Konfiguracja odbiornika usługi Application Gateway
Uwaga
Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Aby rozpocząć, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.
Odbiornik to jednostka logiczna, która sprawdza żądania połączeń przychodzących przy użyciu portu, protokołu, hosta i adresu IP. Podczas konfigurowania odbiornika należy wprowadzić wartości odpowiadające odpowiednim wartościom w żądaniu przychodzącym w bramie.
Podczas tworzenia bramy aplikacji przy użyciu witryny Azure Portal można również utworzyć odbiornik domyślny, wybierając protokół i port odbiornika. Możesz wybrać, czy włączyć obsługę PROTOKOŁU HTTP2 na odbiorniku. Po utworzeniu bramy aplikacji możesz edytować ustawienia tego odbiornika domyślnego (appGatewayHttpListener) lub utworzyć nowe odbiorniki.
Typ odbiornika
Podczas tworzenia nowego odbiornika wybierasz między podstawowym i wielolokasowym.
Jeśli chcesz, aby wszystkie żądania (dla dowolnej domeny) zostały zaakceptowane i przekazane do pul zaplecza, wybierz pozycję Podstawowa. Dowiedz się , jak utworzyć bramę aplikacji przy użyciu podstawowego odbiornika.
Jeśli chcesz przekazywać żądania do różnych pul zaplecza na podstawie nagłówka hosta lub nazw hostów , wybierz odbiornik z wieloma lokacjami. Usługa Application Gateway bazuje na nagłówkach hosta HTTP 1.1 w celu hostowania więcej niż jednej witryny sieci Web na tym samym publicznym adresie IP i porcie. Aby odróżnić żądania na tym samym porcie, należy określić nazwę hosta zgodną z żądaniem przychodzącym. Aby dowiedzieć się więcej, zobacz hostowanie wielu witryn przy użyciu usługi Application Gateway.
Kolejność przetwarzania odbiorników
W przypadku jednostki SKU w wersji 1 żądania są dopasowywane zgodnie z kolejnością reguł i typem odbiornika. Jeśli reguła z podstawowym odbiornikiem jest najpierw w kolejności, jest przetwarzana jako pierwsza i będzie akceptować wszelkie żądania dotyczące tego portu i kombinacji adresów IP. Aby tego uniknąć, należy najpierw skonfigurować reguły z odbiornikami z wieloma lokacjami i wypchnąć regułę z podstawowym odbiornikiem do ostatniego na liście.
W przypadku jednostki SKU w wersji 2 odbiorniki z wieloma lokacjami są przetwarzane przed odbiornikami podstawowymi, chyba że zdefiniowano priorytet reguły. W przypadku korzystania z priorytetu reguły odbiorniki wieloznaczne powinny być zdefiniowane priorytet z liczbą większą niż odbiorniki z symbolami wieloznacznymi, aby upewnić się, że odbiorniki inne niż wieloznaczne są wykonywane przed odbiornikami wieloznacznymi.
Adres IP frontonu
Wybierz adres IP frontonu, który chcesz skojarzyć z tym odbiornikiem. Odbiornik będzie nasłuchiwać żądań przychodzących na tym adresie IP.
Uwaga
Fronton usługi Application Gateway obsługuje adresy IP z podwójnym stosem. Można utworzyć maksymalnie cztery adresy IP frontonu: dwa adresy IPv4 (publiczne i prywatne) i dwa adresy IPv6 (publiczne i prywatne).
Port frontonu
Kojarzenie portu frontonu. Możesz wybrać istniejący port lub utworzyć nowy. Wybierz dowolną wartość z dozwolonego zakresu portów. Można używać nie tylko dobrze znanych portów, takich jak 80 i 443, ale także dowolnego dozwolonego portu niestandardowego, który jest odpowiedni. Ten sam port może być używany dla odbiorników publicznych i prywatnych.
Uwaga
W przypadku korzystania z odbiorników prywatnych i publicznych z tym samym numerem portu brama aplikacji zmienia "miejsce docelowe" przepływu przychodzącego na adresy IP frontonu bramy. W związku z tym w zależności od konfiguracji sieciowej grupy zabezpieczeń może być potrzebna reguła ruchu przychodzącego z docelowymi adresami IP jako publicznymi i prywatnymi adresami IP frontonu bramy aplikacji.
Reguła ruchu przychodzącego:
- Źródło: (zgodnie z wymaganiami)
- Docelowe adresy IP: publiczne i prywatne adresy IP frontonu bramy aplikacji.
- Port docelowy: (zgodnie z konfiguracją odbiornika)
- Protokół: TCP
Reguła ruchu wychodzącego: (bez określonego wymagania)
Protokół
Wybierz pozycję HTTP lub HTTPS:
W przypadku wybrania protokołu HTTP ruch między klientem a bramą aplikacji jest niezaszyfrowany.
