Configurar Serviço de Aplicativo com Gateway de Aplicativo

Essa configuração é recomendada para cenários de nível de produção e atende à prática de não alterar o nome do host no fluxo de solicitação. Você precisa ter um domínio personalizado (e o certificado associado) disponível para evitar depender do domínio padrão ".azurewebsites.net".

O mesmo nome de domínio para o Gateway de Aplicativo e o Serviço de Aplicativo no pool de back-end, o fluxo de solicitação não precisa substituir o nome do host. O aplicativo Web de back-end vê o host original como foi usado pelo cliente.

Essa configuração é a mais fácil e não requer um domínio personalizado. Assim, é possível fazer uma configuração rápida e conveniente.

Quando o serviço de aplicativo não tem um domínio personalizado associado a ele, o cabeçalho do host na solicitação de entrada no aplicativo web precisa ser definido como o domínio padrão, terminado em ".azurewebsites.net"; caso contrário, a plataforma não conseguirá rotear corretamente a solicitação.

O cabeçalho do host na solicitação original recebida pelo Gateway de Aplicativo é diferente do nome do host do Serviço de Aplicativo de back-end.

• Gateway de aplicativo: crie um gateway de aplicativo sem um destino de pool de back-end. Para saber mais, consulte Início Rápido: Direcionar o tráfego da Web com o Gateway de Aplicativo do Azure - portal do Azure

• Serviço de aplicativo: se você não tiver um serviço de Aplicativo existente, consulte a documentação do Serviço de Aplicativo.

• Um nome de domínio personalizado e um certificado associado (assinado por uma autoridade conhecida) armazenados no Key Vault. Para obter mais informações sobre como armazenar certificados no Key Vault, consulte Tutorial: importar um certificado no Azure Key Vault

• Uma investigação de integridade personalizada configurada no Gateway de Aplicativo que usa o nome de domínio personalizado como o seu nome de host. Para criar uma sonda de verificação de saúde personalizada, consulte Criar uma sonda de verificação de saúde personalizada.

• Gateway de aplicativo: crie um gateway de aplicativo sem um destino de pool de back-end. Para saber mais, consulte Início Rápido: Direcionar o tráfego da Web com o Gateway de Aplicativo do Azure - portal do Azure

• Serviço de aplicativo: se você não tiver um serviço de Aplicativo existente, consulte a documentação do Serviço de Aplicativo.

Roteie o usuário ou o cliente para o Gateway de Aplicativo usando o domínio personalizado. Configure o DNS usando um alias CNAME apontado para o DNS para o Gateway de Aplicativo. O DNS do Gateway de Aplicativo é mostrado na página de visão geral do endereço IP público associado. Como alternativa, crie um registro A apontando diretamente para o endereço IP. (Para o Gateway de Aplicativo V1, o VIP poderá mudar se você parar e iniciar o serviço, o que torna essa opção indesejável.)

O App Service deve ser configurado para aceitar tráfego proveniente do Application Gateway usando o nome de domínio personalizado como host de entrada. Para obter mais informações sobre como mapear um domínio personalizado para o Serviço de Aplicativo, consulte Tutorial: mapear um nome DNS personalizado existente para o Serviço de Aplicativo do Azure Para verificar o domínio, o Serviço de Aplicativo requer apenas a adição de um registro TXT. Nenhuma alteração é necessária em CNAME ou registros A. A configuração de DNS para o domínio personalizado permanece direcionada para o Application Gateway.

Para aceitar conexões com o Serviço de Aplicativo por HTTPS, configure sua associação TLS. Para obter mais informações, consulte Proteger um nome DNS personalizado com uma associação TLS/SSL no Serviço de Aplicativo do Azure configurar o Serviço de Aplicativo para efetuar pull do certificado para o domínio personalizado do Azure Key Vault.

