Exponera program på Internet med TLS-avslutning på Application Gateway
Kommentar
Basic-, Standard- och Enterprise-planerna kommer att vara inaktuella från och med mitten av mars 2025, med en 3-årig pensionsperiod. Vi rekommenderar att du övergår till Azure Container Apps. Mer information finns i meddelandet om azure Spring Apps-pensionering.
Standardförbrukningen och den dedikerade planen kommer att vara inaktuell från och med den 30 september 2024, med en fullständig avstängning efter sex månader. Vi rekommenderar att du övergår till Azure Container Apps. Mer information finns i Migrera Azure Spring Apps Standard-förbrukning och dedikerad plan till Azure Container Apps.
Den här artikeln beskriver hur du exponerar program på Internet med Application Gateway.
När en Azure Spring Apps-tjänstinstans distribueras i ditt virtuella nätverk (VNET) är program på tjänstinstansen endast tillgängliga i det privata nätverket. För att göra programmen tillgängliga på Internet måste du integrera med Azure Application Gateway. Inkommande krypterad trafik kan dekrypteras vid programgatewayen eller skickas till Azure Spring Apps krypterad för att uppnå TLS/SSL från slutpunkt till slutpunkt. I utvecklings- och testsyfte kan du börja med SSL-avslutning vid programgatewayen, som beskrivs i den här guiden. För produktion rekommenderar vi TLS/SSL från slutpunkt till slutpunkt med privat certifikat, enligt beskrivningen i Exponera program med TLS från slutpunkt till slutpunkt i ett virtuellt nätverk.
Förutsättningar
- Azure CLI version 2.0.4 och senare.
- En Azure Spring Apps-tjänstinstans som distribueras i ett virtuellt nätverk med ett program som är tillgängligt via det privata nätverket med standarddomänsuffixet
.private.azuremicroservices.io
. Mer information finns i Distribuera Azure Spring Apps i ett virtuellt nätverk - En anpassad domän som ska användas för att komma åt programmet.
- Ett certifikat som lagras i Key Vault och som matchar den anpassade domän som ska användas för att upprätta HTTPS-lyssnaren. Mer information finns i Självstudie: Importera ett certifikat i Azure Key Vault.
Konfigurera Application Gateway för Azure Spring Apps
Vi rekommenderar att domännamnet, som det visas i webbläsaren, är samma som det värdnamn som Application Gateway använder för att dirigera trafik till Azure Spring Apps-serverdelen. Den här rekommendationen ger den bästa upplevelsen när du använder Application Gateway för att exponera program som finns i Azure Spring Apps och som finns i ett virtuellt nätverk. Om domänen som exponeras av Application Gateway skiljer sig från den domän som accepteras av Azure Spring Apps kan cookies och genererade omdirigerings-URL:er (till exempel) brytas. Mer information finns i Bevarande av värdnamn.
Använd följande steg för att konfigurera Application Gateway framför Azure Spring Apps i ett privat virtuellt nätverk.
- Följ anvisningarna i Distribuera Azure Spring Apps i ett virtuellt nätverk.
- Följ anvisningarna i Access your application in a private network (Åtkomst till ditt program i ett privat nätverk).
- Skaffa ett certifikat för valfri domän och lagra det i Key Vault. Mer information finns i Självstudie: Importera ett certifikat i Azure Key Vault.
- Konfigurera en anpassad domän och motsvarande certifikat från Key Vault i en app som distribueras till Azure Spring Apps. Mer information finns i Självstudie: Mappa en befintlig anpassad domän till Azure Spring Apps.
- Distribuera Application Gateway i ett virtuellt nätverk som konfigurerats enligt följande lista:
- Använd Azure Spring Apps i serverdelspoolen, som refereras av domänsuffixet med
private.azuremicroservices.io
. - Inkludera en HTTPS-lyssnare med samma certifikat från Key Vault.
- Konfigurera det virtuella nätverket med HTTP-inställningar som använder det anpassade domännamnet som konfigurerats i Azure Spring Apps i stället för domänsuffixet med
private.azuremicroservices.io
.
- Använd Azure Spring Apps i serverdelspoolen, som refereras av domänsuffixet med
- Konfigurera din offentliga DNS så att den pekar på programgatewayen.
