Dela via

Integrera en ILB App Service-miljö med Azure Application Gateway

App Service-miljön är en distribution av Azure App Service i undernätet för kundens virtuella Azure-nätverk. Den kan distribueras med en extern eller intern slutpunkt för appåtkomst. Distributionen av App Service Environment med en intern slutpunkt kallas för en intern lastbalanserare (ILB) App Service Environment.

Brandväggar för webbprogram hjälper dig att skydda dina webbprogram genom att inspektera inkommande webbtrafik för att blockera SQL-inmatningar, skript mellan webbplatser, uppladdning av skadlig kod och program-DDoS och andra attacker. Du kan hämta en WAF-enhet från Azure Marketplace eller använda Azure Application Gateway.

Azure Application Gateway är en virtuell installation som tillhandahåller layer 7-belastningsutjämning, TLS-avlastning och brandväggsskydd för webbprogram (WAF). Den kan lyssna på en offentlig IP-adress och dirigera trafik till programslutpunkten. Följande information beskriver hur du integrerar en WAF-konfigurerad programgateway med en app i en ILB-App Service-miljön.

Integreringen av programgatewayen med ILB-App Service-miljön är på appnivå. När du konfigurerar programgateway med din ILB-App Service-miljö sker det för specifika appar i din ILB-App Service-miljö.

Skärmbild av integrationsdiagram på hög nivå

I den här genomgången kommer du att:

  • Skapa en Azure Application Gateway.
  • Konfigurera programgatewayen så att den pekar på en app i din ILB-App Service-miljön.
  • Redigera det offentliga DNS-värdnamnet som pekar på din programgateway.

Förutsättningar

För att integrera din programgateway med din ILB-App Service-miljön behöver du:

  • En ILB App Service-miljö.
  • En privat DNS-zon för ILB-App Service-miljön.
  • En app som körs i ILB-App Service-miljön.
  • Ett offentligt DNS-namn för din programgateway.
  • Om du behöver använda TLS-kryptering till programgatewayen krävs ett giltigt offentligt certifikat som används för att binda till din programgateway.

ILB App Service-miljö

Mer information om hur du skapar en ILB-App Service-miljön finns i Skapa en App Service-miljön i mallen Azure Portal och Skapa en App Service-miljön med Azure Resource Manager.

  • När ILB-App Service-miljön har skapats är <YourAseName>.appserviceenvironment.netstandarddomänen .

    Skärmbild av översikten över ILB App Service-miljön.

  • En intern lastbalanserare tillhandahålls för inkommande åtkomst. Du kan kontrollera IP-adresserna för inkommande trafik under Inställningar för App Service-miljö. Du kan skapa en privat DNS-zon som mappas till den här IP-adressen senare.

    Skärmbild av att hämta den inkommande adressen från ILB App Service Environment IP-adressinställningar.

En privat DNS-zon

Du behöver en privat DNS-zon för intern namnmatchning. Skapa den med namnet på App Service Environment med hjälp av postuppsättningarna som visas i följande tabell (anvisningar finns i Snabbstart – Skapa en privat Dns-zon i Azure med hjälp av Azure-portalen).

Namn Typ Värde
* A Inkommande adress för App Service Environment
@ A Inkommande adress för App Service Environment
@ SOA DNS-namn för App Service-miljön
*.scm A Inkommande adress för App Service Environment

App Service i ILB-App Service-miljön

Du måste skapa en App Service-plan och en app i din ILB App Service Environment. När du skapar appen i portalen väljer du din ILB-App Service-miljön som region.

Ett offentligt DNS-namn till programgatewayen

Om du vill ansluta till programgatewayen från Internet behöver du ett dirigerbart domännamn. I det här fallet använde jag ett dirigerbart domännamn asabuludemo.com och planerade att ansluta till en App Service med det här domännamnet app.asabuludemo.com. IP-adressen som mappas till det här appdomännamnet måste anges till den offentliga IP-adressen för Application Gateway när programgatewayen har skapats. Med en offentlig domän mappad till programgatewayen behöver du inte konfigurera en anpassad domän i App Service. Du kan köpa ett anpassat domännamn med App Service-domäner.

