Konfigurace back-endových skupin pro šifrování

Dokončeno

Back-endová skupina obsahuje servery, které zajišťují implementaci aplikace. Azure Application Gateway směruje požadavky na tyto servery a dokáže vyrovnávat zatížení provozu na těchto serverech.

Na expedičním portálu musí aplikační servery v back-endovém fondu používat SSL k šifrování dat, která procházejí mezi službou Application Gateway a servery v back-endovém fondu. Application Gateway k šifrování dat používá certifikát SSL s veřejným klíčem. Servery používají odpovídající privátní klíč k dešifrování dat při jejich přijetí. V této lekci se dozvíte, jak vytvořit back-endový fond a nainstalovat potřebné certifikáty ve službě Application Gateway. Tyto certifikáty pomáhají chránit zprávy odeslané do a z back-endové skupiny.

Šifrování od Application Gateway do fondu backendu

Fond back-endu může odkazovat na jednotlivé virtuální počítače, škálovací sady virtuálních počítačů, IP adresy reálných počítačů (ať už místních nebo vzdálených) nebo na služby hostované v Azure App Service. Všechny servery v back-endovém fondu by měly být nakonfigurované stejným způsobem, včetně nastavení zabezpečení.

Pokud je provoz směrovaný do back-endového fondu chráněný protokolem SSL, musí každý server v back-endovém fondu poskytnout vhodný certifikát. Pro účely testování můžete vytvořit certifikát podepsaný svým držitelem. V produkčním prostředí byste měli vždy vygenerovat nebo zakoupit certifikát, který může certifikační autorita ověřit.

V současné době existují dvě verze služby Application Gateway: v1 a v2. Mají podobné možnosti, ale mají mírně odlišné podrobnosti implementace. Verze v2 poskytuje další funkce a vylepšení výkonu.

Konfigurace certifikátu ve službě Application Gateway v1

Application Gateway v1 vyžaduje instalaci ověřovacího certifikátu pro servery v konfiguraci brány. Tento certifikát obsahuje veřejný klíč, který služba Application Gateway používá k šifrování zpráv a ověřování vašich serverů. Tento certifikát můžete vytvořit tak, že ho exportujete ze serveru. Aplikační server používá k dešifrování těchto zpráv odpovídající privátní klíč. Tento privátní klíč by měl být uložený jenom na aplikačních serverech.

Ověřovací certifikát můžete do služby Application Gateway přidat pomocí příkazu az network application-gateway auth-cert create z Azure CLI. Následující příklad znázorňuje syntaxi tohoto příkazu. Certifikát by měl být ve formátu CER (Claim, Evidence a Reasoning).

az network application-gateway auth-cert create \
    --resource-group <resource group name> \
    --gateway-name <application gateway name> \
    --name <certificate name> \
    --cert-file <path to authentication certificate>

Application Gateway poskytuje další příkazy, které můžete použít k výpisu a správě ověřovacích certifikátů. Například:

• Příkaz az network application-gateway auth-cert list zobrazuje nainstalované certifikáty.
• Certifikát můžete změnit pomocí příkazu az network application-gateway auth-cert update.
• Příkaz az network application-gateway auth-cert delete odebere certifikát.

Konfigurace certifikátu ve službě Application Gateway v2

Application Gateway v2 má mírně odlišné požadavky na ověřování. Poskytujete certifikát pro certifikační autority, které ověřily SSL certifikát pro servery v záložním fondu. Tento certifikát přidáte jako důvěryhodný kořenový certifikát do služby Application Gateway. Použijte příkaz az network application-gateway root-cert create z Azure CLI.

az network application-gateway root-cert create \
      --resource-group <resource group name> \
      --gateway-name <application gateway name> \
      --name <certificate name> \
      --cert-file <path to trusted CA certificate>

Pokud vaše servery používají certifikát podepsaný svým držitelem, přidejte tento certifikát jako důvěryhodný kořenový certifikát ve službě Application Gateway.

Nastavení HTTP

Služba Application Gateway používá pravidlo k určení způsobu směrování zpráv, které přijímá na svém příchozím portu, na servery v back-endovém fondu. Pokud servery používají protokol SSL, musíte nakonfigurovat pravidlo tak, aby indikuje:

• Servery očekávají provoz přes protokol HTTPS.
• Který certifikát se má použít k šifrování provozu a ověření připojení k serveru.

Tyto konfigurační informace definujete pomocí nastavení HTTP .

Nastavení HTTP můžete definovat pomocí příkazu az network application-gateway http-settings create v Azure CLI. Následující příklad ukazuje syntaxi pro vytvoření nastavení, které směruje provoz pomocí protokolu HTTPS na port 443 na serverech v back-endovém fondu. Pokud používáte Application Gateway v1, --auth-certs parametr je název ověřovacího certifikátu, který jste přidali do služby Application Gateway dříve.

az network application-gateway http-settings create \
    --resource-group <resource group name> \
    --gateway-name <application gateway name> \
    --name <HTTPS settings name> \
    --port 443 \
    --protocol Https \
    --auth-certs <certificate name>

Pokud používáte Application Gateway v2, vynechejte parametr --auth-certs. Application Gateway kontaktuje back-endový server. Ověřuje pravost certifikátu předloženého serverem vůči certifikačním autoritám určeným seznamem důvěryhodných kořenových certifikátů. Pokud se nenajde žádná shoda, služba Application Gateway se nepřipojí k back-endovému serveru a selže s chybou HTTP 502 (Chybná brána).