Ćwiczenie — Konfigurowanie odbiornika usługi Application Gateway pod kątem szyfrowania

Ukończone

Teraz, gdy masz już skonfigurowane certyfikaty dla usługi Azure Application Gateway oraz puli zaplecza, możesz utworzyć odbiornik, który będzie obsługiwał żądania przychodzące. Odbiornik czeka na komunikaty, odszyfrowuje je przy użyciu klucza prywatnego, a następnie kieruje te komunikaty do puli zaplecza.

W tej lekcji skonfigurujesz odbiornik, używając portu 443 oraz certyfikatu SSL utworzonego w pierwszym ćwiczeniu. Na poniższej ilustracji przedstawiono elementy skonfigurowane w tym ćwiczeniu.

Diagram that highlights the elements (frontend port, SSL certificate for Application Gateway, listener, and rule) created in this exercise.

Konfigurowanie odbiornika

  1. Uruchom następujące polecenie, aby utworzyć nowy port frontonu (443) dla bramy:

    az network application-gateway frontend-port create \
      --resource-group $rgName \
      --gateway-name gw-shipping \
      --name https-port \
      --port 8443
    
  2. Przekaż certyfikat SSL dla usługi Application Gateway. Skrypt konfiguracji wygenerował ten certyfikat w poprzednim ćwiczeniu. Certyfikat jest przechowywany w pliku appgateway.pfx w folderze server-config.

    Hasło wygenerowane dla pliku pfx brzmi somepassword. Nie zmieniaj go w poniższym poleceniu.

    az network application-gateway ssl-cert create \
       --resource-group $rgName \
       --gateway-name gw-shipping \
       --name appgateway-cert \
       --cert-file server-config/appgateway.pfx \
       --cert-password somepassword
    
  3. Uruchom następujące polecenie, aby utworzyć nowy odbiornik, który będzie przyjmować ruch przychodzący na porcie 443. Odbiornik używa certyfikatu appgateway-cert do odszyfrowywania komunikatów.

    az network application-gateway http-listener create \
      --resource-group $rgName \
      --gateway-name gw-shipping \
      --name https-listener \
      --frontend-port https-port \
      --ssl-cert appgateway-cert
    
  4. Uruchom następujące polecenie, aby utworzyć regułę, która kieruje ruch odebrany za pośrednictwem nowego odbiornika do puli zaplecza. Wykonanie tego polecenia może potrwać minutę lub dwie.

    az network application-gateway rule create \
        --resource-group $rgName \
        --gateway-name gw-shipping \
        --name https-rule \
        --address-pool ap-backend \
        --http-listener https-listener \
        --http-settings https-settings \
        --rule-type Basic \
        --priority 102
    

Testowanie bramy aplikacji

  1. Pobierz publiczny adres URL bramy aplikacji.

    echo https://$(az network public-ip show \
      --resource-group $rgName \
      --name appgwipaddr \
      --query ipAddress \
      --output tsv)
    
  2. Przejdź do tego adresu URL w przeglądarce internetowej.

    Tak jak poprzednio, w przeglądarce może zostać wyświetlony komunikat ostrzegawczy z informacją, że połączenie SSL używa nieuwierzytelnionego certyfikatu. To ostrzeżenie jest wyświetlane, ponieważ certyfikat jest z podpisem własnym. Możesz zignorować to ostrzeżenie i przejść do witryny internetowej.

  3. Sprawdź, czy zostanie wyświetlona strona główna portalu wysyłkowego.

Skonfigurowano odbiornik do nasłuchiwania na porcie 443 i odszyfrowywania danych gotowych do przekazania do puli zaplecza. Te dane są ponownie szyfrowane podczas ich przesyłania z bramy do serwera w puli zaplecza. Po wprowadzeniu tego odbiornika skonfigurowaliśmy kompleksowe szyfrowanie dla portalu wysyłkowego.

W razie potrzeby możesz usunąć te zasoby. Najprostszym sposobem usunięcia wszystkich zasobów utworzonych w tym module jest po prostu usunięcie grupy zasobów.