Creación de una puerta de enlace de aplicaciones con terminación TLS mediante la CLI de Azure
Puede usar la CLI de Azure para crear una puerta de enlace de aplicaciones con un certificado para la terminación TLS. En el caso de los servidores backend, puede usar un Conjunto de escalado de máquinas virtuales. En este ejemplo, el conjunto de escalado contiene dos instancias de máquina virtual que se agregan al grupo de servidores back-end predeterminado de la puerta de enlace de aplicaciones.
En este artículo aprenderá a:
- Crear un certificado autofirmado
- Configurar una red
- Crear una puerta de enlace de aplicaciones con el certificado
- Crear un Conjunto de escalado de máquinas virtuales con el grupo de servidores back-end predeterminado
Si lo prefiere, puede realizar los pasos de este procedimiento mediante Azure PowerShell.
Si no tiene una suscripción a Azure, cree una cuenta gratuita de Azure antes de empezar.
Requisitos previos
Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio rápido para Bash en Azure Cloud Shell.
Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.
Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.
En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.
Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.
- Este tutorial requiere la versión 2.0.4 o posterior de la CLI de Azure. Si usa Azure Cloud Shell, ya está instalada la versión más reciente.
Creación de un certificado autofirmado
Para su uso en producción, debe importar un certificado válido firmado por un proveedor de confianza. En este artículo, creará un certificado autofirmado y un archivo pfx con el comando openssl.
openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out appgwcert.crt
Escriba valores que tengan sentido para su certificado. Puede aceptar los valores predeterminados.
openssl pkcs12 -export -out appgwcert.pfx -inkey privateKey.key -in appgwcert.crt
Escriba la contraseña del certificado. En este ejemplo, se usa Azure123456!.
Crear un grupo de recursos
Un grupo de recursos es un contenedor lógico en el que se implementan y se administran los recursos de Azure. Para crear un grupo de recursos, use az group create.
En el ejemplo siguiente, se crea un grupo de recursos llamado myResourceGroupAG en la ubicación eastus.
az group create --name myResourceGroupAG --location eastus
Crear recursos de red
Cree la red virtual llamada myVNet y la subred llamada myAGSubnet mediante az network vnet create. Después, puede agregar la subred llamada myBackendSubnet que necesitan los servidores back-end mediante az network vnet subnet create. Cree la dirección IP pública llamada myAGPublicIPAddress mediante az network public-ip create.
az network vnet create \
--name myVNet \
--resource-group myResourceGroupAG \
--location eastus \
--address-prefix 10.0.0.0/16 \
--subnet-name myAGSubnet \
--subnet-prefix 10.0.1.0/24
az network vnet subnet create \
--name myBackendSubnet \
--resource-group myResourceGroupAG \
--vnet-name myVNet \
--address-prefix 10.0.2.0/24
az network public-ip create \
--resource-group myResourceGroupAG \
--name myAGPublicIPAddress \
--allocation-method Static \
--sku Standard \
--location eastus
Creación de la puerta de enlace de aplicaciones
Puede usar az network application-gateway create para crear la puerta de enlace de aplicaciones. Cuando se crea una puerta de enlace de aplicaciones mediante la CLI de Azure, se especifica información de configuración, como capacidad, SKU y HTTP.
La puerta de enlace de aplicaciones se asigna a los elementos myAGSubnet y myAGPublicIPAddress creados anteriormente. En este ejemplo, asociará el certificado que creó y su contraseña al crear la puerta de enlace de aplicaciones.
az network application-gateway create \
--name myAppGateway \
--location eastus \
--resource-group myResourceGroupAG \
--vnet-name myVNet \
--subnet myAGsubnet \
--capacity 2 \
--sku Standard_v2 \
--http-settings-cookie-based-affinity Disabled \
--frontend-port 443 \
--http-settings-port 80 \
--http-settings-protocol Http \
--priority "1" \
--public-ip-address myAGPublicIPAddress \
--cert-file appgwcert.pfx \
--cert-password "Azure123456!"
La puerta de enlace de aplicaciones puede tardar varios minutos en crearse. Después de crear la puerta de enlace de aplicaciones, puede ver estas nuevas características de ella:
- appGatewayBackendPool: una puerta de enlace de aplicaciones debe tener al menos un grupo de direcciones de servidores back-end.
- appGatewayBackendHttpSettings: especifica que se use el puerto 80 y un protocolo HTTP para la comunicación.
- appGatewayHttpListener: agente de escucha predeterminado asociado con appGatewayBackendPool.
- appGatewayFrontendIP: asigna myAGPublicIPAddress a appGatewayHttpListener.
- rule1: la regla de enrutamiento predeterminada asociada a appGatewayHttpListener.
Creación de un conjunto de escalado de máquinas virtuales
En este ejemplo, creará un Conjunto de escalado de máquinas virtuales que proporcione servidores para el grupo de servidores back-end predeterminado en la puerta de enlace de aplicaciones. Las máquinas virtuales del conjunto de escalado están asociadas a myBackendSubnet y appGatewayBackendPool. Para crear el conjunto de escalado, puede usar az vmss create.
az vmss create \
--name myvmss \
--resource-group myResourceGroupAG \
--image Ubuntu2204 \
--admin-username azureuser \
--admin-password Azure123456! \
--instance-count 2 \
--vnet-name myVNet \
--subnet myBackendSubnet \
--vm-sku Standard_DS2 \
--upgrade-policy-mode Automatic \
--app-gateway myAppGateway \
--backend-pool-name appGatewayBackendPool
Instalación de NGINX
az vmss extension set \
--publisher Microsoft.Azure.Extensions \
--version 2.0 \
--name CustomScript \
--resource-group myResourceGroupAG \
--vmss-name myvmss \
--settings '{ "fileUris": ["https://raw.githubusercontent.com/Azure/azure-docs-powershell-samples/master/application-gateway/iis/install_nginx.sh"],
"commandToExecute": "./install_nginx.sh" }'
Prueba de la puerta de enlace de aplicaciones
Para obtener la dirección IP pública de la puerta de enlace de aplicaciones, puede usar az network public-ip show.
az network public-ip show \
--resource-group myResourceGroupAG \
--name myAGPublicIPAddress \
--query [ipAddress] \
--output tsv
Copie la dirección IP pública y péguela en la barra de direcciones del explorador. En este ejemplo, la dirección URL es https://52.170.203.149.
Para aceptar la advertencia de seguridad si usó un certificado autofirmado, seleccione Detalles y, a continuación, Acceder a la página web. A continuación, se muestra el sitio de NGINX protegido, como en el ejemplo siguiente:
Limpieza de recursos
Cuando ya no los necesite, quite el grupo de recursos, la puerta de enlace de aplicaciones y todos los recursos relacionados.
az group delete --name myResourceGroupAG --location eastus
Pasos siguientes
Crear una puerta de enlace de aplicaciones que hospede varios sitios web