Cvičení – konfigurace naslouchacího prvku služby Application Gateway pro zabezpečení šifrováním

  • 10 min

Teď, když jste nakonfigurovali certifikáty pro Azure Application Gateway a back-endový pool, můžete vytvořit posluchač pro zpracování příchozích požadavků. Posluchač čeká na zprávy, dešifruje je pomocí privátního klíče a poté tyto zprávy směruje do skupiny serverů pro zpracování na pozadí.

V této lekci nastavíte naslouchací proces s portem 443 a certifikátem SSL, který jste vytvořili v prvním cvičení. Následující obrázek zvýrazňuje prvky, které jste v tomto cvičení nastavili.

diagram, který zvýrazňuje prvky (front-endový port, certifikát SSL pro službu Application Gateway, naslouchací proces a pravidlo) vytvořené v tomto cvičení.

Konfigurovat naslouchací modul

  1. Spuštěním následujícího příkazu vytvořte nový front-endový port (443) pro bránu:

    az network application-gateway frontend-port create \
  --resource-group $rgName \
  --gateway-name gw-shipping \
  --name https-port \
  --port 8443

  2. Nahrajte certifikát SSL pro Službu Application Gateway. Instalační skript vygeneroval tento certifikát v předchozím cvičení. Certifikát se uloží do souboru appgateway.pfx ve složce server-config.

    Heslo vygenerované pro soubor .pfx je somepassword. V následujícím příkazu ho neměňte.

    az network application-gateway ssl-cert create \
   --resource-group $rgName \
   --gateway-name gw-shipping \
   --name appgateway-cert \
   --cert-file server-config/appgateway.pfx \
   --cert-password somepassword

  3. Spusťte následující příkaz a vytvořte nového posluchače, který přijímá příchozí provoz na portu 443. Posluchač používá certifikát appgateway-cert k dešifrování zpráv.

    az network application-gateway http-listener create \
  --resource-group $rgName \
  --gateway-name gw-shipping \
  --name https-listener \
  --frontend-port https-port \
  --ssl-cert appgateway-cert

  4. Spuštěním následujícího příkazu vytvořte pravidlo, které směruje provoz přijatý prostřednictvím nového posluchače do back-end fondu. Dokončení tohoto příkazu může trvat minutu nebo dvě.

    az network application-gateway rule create \
    --resource-group $rgName \
    --gateway-name gw-shipping \
    --name https-rule \
    --address-pool ap-backend \
    --http-listener https-listener \
    --http-settings https-settings \
    --rule-type Basic \
    --priority 102

Testování aplikační brány

  1. Načtěte veřejnou adresu URL aplikační brány.

    echo https://$(az network public-ip show \
  --resource-group $rgName \
  --name appgwipaddr \
  --query ipAddress \
  --output tsv)

  2. Přejděte na adresu URL ve webovém prohlížeči.

    Stejně jako předtím se v prohlížeči může zobrazit zpráva s upozorněním, že připojení SSL používá neověřené certifikáty. Toto upozornění se zobrazí, protože certifikát je podepsaný svým držitelem. Toto upozornění můžete ignorovat a pokračovat na webu.

  3. Ověřte, že se zobrazí domovská stránka expedičního portálu.

Naslouchací proces jste nakonfigurovali tak, aby naslouchal na portu 443 a dešifroval data, která jsou připravená k předání do back-endového fondu. Data se znovu zašifruje při přenosu z brány na server v back-endovém prostředí. S tímto posluchačem jste nastavili end-to-end šifrování pro expediční portál.

Tyto prostředky můžete v případě potřeby odstranit. Nejjednodušší způsob, jak odstranit všechny prostředky vytvořené v tomto modulu, je jednoduše odstranit skupinu prostředků.