為應用程式啟用輸入對應用程式 TLS
注意
基本、標準和企業方案將從 2025 年 3 月中旬開始淘汰,並停用 3 年。 建議您轉換至 Azure Container Apps。 如需詳細資訊,請參閱 Azure Spring Apps 淘汰公告。
標準 耗用量和專用 方案將從 2024 年 9 月 30 日起淘汰,並在六個月後完成關閉。 建議您轉換至 Azure Container Apps。 如需詳細資訊,請參閱 將 Azure Spring Apps 標準取用和專用方案遷移至 Azure Container Apps。
本文適用於: ❎基本 ✅ 標準 ✅ 企業
注意
基本方案不提供這項功能。
本文說明 Azure Spring Apps 中的安全通訊。 本文也說明如何啟用輸入到應用程式 SSL/TLS,以保護從輸入控制器到支援 HTTPS 的應用程式流量。
下圖顯示 Azure Spring Apps 中的整體安全通訊支援。
保護 Azure Spring Apps 內的通訊模型
本節說明上述概觀圖表中顯示的安全通訊模型。
Azure Spring Apps 中用戶端對應用程式的用戶端要求會進入輸入控制器。 要求可以是 HTTP 或 HTTPS。 輸入控制器傳回的 TLS 憑證是由 azure TLS 發行 CA Microsoft所簽發。
如果應用程式已對應至現有的自定義網域,且僅設定為 HTTPS,則對輸入控制器的要求只能是 HTTPS。 輸入控制器傳回的 TLS 憑證是該自定義網域的 SSL 系結憑證。 自訂網域的伺服器端 SSL/TLS 驗證是在輸入控制器中完成。
輸入控制器與 Azure Spring Apps 中的應用程式之間的安全通訊是由輸入對應用程式 TLS 所控制。 您也可以透過入口網站或 CLI 控制通訊,本文稍後將加以說明。 如果停用輸入對應用程式 TLS,輸入控制器與 Azure Spring Apps 中的應用程式之間的通訊會是 HTTP。 如果已啟用輸入對應用程式 TLS,則通訊會是 HTTPS,且與客戶端與輸入控制器之間的通訊無關。 輸入控制器不會驗證從應用程式傳回的憑證,因為輸入到應用程式 TLS 會加密通訊。
應用程式和 Azure Spring Apps 服務之間的通訊一律為 HTTPS,並由 Azure Spring Apps 處理。 這類服務包括組態伺服器、服務登錄和 Eureka 伺服器。
您可以管理應用程式之間的通訊。 您也可以利用 Azure Spring Apps 功能,將憑證載入應用程式的信任存放區。 如需詳細資訊,請參閱 在應用程式中使用 TLS/SSL 憑證。
您可以管理應用程式和外部服務之間的通訊。 為了減少開發工作,Azure Spring Apps 可協助您管理公用憑證,並將其載入應用程式的信任存放區。 如需詳細資訊,請參閱 在應用程式中使用 TLS/SSL 憑證。
為應用程式啟用輸入對應用程式 TLS
下一節說明如何啟用輸入到應用程式 SSL/TLS,以保護從輸入控制器到支援 HTTPS 的應用程式流量。
必要條件
- 已部署的 Azure Spring Apps 執行個體。 請遵循透過 Azure CLI 進行部署的快速入門,以開始使用。
- 如果您不熟悉輸入對應用程式 TLS,請參閱 端對端 TLS 範例。
- 若要將必要的憑證安全地載入 Spring Boot 應用程式,您可以使用 spring-cloud-azure-starter-keyvault-certificates。
在現有的應用程式上啟用輸入對應用程式 TLS
使用 命令 az spring app update --enable-ingress-to-app-tls
來啟用或停用應用程式的輸入對應用程式 TLS。
az spring app update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app update --enable-ingress-to-app-tls false -n app_name -s service_name -g resource_group_name
當您系結自定義網域時,啟用輸入到應用程式 TLS
使用 命令 az spring app custom-domain update --enable-ingress-to-app-tls
,或 az spring app custom-domain bind --enable-ingress-to-app-tls
為應用程式啟用或停用輸入對應用程式 TLS。
az spring app custom-domain update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app custom-domain bind --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
使用 Azure 入口網站 啟用輸入到應用程式 TLS
若要在 Azure 入口網站 中啟用輸入對應用程式 TLS,請先建立應用程式,然後啟用此功能。
- 像平常一樣,在入口網站中建立應用程式。 在入口網站中瀏覽至該應用程式。
- 向下捲動至 左側瀏覽窗格中的 [設定 ] 群組。
- 選取 [輸入到應用程式 TLS]。
- 將輸入轉應用程式 TLS 切換為 [是]。
確認輸入到應用程式 TLS 狀態
使用 命令 az spring app show
來檢查的值 enableEndToEndTls
。
az spring app show -n app_name -s service_name -g resource_group_name