Tworzenie i konfigurowanie usługi Application Gateway
Usługa Application Gateway zawiera szereg składników, które są łączone w celu kierowania żądań do puli serwerów internetowych i sprawdzania kondycji tych serwerów. Przyjrzyjmy się, w jaki sposób te składniki są ze sobą powiązane i jaką pełnią rolę w usłudze Application Gateway.
Adres IP frontonu
Żądania klientów są odbierane za pośrednictwem adresu IP frontonu. Możesz skonfigurować bramę aplikacji w taki sposób, aby miała publiczny adres IP, prywatny adres IP lub oba te adresy. Usługa Application Gateway może mieć maksymalnie jeden publiczny i jeden prywatny adres IP.
Odbiorniki
Usługa Application Gateway używa co najmniej jednego odbiornika do odbierania żądań przychodzących. Odbiornik akceptuje ruch przychodzący na podstawie określonej kombinacji protokołu, portu, hosta i adresu IP. Każdy odbiornik kieruje żądania do puli zaplecza serwerów zgodnie z określonymi przez Ciebie regułami routingu. Odbiornik może być podstawowy lub wielowitrynowy. Odbiornik podstawowy kieruje żądania tylko na podstawie ścieżki w adresie URL. Odbiornik z wieloma lokacjami może również kierować żądania przy użyciu elementu nazwa hosta adresu URL.
Odbiorniki obsługują również certyfikaty SSL w celu zabezpieczania aplikacji między użytkownikiem a bramą Application Gateway.
Reguły routingu
Reguła routingu wiąże odbiornik z pulami zaplecza. Reguła określa, jak interpretować elementy nazwy hosta i ścieżki w adresie URL żądania oraz jak kierować żądanie do odpowiedniej puli zaplecza. Reguła routingu ma również skojarzony zestaw ustawień protokołu HTTP. Te ustawienia wskazują, czy ruch jest szyfrowany (a jeśli tak, to w jaki sposób) między usługą Application Gateway a serwerami zaplecza, oraz określają inne informacje o konfiguracji, takie jak:
- Protokół (HTTP lub HTTPS).
- Lepkość sesji w celu przekazania wszystkich żądań w sesji klienta do tego samego serwera internetowego, a nie ich dystrybucji między serwerami za pomocą modułu równoważenia obciążenia.
- Opróżnianie połączeń w celu umożliwienia bezproblemowego usuwania serwerów z puli zaplecza.
- Limitu czasu żądania (w sekundach).
- Sondy kondycji, określając adres URL sondy, okresy przekroczenia limitu czasu i inne parametry używane do określenia, czy serwer w puli zaplecza jest dostępny.
Pule zaplecza
Pula zaplecza odwołuje się do kolekcji serwerów internetowych. Podczas konfigurowania puli podajesz adres IP poszczególnych serwerów internetowych oraz port, na którym nasłuchują one żądań. Poszczególne pule mogą określać ustalony zestaw maszyn wirtualnych, zestaw skalowania maszyn wirtualnych, aplikację hostowaną przez usługę Azure App Services lub kolekcję serwerów lokalnych. Z każdą pulą zaplecza skojarzony jest moduł równoważenia obciążenia, który dystrybuuje pracę w ramach puli.
Zapora aplikacji internetowej
Zapora aplikacji internetowej to opcjonalny składnik, który obsługuje żądania przychodzące zanim dotrą one do odbiornika. Zapora aplikacji internetowej sprawdza każde żądanie pod kątem wielu typowych zagrożeń na podstawie projektu Open Web Application Security Project (OWASP). Są to:
- Wstrzykiwanie kodu SQL
- Skrypty między witrynami
- Wstrzykiwanie poleceń
- Przemycanie żądań HTTP
- Rozdzielanie odpowiedzi HTTP
- Włączenie plików zdalnych
- Boty, przeszukiwarki i skanery
- Naruszenia i anomalie protokołu HTTP
Program OWASP zdefiniował zestaw ogólnych reguł wykrywania ataków nazywanych podstawowym zestawem reguł (CRS). Zestawy reguł są pod stałą kontrolą, ponieważ metody ataków są coraz bardziej wyszukane. Zapora aplikacji internetowej obsługuje dwa zestawy reguł: CRS 2.2.9 i CRS 3.0. Zestaw CRS 3.0 jest zestawem domyślnym i jest nowszy niż zestaw CRS 2.2.9. Jeśli to konieczne, możesz zdecydować się na wybranie tylko określonego zestawu reguł dotyczącego określonych zagrożeń. Ponadto możesz dostosować zaporę w taki sposób, aby określić elementy w żądaniu, które mają być sprawdzane, oraz ograniczyć rozmiar komunikatów w celu zapobiegania przeciążaniu serwerów przez masowe operacje przekazywania.
