10.Azure應用程序網關(上)
阿新 • • 發佈:2018-02-03
網上 常見 執行 某個文件 訪問 括號 密碼 watermark 客戶 應用程序網關這個功能主要又分2個子功能,一個叫“標準應用程序網關”;一個叫“WEB應用程序防火墻(WAF)”。“WEB應用程序防火墻(WAF)”是基於“標準應用程序網關”的升級版。
Azure 應用程序網關是以服務形式提供應用程序傳遞控制的專用虛擬設備。提供七層的負載均衡功能。還提供其他第 7 層路由功能,包括傳入流量的輪循機制分配、基於 Cookie 的會話相關性、基於 URL 路徑的路由,以及在單個應用程序網關後面托管多個網站的能力。
Web 應用程序防火墻 (WAF) 也作為應用程序網關的一部分提供。為 Web 應用程序提供保護,幫助抵禦常見 Web 漏洞和攻擊。可以將應用程序網關配置為面向 Internet 的網關、僅內部網關或這兩者的組合。
應用程序網關(包含2個子功能)主要功能如下:
? Web 應用程序防火墻 - Azure 應用程序網關中的 Web 應用程序防火墻 (WAF) 保護 Web 應用程序免受基於 Web 的常見攻擊,例如 SQL 註入、跨站點腳本攻擊、會話劫持。
? HTTP 負載均衡 - 應用程序網關提供輪循機制負載均衡。 負載均衡在第 7 層完成,僅用於 HTTP(S) 流量。
? 基於 Cookie 的會話相關性 - 想要在同一後端保留用戶會話時,此基於 Cookie 的會話相關性功能十分有用。 借助受網關管理的 Cookie,應用程序網關能夠將來自用戶會話的後續流量轉到同一後端進行處理。 在會話狀態是為用戶會話而本地保存在後端服務器的情況下,此功能十分重要。
? 安全套接字層 (SSL) 卸載 - 此功能讓 Web 服務器免於執行解密 HTTPS 流量的高成本任務。 通過在應用程序網關終止 SSL 連接,並將請求轉發到未加密的服務器,Web 服務器不用承擔解密的負擔。 應用程序網關會重新加密響應,再將它發回客戶端。 在後端與 Azure 中的應用程序網關位於同一安全虛擬網絡中的情況下,此功能十分有用。
? 端到端 SSL - 應用程序網關支持對流量進行端到端加密。 應用程序網關通過在應用程序網關上終止 SSL 連接來完成此任務。 網關隨後將路由規則應用於流量、重新加密數據包,並根據定義的路由規則將數據包轉發到適當的後端。 來自 Web 服務器的任何響應都會經歷相同的過程返回最終用戶。
? 基於 URL 的內容路由 - 此功能能夠使用不同的後端服務器來處理不同的流量。 可以將 Web 服務器上某個文件夾的流量或 CDN 的流量路由到其他後端。 對於不處理特定內容的後端,此功能可以減少其上的不必要負載。
? 多站點路由 - 應用程序網關允許在單個應用程序網關上合並最多 20 個網站。
? WebSocket 支持 - 應用程序網關的另一個重要功能是對 WebSocket 的本機支持。
? 運行狀況監視 - 應用程序網關提供默認的後端資源運行狀況監視,以及用於監視更多特定方案的自定義探測。
? SSL 策略和密碼 - 此功能可以限制受支持的 SSL 協議版本和密碼套件,以及其處理順序。
? 請求重定向 - 使用此功能可將 HTTP 請求重定向到 HTTPS 偵聽器。
? 多租戶後端支持 - 應用程序網關支持將多租戶後端服務(例如 Azure Web 應用和 API 網關)配置為後端池成員。
? 高級診斷 - 應用程序網關提供完整的診斷和訪問日誌。 防火墻日誌可用於已啟用 WAF 的應用程序網關資源。
我先介紹標準應用程序網關,架構如下:
首先需要配置下我之前創建的虛擬網絡,在之前的虛擬網絡中創建一個空白的子網
創建完成
接下來可以開始創建一個應用程序網關
創建名稱以及層為標準,因為我是演示環境,因此我的SKU選擇小,實例計數也選擇2個,資源組選擇現有資源組。
選擇我們之前創建的虛擬網絡和新建的空白子網,設定前端IP
選擇偵聽配置,因為之前我部署的是TCP 80端口的網站,因此我就選擇HTTP以及80端口,點擊確定。
摘要內容檢查,確定,部署完成應用程序網關的時間大約是19分鐘。
在Azure中一般情況“負載均衡器”和“應用程序網關”是二選一來提供負載均衡的。
創建好以後我進行應用程序網關進行配置,我先配置後端池
添加後端2臺WEB虛擬機
應用程序網關的對外Azure別名地址是不能自己定義的,只能是使用生成好的固定帶Guid的一串字符的別名進行使用,點擊“復制”
粘貼到記事本裏,括號裏的這段就是對外的Azure別名DNS地址了。
試下通過這個別名DNS地址訪問看看:
試下通過標準應用程序網關的公網IP地址訪問看看:
當通過應用程序網關來訪問的話就可以看到訪問的狀態
後端的狀態也可以看到(如果應用程序網關子網上存在網絡安全組 (NSG) ,請打開應用程序網關子網上的端口範圍 65503-65534,以便允許入站流量。這些端口是確保後端運行狀況 API 正常工作所必需的。)
還可以按照之前NLB的方法自定義運行狀態探測的檢測方法
名稱和協議就自己定義和選擇
主機名:用於探測的主機名。僅在應用程序網關上配置了多站點的情況下適用,否則使用“127.0.0.1”。 此值與 VM 主機名不同。
