Dela via

Skydda webbappar i Azure VMware Solution med Azure Application Gateway

  • Artikel

Azure Application Gateway är en lastbalanserare för layer 7-webbtrafik som gör att du kan hantera trafik till dina webbprogram, som erbjuds i både Azure VMware Solution v1.0 och v2.0. Båda versionerna har testats med webbappar som körs på Azure VMware Solution.

Funktionerna omfattar:

  • Cookiebaserad sessionstillhörighet
  • URL-baserad routning
  • Brandvägg för webbaserade program (WAF)

En fullständig lista över funktioner finns i Azure Application Gateway-funktioner.

Den här artikeln visar hur du använder Application Gateway framför en webbservergrupp för att skydda en webbapp som körs på Azure VMware Solution.

Topologi

Diagrammet visar hur Application Gateway används för att skydda virtuella Azure IaaS-datorer (VM), Azure Virtual Machine Scale Sets eller lokala servrar. Application Gateway behandlar virtuella Azure VMware Solution-datorer som lokala servrar.

Diagram showing how Application Gateway protects Azure IaaS virtual machines (VMs), Azure Virtual Machine Scale Sets, or on-premises servers.

Viktigt!

Azure Application Gateway är den bästa metoden för att exponera webbappar som körs på virtuella Azure VMware Solution-datorer.

Diagrammet visar testscenariot som används för att verifiera Application Gateway med Azure VMware Solution-webbprogram.

Diagram showing the testing scenario used to validate the Application Gateway with Azure VMware Solution web applications.

Application Gateway-instansen distribueras på hubben i ett dedikerat undernät med en offentlig IP-adress i Azure. Vi rekommenderar att du aktiverar Azure DDoS Protection för det virtuella nätverket. Webbservern finns i ett privat Azure VMware Solution-moln bakom NSX T0- och T1-gatewayer. Dessutom använder Azure VMware Solution ExpressRoute Global Reach för att aktivera kommunikation med hubben och lokala system.

Förutsättningar

  • Ett Azure-konto med en aktiv prenumeration.
  • Ett privat Azure VMware Solution-moln som distribueras och körs.

Distribution och konfiguration

  1. I Azure-portalen söker du efter Application Gateway och väljer Skapa programgateway.

  2. Ange grundläggande information som i följande bild; välj sedan Nästa: Klientdelar>.

    Screenshot showing Create application gateway page in Azure portal.

  3. Välj IP-adresstypen för klientdelen. För offentlig väljer du en befintlig offentlig IP-adress eller skapar en ny. Välj Nästa: Serverdelar>.

    Kommentar

    Endast SKU:er för standard- och webprogrambrandvägg (WAF) stöds för privata klientdelar.

  4. Lägg till en serverdelspool med de virtuella datorer som körs i Azure VMware Solution-infrastrukturen. Ange information om webbservrar som körs i det privata Azure VMware Solution-molnet och välj Lägg till. Välj sedan Nästa: Konfiguration>.

  5. På fliken Konfiguration väljer du Lägg till en routningsregel.

  6. På fliken Lyssnare anger du information för lyssnaren. Om HTTPS har valts måste du ange ett certifikat, antingen från en PFX-fil eller ett befintligt Azure Key Vault-certifikat.

  7. Välj fliken Serverdelsmål och välj den serverdelspool som du skapade tidigare. I fältet HTTP-inställningar väljer du Lägg till ny.

  8. Konfigurera parametrarna för HTTP-inställningarna. Markera Lägga till.

  9. Om du vill konfigurera sökvägsbaserade regler väljer du Lägg till flera mål för att skapa en sökvägsbaserad regel.

  10. Lägg till en sökvägsbaserad regel och välj Lägg till. Upprepa om du vill lägga till fler sökvägsbaserade regler.

  11. När du har lagt till sökvägsbaserade regler väljer du Lägg till igen och sedan Nästa: Taggar>.

  12. Lägg till taggar och välj sedan Nästa: Granska + Skapa>.

  13. En validering körs på din Application Gateway. Om det lyckas väljer du Skapa för att distribuera.

Exempel på konfigurationer

Konfigurera nu Application Gateway med virtuella Azure VMware Solution-datorer som serverdelspooler för följande användningsfall:

Värd för flera webbplatser

Den här proceduren visar hur du definierar serverdelsadresspooler med virtuella datorer som körs i ett privat Azure VMware Solution-moln på en befintlig programgateway.

Kommentar

Den här proceduren förutsätter att du har flera domäner, så vi använder exempel på www.contoso.com och www.contoso2.com.