Zaporę aplikacji internetowej można włączyć w usłudze Application Gateway, wybierając warstwę WAF podczas tworzenia bramy.
Sondy kondycji
Sondy kondycji są ważnym elementem pomagającym modułowi równoważenia obciążenia określić, które serwery są dostępne do równoważenia obciążenia w puli zaplecza. Usługa Application Gateway używa sondy kondycji do wysłania żądania do serwera. Jeśli serwer zwraca odpowiedź HTTP z kodem stanu z zakresu od 200 do 399, serwer jest uznawany za będący w dobrej kondycji.
Jeśli nie skonfigurujesz sondy kondycji, usługa Application Gateway utworzy domyślną sondę, która będzie oczekiwać przez 30 sekund przed podjęciem decyzji, że serwer jest niedostępny.
Wymagania dotyczące sieci związane z usługą Application Gateway
Usługa Application Gateway wymaga sieci wirtualnej, w której będzie działać. Przed skonfigurowaniem bramy Application Gateway należy utworzyć tę sieć wirtualną i dedykowaną podsieć. Usługa Application Gateway używa wielu prywatnych adresów do użytku wewnętrznego i komunikacji z każdym wystąpieniem, jeśli brama jest skalowana w poziomie. Jeśli na przykład planujesz skalowanie w górę do czterech wystąpień, utwórz podsieć rozmiaru /28. Jeśli prawdopodobne jest skalowanie do większej liczby wystąpień, utwórz większą podsieć.
Możesz uwidocznić usługę Application Gateway za pośrednictwem publicznego adresu IP lub zachować ją prywatną, nadając jej tylko prywatny adres IP wewnątrz sieci wirtualnej. Jest to przydatne w przypadku witryn wewnętrznych, które mają używać usługi Application Gateway do zapewniania równoważenia obciążenia.
Opcje usługi Application Gateway
Bramę Application Gateway można utworzyć w warstwie Standardowa lub w warstwie Zapora aplikacji internetowej. Możesz również wybrać trzy rozmiary z różną wydajnością, ceną i skalowalnością: Mały, Średni i Duży.
Warstwy Standardowa i Zapora aplikacji internetowej są dostępne w dwóch wersjach: 1 i 2. Wersja 2 obsługuje strefy dostępności platformy Azure, ale jest obecnie w wersji zapoznawczej.
Usługa Application Gateway obsługuje skalowanie ręczne i autoskalowanie. Jeśli zostanie wybrane autoskalowanie, skala dla usługi Application Gateway będzie automatycznie zwiększana i zmniejszana w poziomie zgodnie z ruchem w aplikacji. Możesz ograniczyć maksymalną i minimalną liczbę wystąpień bramy Application Gateway.
Tworzenie i konfigurowanie bramy
Bramę Application Gateway możesz utworzyć i skonfigurować przy użyciu witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure. W przypadku interfejsu wiersza polecenia platformy Azure użyj polecenia az network application-gateway create, aby utworzyć nową bramę. Jeśli wolisz korzystać z programu PowerShell, możesz użyć polecenia cmdlet New-AzApplicationGateway. Do wykonania większości operacji możesz również użyć witryny Azure Portal.
Konfigurację składników bramy możesz sprawdzać i modyfikować przy użyciu poleceń az network application-gateway http-listener, az network application-gateway rule, az network application-gateway address-pool, az network application-gateway http-settings i az network application-gateway front-end-port z poziomu interfejsu wiersza polecenia platformy Azure. Seria poleceń cmdlet Get-AzApplicationGateway* i Set-AzApplicationGateway* zapewnia te same operacje dla programu PowerShell.
Utwórzmy i skonfigurujmy bramę Application Gateway dla wdrożonych witryn internetowych działu pojazdów mechanicznych.