Integrar o Ambiente do Serviço de Aplicativo do ILB com o Gateway de Aplicativo do Azure
O Ambiente do Serviço de Aplicativo é uma implantação do Serviço de Aplicativo do Azure na sub-rede da rede virtual do Azure de um cliente. Ele pode ser implantado com um ponto de extremidade externo ou interno para acesso ao aplicativo. A implantação do ambiente do Serviço de Aplicativo com um ponto de extremidade interno é chamado de ASE (ambiente do Serviço de Aplicativo) do ILB (balanceador de carga interno).
Firewalls do aplicativo Web ajudam na segurança do aplicativos Web ao inspecionar o tráfego de entrada da Web para bloquear injeções de SQL, script entre sites, uploads de malware, DDoS de aplicativo e outros ataques. Obtenha um dispositivo WAF no Microsoft Azure Marketplace ou use o Gateway de Aplicativo do Azure.
O Gateway de Aplicativo do Azure é uma solução de virtualização que fornece proteção de balanceamento de carga de camada 7, descarregamento de TLS/SSL e WAF (firewall do aplicativo Web). Ele pode escutar em um endereço IP público e rotear tráfego para o ponto de extremidade do aplicativo. As informações a seguir descrevem como integrar um gateway de aplicativo com WAF configurado a um aplicativo em um ambiente de Serviço de Aplicativo do ILB.
A integração do gateway de aplicativo com o ambiente de Serviço de Aplicativo do ILB acontece no nível do aplicativo. A configuração do gateway de aplicativo com o seu ambiente de Serviço de Aplicativo do ILB ocorre com aplicativos específicos desse ambiente. Essa técnica permite hospedar aplicativos multilocatário seguros em um único ambiente do Serviço de Aplicativo do ILB.
Neste passo a passo, você vai:
- Criar um Gateway de Aplicativo do Azure.
- Configurar o gateway de aplicativo para apontar para um aplicativo no ambiente do Serviço de Aplicativo do ILB.
- Editar o nome do host DNS público que aponta para o gateway de aplicativo.
Pré-requisitos
Para integrar o gateway de aplicativo ao ambiente do Serviço de Aplicativo do ILB, é necessário:
- Um ambiente do Serviço de Aplicativo do ILB.
- Uma zona DNS privada para o ambiente do Serviço de Aplicativo do ILB.
- Um aplicativo em execução no ambiente do Serviço de Aplicativo do ILB.
- Um nome DNS público que é usado posteriormente para apontar para o gateway do seu aplicativo.
- Se precisar usar a criptografia TLS/SSL para o gateway de aplicativo, será necessário um certificado público válido usado para se associar ao gateway de aplicativo.
Ambiente do Serviço de Aplicativo do ILB
Confira detalhes de como criar um ambiente do Serviço de Aplicativo do ILB em Criar um ASE no portal do Azure e Criar um ASE com um modelo do ARM.
Após a criação do ASE do ILB, o domínio padrão será
<YourAseName>.appserviceenvironment.net.
Um balanceador de carga interno é provisionado para acesso de entrada. O endereço de entrada pode ser verificado nos endereços IP nas Configurações do ASE. É possível criar uma zona DNS privada mapeada para esse endereço IP posteriormente.
Uma zona DNS privada
É necessário uma zona DNS privada para resolução interna de nomes. Crie uma usando o nome do ASE por meio dos conjuntos de registros mostrados na tabela a seguir. Confira instruções em Início Rápido – Criar uma zona DNS privada do Azure usando o portal do Azure.
| Nome | Tipo | Valor |
|---|---|---|
| * | Um | Endereço de entrada do ASE |
| @ | Um | Endereço de entrada do ASE |
| @ | SOA | Nome DNS do ASE |
| *.scm | Um | Endereço de entrada do ASE |
Serviço de Aplicativo no ASE do ILB
É preciso criar um Plano do Serviço de Aplicativo e um aplicativo no ASE do ILB. Ao criar o aplicativo no portal, selecione como Região o ASE do ILB.
