Aktivieren von Eingang-zu-App-TLS für eine Anwendung
Hinweis
Die Pläne Basic, Standard und Enterprise gelten ab Mitte März 2025 als veraltet und werden über einen Zeitraum von drei Jahren eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie in der Ankündigung zur Einstellung von Azure Spring Apps.
Der Plan Standardverbrauch und dediziert gilt ab dem 30. September 2024 als veraltet und wird nach sechs Monaten vollständig eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie unter Migrieren des Plans „Standardverbrauch und dediziert“ von Azure Spring Apps zu Azure Container Apps.
Dieser Artikel gilt für: ❎ Basic ✅ Standard ✅ Enterprise
Hinweis
Dieses Feature ist im Basic-Plan nicht verfügbar.
In diesem Artikel wird die sichere Kommunikation in Azure Spring Apps beschrieben. In diesem Artikel erfahren Sie, wie Sie Eingang-zu-App-SSL/TLS aktivieren, um Datenverkehr von einem Eingangsdatencontroller zu Anwendungen zu schützen, die HTTPS unterstützen.
Die folgende Abbildung zeigt die gesamte Unterstützung für die sichere Kommunikation in Azure Spring Apps.
Sicheres Kommunikationsmodell in Azure Spring Apps
In diesem Abschnitt wird das im obigen Übersichtsdiagramm gezeigte sichere Kommunikationsmodell erläutert.
Die Clientanforderung vom Client an die Anwendung in Azure Spring Apps trifft am Eingangsdatencontroller ein. Die Anforderung kann per HTTP oder HTTPS eintreffen. Das vom Eingangsdatencontroller zurückgegebene TLS-Zertifikat wird von der Microsoft Azure-Zertifizierungsstelle für TLS ausgestellt.
Wenn die App einer vorhandenen benutzerdefinierten Domäne zugeordnet wurde und nur mit HTTPS konfiguriert ist, dürfen Anforderungen an den Eingangsdatencontroller nur HTTPS verwenden. Das vom Eingangsdatencontroller zurückgegebene TLS-Zertifikat ist das SSL-Bindungszertifikat für diese benutzerdefinierte Domäne. Die serverseitige SSL/TLS-Überprüfung für die benutzerdefinierte Domäne erfolgt im Eingangsdatencontroller.
Die sichere Kommunikation zwischen dem Eingangsdatencontroller und den Anwendungen in Azure Spring Apps wird durch das Eingang-zu-App-TLS gesteuert. Sie können die Kommunikation auch über das Portal oder die Befehlszeilenschnittstelle steuern. Die Vorgehensweise wird weiter unten in diesem Artikel erläutert. Wenn Eingang-zu-App-TLS deaktiviert ist, erfolgt die Kommunikation zwischen dem Eingangsdatencontroller und den Apps in Azure Spring Apps per HTTP. Wenn Eingang-zu-App-TLS aktiviert ist, erfolgt die Kommunikation per HTTPS. Sie steht in keinem Zusammenhang mit der Kommunikation zwischen den Clients und dem Eingangsdatencontroller. Der Eingangsdatencontroller überprüft das von den Apps zurückgegebene Zertifikat nicht, da die Kommunikation bei Eingang-zu-App-TLS verschlüsselt wird.
Die Kommunikation zwischen den Apps und den Azure Spring Apps-Diensten erfolgt immer per HTTPS und wird von Azure Spring Apps verarbeitet. Zu diesen Dienste gehören Konfigurationsserver, Dienstregistrierung und Eureka-Server.
Sie verwalten die Kommunikation zwischen den Anwendungen. Sie können auch Azure Spring Apps-Features nutzen, um Zertifikate in den Vertrauensspeicher der Anwendung zu laden. Weitere Informationen finden Sie unter Verwenden von TLS/SSL-Zertifikaten in einer Anwendung.
Sie verwalten die Kommunikation zwischen Anwendungen und externen Diensten. Um Ihren Entwicklungsaufwand zu verringern, hilft Ihnen Azure Spring Apps bei der Verwaltung Ihrer öffentlichen Zertifikate und lädt sie in den Vertrauensspeicher Ihrer Anwendung. Weitere Informationen finden Sie unter Verwenden von TLS/SSL-Zertifikaten in einer Anwendung.
Aktivieren von Eingang-zu-App-TLS für eine Anwendung
Im folgenden Abschnitt erfahren Sie, wie Sie Eingang-zu-App-SSL/TLS aktivieren, um Datenverkehr von einem Eingangsdatencontroller zu Anwendungen zu schützen, die HTTPS unterstützen.
Voraussetzungen
- Eine bereitgestellte Azure Spring Apps-Instanz Informationen zu den ersten Schritten finden Sie unter Schnellstart: Starten einer Java Spring-Anwendung mit der Azure CLI.
- Wenn Sie mit Eingang-zu-App-TLS nicht vertraut sind, finden Sie weitere Informationen im Beispiel für End-to-End-TLS.
- Um die erforderlichen Zertifikate sicher in Spring Boot-Apps zu laden, können Sie spring-cloud-azure-starter-keyvault-certificates verwenden.
Aktivieren von Eingang-zu-App-TLS in einer vorhandenen App
Verwenden Sie den Befehl az spring app update --enable-ingress-to-app-tls
, um Eingang-zu-App-TLS für eine App zu aktivieren oder zu deaktivieren.
az spring app update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app update --enable-ingress-to-app-tls false -n app_name -s service_name -g resource_group_name
Aktivieren von Eingang-zu-App-TLS beim Binden einer benutzerdefinierten Domäne
Verwenden Sie den Befehl az spring app custom-domain update --enable-ingress-to-app-tls
oder az spring app custom-domain bind --enable-ingress-to-app-tls
, um Eingang-zu-App-TLS für eine App zu aktivieren oder zu deaktivieren.
az spring app custom-domain update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app custom-domain bind --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
Aktivieren von Eingang-zu-App-TLS über das Azure-Portal
Um Eingang-zu-App-TLS im Azure-Portal zu aktivieren, richten Sie zunächst eine App ein und aktivieren dann die Funktion.
- Erstellen Sie wie gewohnt eine App im Portal. Navigieren Sie im Portal zu dieser App.
- Scrollen Sie im linken Navigationsbereich nach unten zur Gruppe Einstellungen.
- Wählen Sie Eingang-zu-App-TLS aus.
- Schalten Sie Eingang-zu-App-TLS auf Ja um.
Überprüfen des Status von Eingang-zu-App-TLS
Verwenden Sie den Befehl az spring app show
, um den Wert von enableEndToEndTls
zu überprüfen.
az spring app show -n app_name -s service_name -g resource_group_name
Nächste Schritte
Zugreifen auf den Konfigurationsserver und die Dienstregistrierung