Habilitación de TLS de entrada a la aplicación para una aplicación

Nota:

Los planes de Básico, Estándar y Enterprise quedarán en desuso a partir de mediados de marzo de 2025, con un período de retiro de 3 años. Se recomienda realizar la transición a Azure Container Apps. Para más información, consulte el anuncio de retirada de Azure Spring Apps.

El plan de consumo estándar y dedicado quedará obsoleto a partir del 30 de septiembre de 2024, con un cierre completo al cabo de seis meses. Se recomienda realizar la transición a Azure Container Apps. Para obtener más información, consulte Migrar el plan de consumo y dedicado Azure Spring Apps Standard a Azure Container Apps.

Este artículo se aplica a: ❎ Básico ✅ Estándar ✅ Enterprise

Nota:

Esta característica no está disponible en el plan Básico.

En este artículo se describen las comunicaciones seguras en Azure Spring Apps. Además, se explica cómo habilitar SSL/TLS de entrada a la aplicación para proteger el tráfico desde un controlador de entrada a aplicaciones que admiten HTTPS.

En la imagen siguiente se muestra la compatibilidad general de comunicación segura en Azure Spring Apps.

Modelo de comunicación segura en Azure Spring Apps

En esta sección se explica el modelo de comunicación segura que se muestra en el diagrama de información general anterior.

1. La solicitud del cliente a la aplicación en Azure Spring Apps entra en el controlador de entrada. La solicitud puede ser HTTP o HTTPS. La entidad de certificación emisora de TLS de Microsoft Azure emite el certificado TLS devuelto por el controlador de entrada.

   Si la aplicación se ha asignado a un dominio personalizado existente y está configurada solo como HTTPS, la solicitud al controlador de entrada solo puede ser HTTPS. El certificado TLS devuelto por el controlador de entrada es el certificado de enlace SSL para ese dominio personalizado. La comprobación de SSL/TLS del lado servidor para el dominio personalizado se realiza en el controlador de entrada.

2. La comunicación segura entre el controlador de entrada y las aplicaciones en Azure Spring Apps se controla mediante TLS de entrada a la aplicación. También puede controlar la comunicación a través del portal o la CLI, lo que se explica más adelante en este artículo. Si TLS de entrada a la aplicación está deshabilitada, la comunicación entre el controlador de entrada y las aplicaciones de Azure Spring Apps es HTTP. Si TLS de entrada a la aplicación está habilitada, la comunicación será HTTPS y no tiene relación con la comunicación entre los clientes y el controlador de entrada. El controlador de entrada no comprobará el certificado devuelto por las aplicaciones, ya que TLS de entrada a la aplicación cifra la comunicación.

3. La comunicación entre las aplicaciones y los servicios de Azure Spring Apps siempre es HTTPS y se controla mediante Azure Spring Apps. Estos servicios incluyen el servidor de configuración, el registro de servicios y el servidor Eureka.

4. Usted administra la comunicación entre las aplicaciones. También puede aprovechar las características de Azure Spring Apps para cargar certificados en el almacén de confianza de la aplicación. Para obtener más información, consulte Uso de certificados TLS/SSL en una aplicación.

5. Usted administra la comunicación entre las aplicaciones y los servicios externos. Para reducir el esfuerzo de desarrollo, Azure Spring Apps le ayuda a administrar los certificados públicos y los carga en el almacén de confianza de la aplicación. Para obtener más información, consulte Uso de certificados TLS/SSL en una aplicación.

Habilitación de TLS de entrada a la aplicación para una aplicación

En la sección siguiente se explica cómo habilitar SSL/TLS de entrada a la aplicación para proteger el tráfico desde un controlador de entrada a aplicaciones que admiten HTTPS.

Requisitos previos

• Una instancia de Azure Spring Apps implementada. Para comenzar, siga nuestro inicio rápido sobre la implementación mediante la CLI de Azure.
• Si no está familiarizado con TLS de entrada a la aplicación, consulte el ejemplo de TLS de entrada a la aplicación.
• Para cargar de forma segura los certificados necesarios en aplicaciones de Spring Boot, puede usar spring-cloud-azure-starter-keyvault-certificates.

Habilitación de TLS de entrada a la aplicación en una aplicación existente

Use el comando az spring app update --enable-ingress-to-app-tls para habilitar o deshabilitar TLS de entrada a la aplicación para una aplicación.

az spring app update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app update --enable-ingress-to-app-tls false -n app_name -s service_name -g resource_group_name

Habilitación de TLS de entrada a la aplicación al enlazar un dominio personalizado

Use el comando az spring app custom-domain update --enable-ingress-to-app-tls o az spring app custom-domain bind --enable-ingress-to-app-tls para habilitar o deshabilitar TLS de entrada a la aplicación para una aplicación.

az spring app custom-domain update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app custom-domain bind --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name

Habilitación de TLS de entrada a la aplicación mediante Azure Portal

Para habilitar TLS de entrada a la aplicación en Azure Portal, primero cree una aplicación y luego habilite la característica.

1. Cree una aplicación en el portal como lo haría normalmente. Navegue hasta el portal.
2. Desplácese hacia abajo hasta el grupo Configuración en el panel de navegación izquierdo.
3. Seleccione TLS de entrada a la aplicación.
4. Cambie TLS de entrada a la aplicación a Sí.

Comprobación del estado de TLS de entrada a la aplicación

Use el comando az spring app show para comprobar el valor de enableEndToEndTls.

az spring app show -n app_name -s service_name -g resource_group_name

Pasos siguientes

Acceso a Config Server y Service Registry