Um nome DNS público para o gateway de aplicativo
É necessário um nome de domínio roteável para se conectar ao gateway de aplicativo na Internet. Nesse caso, usei um nome de domínio estável asabuludemo.com e planejamento para me conectar a um Serviço de Aplicativo com este nome de domínio app.asabuludemo.com. O endereço IP mapeado para este nome de domínio de aplicativo precisa ser definido como o endereço IP público do gateway de aplicativo após a criação do gateway de aplicativo.
Com um domínio público mapeado para o gateway de aplicativo, não é preciso configurar um domínio personalizado no Serviço de Aplicativo. É possível comprar um nome de domínio personalizado nos Domínios do Serviço de Aplicativo.
Um certificado público válido
Para aprimoramento da segurança, é recomendável associar o certificado TLS/SSL à criptografia de sessão. Para associar o certificado TLS/SSL ao gateway de aplicativo, é necessário um certificado público válido com as informações a seguir. Com os Certificados do Serviço de Aplicativo, pode-se comprar um certificado TLS/SSL e exportá-lo no formato .pfx.
| Nome | Valor | Descrição |
|---|---|---|
| Nome comum | <yourappname>.<yourdomainname>, por exemplo: app.asabuludemo.com ou *.<yourdomainname>, por exemplo: *.asabuludemo.com |
Um certificado padrão ou um certificado curinga para o gateway de aplicativo |
| Nome Alternativo da Entidade | <yourappname>.scm.<yourdomainname>, por exemplo: app.scm.asabuludemo.com ou *.scm.<yourdomainname>, por exemplo: *.scm.asabuludemo.com |
A rede SAN que permite se conectar ao serviço kudu do Serviço de Aplicativo. Trata-se de uma configuração opcional caso não queira publicar o serviço kudu do Serviço de Aplicativo na Internet. |
O arquivo de certificado deve ter uma chave privada e ser salvo no formato .pfx. Ele será importado para o gateway de aplicativo posteriormente.
Criar um Gateway de Aplicativo
Confira uma criação básica do gateway de aplicativo no Tutorial: Criar um gateway de aplicativo com um Firewall de Aplicativo Web usando o portal do Azure.
Neste tutorial, vamos usar o portal do Azure para criar um gateway de aplicativo com o ambiente do Serviço de Aplicativo do ILB.
No portal do Azure, selecione Novo>Rede>Gateway de Aplicativo para criar um gateway de aplicativo.
Configuração básica
Na lista suspensa Camada, selecione Standard V2 ou WAF V2 para habilitar o recurso WAF no gateway de aplicativo.
Configuração de front-ends
Selecione o tipo de endereço IP de front-end como Público, Privado ou Ambos. Se definir como Privado ou Ambos, será preciso atribuir um endereço IP estático no intervalo de sub-rede do gateway de aplicativo. Nesse caso, definimos como IP público apenas para o ponto de extremidade público.
Endereço IP público – é preciso associar um endereço IP público para o acesso público do gateway de aplicativo. Grave esse endereço IP, pois será preciso adicionar um registro em seu serviço DNS posteriormente.
Configuração de back-ends
Digite um nome de pool de back-end e selecione os Serviços de Aplicativos ou o endereço IP ou o FQDN no Tipo de destino. Nesse caso, definimos como Serviços de aplicativos e selecionamos o nome do Serviço de Aplicativo na lista suspensa de destino.
Definição de configuração
Na definição de Configuração, é preciso adicionar uma regra de roteamento selecionando o ícone Adicionar uma regra de roteamento.
É necessário configurar um Ouvinte e Destinos de back-end em uma regra de roteamento. É possível adicionar um ouvinte HTTP para a implantação de prova de conceito ou adicionar um ouvinte HTTPS para aprimoramento de segurança.
