Упражнение. Настройка прослушивателя шлюза приложений для шифрования

  • 10 мин

Теперь, когда вы настроили сертификаты для шлюза приложений Azure и внутреннего пула, можно создать прослушиватель для обработки входящих запросов. Прослушиватель ожидает сообщений, расшифровывает их с помощью закрытого ключа, а затем направляет эти сообщения в внутренний пул.

В этом уроке вы настроите прослушиватель с портом 443 и SSL-сертификатом, созданным в первом упражнении. На следующем рисунке показаны элементы, которые вы настроили в рамках этого упражнения.

схема, которая выделяет элементы (интерфейсный порт, SSL-сертификат для шлюза приложений, прослушивателя и правила), созданные в этом упражнении.

Настройка прослушивателя

  1. Выполните следующую команду, чтобы создать интерфейсный порт (443) для шлюза:

    az network application-gateway frontend-port create \
  --resource-group $rgName \
  --gateway-name gw-shipping \
  --name https-port \
  --port 8443

  2. Отправьте SSL-сертификат для шлюза приложений. Сценарий установки создал этот сертификат в предыдущем упражнении. Сертификат хранится в файле appgateway.pfx в папке server-config.

    Пароль, созданный для файла .pfx, somepassword. Не изменяйте его в следующей команде.

    az network application-gateway ssl-cert create \
   --resource-group $rgName \
   --gateway-name gw-shipping \
   --name appgateway-cert \
   --cert-file server-config/appgateway.pfx \
   --cert-password somepassword

  3. Выполните следующую команду, чтобы создать прослушиватель, который принимает входящий трафик через порт 443. Прослушиватель использует сертификат appgateway-cert для расшифровки сообщений.

    az network application-gateway http-listener create \
  --resource-group $rgName \
  --gateway-name gw-shipping \
  --name https-listener \
  --frontend-port https-port \
  --ssl-cert appgateway-cert

  4. Выполните следующую команду, чтобы создать правило, которое направляет трафик, полученный через новый прослушиватель, в серверный пул. Эта команда может занять минуту или две.

    az network application-gateway rule create \
    --resource-group $rgName \
    --gateway-name gw-shipping \
    --name https-rule \
    --address-pool ap-backend \
    --http-listener https-listener \
    --http-settings https-settings \
    --rule-type Basic \
    --priority 102

Тестирование шлюза приложений

  1. Получение общедоступного URL-адреса шлюза приложений.

    echo https://$(az network public-ip show \
  --resource-group $rgName \
  --name appgwipaddr \
  --query ipAddress \
  --output tsv)

  2. Перейдите по URL-адресу в веб-браузере.

    Как и раньше, в браузере может появиться предупреждение о том, что SSL-подключение использует неавтодентизованный сертификат. Это предупреждение отображается, так как сертификат самозаверяется. Это предупреждение можно игнорировать и продолжить на веб-сайте.

  3. Убедитесь, что откроется домашняя страница портала доставки.

Вы настроили прослушиватель для прослушивания порта 443 и расшифровки данных, готовых к передаче в внутренний пул. Данные повторно шифруются при передаче из шлюза на сервер в серверном пуле. Установив этот прослушиватель, вы настроили сквозное шифрование для службы доставки.

При необходимости эти ресурсы можно удалить. Самый простой способ удалить все ресурсы, созданные в этом модуле, — просто удалить группу ресурсов.