Konfigurace posluchače služby Application Gateway pro účely šifrování
Nakonfigurovali jste ssl pro připojení mezi Azure Application Gateway a servery v back-endovém fondu. Pro expediční portál potřebujete úplné kompletní šifrování. K tomuto šifrování budete také muset zašifrovat zprávy, které klient odesílá do služby Application Gateway.
Vytvoření front-endového portu
Application Gateway přijímá požadavky prostřednictvím jednoho nebo více portů. Pokud komunikujete s bránou přes PROTOKOL HTTPS, měli byste nakonfigurovat port SSL. Https tradičně používá port 443. K vytvoření nového front-endového portu použijte příkaz az network application-gateway frontend-port create
. Následující příklad ukazuje, jak vytvořit front-endový port pro port 443:
az network application-gateway frontend-port create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name my-https-port \
--port 443
Konfigurace naslouchacího programu
Posluchač čeká na příchozí datový provoz do brány na zadaném vstupním portu. Tento provoz se pak směruje na server v backendovém fondu. Pokud front-endový port používá PROTOKOL SSL, musíte označit certifikát, který se má použít k dešifrování příchozích zpráv. Certifikát obsahuje privátní klíč.
Certifikát můžete přidat pomocí příkazu az network application-gateway ssl-cert create
. Soubor certifikátu by měl být ve formátu PFX. Protože tento soubor obsahuje privátní klíč, bude pravděpodobně chráněn také heslem. Do argumentu cert-password
zadáte heslo, jak je znázorněno v následujícím příkladu.
az network application-gateway ssl-cert create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name shipping-ssl.crt \
--cert-file shippingportal/server-config/shipping-ssl.pfx \
--cert-password <password for certificate file>
Potom můžete vytvořit naslouchací proces, který přijímá požadavky z front-endového portu a dešifruje je pomocí tohoto certifikátu. Použijte příkaz az network application-gateway http-listener create
.
az network application-gateway http-listener create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name http-listener \
--frontend-port my-https-port \
--ssl-cert shipping-ssl.crt
Definování pravidla pro odesílání požadavků HTTPS na servery
Posledním krokem je vytvoření pravidla, které směruje zprávy přijaté prostřednictvím naslouchacího procesu na servery v back-endovém fondu. Zprávy přijaté z front-endového portu se dešifrují prostřednictvím certifikátu SSL určeného pro naslouchací proces. Tyto zprávy je potřeba znovu zašifrovat pomocí certifikátu na straně klienta pro servery v back-endovém fondu. Tyto informace definujete v pravidle.
Následující příklad ukazuje, jak pomocí příkazu az network application-gateway rule create
vytvořit pravidlo, které připojí posluchač k backendovému fondu. Parametr --http-settings
určuje nastavení HTTP, která odkazují na certifikát na straně klienta pro servery. Tato nastavení jste vytvořili v předchozí lekci.
az network application-gateway rule create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name app-gw-rule \
--address-pool ap-backend \
--http-listener http-listener \
--http-settings https-settings \
--rule-type Basic
--priority 101
Teď byste měli mít kompletní šifrování pro zprávy směrované přes Application Gateway. Klienti používají certifikát SSL pro službu Application Gateway k odesílání zpráv. Application Gateway tyto zprávy dešifruje pomocí tohoto certifikátu SSL. Potom zprávy znovu zašifruje pomocí certifikátu pro servery v back-endovém fondu.