Definiera variabler
Använd sedan följande kommandon för att definiera variabler för resursgruppen och det virtuella nätverk som du skapade enligt anvisningarna i Distribuera Azure Spring Apps i ett virtuellt nätverk. <Ersätt platshållarna ...> med verkliga värden baserat på din faktiska miljö. När du definierar SPRING_APP_PRIVATE_FQDN
tar du bort https://
från URI:n.
export SUBSCRIPTION='<subscription-id>'
export RESOURCE_GROUP='<resource-group-name>'
export LOCATION='eastus'
export SPRING_CLOUD_NAME='<name-of-Azure-Spring-Apps-instance>'
export APPNAME='<name-of-app-in-Azure-Spring-Apps>'
export SPRING_APP_PRIVATE_FQDN='$APPNAME.private.azuremicroservices.io'
export VIRTUAL_NETWORK_NAME='azure-spring-apps-vnet'
export APPLICATION_GATEWAY_SUBNET_NAME='app-gw-subnet'
export APPLICATION_GATEWAY_SUBNET_CIDR='10.1.2.0/24'
Logga in på Azure
Använd följande kommando för att logga in på Azure CLI och välja din aktiva prenumeration.
az login
az account set --subscription $SUBSCRIPTION
Konfigurera det offentliga domännamnet i Azure Spring Apps
Trafik anger programmet som distribueras i Azure Spring Apps med hjälp av det offentliga domännamnet. Om du vill konfigurera ditt program att lyssna på det här värdnamnet via HTTP använder du följande kommandon för att lägga till en anpassad domän i din app och ersätter <platshållarna ...> med verkliga värden:
export KV_NAME='<name-of-key-vault>'
export KV_RG='<resource-group-name-of-key-vault>'
export CERT_NAME_IN_KV='<name-of-certificate-with-intermediaries-in-key-vault>'
export DOMAIN_NAME=myapp.mydomain.com
az spring app custom-domain bind \
--resource-group $RESOURCE_GROUP \
--service $SPRING_CLOUD_NAME \
--domain-name $DOMAIN_NAME \
--app $APPNAME
Skapa nätverksresurser
Den programgateway som ska skapas ansluter till samma virtuella nätverk som Azure Spring Apps-tjänstinstansen. Skapa först ett nytt undernät för programgatewayen i det virtuella nätverket och skapa sedan en offentlig IP-adress som klientdel för programgatewayen, som du ser i följande exempel.
export APPLICATION_GATEWAY_PUBLIC_IP_NAME='app-gw-public-ip'
az network vnet subnet create \
--name $APPLICATION_GATEWAY_SUBNET_NAME \
--resource-group $RESOURCE_GROUP \
--vnet-name $VIRTUAL_NETWORK_NAME \
--address-prefix $APPLICATION_GATEWAY_SUBNET_CIDR
az network public-ip create \
--resource-group $RESOURCE_GROUP \
--location $LOCATION \
--name $APPLICATION_GATEWAY_PUBLIC_IP_NAME \
--allocation-method Static \
--sku Standard
Skapa en hanterad identitet för programgatewayen
Din programgateway måste kunna komma åt Key Vault för att kunna läsa certifikatet. För att göra detta använder programgatewayen en användartilldelad hanterad identitet. Mer information finns i Vad är hanterade identiteter för Azure-resurser? Skapa den hanterade identiteten med hjälp av följande kommando och ersätt platshållaren ...> :<
export APPGW_IDENTITY_NAME='<name-for-appgw-managed-identity>'
az identity create \
--resource-group $RESOURCE_GROUP \
--name $APPGW_IDENTITY_NAME
Använd sedan följande kommando för att hämta objectId
för den hanterade identiteten. Det här värdet används senare för att ge behörighet att komma åt certifikatet i Key Vault.