Wybierz pozycję HTTPS, jeśli chcesz zakończyć pracę z protokołem TLS lub kompleksowe szyfrowanie TLS. Ruch między klientem a bramą aplikacji jest szyfrowany, a połączenie TLS zostanie przerwane w bramie aplikacji. Jeśli chcesz kompleksowe szyfrowanie TLS do obiektu docelowego zaplecza, musisz również wybrać protokół HTTPS w ramach ustawienia HTTP zaplecza. Dzięki temu ruch jest szyfrowany, gdy brama aplikacji inicjuje połączenie z obiektem docelowym zaplecza.
Aby skonfigurować kończenie żądań protokołu TLS, należy dodać certyfikat TLS/SSL do odbiornika. Dzięki temu usługa Application Gateway może odszyfrować ruch przychodzący i szyfrować ruch odpowiedzi do klienta. Certyfikat dostarczony do usługi Application Gateway musi być w formacie Wymiany informacji osobistych (PFX), który zawiera zarówno klucze prywatne, jak i publiczne.
Uwaga
W przypadku korzystania z certyfikatu TLS z usługi Key Vault dla odbiornika należy upewnić się, że usługa Application Gateway zawsze ma dostęp do tego połączonego zasobu magazynu kluczy i obiektu certyfikatu w nim. Umożliwia to bezproblemowe działanie funkcji kończenia żądań PROTOKOŁU TLS i zapewnia ogólną kondycję zasobu bramy. Jeśli zasób bramy aplikacji wykryje nieprawidłowo skonfigurowany magazyn kluczy, automatycznie umieszcza skojarzone odbiorniki HTTPS w stanie wyłączonym. Dowiedz się więcej.
Obsługiwane certyfikaty
Dodatkowa obsługa protokołu
Obsługa protokołu HTTP2
Obsługa protokołu HTTP/2 jest dostępna dla klientów, którzy łączą się tylko z odbiornikami bramy aplikacji. Komunikacja z pulami serwerów zaplecza jest zawsze http/1.1. Domyślnie obsługa protokołu HTTP/2 jest wyłączona. Poniższy fragment kodu programu Azure PowerShell pokazuje, jak to włączyć:
$gw = Get-AzApplicationGateway -Name test -ResourceGroupName hm
$gw.EnableHttp2 = $true
Set-AzApplicationGateway -ApplicationGateway $gw
Obsługę protokołu HTTP2 można również włączyć w witrynie Azure Portal, wybierając pozycję Włączone w obszarze HTTP2 w obszarze Konfiguracja bramy > aplikacji.
Obsługa protokołu WebSocket
Obsługa protokołu WebSocket jest domyślnie włączona. Nie ma konfigurowalnego ustawienia umożliwiającego jego włączenie lub wyłączenie. Można używać obiektów WebSocket zarówno z odbiornikami HTTP, jak i HTTPS.
Niestandardowe strony błędów
Możesz zdefiniować dostosowane strony błędów dla różnych kodów odpowiedzi zwracanych przez usługę Application Gateway. Kody odpowiedzi, dla których można skonfigurować strony błędów, to 400, 403, 405, 408, 500, 502, 503 i 504. Możesz użyć konfiguracji strony błędów specyficznych dla globalnego lub odbiornika, aby ustawić je szczegółowo dla każdego odbiornika. Aby uzyskać więcej informacji, zobacz Create Application Gateway custom error pages (Tworzenie niestandardowych stron błędów w usłudze Application Gateway).
Uwaga
Błąd pochodzący z serwera zaplecza jest przekazywany w sposób niezmodyfikowany przez usługę Application Gateway do klienta.
Zasady protokołu TLS
Zarządzanie certyfikatami TLS/SSL można scentralizować i zmniejszyć obciążenie związane z odszyfrowywaniem szyfrowania dla farmy serwerów zaplecza. Scentralizowana obsługa protokołu TLS umożliwia również określenie centralnych zasad protokołu TLS dostosowanych do wymagań dotyczących zabezpieczeń. Możesz wybrać wstępnie zdefiniowane lub niestandardowe zasady protokołu TLS.
Należy skonfigurować zasady protokołu TLS w celu kontrolowania wersji protokołu TLS. Bramę aplikacji można skonfigurować tak, aby używała minimalnej wersji protokołu na potrzeby uzgadniania protokołu TLS1.0, TLS1.1, TLS1.2 i TLS1.3. Domyślnie protokoły SSL 2.0 i 3.0 są wyłączone i nie można ich konfigurować. Aby uzyskać więcej informacji, zobacz Application Gateway TLS policy overview (Omówienie zasad PROTOKOŁU TLS usługi Application Gateway).
Po utworzeniu odbiornika należy skojarzyć go z regułą routingu żądań. Ta reguła określa, w jaki sposób żądania odbierane na odbiorniku są kierowane do zaplecza.
Następne kroki
- Dowiedz się więcej o regułach routingu żądań.