Cvičení – konfigurace naslouchacího procesu aplikační brány pro šifrování

Dokončeno

Po nakonfigurování certifikátů pro Azure Application Gateway a back-endového fondu můžete vytvořit naslouchací proces, který bude zpracovávat příchozí požadavky. Naslouchací proces čeká na zprávy, dešifruje je pomocí privátního klíče a pak tyto zprávy směruje do back-endového fondu.

V této lekci nastavíte naslouchací proces pomocí portu 443 a certifikátu SSL, který jste vytvořili v prvním cvičení. Následující obrázek zvýrazňuje prvky, které jste v tomto cvičení nastavili.

Konfigurace naslouchacího procesu

1. Spuštěním následujícího příkazu vytvořte nový front-endový port (443) pro bránu:

   az network application-gateway frontend-port create \
     --resource-group $rgName \
     --gateway-name gw-shipping \
     --name https-port \
     --port 8443
   

2. Nahrajte certifikát SSL pro Application Gateway. Tento certifikát se vygeneroval pomocí instalačního skriptu v předchozím cvičení. Je uložený v souboru appgateway.pfx ve složce server-config.

   Heslo vygenerované pro soubor .pfx je somepassword. V příkazu uvedeném níže ho neměňte.

   az network application-gateway ssl-cert create \
      --resource-group $rgName \
      --gateway-name gw-shipping \
      --name appgateway-cert \
      --cert-file server-config/appgateway.pfx \
      --cert-password somepassword
   

3. Spuštěním následujícího příkazu vytvořte nový naslouchací proces, který bude přijímat příchozí provoz na portu 443. Tento naslouchací proces použije k dešifrování zpráv certifikát appgateway-cert.

   az network application-gateway http-listener create \
     --resource-group $rgName \
     --gateway-name gw-shipping \
     --name https-listener \
     --frontend-port https-port \
     --ssl-cert appgateway-cert
   

4. Spuštěním následujícího příkazu vytvořte pravidlo, které bude směrovat provoz přijatý prostřednictvím nového naslouchacího procesu do back-endového fondu. Dokončení tohoto příkazu může trvat jednu až dvě minuty.

   az network application-gateway rule create \
       --resource-group $rgName \
       --gateway-name gw-shipping \
       --name https-rule \
       --address-pool ap-backend \
       --http-listener https-listener \
       --http-settings https-settings \
       --rule-type Basic \
       --priority 102
   

Otestování aplikační brány

1. Načtěte veřejnou adresu URL aplikační brány.

   echo https://$(az network public-ip show \
     --resource-group $rgName \
     --name appgwipaddr \
     --query ipAddress \
     --output tsv)
   

2. Ve webovém prohlížeči přejděte na adresu URL.

   Prohlížeč může stejně jako předtím zobrazit zprávu s upozorněním, že připojení SSL používá neověřený certifikát. Toto upozornění se zobrazí, protože certifikát je podepsaný svým držitelem. Můžete toto upozornění ignorovat a pokračovat na web.

3. Ověřte, že se zobrazila domovská stránka expedičního portálu.

Naslouchací proces jste nakonfigurovali tak, aby naslouchal na portu 443 a dešifroval data, která jsou připravená k předání do back-endového fondu. Při přenosu z brány na server v back-endovém fondu se data znovu zašifrují. S tímto naslouchacím procesem jste nastavili kompletní šifrování pro expediční portál.

Tyto prostředky můžete v případě potřeby odstranit. Nejjednodušší způsob, jak odstranit všechny prostředky vytvořené v tomto modulu, je jednoduše odstranit skupinu prostředků.