Para se conectar ao gateway de aplicativo com o protocolo HTTP, pode-se criar um ouvinte com as seguintes configurações:
Parâmetro Valor Descrição Nome da regra Por exemplo: http-routingruleNome do roteamento Nome do ouvinte Por exemplo: http-listenerNome do ouvinte IP de front-end Público Para acesso à Internet, defina como Público Protocolo HTTP Não use a criptografia TLS/SSL Porta 80 Porta HTTP padrão Tipo de ouvinte Vários sites Permite a escuta de vários sites no gateway de aplicativo Tipo de Host Múltiplos/Curinga Defina como vários ou nome de site curinga se o tipo de ouvinte estiver definido como vários sites. Nome do host Por exemplo: app.asabuludemo.comDefina como um nome de domínio roteável para o Serviço de Aplicativo 
Para se conectar ao gateway de aplicativo com a criptografia TLS/SSL, pode-se criar um ouvinte com as seguintes configurações:
Parâmetro Valor Descrição Nome da regra Por exemplo: https-routingruleNome do roteamento Nome do ouvinte Por exemplo: https-listenerNome do ouvinte IP de front-end Público Para acesso à Internet, defina como Público Protocolo HTTPS Use a criptografia TLS/SSL Porta 443 Porta HTTPS padrão Configurações de https Carregar um certificado Carregar um certificado contém o CN e a chave privada com o formato .pfx. Tipo de ouvinte Vários sites Permite a escuta de vários sites no gateway de aplicativo Tipo de Host Múltiplos/Curinga Defina como vários ou nome de site curinga se o tipo de ouvinte estiver definido como vários sites. Nome do host Por exemplo: app.asabuludemo.comDefina como um nome de domínio roteável para o Serviço de Aplicativo 
É preciso configurar um Pool de back-end e uma configuração http em Destinos de back-end. O pool de back-end foi configurado em etapas anteriores. Selecione o link Adicionar novo para adicionar uma configuração HTTP.
Configurações de HTTP listadas conforme os detalhes abaixo:
Parâmetro Valor Descrição Nome da configuração de HTTP Por exemplo: https-settingNome da configuração de HTTP Protocolo de back-end HTTPS Use a criptografia TLS/SSL Porta de back-end 443 Porta HTTPS padrão Usar um Certificado de Autoridade de Certificação conhecido Sim O nome de domínio padrão do ASE do ILB é .appserviceenvironment.net, o certificado desse domínio é emitido por uma autoridade de raiz confiável pública. Na configuração de certificado raiz confiável, pode-se definir o uso de um certificado raiz confiável bem conhecido de autoridade de certificação.Substituir por um novo nome do host Sim O cabeçalho do nome do host será substituído na conexão com o aplicativo no ASE do ILB Substituir o nome do host Escolher o nome do host do destino de back-end Ao definir o pool de back-end para o Serviço de Aplicativo, o host pode ser escolhido no destino de back-end Criar investigações personalizadas Não Use investigação de integridade padrão 
Configurar uma integração do gateway de aplicativo com o ASE do ILB
Para acessar o ASE do ILB no gateway de aplicativo, é preciso verificar se uma rede virtual está vinculada a uma zona DNS privada. Se não houver nenhuma rede virtual vinculada à VNet do seu gateway de aplicativo, adicione um link de rede virtual seguindo as próximas etapas.
Configurar links de rede virtual com uma zona DNS privada
- Para configurar o link de rede virtual com a zona DNS privada, acesse o plano de configuração da zona DNS privada. Selecione os Links da rede virtual>Adicionar
- Insira o Nome do link e selecione a assinatura e rede virtual respectiva em que o gateway de aplicativo reside.
- O status de integridade do back-end pode ser confirmado na Integridade do back-end no plano do gateway de aplicativo.
Adicionar um registro DNS público
É preciso configurar um mapeamento DNS adequado ao acessar um gateway de aplicativo da Internet.
- O endereço IP público do gateway de aplicativo pode ser encontrado em Configurações de IP de front-end no plano do gateway de aplicativo.
- Tomando o serviço DNS do Azure como exemplo, você pode adicionar um conjunto de registros para mapear o nome de domínio do aplicativo para o endereço IP público do gateway de aplicativo.
Validar conexão
- Em um acesso por computador da Internet, você pode verificar a resolução de nome do nome de domínio do aplicativo para o endereço IP público do gateway de aplicativo.
- Em um acesso por computador da Internet, teste o acesso à Web em um navegador.
