Cvičení – konfigurace naslouchacího prvku služby Application Gateway pro zabezpečení šifrováním

Dokončeno

Teď, když jste nakonfigurovali certifikáty pro Azure Application Gateway a back-endový pool, můžete vytvořit posluchač pro zpracování příchozích požadavků. Posluchač čeká na zprávy, dešifruje je pomocí privátního klíče a poté tyto zprávy směruje do skupiny serverů pro zpracování na pozadí.

V této lekci nastavíte naslouchací proces s portem 443 a certifikátem SSL, který jste vytvořili v prvním cvičení. Následující obrázek zvýrazňuje prvky, které jste v tomto cvičení nastavili.

diagram, který zvýrazňuje prvky (front-endový port, certifikát SSL pro službu Application Gateway, naslouchací proces a pravidlo) vytvořené v tomto cvičení.

Konfigurovat naslouchací modul

  1. Spuštěním následujícího příkazu vytvořte nový front-endový port (443) pro bránu:

    az network application-gateway frontend-port create \
      --resource-group $rgName \
      --gateway-name gw-shipping \
      --name https-port \
      --port 8443
    
  2. Nahrajte certifikát SSL pro Službu Application Gateway. Instalační skript vygeneroval tento certifikát v předchozím cvičení. Certifikát se uloží do souboru appgateway.pfx ve složce server-config.

    Heslo vygenerované pro soubor .pfx je somepassword. V následujícím příkazu ho neměňte.

    az network application-gateway ssl-cert create \
       --resource-group $rgName \
       --gateway-name gw-shipping \
       --name appgateway-cert \
       --cert-file server-config/appgateway.pfx \
       --cert-password somepassword
    
  3. Spusťte následující příkaz a vytvořte nového posluchače, který přijímá příchozí provoz na portu 443. Posluchač používá certifikát appgateway-cert k dešifrování zpráv.

    az network application-gateway http-listener create \
      --resource-group $rgName \
      --gateway-name gw-shipping \
      --name https-listener \
      --frontend-port https-port \
      --ssl-cert appgateway-cert
    
  4. Spuštěním následujícího příkazu vytvořte pravidlo, které směruje provoz přijatý prostřednictvím nového posluchače do back-end fondu. Dokončení tohoto příkazu může trvat minutu nebo dvě.

    az network application-gateway rule create \
        --resource-group $rgName \
        --gateway-name gw-shipping \
        --name https-rule \
        --address-pool ap-backend \
        --http-listener https-listener \
        --http-settings https-settings \
        --rule-type Basic \
        --priority 102
    

Testování aplikační brány

  1. Načtěte veřejnou adresu URL aplikační brány.

    echo https://$(az network public-ip show \
      --resource-group $rgName \
      --name appgwipaddr \
      --query ipAddress \
      --output tsv)
    
  2. Přejděte na adresu URL ve webovém prohlížeči.

    Stejně jako předtím se v prohlížeči může zobrazit zpráva s upozorněním, že připojení SSL používá neověřené certifikáty. Toto upozornění se zobrazí, protože certifikát je podepsaný svým držitelem. Toto upozornění můžete ignorovat a pokračovat na webu.

  3. Ověřte, že se zobrazí domovská stránka expedičního portálu.

Naslouchací proces jste nakonfigurovali tak, aby naslouchal na portu 443 a dešifroval data, která jsou připravená k předání do back-endového fondu. Data se znovu zašifruje při přenosu z brány na server v back-endovém prostředí. S tímto posluchačem jste nastavili end-to-end šifrování pro expediční portál.

Tyto prostředky můžete v případě potřeby odstranit. Nejjednodušší způsob, jak odstranit všechny prostředky vytvořené v tomto modulu, je jednoduše odstranit skupinu prostředků.