Конфигурация прослушивателя Шлюза приложений
Примечание.
Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.
Прослушиватель — это логическая сущность, которая проверяет входящие запросы на подключение с помощью порта, протокола, узла и IP-адреса. При настройке прослушивателя необходимо ввести значения, соответствующие значениям во входящем запросе на шлюзе.
При создании шлюза приложений с помощью портала Azure также создается прослушиватель по умолчанию, который выбирает протокол и порт для прослушивателя. По желанию для прослушивателя можно включить поддержку HTTP2. После создания шлюза приложений можно изменить параметры этого прослушивателя по умолчанию (appGatewayHttpListener) или создать новые прослушиватели.
Тип прослушивателя
При создании прослушивателя можно выбрать его тип: базовый или многосайтовый.
Если требуется, чтобы все запросы (для любого домена) были приняты и переданы в серверные пулы, выберите базовый тип. Узнайте, как создать шлюз приложений с базовым прослушивателем.
Если вы хотите перенаправлять запросы в разные серверные пулы на основе заголовка узла или имен узлов, выберите прослушиватель с несколькими сайтами. Шлюз приложений использует заголовки узлов HTTP 1.1 для размещения нескольких веб-сайтов на одном общедоступном IP-адресе и порте. Чтобы отличить запросы на одном порту, необходимо указать имя узла, соответствующее входящего запроса. Дополнительные сведения см. в статье Размещение нескольких сайтов с помощью Шлюза приложений.
Порядок обработки прослушивателей
Для номера SKU версии 1 запросы сопоставляются в соответствии с порядком правил и типом прослушивателя. Если правило с базовым прослушивателем поступает первым, оно обрабатывается первым и будут приниматься все запросы для такого сочетания порта и IP-адреса. Чтобы избежать этого, сначала настройте правила с многосайтовыми прослушивателями, а правило с базовым прослушивателем переместите в нижнюю часть списка.
Для SKU версии 2 прослушиватели с несколькими сайтами обрабатываются перед основными прослушивателями, если не определен приоритет правила. При использовании приоритета правила прослушиватели подстановочных знаков должны быть определены приоритетом с числом, превышающим прослушиватели без подстановочных знаков, чтобы обеспечить выполнение прослушивателей без подстановочных знаков до прослушивателей подстановочных знаков.
Интерфейсный IP-адрес
Выберите внешний IP-адрес, который планируется связать с этим прослушивателем. Прослушиватель будет прослушивать входящие запросы на этом IP-адресе.
Примечание.
Шлюз приложений интерфейс поддерживает IP-адреса с двумя стеками. Вы можете создать до четырех внешних IP-адресов: два IPv4-адреса (общедоступные и частные) и два IPv6-адреса (общедоступные и частные).
Интерфейсный порт
Связывание внешнего порта. Можно выбрать существующий порт или создать новый. Выберите любое значение из разрешенного диапазона портов. Можно использовать не только хорошо известные порты, например 80 и 443, но и любой допустимый настраиваемый порт. Один и тот же порт можно использовать для общедоступных и частных прослушивателей.
Примечание.
При использовании частных и общедоступных прослушивателей с одинаковым номером порта шлюз приложений изменяет "назначение" входящего потока на интерфейсные IP-адреса шлюза. Поэтому в зависимости от конфигурации группы безопасности сети может потребоваться правило входящего трафика с IP-адресами назначения в качестве общедоступных и частных IP-адресов шлюза приложений.
Правило для входящего трафика:
- Источник: (согласно вашему требованию)
- IP-адреса назначения: общедоступные и частные IP-адреса шлюза приложений.
- Порт назначения: (как для конфигурации прослушивателя)
- Протокол: TCP
Правило исходящего трафика: (нет конкретного требования)
Протокол
Выберите HTTP или HTTPS.
При выборе протокола HTTP трафик между клиентом и шлюзом приложений не шифруется.