  1. Skapa två olika pooler med virtuella datorer i ditt privata moln. En representerar Contoso och den andra contoso2.

    Screenshot showing summary of a web server's details in VMware vSphere Client.

    Vi använde Windows Server 2016 med IIS-rollen (Internet Information Services) installerad. När de virtuella datorerna har installerats kör du följande PowerShell-kommandon för att konfigurera IIS på var och en av de virtuella datorerna.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

  2. I en befintlig programgatewayinstans väljer du Serverdelspooler på den vänstra menyn, väljer Lägg till och anger information om de nya poolerna. Välj Lägg till i den högra rutan.

    Screenshot of Backend pools page for adding backend pools.

  3. I avsnittet Lyssnare skapar du en ny lyssnare för varje webbplats. Ange information för varje lyssnare och välj Lägg till.

  4. Till vänster väljer du HTTP-inställningar och väljer Lägg till i den vänstra rutan. Fyll i informationen för att skapa en ny HTTP-inställning och välj Spara.

    Screenshot of HTTP settings page to create a new HTTP setting.

  5. Skapa reglerna i avsnittet Regler på den vänstra menyn. Associera varje regel med motsvarande lyssnare. Markera Lägga till.

  6. Konfigurera motsvarande serverdelspool och HTTP-inställningar. Markera Lägga till.

  7. Testa anslutningen. Öppna den webbläsare du föredrar och navigera till de olika webbplatser som finns i din Azure VMware Solution-miljö.

    Screenshot of browser page showing successful test the connection.

Routning efter URL

Följande steg definierar serverdelsadresspooler med virtuella datorer som körs i ett privat Azure VMware Solution-moln. Det privata molnet finns på en befintlig programgateway. Sedan skapar du routningsregler som ser till att webbtrafiken kommer till lämpliga servrar i poolerna.

  1. I ditt privata moln skapar du en pool för virtuella datorer som representerar webbgruppen.

    Screenshot of page in VMware vSphere Client showing summary of another VM.

    Windows Server 2016 med IIS-rollen installerad användes för att illustrera den här självstudien. När de virtuella datorerna har installerats kör du följande PowerShell-kommandon för att konfigurera IIS för varje virtuell dators självstudie.

    Den första virtuella datorn, contoso-web-01, är värd för huvudwebbplatsen.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

    Den andra virtuella datorn, contoso-web-02, är värd för avbildningswebbplatsen.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "images" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\images\test.htm -Value $($env:computername)

    Den tredje virtuella datorn, contoso-web-03, är värd för videowebbplatsen.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "video" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\video\test.htm -Value $($env:computername)

  2. Lägg till tre nya serverdelspooler i en befintlig programgatewayinstans.

    1. Välj Serverdelspooler på den vänstra menyn.
    2. Välj Lägg till och ange information om den första poolen, contoso-web.
    3. Lägg till en virtuell dator som mål.
    4. Markera Lägga till.
    5. Upprepa den här processen för contoso-images och contoso-video och lägg till en unik virtuell dator som mål.

    Screenshot of Backend pools page showing the addition of three new backend pools.

  3. I avsnittet Lyssnare skapar du en ny lyssnare av typen Basic med port 8080.

  4. I det vänstra navigeringsfönstret väljer du HTTP-inställningar och väljer Lägg till i det vänstra fönstret. Fyll i informationen för att skapa en ny HTTP-inställning och välj Spara.

    Screenshot of Add HTTP setting page showing HTTP settings configuration.

  5. Skapa reglerna i avsnittet Regler på den vänstra menyn och associera varje regel med den tidigare skapade lyssnaren. Konfigurera sedan huvudserverdelspoolen och HTTP-inställningarna och välj sedan Lägg till.

    Screenshot of Add a routing rule page to configure routing rules to a backend target.

  6. Testa konfigurationen. Få åtkomst till programgatewayen på Azure-portalen och kopiera den offentliga IP-adressen i avsnittet Översikt .

    1. Öppna ett nytt webbläsarfönster och ange URL:en http://<app-gw-ip-address>:8080.

      Screenshot of browser page showing successful test of the configuration.

    2. Ändra URL:en till http://<app-gw-ip-address>:8080/images/test.htm.

      Screenshot of another successful test with the new URL.

    3. Ändra URL:en igen till http://<app-gw-ip-address>:8080/video/test.htm.

      Screenshot of successful test with the final URL.

Nästa steg

Nu när du har gått igenom hur du använder Application Gateway för att skydda en webbapp som körs på Azure VMware Solution kan du läsa mer om: