Włączanie protokołu TLS ruchu przychodzącego do aplikacji
Uwaga
Plany Podstawowa, Standardowa i Enterprise zostaną wycofane od połowy marca 2025 r. z 3-letnim okresem emerytalnym. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu usługi Azure Spring Apps.
Zużycie standardowe i dedykowany plan zostaną wycofane od 30 września 2024 r. z całkowitym zamknięciem po sześciu miesiącach. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz Migrowanie użycia usługi Azure Spring Apps w warstwie Standardowa i dedykowanego planu do usługi Azure Container Apps.
Ten artykuł dotyczy:❌ Basic ✔️ Standard ✔️ Enterprise
Uwaga
Ta funkcja nie jest dostępna w planie podstawowym.
W tym artykule opisano bezpieczną komunikację w usłudze Azure Spring Apps. W tym artykule wyjaśniono również, jak włączyć protokół SSL/TLS ruchu przychodzącego do aplikacji w celu zabezpieczenia ruchu z kontrolera ruchu przychodzącego do aplikacji obsługujących protokół HTTPS.
Na poniższej ilustracji przedstawiono ogólną obsługę bezpiecznej komunikacji w usłudze Azure Spring Apps.
Bezpieczny model komunikacji w usłudze Azure Spring Apps
W tej sekcji opisano model bezpiecznej komunikacji pokazany na powyższym diagramie przeglądu.
Żądanie klienta od klienta do aplikacji w usłudze Azure Spring Apps jest wprowadzane do kontrolera ruchu przychodzącego. Żądanie może być http lub HTTPS. Certyfikat TLS zwrócony przez kontroler ruchu przychodzącego jest wystawiany przez urząd wystawiający certyfikaty TLS platformy Microsoft Azure.
Jeśli aplikacja została zamapowana na istniejącą domenę niestandardową i jest skonfigurowana tylko jako HTTPS, żądanie do kontrolera ruchu przychodzącego może być tylko https. Certyfikat TLS zwrócony przez kontroler ruchu przychodzącego jest certyfikatem powiązania SSL dla tej domeny niestandardowej. Weryfikacja protokołu SSL/TLS po stronie serwera dla domeny niestandardowej jest wykonywana na kontrolerze ruchu przychodzącego.
Bezpieczna komunikacja między kontrolerem ruchu przychodzącego a aplikacjami w usłudze Azure Spring Apps jest kontrolowana przez protokół TLS ruchu przychodzącego do aplikacji. Komunikację można również kontrolować za pośrednictwem portalu lub interfejsu wiersza polecenia, co zostanie wyjaśnione w dalszej części tego artykułu. Jeśli protokół TLS ruchu przychodzącego do aplikacji jest wyłączony, komunikacja między kontrolerem ruchu przychodzącego a aplikacjami w usłudze Azure Spring Apps to HTTP. Jeśli protokół TLS ruchu przychodzącego do aplikacji jest włączony, komunikacja będzie https i nie ma relacji z komunikacją między klientami i kontrolerem ruchu przychodzącego. Kontroler ruchu przychodzącego nie zweryfikuje certyfikatu zwróconego z aplikacji, ponieważ protokół TLS ruchu przychodzącego do aplikacji szyfruje komunikację.
Komunikacja między aplikacjami a usługami Azure Spring Apps jest zawsze https i obsługiwana przez usługę Azure Spring Apps. Takie usługi obejmują serwer konfiguracji, rejestr usług i serwer Eureka.
Zarządzasz komunikacją między aplikacjami. Możesz również skorzystać z funkcji usługi Azure Spring Apps, aby załadować certyfikaty do magazynu zaufania aplikacji. Aby uzyskać więcej informacji, zobacz Używanie certyfikatów TLS/SSL w aplikacji.
Zarządzasz komunikacją między aplikacjami i usługami zewnętrznymi. Aby zmniejszyć nakład pracy programistycznej, usługa Azure Spring Apps ułatwia zarządzanie certyfikatami publicznymi i ładuje je do magazynu zaufania aplikacji. Aby uzyskać więcej informacji, zobacz Używanie certyfikatów TLS/SSL w aplikacji.
Włączanie protokołu TLS ruchu przychodzącego do aplikacji
W poniższej sekcji przedstawiono sposób włączania protokołu SSL/TLS ruchu przychodzącego do aplikacji w celu zabezpieczenia ruchu z kontrolera ruchu przychodzącego do aplikacji obsługujących protokół HTTPS.
Wymagania wstępne
- Wdrożone wystąpienie usługi Azure Spring Apps. Postępuj zgodnie z naszym przewodnikiem Szybki start dotyczącymi wdrażania za pośrednictwem interfejsu wiersza polecenia platformy Azure, aby rozpocząć pracę.
- Jeśli nie znasz protokołu TLS ruchu przychodzącego do aplikacji, zapoznaj się z przykładem kompleksowego protokołu TLS.
- Aby bezpiecznie załadować wymagane certyfikaty do aplikacji Spring Boot, możesz użyć spring-cloud-azure-starter-keyvault-certificates.
Włączanie protokołu TLS ruchu przychodzącego do aplikacji w istniejącej aplikacji
Użyj polecenia az spring app update --enable-ingress-to-app-tls , aby włączyć lub wyłączyć protokół TLS ruchu przychodzącego do aplikacji dla aplikacji.
az spring app update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app update --enable-ingress-to-app-tls false -n app_name -s service_name -g resource_group_name
Włączanie protokołu TLS ruchu przychodzącego do aplikacji podczas tworzenia powiązania domeny niestandardowej
Użyj polecenia az spring app custom-domain update --enable-ingress-to-app-tls lub az spring app custom-domain bind --enable-ingress-to-app-tls , aby włączyć lub wyłączyć protokół TLS ruchu przychodzącego do aplikacji dla aplikacji.
az spring app custom-domain update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app custom-domain bind --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
Włączanie protokołu TLS ruchu przychodzącego do aplikacji przy użyciu witryny Azure Portal
Aby włączyć protokół TLS ruchu przychodzącego do aplikacji w witrynie Azure Portal, najpierw utwórz aplikację, a następnie włącz tę funkcję.
- Utwórz aplikację w portalu tak, jak zwykle. Przejdź do niej w portalu.
- Przewiń w dół do grupy Ustawienia w okienku nawigacji po lewej stronie.
- Wybierz pozycję Ruch przychodzący do aplikacji TLS.
- Przełącz protokół TLS ruchu przychodzącego do aplikacji na wartość Tak.
Weryfikowanie stanu protokołu TLS ruchu przychodzącego do aplikacji
Użyj polecenia az spring app show , aby sprawdzić wartość .enableEndToEndTls
az spring app show -n app_name -s service_name -g resource_group_name