Ett giltigt offentligt certifikat

För säkerhetsförbättringar binder du ett TLS-certifikat för sessionskryptering. För att binda TLS-certifikatet till programgatewayen krävs ett giltigt offentligt certifikat med följande information. Med App Service-certifikat kan du köpa ett TLS-certifikat och exportera det i .pfx format.

Namn Värde beskrivning
Eget namn <yourappname>.<yourdomainname>till exempel: app.asabuludemo.com
eller *.<yourdomainname>, till exempel: *.asabuludemo.com		 Ett standardcertifikat eller ett jokerteckencertifikat för programgatewayen
Alternativt namn på ämne <yourappname>.scm.<yourdomainname>till exempel: app.scm.asabuludemo.com
eller *.scm.<yourdomainname>, till exempel: *.scm.asabuludemo.com		 SAN som gör det möjligt att ansluta till App Service kudu-tjänsten. Det är en valfri inställning om du inte vill publicera App Service kudu-tjänsten på Internet.

Certifikatfilen ska ha en privat nyckel och sparas i .pfx format. Certifikatet importeras till programgatewayen senare.

Skapa en applikationsgateway

För grundläggande skapande av programgateway, referera till Självstudie: Skapa en programgateway med en brandvägg för webbprogram med hjälp av Azure-portalen.

I den här artikeln använder vi Azure-portalen för att skapa en programgateway med ILB App Service Environment.

I Azure Portal väljer du Ny>nätverksprogramgateway> för att skapa en programgateway.

  1. Grundläggande inställning

    I listrutan Nivå kan du välja Standard V2 eller WAF V2 för att aktivera WAF-funktionen på programgatewayen.

  2. Frontendinställning

    Välj IP-adresstyp för klientdelen till Offentlig, Privat eller Båda . Om du ställer in på Privat eller Båda måste du tilldela en statisk IP-adress i programgatewayens undernätsintervall. I det här fallet anger vi endast offentlig IP-adress för offentlig slutpunkt.

    • Offentlig IP-adress – Du måste associera en offentlig IP-adress för den offentliga åtkomsten till programgatewayen. Registrera den här IP-adressen. Du måste lägga till en post i DNS-tjänsten senare.

      Skärmbild av hur du hämtar en offentlig IP-adress från klientdelsinställningen för programgatewayen.

  3. Inställning för serverdelar

    Ange ett serverdelspoolnamn och välj App Services eller IP-adress eller FQDN i Måltyp. I det här fallet anger vi apptjänster och väljer App Service-namn i listrutan mål.

    Skärmbild av att lägga till ett serverdelspoolnamn i serverdelsinställningen.

  4. Konfigurationsinställning

    I konfigurationsinställningen måste du lägga till en routningsregel genom att välja Ikonen Lägg till en routningsregel .

    Skärmbild av att lägga till en routningsregel i konfigurationsinställningen.

    Du måste konfigurera en lyssnare och serverdelsmål i en routningsregel. Du kan lägga till en HTTP-lyssnare för konceptbevisdistribution eller lägga till en HTTPS-lyssnare för säkerhetsförbättringar.

    • Om du vill ansluta till programgatewayen med HTTP-protokollet kan du skapa en lyssnare med följande inställningar.

      Parameter Värde beskrivning
      Regelnamn Till exempel: http-routingrule Routningsnamn
      Lyssnarnamn Till exempel: http-listener Lyssnarnamn
      Ip-adress för klientdel Offentliga För internetåtkomst anger du till Offentlig
      Protokoll HTTP Använd inte TLS-kryptering
      Port 80 Http-standardport
      Lyssnartyp Flera platser Tillåt att lyssna på flera platser på programgatewayen
      Typ av värd Multiple/Wildcard Ange ett namn på flera webbplatser eller jokertecken om lyssnartypen är inställd på flera webbplatser.
      Värdnamn Till exempel: app.asabuludemo.com Ange till ett dirigerbart domännamn för App Service

      Skärmbild av HTTP-lyssnaren för routningsregeln för applikationsgatewayen.

