Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga / Notatka
Zalecamy użycie modułu Azure Az PowerShell do interakcji z Azure. Aby rozpocząć, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.
Odbiornik to jednostka logiczna, która sprawdza żądania połączeń przychodzących przy użyciu portu, protokołu, hosta i adresu IP. Podczas konfigurowania odbiornika należy wprowadzić wartości odpowiadające odpowiednim wartościom w żądaniu przychodzącym w bramie.
Podczas tworzenia bramy aplikacji przy użyciu witryny Azure Portal można również utworzyć odbiornik domyślny, wybierając protokół i port odbiornika. Możesz wybrać, czy włączyć obsługę PROTOKOŁU HTTP2 na odbiorniku. Po utworzeniu bramy aplikacji możesz edytować ustawienia tego odbiornika domyślnego (appGatewayHttpListener) lub utworzyć nowe odbiorniki.
Typ odbiornika
Podczas tworzenia nowego nasłuchiwacza wybierasz między podstawowym i wielomiejscowym.
Jeśli chcesz, aby wszystkie żądania (dla dowolnej domeny) zostały zaakceptowane i przekazane do pul zaplecza, wybierz pozycję Podstawowa. Dowiedz się , jak utworzyć bramę aplikacji przy użyciu podstawowego odbiornika.
Jeśli chcesz przekazywać żądania do różnych pul zaplecza na podstawie nagłówka hosta lub nazw hostów, wybierz odbiornik dla wielu witryn. Usługa Application Gateway korzysta z nagłówków hostów HTTP 1.1 do hostowania więcej niż jednej witryny internetowej na tym samym publicznym adresie IP i porcie. Aby odróżnić żądania na tym samym porcie, należy określić nazwę hosta zgodną z żądaniem przychodzącym. Aby dowiedzieć się więcej, zobacz hostowanie wielu witryn przy użyciu usługi Application Gateway.
Kolejność przetwarzania odbiorników
Dla SKU v1, żądania są dopasowywane zgodnie z kolejnością reguł i typem nasłuchującego. Jeśli reguła z podstawowym nasłuchującym pojawi się najpierw w kolejności, zostanie przetworzona jako pierwsza i zaakceptuje wszystkie żądania związane z tym portem i kombinacją adresów IP. Aby tego uniknąć, należy najpierw skonfigurować reguły z odbiornikami dla wielu lokalizacji, a następnie przesunąć regułę z podstawowym odbiornikiem na koniec listy.
W przypadku SKU v2 priorytet reguły definiuje kolejność przetwarzania nasłuchiwaczy. Symbol wieloznaczny i odbiorniki podstawowe powinny mieć zdefiniowany priorytet z liczbą większą niż odbiorniki specyficzne dla lokacji i odbiorniki obejmujące wiele lokacji, aby zapewnić, że odbiorniki specyficzne dla lokacji i wielu lokacji będą wykonywane przed symbolami wieloznacznymi i podstawowymi odbiornikami.
Adres IP frontonu
Wybierz adres IP frontonu, który chcesz skojarzyć z tym odbiornikiem. Odbiornik będzie nasłuchiwać żądań przychodzących na tym adresie IP.
Uwaga / Notatka
Fronton usługi Application Gateway obsługuje adresy IP z podwójnym stosem. Można utworzyć maksymalnie cztery adresy IP frontonu: dwa adresy IPv4 (publiczne i prywatne) i dwa adresy IPv6 (publiczne i prywatne).
Port frontonu
Skojarz port frontendowy. Możesz wybrać istniejący port lub utworzyć nowy. Wybierz dowolną wartość z dozwolonego zakresu portów. Można używać nie tylko dobrze znanych portów, takich jak 80 i 443, ale także dowolnego dozwolonego portu niestandardowego, który jest odpowiedni. Ten sam port może być używany dla odbiorników publicznych i prywatnych.
Uwaga / Notatka
W przypadku korzystania z odbiorników prywatnych i publicznych z tym samym numerem portu brama aplikacji zmienia "adres docelowy" przepływu przychodzącego na adresy IP frontonu bramy aplikacji. W związku z tym, w zależności od konfiguracji Grupy zabezpieczeń sieci, może być potrzebna reguła ruchu przychodzącego z docelowymi adresami IP jako publicznymi i prywatnymi adresami IP interfejsu bramy aplikacyjnej.
Reguła ruchu przychodzącego:
- Źródło: (zgodnie z wymaganiami)
- Docelowe adresy IP: publiczne i prywatne adresy IP frontonu bramy aplikacji.
- Port docelowy: (zgodnie z konfiguracją odbiornika)
- Protokół: TCP
Reguła ruchu wychodzącego: (bez określonego wymagania)
Protokół
Wybierz pozycję HTTP lub HTTPS:
W przypadku wybrania protokołu HTTP ruch między klientem a bramą aplikacji jest niezaszyfrowany.
