10.Azure应用程序网关(上)

应用程序网关这个功能主要又分2个子功能,一个叫“标准应用程序网关”;一个叫“WEB应用程序防火墙(WAF)”。“WEB应用程序防火墙(WAF)”是基于“标准应用程序网关”的升级版。
Azure 应用程序网关是以服务形式提供应用程序传递控制的专用虚拟设备。提供七层的负载均衡功能。还提供其他第 7 层路由功能,包括传入流量的轮循机制分配、基于 Cookie 的会话相关性、基于 URL 路径的路由,以及在单个应用程序网关后面托管多个网站的能力。
Web 应用程序防火墙 (WAF) 也作为应用程序网关的一部分提供。为 Web 应用程序提供保护,帮助抵御常见 Web 漏洞和攻击。可以将应用程序网关配置为面向 Internet 的网关、仅内部网关或这两者的组合。
应用程序网关(包含2个子功能)主要功能如下:
? Web 应用程序防火墙 - Azure 应用程序网关中的 Web 应用程序防火墙 (WAF) 保护 Web 应用程序免受基于 Web 的常见攻击,例如 SQL 注入、跨站点脚本攻击、会话劫持。
? HTTP 负载均衡 - 应用程序网关提供轮循机制负载均衡。 负载均衡在第 7 层完成,仅用于 HTTP(S) 流量。
? 基于 Cookie 的会话相关性 - 想要在同一后端保留用户会话时,此基于 Cookie 的会话相关性功能十分有用。 借助受网关管理的 Cookie,应用程序网关能够将来自用户会话的后续流量转到同一后端进行处理。 在会话状态是为用户会话而本地保存在后端服务器的情况下,此功能十分重要。
? 安全套接字层 (SSL) 卸载 - 此功能让 Web 服务器免于执行解密 HTTPS 流量的高成本任务。 通过在应用程序网关终止 SSL 连接,并将请求转发到未加密的服务器,Web 服务器不用承担解密的负担。 应用程序网关会重新加密响应,再将它发回客户端。 在后端与 Azure 中的应用程序网关位于同一安全虚拟网络中的情况下,此功能十分有用。
? 端到端 SSL - 应用程序网关支持对流量进行端到端加密。 应用程序网关通过在应用程序网关上终止 SSL 连接来完成此任务。 网关随后将路由规则应用于流量、重新加密数据包,并根据定义的路由规则将数据包转发到适当的后端。 来自 Web 服务器的任何响应都会经历相同的过程返回最终用户。
? 基于 URL 的内容路由 - 此功能能够使用不同的后端服务器来处理不同的流量。 可以将 Web 服务器上某个文件夹的流量或 CDN 的流量路由到其他后端。 对于不处理特定内容的后端,此功能可以减少其上的不必要负载。
? 多站点路由 - 应用程序网关允许在单个应用程序网关上合并最多 20 个网站。
? WebSocket 支持 - 应用程序网关的另一个重要功能是对 WebSocket 的本机支持。
? 运行状况监视 - 应用程序网关提供默认的后端资源运行状况监视,以及用于监视更多特定方案的自定义探测。
? SSL 策略和密码 - 此功能可以限制受支持的 SSL 协议版本和密码套件,以及其处理顺序。
? 请求重定向 - 使用此功能可将 HTTP 请求重定向到 HTTPS 侦听器。
? 多租户后端支持 - 应用程序网关支持将多租户后端服务(例如 Azure Web 应用和 API 网关)配置为后端池成员。
? 高级诊断 - 应用程序网关提供完整的诊断和访问日志。 防火墙日志可用于已启用 WAF 的应用程序网关资源。
我先介绍标准应用程序网关,架构如下:

首先需要配置下我之前创建的虚拟网络,在之前的虚拟网络中创建一个空白的子网


创建完成

接下来可以开始创建一个应用程序网关


创建名称以及层为标准,因为我是演示环境,因此我的SKU选择小,实例计数也选择2个,资源组选择现有资源组。

选择我们之前创建的虚拟网络和新建的空白子网,设定前端IP

选择侦听配置,因为之前我部署的是TCP 80端口的网站,因此我就选择HTTP以及80端口,点击确定。

摘要内容检查,确定,部署完成应用程序网关的时间大约是19分钟。

在Azure中一般情况“负载均衡器”和“应用程序网关”是二选一来提供负载均衡的。
创建好以后我进行应用程序网关进行配置,我先配置后端池

添加后端2台WEB虚拟机

应用程序网关的对外Azure别名地址是不能自己定义的,只能是使用生成好的固定带Guid的一串字符的别名进行使用,点击“复制”

粘贴到记事本里,括号里的这段就是对外的Azure别名DNS地址了。

试下通过这个别名DNS地址访问看看:

试下通过标准应用程序网关的公网IP地址访问看看:

当通过应用程序网关来访问的话就可以看到访问的状态

后端的状态也可以看到(如果应用程序网关子网上存在网络安全组 (NSG) ,请打开应用程序网关子网上的端口范围 65503-65534,以便允许入站流量。这些端口是确保后端运行状况 API 正常工作所必需的。)

还可以按照之前NLB的方法自定义运行状态探测的检测方法

名称和协议就自己定义和选择
主机名:用于探测的主机名。仅在应用程序网关上配置了多站点的情况下适用,否则使用“127.0.0.1”。 此值与 VM 主机名不同。
路径:自定义探测的完整 URL 的其余部分。有效路径以“/”开头。对于 http://contoso.com 的默认路径,只需使用“/”
间隔:多久探测一次
超时:超时之前探测的等待时间。超时间隔必须足够长,以便进行 http 调用,确保后端运行状况页可用。
不正常阈值:系统认为不正常的失败尝试次数。阈值为 0 意味着,如果运行状况检查失败,则会立即将后端确定为不正常。

我这里没有域名,所以只能这样配置

原文地址:http://blog.51cto.com/rdsrv/2068535

时间: 2024-11-08 12:59:58

10.Azure应用程序网关(上)的相关文章

Azure应用程序网关常见问题场景分析

Azure应用程序网关常见问题场景分析 场景一:WAF功能对应用程序网关性能的影响 在开启了WAF功能后,WAF功能模块运行会占据很大一部分系统负载.以下针对有安全性合规需求的前提(必须开启WAF)做进一步性能分析: 开启了WAF后,随之会有基于一些列OWASP规则的HTTP层的安全扫描,这些扫描会产生大量的CPU开销,涉及前后文规则匹配,评分计算,执行动作等等逻辑.因此,规则匹配是消耗CPU的主要因素. 这里需要注意两点: 所有有效且网络上已经到达应用程序网关的http请求均会被WAF模块做安

Azure应用程序网关证书

Azure AppGateway  证书问题 最近处理一个应用程序网关的工单,突发其想,后端池中的两台计算机可否一台Windows,另外一台Linux.网上搜罗一番,还真可以.其实核心点在于证书格式不同:   Windows :  .pfx..cer   Linux:.crt..key   本次实验目标: 以下截图中两台计算机,一台Windows和一台Linux计算机,后端运行状态都为"正常" 分析这个需求: 两种解决方案: Linux虚拟机apache使用windows的证书(更多的

Windows Azure Application Gateway 应用程序网关

 本文主要介绍Windows Azure 应用程序网关三种主要功能介绍:Http负载平衡.基于cookie会话连接.SSL卸载 Azure应用程序网关(Azure Application Gateway) 基础环境准备,在虚拟网络中为应用程序网关创建一个子网,在本文中使用AppGateway-1子网. New-AzureApplicationGateway -Name WinAppGW -VnetName AppGatewayVnet -Subnets AppGateway-1 #新建应用程序网

5.Azure负载均衡(上)