Quando nenhum domínio personalizado está disponível, o usuário ou o cliente pode acessar o Gateway de Aplicativo usando o endereço IP do gateway ou seu endereço DNS. O DNS do Gateway de Aplicativo pode ser encontrado na página de visão geral do endereço IP público associado. Não ter um domínio personalizado disponível implica que nenhum certificado assinado publicamente não está disponível para TLS no Gateway de Aplicativo. Os clientes estão restritos a usar HTTP ou HTTPS com um certificado autoassinado, ambos indesejáveis.

Para se conectar ao Serviço de Aplicativo, o Gateway de Aplicativo usa o domínio padrão, conforme fornecido pelo Serviço de Aplicativo (com sufixo "azurewebsites.net").

1. No portal do Azure, selecione o gateway de aplicativo.

2. Em Pools de back-end, selecione o pool de back-end.

3. Em Tipo de destino, selecione Serviços de Aplicativos.

4. Em Destino, selecione o Serviço de Aplicativo.

   

   Observação

   A lista suspensa popula apenas os serviços de aplicativo que estão na mesma assinatura que o Gateway de Aplicativo. Se você quiser usar um serviço de aplicativo que está em uma assinatura diferente daquela em que o Gateway de Aplicativo está, em vez de escolher Serviços de Aplicativos na lista suspensa de Destinos, escolha a opção Endereço IP ou nome do host e insira o nome do host (example.azurewebsites.net) do serviço de aplicativo. Caso esteja usando pontos de extremidade privados com o Serviço de Aplicativo, deverá usar o FQDN ou o endereço IP do ponto de extremidade privado.

5. Selecione Salvar.

# Fully qualified default domain name of the web app:
$webAppFQDN = "<nameofwebapp>.azurewebsite.net"

# For Application Gateway: both name, resource group and name for the backend pool to create:
$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$appGwBackendPoolNameForAppSvc = "<name for backend pool to be added>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Add a new Backend Pool with App Service in there:
Add-AzApplicationGatewayBackendAddressPool -Name $appGwBackendPoolNameForAppSvc -ApplicationGateway $gw -BackendFqdns $webAppFQDN

# Update Application Gateway with the new added Backend Pool:
Set-AzApplicationGateway -ApplicationGateway $gw

É necessária uma configuração HTTP que instrui o Gateway de Aplicativo a acessar o back-end do Serviço de Aplicativo usando o nome de domínio personalizado. A configuração HTTP, por padrão, usa a sonda de saúde padrão. Embora as sondas de integridade padrão encaminhem solicitações com o nome do host no qual o tráfego é recebido, as sondas de integridade podem utilizar 127.0.0.1 como o nome do host para o pool de back-end, já que nenhum nome de host foi definido explicitamente. Por esse motivo, é preciso criar uma investigação de integridade personalizada configurada com o nome de domínio personalizado correto como seu nome de host.

Nos conectamos ao back-end usando HTTPS.

1. Em Configurações HTTP, selecione uma configuração HTTP existente ou adicione uma nova.
2. Ao criar uma nova Configuração HTTP, dê a ela um nome
3. Selecione HTTPS como o protocolo de back-end desejado usando a porta 443
4. Se o certificado for assinado por uma autoridade conhecida, selecione "Sim" para "Certificado de Autoridade de Certificação conhecido pelo usuário". Como alternativa, defina Adicionar os certificados de autenticação/certificados raiz confiáveis dos servidores de back-end
5. Certifique-se de definir "Substituir por novo nome de host" como "Não"
6. Selecione a investigação de integridade HTTPS personalizada no menu suspenso para "Investigação personalizada".

É necessária uma Configuração HTTP que instrui o Gateway de Aplicativo a acessar o back-end do Serviço de Aplicativo usando o nome de domínio ("azurewebsites.net") padrão. Para fazer isso, a Configuração HTTP substituirá explicitamente o nome do host.

