Habilitar TLS de entrada no aplicativo para um aplicativo

Nota

Os planos Basic, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de aposentadoria de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte o anúncio de aposentadoria do Azure Spring Apps.

O plano de consumo padrão e dedicado será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte Migrar consumo padrão e plano dedicado do Azure Spring Apps para Aplicativos de Contêiner do Azure.

Este artigo aplica-se a: ❎ Basic ✅ Standard ✅ Enterprise

Nota

Este recurso não está disponível no plano Básico.

Este artigo descreve comunicações seguras no Azure Spring Apps. O artigo também explica como habilitar o SSL/TLS de entrada no aplicativo para proteger o tráfego de um controlador de entrada para aplicativos que suportam HTTPS.

A imagem a seguir mostra o suporte geral de comunicação segura no Azure Spring Apps.

Modelo de comunicação seguro no Azure Spring Apps

Esta seção explica o modelo de comunicação segura mostrado no diagrama de visão geral acima.

1. A solicitação do cliente do cliente para o aplicativo no Azure Spring Apps entra no controlador de entrada. A solicitação pode ser HTTP ou HTTPS. O certificado TLS retornado pelo controlador de entrada é emitido pela CA emissora de TLS do Microsoft Azure.

   Se o aplicativo tiver sido mapeado para um domínio personalizado existente e estiver configurado apenas como HTTPS, a solicitação para o controlador de entrada só poderá ser HTTPS. O certificado TLS retornado pelo controlador de entrada é o certificado de vinculação SSL para esse domínio personalizado. A verificação SSL/TLS do lado do servidor para o domínio personalizado é feita no controlador de entrada.

2. A comunicação segura entre o controlador de entrada e os aplicativos no Azure Spring Apps é controlada pelo TLS de entrada no aplicativo. Você também pode controlar a comunicação através do portal ou CLI, que será explicado mais adiante neste artigo. Se o TLS de entrada no aplicativo estiver desabilitado, a comunicação entre o controlador de entrada e os aplicativos no Azure Spring Apps será HTTP. Se o TLS de entrada no aplicativo estiver habilitado, a comunicação será HTTPS e não terá relação com a comunicação entre os clientes e o controlador de entrada. O controlador de entrada não verificará o certificado retornado dos aplicativos porque o TLS de entrada no aplicativo criptografa a comunicação.

3. A comunicação entre os aplicativos e os serviços do Azure Spring Apps é sempre HTTPS e tratada pelo Azure Spring Apps. Esses serviços incluem o servidor de configuração, o registro de serviço e o servidor Eureka.

4. Você gerencia a comunicação entre os aplicativos. Você também pode aproveitar os recursos do Azure Spring Apps para carregar certificados no repositório confiável do aplicativo. Para obter mais informações, consulte Usar certificados TLS/SSL em um aplicativo.

5. Você gerencia a comunicação entre aplicativos e serviços externos. Para reduzir seu esforço de desenvolvimento, o Azure Spring Apps ajuda você a gerenciar seus certificados públicos e os carrega no repositório confiável do seu aplicativo. Para obter mais informações, consulte Usar certificados TLS/SSL em um aplicativo.

Habilitar TLS de entrada no aplicativo para um aplicativo

A seção a seguir mostra como habilitar SSL/TLS de entrada no aplicativo para proteger o tráfego de um controlador de entrada para aplicativos que suportam HTTPS.

Pré-requisitos

• Uma instância implantada do Azure Spring Apps. Siga nosso início rápido na implantação por meio da CLI do Azure para começar.
• Se você não estiver familiarizado com o TLS de entrada no aplicativo, consulte o exemplo de TLS de ponta a ponta.
• Para carregar com segurança os certificados necessários em aplicativos Spring Boot, você pode usar spring-cloud-azure-starter-keyvault-certificates.

Habilitar TLS de entrada no aplicativo em um aplicativo existente

Use o comando az spring app update --enable-ingress-to-app-tls para habilitar ou desabilitar o TLS de entrada no aplicativo para um aplicativo.

az spring app update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app update --enable-ingress-to-app-tls false -n app_name -s service_name -g resource_group_name

Habilite o TLS de entrada no aplicativo quando você vincula um domínio personalizado

Use o comando az spring app custom-domain update --enable-ingress-to-app-tls ou az spring app custom-domain bind --enable-ingress-to-app-tls para habilitar ou desabilitar o TLS de entrada no aplicativo para um aplicativo.

az spring app custom-domain update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app custom-domain bind --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name

Habilitar TLS de entrada no aplicativo usando o portal do Azure

Para habilitar o TLS de entrada no aplicativo no portal do Azure, primeiro crie um aplicativo e, em seguida, habilite o recurso.

1. Crie um aplicativo no portal como faria normalmente. Navegue até ele no portal.
2. Role para baixo até o grupo Configurações no painel de navegação esquerdo.
3. Selecione TLS de entrada no aplicativo.
4. Mude o TLS de entrada no aplicativo para Sim.

Verificar o status do TLS de entrada no aplicativo

Use o comando az spring app show para verificar o valor de enableEndToEndTls.

az spring app show -n app_name -s service_name -g resource_group_name

Próximos passos

Acessar o Servidor de Configuração e o Registro de Serviço