Wybierz pozycję HTTPS, jeśli chcesz zakończyć pracę z protokołem TLS lub kompleksowe szyfrowanie TLS. Ruch między klientem a bramą aplikacji jest szyfrowany, a połączenie TLS zostanie przerwane w bramie aplikacji. Jeśli chcesz szyfrowanie end-to-end TLS do docelowego punktu zaplecza, musisz również wybrać protokół HTTPS w ustawieniach HTTP zaplecza. Dzięki temu ruch jest szyfrowany, gdy brama aplikacji inicjuje połączenie z serwerem zaplecza.
Aby skonfigurować kończenie żądań protokołu TLS, należy dodać certyfikat TLS/SSL do odbiornika. Dzięki temu usługa Application Gateway może odszyfrować ruch przychodzący i szyfrować ruch odpowiedzi do klienta. Certyfikat dostarczony do usługi Application Gateway musi być w formacie Wymiany informacji osobistych (PFX), który zawiera zarówno klucze prywatne, jak i publiczne.
Uwaga / Notatka
W przypadku korzystania z certyfikatu TLS z usługi Key Vault dla odbiornika należy upewnić się, że usługa Application Gateway zawsze ma dostęp do tego połączonego zasobu magazynu kluczy i obiektu certyfikatu w nim. Umożliwia to bezproblemowe działanie funkcji zakończenia sesji TLS i utrzymuje ogólną kondycję zasobu bramy. Jeśli zasób bramy aplikacyjnej wykryje nieprawidłowo skonfigurowany skarbiec kluczy, automatycznie umieszcza powiązane odbiorniki HTTPS w stanie wyłączonym. Dowiedz się więcej.
Obsługiwane certyfikaty
Zobacz Omówienie kończenia żądań i kompleksowego szyfrowania TLS za pomocą usługi Application Gateway
Dodatkowa obsługa protokołu
Obsługa protokołu HTTP2
Obsługa protokołu HTTP/2 jest dostępna dla klientów, którzy łączą się tylko z odbiornikami bramy aplikacji. Komunikacja z pulami serwerów zaplecza jest zawsze HTTP/1.1. Domyślnie obsługa protokołu HTTP/2 jest wyłączona. Poniższy fragment kodu programu Azure PowerShell pokazuje, jak to włączyć:
$gw = Get-AzApplicationGateway -Name test -ResourceGroupName hm
$gw.EnableHttp2 = $true
Set-AzApplicationGateway -ApplicationGateway $gw
Ważne
Podczas tworzenia zasobu bramy aplikacji za pośrednictwem witryny Azure Portal domyślna opcja HTTP2 jest ustawiona jako włączona. Możesz wybrać pozycję Wyłączone podczas tworzenia i ponownie włączyć obsługę PROTOKOŁU HTTP2 przy użyciu witryny Azure Portal, wybierając pozycję Włączone w obszarze HTTP2 w obszarze Konfiguracja usługi Application Gateway>.
W przypadkach, w których protokół HTTP2 nie jest obsługiwany przez klienta, zostanie użyty protokół HTTP1.1. Włączenie protokołu HTTP2 nie powoduje wyłączenia protokołu HTTP1.1; umożliwia obsługę obu tych elementów.
Obsługa protokołu WebSocket
Obsługa protokołu WebSocket jest domyślnie włączona. Nie ma konfigurowalnego ustawienia umożliwiającego jego włączenie lub wyłączenie. Można używać WebSocket zarówno z odbiornikami HTTP, jak i HTTPS.
Niestandardowe strony błędów
Możesz zdefiniować dostosowane strony błędów dla różnych kodów odpowiedzi zwracanych przez usługę Application Gateway. Kody odpowiedzi, dla których można skonfigurować strony błędów, to 400, 403, 405, 408, 500, 502, 503 i 504. Możesz użyć konfiguracji strony błędów na poziomie globalnym lub specyficznej dla poszczególnego odbiornika, aby ustawić je szczegółowo dla każdego odbiornika. Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych stron błędów usługi Application Gateway.
Uwaga / Notatka
Błąd pochodzący z serwera zaplecza jest przekazywany w sposób niezmodyfikowany przez usługę Application Gateway do klienta.
Zasady protokołu TLS
Zarządzanie certyfikatami TLS/SSL można scentralizować i zmniejszyć obciążenie związane z odszyfrowywaniem szyfrowania dla farmy serwerów zaplecza. Scentralizowana obsługa protokołu TLS umożliwia również określenie centralnych zasad protokołu TLS dostosowanych do wymagań dotyczących zabezpieczeń. Możesz wybrać wstępnie zdefiniowane lub niestandardowe zasady protokołu TLS.
Należy skonfigurować zasady protokołu TLS w celu kontrolowania wersji protokołu TLS. Bramę aplikacji można skonfigurować tak, aby używała minimalnej wersji protokołu do uzgadniania TLS, wybierając spośród TLS1.0, TLS1.1, TLS1.2 i TLS1.3. Domyślnie protokoły SSL 2.0 i 3.0 są wyłączone i nie można ich konfigurować. Aby uzyskać więcej informacji, zobacz Application Gateway TLS policy overview (Omówienie zasad PROTOKOŁU TLS usługi Application Gateway).
Po utworzeniu odbiornika należy skojarzyć go z regułą routingu żądań. Ta reguła określa, w jaki sposób żądania odbierane na odbiorniku są kierowane do zaplecza.