1. Em Configurações HTTP, selecione uma configuração HTTP existente ou adicione uma nova.
2. Ao criar uma nova Configuração HTTP, dê a ela um nome
3. Selecione HTTPS como o protocolo de back-end desejado usando a porta 443
4. Se o certificado for assinado por uma autoridade conhecida, selecione "Sim" para "Certificado de autoridade de certificação conhecido pelo usuário". Como alternativa, adicione certificados de autenticação ou certificados raiz confiáveis dos servidores de back-end.
5. Certifique-se de definir "Substituir por novo nome de host" como "Sim"
6. Em "Substituição do nome do host", selecione "Escolher nome do host do destino de back-end". Essa configuração faz com que a solicitação para o Serviço de Aplicativo use o nome do host "azurewebsites.net", conforme configurado no Pool de Back-end.

# Configure Application Gateway to connect to App Service using the incoming hostname
$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$customProbeName = "<name for custom health probe>"
$customDomainName = "<FQDN for custom domain associated with App Service>"
$httpSettingsName = "<name for http settings to be created>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Add custom health probe using custom domain name:
Add-AzApplicationGatewayProbeConfig -Name $customProbeName -ApplicationGateway $gw -Protocol Https -HostName $customDomainName -Path "/" -Interval 30 -Timeout 120 -UnhealthyThreshold 3
$probe = Get-AzApplicationGatewayProbeConfig -Name $customProbeName -ApplicationGateway $gw

# Add HTTP Settings to use towards App Service:
Add-AzApplicationGatewayBackendHttpSettings -Name $httpSettingsName -ApplicationGateway $gw -Protocol Https -Port 443 -Probe $probe -CookieBasedAffinity Disabled -RequestTimeout 30

# Update Application Gateway with the new added HTTP settings and probe:
Set-AzApplicationGateway -ApplicationGateway $gw

# Configure Application Gateway to connect to backend using default App Service hostname
$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$httpSettingsName = "<name for http settings to be created>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Add HTTP Settings to use towards App Service:
Add-AzApplicationGatewayBackendHttpSettings -Name $httpSettingsName -ApplicationGateway $gw -Protocol Https -Port 443 -PickHostNameFromBackendAddress -CookieBasedAffinity Disabled -RequestTimeout 30

# Update Application Gateway with the new added HTTP settings and probe:
Set-AzApplicationGateway -ApplicationGateway $gw

1. Abra a seção "Ouvintes" e escolha "Adicionar ouvinte" ou selecione um existente para editar
2. Para um novo ouvinte: dê a ele um nome
3. Em "IP de front-end", selecione o endereço IP a ser escutado
4. Em "Porta", selecione 443
5. Em "Protocolo", selecione "HTTPS"
6. Em "Escolher um certificado", selecione "Escolher um certificado no Key Vault". Para obter mais informações, consulte Usando o Key Vault em que você encontra mais informações sobre como atribuir uma identidade gerenciada e fornecer direitos ao seu Key Vault.
   1. Dê um nome ao certificado
   2. Selecionar a identidade gerenciada
   3. Selecione o Key Vault de onde obter o certificado
   4. Selecionar o certificado
7. Em "Tipo de Ouvinte", selecione "Básico"
8. Selecione "Adicionar" para adicionar o ouvinte

Supondo que não haja nenhum domínio personalizado disponível ou certificado associado, configure o Gateway de Aplicativo para escutar o tráfego HTTP na porta 80. Como alternativa, confira as instruções de como Criar um certificado autoassinado

1. Abra a seção "Ouvintes" e escolha "Adicionar ouvinte" ou selecione um existente para editar
2. Para um novo ouvinte: dê a ele um nome
3. Em "IP de front-end", selecione o endereço IP a ser escutado
4. Em "Porta", selecione 80
5. Em "Protocolo", selecione "HTTP"

# This script assumes that:
# - a certificate was imported in Azure Key Vault already
# - a managed identity was assigned to Application Gateway with access to the certificate
# - there is no HTTP listener defined yet for HTTPS on port 443

