Vytvoření a konfigurace brány Application Gateway
Application Gateway se skládá z řady součástí, jejichž kombinace slouží ke směrování požadavků na fond webových serverů a ke kontrole stavu těchto webových serverů. Podívejme se na to, jak spolu tyto součásti souvisejí a jakou roli hrají v bráně Application Gateway.
Front-endová IP adresa
Požadavky klientů se přijímají prostřednictvím front-endové IP adresy. Bránu Application Gateway můžete nakonfigurovat tak, aby měla veřejnou IP adresu, privátní IP adresu nebo obě adresy. Application Gateway nemůže mít více než jednu veřejnou a jednu privátní IP adresu.
Naslouchací procesy
Application Gateway přijímá příchozí požadavky prostřednictvím jednoho nebo více naslouchacích procesů. Naslouchací proces přijímá provoz přicházející na určenou kombinaci protokolu, portu, hostitele a IP adresy. Každý naslouchací proces směruje požadavky na back-endový fond serverů v souladu s určenými pravidly směrování. Naslouchací proces může být Basic nebo MultiSite. Základní naslouchací proces směruje požadavky pouze na základě cesty v adrese URL. Naslouchací proces ve více lokalitách může také směrovat požadavky pomocí elementu hostname adresy URL.
Naslouchací procesy také zpracovávají certifikáty SSL pro zabezpečení aplikace mezi uživatelem a bránou Application Gateway.
Pravidla směrování
Pravidla směrování vážou naslouchací procesy na back-endové fondy. Pravidlo určuje, jak interpretovat název hostitele a elementy cesty v adrese URL požadavku a jak směrovat požadavek na příslušný back-endový fond. Pravidlo směrování má také přidruženou sadu nastavení HTTP. Tato nastavení určují, jestli má být provoz mezi bránou Application Gateway a back-endovými servery šifrovaný (a jak), a zahrnují další konfigurační informace, jako třeba:
- Protokol (HTTP nebo HTTPS)
- Soudržnost s relací – předávání všech požadavků v relaci klienta stejnému webovému serveru místo jejich distribuce mezi servery mechanismem vyrovnávání zatížení
- Vyprazdňování připojení umožňující řádné odebrání serverů z back-endového fondu
- Časový limit požadavků (v sekundách)
- Sondy stavu, určení adresy URL sondy, období časového limitu a dalších parametrů použitých k určení, jestli je server v back-endovém fondu dostupný.
Back-endové fondy
Back-endový fond odkazuje na kolekci webových serverů. Při konfiguraci fondu zadáte IP adresu každého webového serveru a port, na kterém má naslouchat požadavkům. Každý fond může určovat pevnou sadu virtuálních počítačů, škálovací sadu virtuálních počítačů, aplikaci hostovanou ve službě Azure App Service nebo kolekci místních serverů. Každý back-endový fond má přidružený nástroj pro vyrovnávání zatížení, který rozděluje práci v rámci fondu.
Firewall webových aplikací
Firewall webových aplikací (WAF) je volitelná součást, která zpracovává příchozí požadavky, než se dostanou k naslouchacímu procesu. Firewall webových aplikací kontroluje každý požadavek z hlediska mnoha běžných hrozeb na základě pravidel OWASP (Open Web Application Security Project). Tady jsou některé z nich:
- Injektáž SQL
- Skriptování mezi weby
- Injektáž příkazů
- Pronášení požadavků HTTP
- Rozdělování odpovědí HTTP
- Zahrnutí vzdálených souborů
- Roboty, prohledávací moduly a skenery
- Porušení a anomálie protokolu HTTP
OWASP definoval sadu obecných pravidel pro detekci útoků označovaných jako Základní sada pravidel (CRS). Tyto sady pravidel se průběžně revidují v souvislosti s tím, jak se vyvíjí sofistikovanost útoků. WAF podporuje dvě sady pravidel – CRS 2.2.9 a CRS 3.0. Z těchto sad pravidel je CRS 3.0 výchozí a novější. Pokud je třeba, můžete vybrat v sadě pravidel jen určitá pravidla, která jsou cílená na určité hrozby. Kromě toho můžete bránu firewall upravit a určit, které prvky požadavků se mají zkoumat, a omezit velikost zpráv, abyste zabránili zahlcení vašich serverů masivním nahráváním.
WaF ve službě Application Gateway můžete povolit tak WAF , že při vytváření brány vyberete vrstvu.
Sondy stavu
Sondy stavu jsou důležitým prvkem, který pomáhá nástroji pro vyrovnávání zatížení určit, které servery jsou k dispozici pro vyrovnávání zatížení v back-endovém fondu. Brána Application Gateway používá sondy stavu k posílání požadavků na server. Pokud server vrátí odpověď HTTP se stavovým kódem 200 až 399, předpokládá se, že server je v pořádku.
Pokud sondu stavu nenakonfigurujete, brána Application Gateway vytvoří výchozí sondu, která funguje tak, že čeká 30 sekund, než rozhodne, že je server nedostupný.
Síťové požadavky brány Application Gateway
Application Gateway vyžaduje virtuální síť, ve které bude fungovat. Tuto virtuální síť a vyhrazenou podsíť musíte vytvořit před nastavováním brány Application Gateway. Application Gateway používá pro interní použití řadu privátních adres a pro komunikaci s každou instancí, pokud se brána škáluje na více instancí. Pokud například plánujete horizontální navýšení kapacity na čtyři instance, vytvořte podsíť velikosti /28. Pokud budete chtít kapacitu pravděpodobně rozšiřovat na více instancí, vytvořte větší podsíť.
Službu Application Gateway můžete zveřejnit prostřednictvím veřejné IP adresy nebo ji můžete ponechat soukromou tak, že jí poskytnete jenom privátní IP adresu uvnitř virtuální sítě. To je užitečné, když máte interní weby, pro které chcete poskytovat vyrovnávání zatížení pomocí brány Application Gateway.
Možnosti brány Application Gateway
Bránu Application Gateway můžete vytvořit na úrovni Standard nebo WAF. Máte také možnost výběru ze tří velikostí s různým výkonem, cenami a škálovatelností: Small, Medium a Large.
Úrovně Standard a WAF jsou dostupné ve dvou verzích – V1 a V2. Verze V2 podporuje zóny dostupnosti Azure, ale aktuálně je to preview verze.
Brána Application Gateway podporuje ruční i automatické škálování. Pokud vyberete automatické škálování, bude brána Application Gateway automaticky škálovat na více nebo méně instancí podle provozu aplikací. Maximální a minimální počet instancí brány Application Gateway můžete omezit.
Vytvoření a konfigurace brány
Bránu Application Gateway můžete vytvořit pomocí webu Azure Portal, Azure PowerShellu nebo Azure CLI. V případě Azure CLI vytvoříte novou bránu pomocí příkazu az network application-gateway create. Pokud dáváte přednost PowerShellu, můžete použít rutinu New-AzApplicationGateway. Většinu operací můžete provádět také pomocí webu Azure Portal.
Konfiguraci součástí brány můžete prozkoumat a změnit pomocí příkazů az network application-gateway http-listener, az network application-gateway rule, az network application-gateway address-pool, az network application-gateway http-settings a az network application-gateway front-end-port z Azure CLI. Stejné operace v PowerShellu provádějí řady rutin Get-AzApplicationGateway* a Set-AzApplicationGateway*.
Pojďme vytvořit a nakonfigurovat bránu Application Gateway pro weby oddělení motorových vozidel, které jsme nasadili.