export APPGW_IDENTITY_CLIENTID=$(az identity show \
--resource-group $RESOURCE_GROUP \
--name $APPGW_IDENTITY_NAME \
--query clientId \
--output tsv)
export APPGW_IDENTITY_OID=$(az ad sp show \
--id $APPGW_IDENTITY_CLIENTID \
--query objectId \
--output tsv)
Ange princip för Key Vault
Konfigurera Key Vault med följande kommando så att den hanterade identiteten för programgatewayen får åtkomst till certifikatet som lagras i Key Vault:
az keyvault set-policy \
--resource-group $KV_RG \
--name $KV_NAME \
--object-id $APPGW_IDENTITY_OID \
--secret-permissions get list \
--certificate-permissions get list
Skapa en programgateway
Skapa en programgateway med och az network application-gateway create
ange programmets privata fullständigt kvalificerade domännamn (FQDN) som servrar i serverdelspoolen. Se till att använda den användartilldelade hanterade identiteten och peka på certifikatet i Key Vault med hjälp av certifikatets hemliga ID.
export APPGW_NAME='<name-for-application-gateway>'
export CERT_NAME_IN_KV='<name-of-certificate-in-key-vault>'
export KEYVAULT_SECRET_ID_FOR_CERT=$(az keyvault certificate show \
--name $CERT_NAME_IN_KV \
--vault-name $KV_NAME \
--query sid \
--output tsv)
az network application-gateway create \
--name $APPGW_NAME \
--resource-group $RESOURCE_GROUP \
--location $LOCATION \
--capacity 2 \
--sku Standard_v2 \
--frontend-port 443 \
--http-settings-cookie-based-affinity Disabled \
--http-settings-port 80 \
--http-settings-protocol Http \
--public-ip-address $APPLICATION_GATEWAY_PUBLIC_IP_NAME \
--vnet-name $VIRTUAL_NETWORK_NAME \
--subnet $APPLICATION_GATEWAY_SUBNET_NAME \
--servers $SPRING_APP_PRIVATE_FQDN \
--key-vault-secret-id $KEYVAULT_SECRET_ID_FOR_CERT \
--identity $APPGW_IDENTITY_NAME
Det kan ta upp till 30 minuter för Azure att skapa programgatewayen.
Uppdatera HTTP-inställningarna för att använda domännamnet mot serverdelen
Uppdatera HTTP-inställningarna så att det offentliga domännamnet används som värdnamn i stället för domänsuffixet för .private.azuremicroservices.io
att skicka trafik till Azure Spring Apps med.
az network application-gateway http-settings update \
--resource-group $RESOURCE_GROUP \
--gateway-name $APPGW_NAME \
--host-name-from-backend-pool false \
--host-name $DOMAIN_NAME \
--name appGatewayBackendHttpSettings
Kontrollera distributionen av programgatewayen
När den har skapats kontrollerar du serverdelshälsan med hjälp av följande kommando. Med utdata från det här kommandot kan du avgöra om programgatewayen når ditt program via dess privata fullständigt kvalificerade domännamn (FQDN).
az network application-gateway show-backend-health \
--name $APPGW_NAME \
--resource-group $RESOURCE_GROUP
Utdata anger den felfria statusen för serverdelspoolen, som du ser i följande exempel:
{
"backendAddressPools": [
{
"backendHttpSettingsCollection": [
{
"servers": [
{
"address": "my-azure-spring-apps-hello-vnet.private.azuremicroservices.io",
"health": "Healthy",
"healthProbeLog": "Success. Received 200 status code",
"ipConfiguration": null
}
]
}
]
}
]
}
Konfigurera DNS och få åtkomst till programmet
Konfigurera den offentliga DNS:en så att den pekar på programgatewayen med hjälp av en CNAME- eller A-post. Du hittar den offentliga adressen för programgatewayen med hjälp av följande kommando:
az network public-ip show \
--resource-group $RESOURCE_GROUP \
--name $APPLICATION_GATEWAY_PUBLIC_IP_NAME \
--query [ipAddress] \
--output tsv
Nu kan du komma åt programmet med hjälp av det offentliga domännamnet.
Rensa resurser
Om du planerar att fortsätta arbeta med efterföljande artiklar kanske du vill lämna dessa resurser på plats. Ta bort resursgruppen när den inte längre behövs, vilket tar bort resurserna i resursgruppen. Om du vill ta bort resursgruppen med hjälp av Azure CLI använder du följande kommando:
az group delete --name $RESOURCE_GROUP