Cvičení – konfigurace naslouchacího prvku služby Application Gateway pro zabezpečení šifrováním
Teď, když jste nakonfigurovali certifikáty pro Azure Application Gateway a back-endový pool, můžete vytvořit posluchač pro zpracování příchozích požadavků. Posluchač čeká na zprávy, dešifruje je pomocí privátního klíče a poté tyto zprávy směruje do skupiny serverů pro zpracování na pozadí.
V této lekci nastavíte naslouchací proces s portem 443 a certifikátem SSL, který jste vytvořili v prvním cvičení. Následující obrázek zvýrazňuje prvky, které jste v tomto cvičení nastavili.
Konfigurovat naslouchací modul
Spuštěním následujícího příkazu vytvořte nový front-endový port (443) pro bránu:
az network application-gateway frontend-port create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name https-port \ --port 8443
Nahrajte certifikát SSL pro Službu Application Gateway. Instalační skript vygeneroval tento certifikát v předchozím cvičení. Certifikát se uloží do souboru appgateway.pfx ve složce server-config.
Heslo vygenerované pro soubor .pfx je somepassword. V následujícím příkazu ho neměňte.
az network application-gateway ssl-cert create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name appgateway-cert \ --cert-file server-config/appgateway.pfx \ --cert-password somepassword
Spusťte následující příkaz a vytvořte nového posluchače, který přijímá příchozí provoz na portu 443. Posluchač používá certifikát appgateway-cert k dešifrování zpráv.
az network application-gateway http-listener create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name https-listener \ --frontend-port https-port \ --ssl-cert appgateway-cert
Spuštěním následujícího příkazu vytvořte pravidlo, které směruje provoz přijatý prostřednictvím nového posluchače do back-end fondu. Dokončení tohoto příkazu může trvat minutu nebo dvě.
az network application-gateway rule create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name https-rule \ --address-pool ap-backend \ --http-listener https-listener \ --http-settings https-settings \ --rule-type Basic \ --priority 102
Testování aplikační brány
Načtěte veřejnou adresu URL aplikační brány.
echo https://$(az network public-ip show \ --resource-group $rgName \ --name appgwipaddr \ --query ipAddress \ --output tsv)
Přejděte na adresu URL ve webovém prohlížeči.
Stejně jako předtím se v prohlížeči může zobrazit zpráva s upozorněním, že připojení SSL používá neověřené certifikáty. Toto upozornění se zobrazí, protože certifikát je podepsaný svým držitelem. Toto upozornění můžete ignorovat a pokračovat na webu.
Ověřte, že se zobrazí domovská stránka expedičního portálu.
Naslouchací proces jste nakonfigurovali tak, aby naslouchal na portu 443 a dešifroval data, která jsou připravená k předání do back-endového fondu. Data se znovu zašifruje při přenosu z brány na server v back-endovém prostředí. S tímto posluchačem jste nastavili end-to-end šifrování pro expediční portál.
Tyto prostředky můžete v případě potřeby odstranit. Nejjednodušší způsob, jak odstranit všechny prostředky vytvořené v tomto modulu, je jednoduše odstranit skupinu prostředků.