    • Om du vill ansluta till programgatewayen med TLS-kryptering kan du skapa en lyssnare med följande inställningar:

      Parameter Värde beskrivning
      Regelnamn Till exempel: https-routingrule Routningsnamn
      Lyssnarnamn Till exempel: https-listener Lyssnarnamn
      Ip-adress för klientdel Offentliga För internetåtkomst anger du till Offentlig
      Protokoll HTTPS Använda TLS-kryptering
      Port 443 Förvald HTTPS-port
      HTTPS-inställningar Ladda upp ett certifikat Ladda upp ett certifikat innehåller CN och den privata nyckeln med pfx-format.
      Lyssnartyp Flera platser Tillåt att lyssna på flera platser på programgatewayen
      Typ av värd Multiple/Wildcard Ange ett namn på flera webbplatser eller jokertecken om lyssnartypen är inställd på flera webbplatser.
      Värdnamn Till exempel: app.asabuludemo.com Ange till ett dirigerbart domännamn för App Service

      HTTPS-lyssnare av routningsregeln för programgatewayen.

    • Du måste konfigurera en serverdelspool och HTTP-inställning i Serverdelsmål. Serverdelspoolen konfigurerades i tidigare steg. Välj Lägg till ny länk för att lägga till en HTTP-inställning.

      Skärmbild av att lägga till en ny länk för att lägga till en H T T P-inställning.

    • HTTP-inställningar som anges i följande tabell:

      Parameter Värde beskrivning
      HTTP-inställningsnamn Till exempel: https-setting HTTP-inställningsnamn
      Backend-protokoll HTTPS Använda TLS-kryptering
      Serverdelsport 443 Förvald HTTPS-port
      Använda välkända CA-certifikat Ja Standarddomännamnet för ILB App Service-miljön är .appserviceenvironment.net. Certifikatet för den här domänen utfärdas av en offentlig betrodd rotmyndighet. I inställningen Betrott rotcertifikat kan du ange att använda välkända certifikatutfärdares betrodda rotcertifikat.
      Åsidosätt med nytt värdnamn Ja Värdnamnsrubriken skrivs över vid anslutning till appen på ILB-App Service-miljön
      Åsidosättning av värdnamn Välj värdnamn från serverdelsmålet När du ställer in serverdelspoolen på App Service kan du välja värd från serverdelsmålet
      Skapa anpassade sonder Nej Använda standardhälsoavsökning

      Skärmbild av dialogrutan **Lägg till en H T T P-inställning**.

Konfigurera en programgatewayintegrering med ILB App Service Environment

För att få åtkomst till ILB-App Service-miljön från programgatewayen måste du kontrollera om ett virtuellt nätverk länkar till den privata DNS-zonen. Om det inte finns något virtuellt nätverk som är länkat till programgatewayens virtuella nätverk lägger du till en länk för virtuellt nätverk med följande steg.

  1. Om du vill konfigurera en länk till det virtuella nätverket med en privat DNS-zon går du till konfigurationsplanet för den privata DNS-zonen. Välj Virtuella nätverkslänkar>Lägg till

    Lägg till en virtuell nätverkslänk till en privat DNS-zon.

  2. Ange länknamnet och välj respektive prenumeration och det virtuella nätverk där programgatewayen finns.

    Skärmbild av information om namn på indatalänkar till länkar för virtuella nätverk i den privata DNS-zonen.

  3. Du kan bekräfta serverdelens hälsostatus från serverdelshälsan i programgatewayplanet.

    Skärmbild av bekräfta serverdelens hälsostatus från serverdelshälsan.

Lägga till en offentlig DNS-post

Du måste konfigurera en korrekt DNS-mappning vid åtkomst till programgatewayen från Internet.

  1. Den offentliga IP-adressen för applikationsgatewayen finns i Frontend IP-konfigurationer i applikationsgatewayens plan.

    Ip-adressen för Application Gateway-klientdelen finns i IP-konfigurationen för klientdelen.

  2. Använd Exempelvis Azure DNS-tjänsten kan du lägga till en postuppsättning för att mappa appdomännamnet till den offentliga IP-adressen för programgatewayen.

    Skärmbild av att lägga till en postuppsättning för att mappa appens domännamn till den offentliga IP-adressen för programgatewayen.

Verifiera anslutningen

  • På en datoråtkomst från Internet kan du verifiera namnmatchningen för appens domännamn till den offentliga IP-adressen för programgatewayen.

    verifiera namnmatchningen från en kommandotolk.

  • Testa webbåtkomst från en webbläsare på en enhet ansluten till internet.

    Skärmbild av att öppna en webbläsare, åtkomst till webben.