Übung: Konfigurieren eines Application Gateway-Listeners für die Verschlüsselung
Da Sie die Zertifikate für Azure Application Gateway und den Back-End-Pool konfiguriert haben, können Sie nun einen Listener zur Verarbeitung eingehender Anforderungen erstellen. Der Listener wartet auf Nachrichten, entschlüsselt diese mithilfe des privaten Schlüssels und leitet sie dann an den Back-End-Pool weiter.
In dieser Lerneinheit richten Sie den Listener mit Port 443 und dem SSL-Zertifikat ein, das Sie in der ersten Übung erstellt haben. Im folgenden Bild sind die Elemente hervorgehoben, die Sie in dieser Übung einrichten.
Konfigurieren des Listeners
Führen Sie den folgenden Befehl aus, um einen neuen Front-End-Port (Port 443) für das Gateway zu erstellen:
az network application-gateway frontend-port create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name https-port \ --port 8443Laden Sie das SSL-Zertifikat für Application Gateway hoch. Dieses Zertifikat wurde in der vorherigen Übung vom Setupskript generiert. Es ist in der Datei appgateway.pfx im Ordner server-config gespeichert.
Das für die PFX-Datei generierte Kennwort lautet somepassword. Ändern Sie es nicht im folgenden Befehl.
az network application-gateway ssl-cert create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name appgateway-cert \ --cert-file server-config/appgateway.pfx \ --cert-password somepasswordFühren Sie den folgenden Befehl aus, um einen neuen Listener zu erstellen, der eingehenden Datenverkehr über Port 443 akzeptiert. Der Listener verwendet das Zertifikat appgateway-cert zum Verschlüsseln von Nachrichten.
az network application-gateway http-listener create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name https-listener \ --frontend-port https-port \ --ssl-cert appgateway-certFühren Sie den folgenden Befehl aus, um eine Regel zu erstellen, die eingehenden Datenverkehr über den neuen Listener an den Back-End-Pool weiterleitet. Die Ausführung dieses Befehls dauert unter Umständen ein bis zwei Minuten.
az network application-gateway rule create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name https-rule \ --address-pool ap-backend \ --http-listener https-listener \ --http-settings https-settings \ --rule-type Basic \ --priority 102
Testen der Application Gateway-Instanz
Rufen Sie die öffentliche URL der Application Gateway-Instanz ab.
echo https://$(az network public-ip show \ --resource-group $rgName \ --name appgwipaddr \ --query ipAddress \ --output tsv)Navigieren Sie in einem Webbrowser zu der URL.
Wie zuvor zeigt Ihr Browser möglicherweise eine Warnmeldung an, die besagt, dass die SSL-Verbindung ein nicht authentifiziertes Zertifikat verwendet. Diese Warnung wird angezeigt, da das Zertifikat selbstsigniert ist. Sie können diese Warnung ignorieren und zur Website fortfahren.
Stellen Sie sicher, dass die Homepage für das Versandportal angezeigt wird.
Sie haben den Listener so konfiguriert, dass er an Port 443 lauscht und die Daten entschlüsselt, die an den Back-End-Pool übergeben werden können. Die Daten werden wieder verschlüsselt, wenn Sie vom Gateway an einen Server im Back-End-Pool übermittelt werden. Da dieser Listener nun eingerichtet ist, verfügen Sie über eine umfassende Verschlüsselung für das Versandportal.
Sie können diese Ressourcen bei Bedarf löschen. Die einfachste Möglichkeit zum Löschen aller Ressourcen, die Sie in diesem Modul erstellt haben, besteht darin, einfach die Ressourcengruppe zu löschen.