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$appGwSSLCertificateName = "<name for ssl cert to be created within Application Gateway"
$appGwSSLCertificateKeyVaultSecretId = "<key vault secret id for the SSL certificate to use>"
$httpListenerName = "<name for the listener to add>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Create SSL certificate object for Application Gateway:
Add-AzApplicationGatewaySslCertificate -Name $appGwSSLCertificateName -ApplicationGateway $gw -KeyVaultSecretId $appGwSSLCertificateKeyVaultSecretId
$sslCert = Get-AzApplicationGatewaySslCertificate -Name $appGwSSLCertificateName -ApplicationGateway $gw

# Fetch public ip associated with Application Gateway:
$ipAddressResourceId = $gw.FrontendIPConfigurations.PublicIPAddress.Id
$ipAddressResource = Get-AzResource -ResourceId $ipAddressResourceId
$publicIp = Get-AzPublicIpAddress -ResourceGroupName $ipAddressResource.ResourceGroupName -Name $ipAddressResource.Name

$frontendIpConfig = $gw.FrontendIpConfigurations | Where-Object {$_.PublicIpAddress -ne $null}

$port = New-AzApplicationGatewayFrontendPort -Name "port_443" -Port 443
Add-AzApplicationGatewayFrontendPort -Name "port_443" -ApplicationGateway $gw -Port 443
Add-AzApplicationGatewayHttpListener -Name $httpListenerName -ApplicationGateway $gw -Protocol Https -FrontendIPConfiguration $frontendIpConfig -FrontendPort $port -SslCertificate $sslCert

# Update Application Gateway with the new HTTPS listener:
Set-AzApplicationGateway -ApplicationGateway $gw

Em muitos casos, existe um ouvinte público para HTTP na porta 80. O script abaixo criará um, se ainda não for o caso.

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$httpListenerName = "<name for the listener to add if not exists yet>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Check if HTTP listener on port 80 already exists:
$port = $gw.FrontendPorts | Where-Object {$_.Port -eq 80}
$listener = $gw.HttpListeners | Where-Object {$_.Protocol.ToString().ToLower() -eq "http" -and $_.FrontendPort.Id -eq $port.Id}

if ($listener -eq $null){
    $frontendIpConfig = $gw.FrontendIpConfigurations | Where-Object {$_.PublicIpAddress -ne $null}
    Add-AzApplicationGatewayHttpListener -Name $httpListenerName -ApplicationGateway $gw -Protocol Http -FrontendIPConfiguration $frontendIpConfig -FrontendPort $port

    # Update Application Gateway with the new HTTPS listener:
    Set-AzApplicationGateway -ApplicationGateway $gw
}

1. Em "Regras", selecione para adicionar uma nova "Regra de roteamento de solicitação"
2. Forneça a regra com um nome
3. Selecione um ouvinte HTTP ou HTTPS que ainda não esteja associado a uma regra de roteamento existente
4. Em "Destinos de back-end", escolha o pool de back-end em que o Serviço de Aplicativo foi configurado
5. Defina as configurações HTTP com as quais o Gateway de Aplicativo deve se conectar ao back-end do Serviço de Aplicativo
6. Selecione "Adicionar" para salvar esta configuração

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$httpListenerName = "<name for existing http listener (without rule) to route traffic from>"
$httpSettingsName = "<name for http settings to use>"
$appGwBackendPoolNameForAppSvc = "<name for backend pool to route to>"
$reqRoutingRuleName = "<name for request routing rule to be added>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Get HTTP Settings:
$httpListener = Get-AzApplicationGatewayHttpListener -Name $httpListenerName -ApplicationGateway $gw
$httpSettings = Get-AzApplicationGatewayBackendHttpSettings -Name $httpSettingsName -ApplicationGateway $gw
$backendPool = Get-AzApplicationGatewayBackendAddressPool -Name $appGwBackendPoolNameForAppSvc -ApplicationGateway $gw

# Add routing rule:
Add-AzApplicationGatewayRequestRoutingRule -Name $reqRoutingRuleName -ApplicationGateway $gw -RuleType Basic -BackendHttpSettings $httpSettings -HttpListener $httpListener -BackendAddressPool $backendPool

# Update Application Gateway with the new routing rule:
Set-AzApplicationGateway -ApplicationGateway $gw

Abra a seção "Integridade do back-end" e verifique se a coluna "Status" indica a combinação de Configuração HTTP e Pool de back-end como "Íntegra".

