázaného stavu. Další informace.
Podporované certifikáty
Přehled ukončení protokolu TLS a koncového šifrování TLS se službou Application Gateway
Další podpora protokolu
Podpora PROTOKOLU HTTP2
Podpora protokolu HTTP/2 je dostupná jenom klientům, kteří se připojují jenom k naslouchacím procesům aplikační brány. Komunikace s back-endovými fondy serverů je vždy HTTP/1.1. Ve výchozím nastavení je podpora HTTP/2 zakázaná. Následující fragment kódu Azure PowerShellu ukazuje, jak to povolit:
$gw = Get-AzApplicationGateway -Name test -ResourceGroupName hm
$gw.EnableHttp2 = $true
Set-AzApplicationGateway -ApplicationGateway $gw
Podporu HTTP2 můžete povolit také pomocí webu Azure Portal výběrem možnosti Povoleno v části HTTP2 v konfiguraci služby Application Gateway > .
Podpora protokolu WebSocket
Podpora protokolu WebSocket je ve výchozím nastavení povolená. Neexistuje žádné uživatelsky konfigurovatelné nastavení pro povolení nebo zakázání. WebSockety můžete použít s naslouchacími procesy HTTP i HTTPS.
Stránky vlastních chyb
Můžete definovat přizpůsobené chybové stránky pro různé kódy odpovědí vrácené službou Application Gateway. Kódy odpovědí, pro které můžete konfigurovat chybové stránky, jsou 400, 403, 405, 408, 500, 502, 503 a 504. Konfiguraci chybové stránky specifické pro globální úroveň nebo naslouchací proces můžete použít k jejich podrobnému nastavení pro každý naslouchací proces. Další informace najdete v tématu Vytvoření vlastních chybových stránek služby Application Gateway.
Poznámka:
Služba Application Gateway předá klientovi chybu pocházející z back-endového serveru.
Zásady PROTOKOLU TLS
Pro back-endovou serverovou farmu můžete centralizovat správu certifikátů TLS/SSL a snížit režijní náklady na dešifrování šifrování. Centralizované zpracování protokolu TLS také umožňuje zadat centrální zásady TLS, které jsou vhodné pro vaše požadavky na zabezpečení. Můžete zvolit předdefinované nebo vlastní zásady TLS.
Zásady PROTOKOLU TLS nakonfigurujete pro řízení verzí protokolu TLS. Aplikační bránu můžete nakonfigurovat tak, aby používala minimální verzi protokolu pro metody handshake tls z TLS1.0, TLS1.1, TLS1.2 a TLS1.3. Ve výchozím nastavení jsou protokoly SSL 2.0 a 3.0 zakázané a nedají se konfigurovat. Další informace najdete v tématu Přehled zásad TLS služby Application Gateway.
Po vytvoření naslouchacího procesu ho přidružíte k pravidlu směrování požadavků. Toto pravidlo určuje, jak se požadavky přijaté v naslouchacím procesu směrují na back-end.
Další kroky
- Seznamte se s pravidly směrování požadavků.