路徑:自定義探測的完整 URL 的其余部分。有效路徑以“/”開頭。對於 http://contoso.com 的默認路徑,只需使用“/”
間隔:多久探測一次
超時:超時之前探測的等待時間。超時間隔必須足夠長,以便進行 http 調用,確保後端運行狀況頁可用。
不正常閾值:系統認為不正常的失敗嘗試次數。閾值為 0 意味著,如果運行狀況檢查失敗,則會立即將後端確定為不正常。
我這裏沒有域名,所以只能這樣配置
Azure 應用程序網關是以服務形式提供應用程序傳遞控制的專用虛擬設備。提供七層的負載均衡功能。還提供其他第 7 層路由功能,包括傳入流量的輪循機制分配、基於 Cookie 的會話相關性、基於 URL 路徑的路由,以及在單個應用程序網關後面托管多個網站的能力。
Web 應用程序防火墻 (WAF) 也作為應用程序網關的一部分提供。為 Web 應用程序提供保護,幫助抵禦常見 Web 漏洞和攻擊。可以將應用程序網關配置為面向 Internet 的網關、僅內部網關或這兩者的組合。
? Web 應用程序防火墻 - Azure 應用程序網關中的 Web 應用程序防火墻 (WAF) 保護 Web 應用程序免受基於 Web 的常見攻擊,例如 SQL 註入、跨站點腳本攻擊、會話劫持。
? HTTP 負載均衡 - 應用程序網關提供輪循機制負載均衡。 負載均衡在第 7 層完成,僅用於 HTTP(S) 流量。
? 基於 Cookie 的會話相關性 - 想要在同一後端保留用戶會話時,此基於 Cookie 的會話相關性功能十分有用。 借助受網關管理的 Cookie,應用程序網關能夠將來自用戶會話的後續流量轉到同一後端進行處理。 在會話狀態是為用戶會話而本地保存在後端服務器的情況下,此功能十分重要。
? 端到端 SSL - 應用程序網關支持對流量進行端到端加密。 應用程序網關通過在應用程序網關上終止 SSL 連接來完成此任務。 網關隨後將路由規則應用於流量、重新加密數據包,並根據定義的路由規則將數據包轉發到適當的後端。 來自 Web 服務器的任何響應都會經歷相同的過程返回最終用戶。
? 多站點路由 - 應用程序網關允許在單個應用程序網關上合並最多 20 個網站。
? WebSocket 支持 - 應用程序網關的另一個重要功能是對 WebSocket 的本機支持。
? 運行狀況監視 - 應用程序網關提供默認的後端資源運行狀況監視,以及用於監視更多特定方案的自定義探測。
? SSL 策略和密碼 - 此功能可以限制受支持的 SSL 協議版本和密碼套件,以及其處理順序。
? 請求重定向 - 使用此功能可將 HTTP 請求重定向到 HTTPS 偵聽器。
? 多租戶後端支持 - 應用程序網關支持將多租戶後端服務(例如 Azure Web 應用和 API 網關)配置為後端池成員。
? 高級診斷 - 應用程序網關提供完整的診斷和訪問日誌。 防火墻日誌可用於已啟用 WAF 的應用程序網關資源。
我先介紹標準應用程序網關,架構如下:
首先需要配置下我之前創建的虛擬網絡,在之前的虛擬網絡中創建一個空白的子網
創建完成
接下來可以開始創建一個應用程序網關
創建名稱以及層為標準,因為我是演示環境,因此我的SKU選擇小,實例計數也選擇2個,資源組選擇現有資源組。
選擇我們之前創建的虛擬網絡和新建的空白子網,設定前端IP
選擇偵聽配置,因為之前我部署的是TCP 80端口的網站,因此我就選擇HTTP以及80端口,點擊確定。
摘要內容檢查,確定,部署完成應用程序網關的時間大約是19分鐘。
在Azure中一般情況“負載均衡器”和“應用程序網關”是二選一來提供負載均衡的。
創建好以後我進行應用程序網關進行配置,我先配置後端池
添加後端2臺WEB虛擬機
應用程序網關的對外Azure別名地址是不能自己定義的,只能是使用生成好的固定帶Guid的一串字符的別名進行使用,點擊“復制”
粘貼到記事本裏,括號裏的這段就是對外的Azure別名DNS地址了。
試下通過這個別名DNS地址訪問看看:
試下通過標準應用程序網關的公網IP地址訪問看看:
當通過應用程序網關來訪問的話就可以看到訪問的狀態
後端的狀態也可以看到(如果應用程序網關子網上存在網絡安全組 (NSG) ,請打開應用程序網關子網上的端口範圍 65503-65534,以便允許入站流量。這些端口是確保後端運行狀況 API 正常工作所必需的。)
還可以按照之前NLB的方法自定義運行狀態探測的檢測方法
名稱和協議就自己定義和選擇
主機名:用於探測的主機名。僅在應用程序網關上配置了多站點的情況下適用,否則使用“127.0.0.1”。 此值與 VM 主機名不同。
路徑:自定義探測的完整 URL 的其余部分。有效路徑以“/”開頭。對於 http://contoso.com 的默認路徑,只需使用“/”
間隔:多久探測一次
超時:超時之前探測的等待時間。超時間隔必須足夠長,以便進行 http 調用,確保後端運行狀況頁可用。
不正常閾值:系統認為不正常的失敗嘗試次數。閾值為 0 意味著,如果運行狀況檢查失敗,則會立即將後端確定為不正常。
我這裏沒有域名,所以只能這樣配置
10.Azure應用程序網關(上)