之前的文章中,我创建了一个WEB01的Windows Server虚拟机,接下来我再创建一台Linux(CentOS 7.3)的WEB02虚拟机.在这2台虚拟机上,我分别部署IIS和Apache期望为这2台前面加一个负载均衡实现WEB访问的冗余和负载.今天我要给点击分享的就是如下的架构实验配置过程:Azure 负载均衡器可提高应用程序的可用性和网络性能. 它是第 4 层(TCP.UDP)类型的负载均衡器.如果您要做7层的负载均衡那么需要用Azure的应用程序网关.如果您要做基于DNS的流量定向访

13.Azure流量管理器(上)

使用Azure 流量管理器可以控制用户访问流量导向不同位置的数据中心.流量管理器支持包括访问Azure VM.Web应用和云服务.也可将流量管理器用于非Azure数据中心的其他数据中心.流量管理器根据流量路由方法和不通位置的数据中心提供服务端的运行状况,使用域名系统 (DNS) 将客户端请求定向到最合适的就近数据中心提供服务端.流量管理器提供多种流量路由方法和数据中心提供服务端监视选项来满足不同的应用程序需求和自动故障转移模型.流量管理器能够灵活应对故障,包括整个 Azure 区域的故障.流量管

总结过去10年的程序员生涯

展望未来,总结过去10年的程序员生涯,给程序员小弟弟小妹妹们的一些总结性忠告 走 过的路,回忆起来是那么曲折,把自己的一些心得体会分享给程序员兄弟姐妹们,虽然时代在变化,但是很可能你也会走我已经做过的10年的路程,有些心得体会 你可以借鉴一下,觉得说得有道理的你就接纳,觉得说得没道理的,你就抛弃,以下是我发自内心的,给大家的忠告,特别是针对那些小弟弟妹妹们. 01. 自己的户口档案.养老保险.医疗保险.住房公积金一定要保管好.由 于程序员行业每年跳槽一次,我不隐瞒大家,我至少换过5个以上的单位,

展望未来,总结过去10年的程序员生涯,给程序员小弟弟小妹妹们的一些总结性忠告【转载】

走过的路,回忆起来是那么曲折,把自己的一些心得体会分享给程序员兄弟姐妹们,虽然时代在变化,但是很可能你也会走我已经做过的10年的路程,有些心得体会你可以借鉴一下,觉得说得有道理的你就接纳,觉得说得没道理的,你就抛弃,以下是我发自内心的,给大家的忠告,特别是针对那些小弟弟妹妹们.01. 自己的户口档案.养老保险.医疗保险.住房公积金一定要保管好.由于程序员行业每年跳槽一次,我不隐瞒大家,我至少换过5个以上的单位,这期间跳来跳去,甚至是城市都换过3个.还好户口没丢掉,其他都已经是乱了,好几个城市里,

【转载分享】总结过去10年的程序员生涯,给程序员小弟弟小妹妹们的一些总结性忠告

展望未来,总结过去10年的程序员生涯,给程序员小弟弟小妹妹们的一些总结性忠告 走过的路,回忆起来是那么曲折,把自己的一些心得体会分享给程序员兄弟姐妹们,虽然时代在变化,但是很可能你也会走我已经做过的10年的路程,有些心得体会你可以借鉴一下,觉得说得有道理的你就接纳,觉得说得没道理的,你就抛弃,以下是我发自内心的,给大家的忠告,特别是针对那些小弟弟妹妹们. 01. 自己的户口档案.养老保险.医疗保险.住房公积金一定要保管好.由于程序员行业每年跳槽一次,我不隐瞒大家,我至少换过5个以上的单位,这期间

【转载】10年的程序员生涯(附带原文地址)

内容是转载自别人的博客,而且被这么多人转了的文章,竟然都没有附上原文地址,真是心寒.在cnds被转了不下几十篇竟然都没有原文地址,在里面搜索也没有搜索到,然后到百度搜索也毫无头绪,然后在必应上面按照时间来找,最终发现这篇文章最早出现的地方,我想这应该是原文的出处了吧!我把地址贴出来以此来感谢博主的好文! http://www.cnblogs.com/jirigala/archive/2009/08/03/1537874.html 展望未来,总结过去10年的程序员生涯,给程序员小弟弟小妹妹们的一些