Выберите HTTPS, если вы хотите использовать завершение сеанса TLS или сквозное шифрование TLS. Трафик между клиентом и шлюзом приложений шифруется, а подключение TLS будет прекращено в шлюзе приложений. Если требуется сквозное шифрование TLS к целевому объекту серверной части, необходимо также выбрать HTTPS в параметре HTTP серверной части. Это гарантирует, что трафик шифруется при запуске шлюза приложений подключения к целевому объекту серверной части.
Чтобы настроить завершение TLS, необходимо добавить в прослушиватель сертификат TLS/SSL. Это позволяет Шлюз приложений расшифровать входящий трафик и зашифровать трафик ответа клиенту. Сертификат, предоставленный Шлюз приложений, должен находиться в формате PFX, который содержит как закрытые, так и открытые ключи.
Примечание.
При использовании сертификата TLS из Key Vault для прослушивателя необходимо убедиться, что Шлюз приложений всегда имеет доступ к этому связанному ресурсу хранилища ключей и объекту сертификата внутри него. Это позволяет легко выполнять операции завершения TLS и поддерживать общую работоспособность ресурса шлюза. Если ресурс шлюза приложений обнаруживает неправильно настроенное хранилище ключей, он автоматически помещает связанные прослушиватель HTTPS в отключенное состояние. Подробнее.
Поддерживаемые сертификаты
См. обзор завершения сеансов TLS и использования сквозного режима TLS в Шлюзе приложений.
Поддержка дополнительных протоколов
Поддержка HTTP2
Поддержка протокола HTTP/2 доступна только для клиентов, подключающихся к прослушивателям шлюза приложений. Обмен данными с внутренними пулами серверов всегда имеет значение HTTP/1.1. Поддержка HTTP/2 отключена по умолчанию. В следующем фрагменте кода Azure PowerShell показано, как ее включить.
$gw = Get-AzApplicationGateway -Name test -ResourceGroupName hm
$gw.EnableHttp2 = $true
Set-AzApplicationGateway -ApplicationGateway $gw
Вы также можете включить поддержку HTTP2 с помощью портал Azure, выбрав в разделе HTTP2 в разделе "Конфигурация шлюза > приложений".
Поддержка WebSocket
Поддержка WebSocket включена по умолчанию. Настраиваемый пользователем параметр для включения или отключения поддержки отсутствует. Сокеты WebSocket можно использовать с прослушивателями HTTP и HTTPS.
Пользовательские страницы ошибок
Можно определить настраиваемые страницы ошибок для различных кодов ответов, возвращаемых Шлюз приложений. Коды ответов, для которых можно настроить страницы ошибок: 400, 403, 405, 408, 500, 502, 503 и 504. Вы можете использовать конфигурацию страницы ошибок глобального уровня или прослушивателя, чтобы задать их детально для каждого прослушивателя. Дополнительные сведения см. в статье Create Application Gateway custom error pages (Создание пользовательских страниц ошибок с помощью Шлюза приложений).
Примечание.
Ошибка, возникающая с серверного сервера, передается неизмененному Шлюз приложений клиенту.
Политика TLS
Вы можете централизованно управлять СЕРТИФИКАТами TLS/SSL и уменьшать затраты на расшифровку шифрования для серверной фермы серверов. Централизованная обработка TLS также дает возможность задать центральную политику TLS в соответствии с требованиями безопасности. Вы можете выбрать предопределенную или настраиваемую политику TLS.
Политику TLS можно настроить для управления версиями протокола TLS. Шлюз приложений можно настроить для использования минимальной версии протокола для подтверждения TLS из TLS1.0, TLS1.1, TLS1.2 и TLS1.3. По умолчанию протоколы SSL версий 2.0 и 3.0 отключены и их настройки нельзя изменить. Дополнительные сведения см. в статье Общие сведения о политике TLS для Шлюза приложений.
После создания прослушивателя его необходимо связать с правилом маршрутизации запросов. Это правило определяет, как запросы, получаемые в прослушивателе, направляются в серверную часть.