Agora, navegue até o aplicativo Web usando o endereço IP do Gateway de Aplicativo ou o nome DNS associado para o endereço IP. Ambos podem ser encontrados na página "Visão geral" do Gateway de Aplicações como uma propriedade em "Essenciais". Como alternativa, o recurso de Endereço IP Público também mostra o endereço IP e o nome DNS associado.

Preste atenção à seguinte lista não completa de possíveis sintomas ao testar o aplicativo:

• redirecionamentos apontando para ".azurewebsite.net" diretamente em vez de para o Gateway de Aplicações
• inclui redirecionamentos de autenticação que tentam acessar ".azurewebsite.net" diretamente
• cookies com limite de domínio que não estão sendo passados para o back-end
• incluir o uso da configuração de "afinidade ARR" no Serviço de Aplicativo

As condições acima (explicadas mais detalhadamente no Centro de arquitetura) indicarão que o seu aplicativo Web não lida bem com a reescrita do nome do host. Isso é comumente visto. A maneira recomendada de lidar com isso é seguir as instruções de configuração do Gateway de Aplicativo com o Serviço de Aplicativo usando um domínio personalizado. Consulte também: Solucionar problemas do Serviço de Aplicações no Gateway de Aplicação.

Abra a seção "Integridade do back-end" e verifique se a coluna "Status" indica a combinação de Configuração HTTP e Pool de back-end como "Íntegra".

Agora, navegue até o aplicativo Web usando o domínio personalizado que você associou ao Gateway de Aplicativo e ao Serviço de Aplicativo no back-end.

Verifique se a integridade do backend referente ao backend e às Configurações HTTP aparece como "Saudável":

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Check health:
Get-AzApplicationGatewayBackendHealth -ResourceGroupName $rgName -Name $appGwName

Para testar a configuração, solicitamos conteúdo do Serviço de Aplicativo por meio do Gateway de Aplicativo usando o domínio personalizado:

$customDomainName = "<FQDN for custom domain pointing to Application Gateway>"
Invoke-WebRequest $customDomainName

Verifique se a integridade do backend referente ao backend e às Configurações HTTP aparece como "Saudável":

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Check health:
Get-AzApplicationGatewayBackendHealth -ResourceGroupName $rgName -Name $appGwName

Para testar a configuração, solicitamos conteúdo do Serviço de Aplicativo por meio do Gateway de Aplicativo usando o endereço IP:

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Get ip address:
$ipAddressResourceId = $gw.FrontendIPConfigurations.PublicIPAddress.Id
$ipAddressResource = Get-AzResource -ResourceId $ipAddressResourceId
$publicIp = Get-AzPublicIpAddress -ResourceGroupName $ipAddressResource.ResourceGroupName -Name $ipAddressResource.Name
Write-Host "Public ip address for Application Gateway is $($publicIp.IpAddress)"
Invoke-WebRequest "http://$($publicIp.IpAddress)"

Preste atenção à seguinte lista não completa de possíveis sintomas ao testar o aplicativo:

• redirecionamentos apontando para ".azurewebsites.net" diretamente em vez de para o Application Gateway
• isso inclui redirecionamentos de Autenticação de Serviço de Aplicativo que tentam acessar ".azurewebsites.net" diretamente
• cookies com limite de domínio que não estão sendo passados para o back-end
• isso inclui o uso da configuração de "Afinidade do ARR" no Serviço de Aplicativo

As condições acima (explicadas mais detalhadamente no Centro de arquitetura) indicarão que o seu aplicativo Web não lida bem com a reescrita do nome do host. Isso é comumente visto. A maneira recomendada de lidar com essa condição é seguir as instruções de configuração do Gateway de Aplicativo com o Serviço de Aplicativo usando um domínio personalizado. Consulte também: Solucionar problemas do Serviço de Aplicações no Gateway de Aplicação.