Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Замечание
Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать, ознакомьтесь с разделом Установка Azure PowerShell. Чтобы узнать, как перейти на модуль Az PowerShell, см. статью Миграция Azure PowerShell с AzureRM на Az.
Прослушиватель — это логическая сущность, которая проверяет входящие запросы на подключение с помощью порта, протокола, узла и IP-адреса. При настройке прослушивателя необходимо ввести значения, соответствующие значениям во входящем запросе на шлюзе.
При создании шлюза приложений с помощью портала Azure вы также создадите прослушиватель по умолчанию, выбрав протокол и порт для прослушивателя. Вы можете выбрать, следует ли включить поддержку HTTP2 на прослушивателе. После создания шлюза приложений можно изменить параметры прослушивателя по умолчанию (appGatewayHttpListener) или создать новые прослушиватели.
Тип прослушивателя
При создании нового прослушивателя вы выбираете между базовым и многосайтовым.
Если вы хотите, чтобы все ваши запросы (для любого домена) были приняты и перенаправляться в серверные пулы, выберите базовый. Узнайте , как создать шлюз приложений с помощью базового прослушивателя.
Если вы хотите перенаправлять запросы в разные серверные пулы на основе заголовка хоста или имен хостов, выберите многоузловой слушатель. Шлюз приложений использует заголовки узлов HTTP 1.1 для размещения нескольких веб-сайтов на одном общедоступном IP-адресе и порте. Чтобы отличить запросы на одном порту, необходимо указать имя узла, соответствующее входящего запроса. Дополнительные сведения см. в статье о размещении нескольких сайтов с помощью шлюза приложений.
Порядок обработки слушателей
Для версии v1 SKU запросы сопоставляются в соответствии с порядком правил и типом слушателя. Если правило с простым прослушивателем идет первым в списке, оно обрабатывается в первую очередь и принимает любой запрос для этого порта и комбинации IP-адреса. Чтобы избежать этого, настройте правила с многосайтовыми прослушивателями сначала и отправьте правило с основным прослушивателем последним в списке.
Для версии SKU v2 порядок обработки слушателей определяется приоритетом правила. Подстановочные знаки и базовые слушатели должны быть заданы с приоритетом, численно превышающим приоритет слушателей, связанных с конкретным сайтом и слушателей для нескольких сайтов, чтобы гарантировать выполнение последних до подстановочных знаков и базовых слушателей.
IP-адрес фронтенда
Выберите внешний IP-адрес, который планируется связать с этим прослушивателем. Прослушиватель будет прослушивать входящие запросы по этому IP-адресу.
Замечание
Интерфейс шлюза приложений поддерживает IP-адреса с двумя стеками. Вы можете создать до четырех внешних IP-адресов: два IPv4-адреса (общедоступные и частные) и два IPv6-адреса (общедоступные и частные).
Внешний порт
Ассоциировать фронтенд-порт. Можно выбрать существующий порт или создать новый. Выберите любое значение из допустимого диапазона портов. Вы можете использовать не только хорошо известные порты, такие как 80 и 443, но и любой разрешенный настраиваемый порт, подходящий. Один и тот же порт можно использовать для общедоступных и частных прослушивателей.
Замечание
При использовании частных и публичных прослушивателей с одинаковым номером порта ваш шлюз приложений изменяет "назначение" входящего потока на внешние IP-адреса вашего шлюза. Поэтому в зависимости от конфигурации группы безопасности сети может потребоваться правило входящего трафика с IP-адресами назначения в качестве общедоступных и частных IP-адресов шлюза приложений.
Правило для входящего трафика:
- Источник: (согласно вашему требованию)
- IP-адреса назначения: общедоступные и частные IP-адреса шлюза приложений.
- Порт назначения: (как для конфигурации прослушивателя)
- Протокол: TCP
Правило исходящего трафика: (нет конкретного требования)
Протокол
Выберите HTTP или HTTPS:
При выборе HTTP трафик между клиентом и шлюзом приложений незашифрован.
Выберите HTTPS, если требуется завершение TLS или сквозное шифрование TLS. Трафик между клиентом и шлюзом приложений шифруется, а подключение TLS будет прекращено в шлюзе приложений. Если требуется сквозное шифрование TLS к целевому объекту серверной части, необходимо также выбрать HTTPS в параметре HTTP серверной части. Это гарантирует, что трафик шифруется, когда шлюз приложений устанавливает соединение с целевым ресурсом серверной части.
Чтобы настроить завершение TLS, необходимо добавить в прослушиватель сертификат TLS/SSL. Это позволяет Шлюз приложений расшифровать входящий трафик и зашифровать трафик ответа клиенту. Сертификат, предоставленный Шлюзу приложений, должен быть в формате PFX, который содержит как закрытый, так и открытый ключи.
Замечание
При использовании сертификата TLS из Key Vault для прослушивателя необходимо убедиться, что шлюз приложений всегда имеет доступ к этому связанному ресурсу хранилища ключей и объекту сертификата в нем. Это позволяет легко выполнять операции завершения TLS и поддерживать общую работоспособность ресурса шлюза. Если ресурс шлюза приложений обнаруживает неправильно настроенное хранилище ключей, он автоматически переводит связанные прослушиватели HTTPS в неактивное состояние. Подробнее.
Поддерживаемые сертификаты
Общие сведения о завершении TLS и окончании TLS с помощью шлюза приложений
Дополнительная поддержка протокола
Поддержка HTTP2
Поддержка протокола HTTP/2 доступна клиентам, которые подключаются только к прослушивателям шлюза приложений. Обмен данными с пулами серверов бекэнда всегда осуществляется с использованием HTTP/1.1. Поддержка HTTP/2 отключена по умолчанию. В следующем фрагменте кода Azure PowerShell показано, как включить это:
$gw = Get-AzApplicationGateway -Name test -ResourceGroupName hm
$gw.EnableHttp2 = $true
Set-AzApplicationGateway -ApplicationGateway $gw
Это важно
При создании ресурса шлюза приложений на портале Azure параметр по умолчанию для HTTP2 устанавливается как включенный. Вы можете выбрать "Отключено " во время создания и повторно включить поддержку HTTP2 с помощью портала Azure, выбрав в разделе HTTP2 в разделе "Конфигурация шлюза > приложений".
В случаях, когда HTTP2 не поддерживается клиентом, будет использоваться HTTP1.1. Включение HTTP2 не отключает HTTP1.1; он позволяет поддерживать оба варианта.
Поддержка WebSocket
Поддержка WebSocket включена по умолчанию. Невозможно настроить параметр для его включения или отключения пользователем. С прослушивателями HTTP и HTTPS можно использовать WebSockets.
Пользовательские страницы ошибок
Вы можете определить настраиваемые страницы ошибок для различных кодов ответов, возвращаемых шлюзом приложений. Коды ответов, для которых можно настроить страницы ошибок: 400, 403, 405, 408, 500, 502, 503 и 504. Вы можете использовать настройки страниц ошибок глобального уровня или конкретного прослушивателя, чтобы задать их детализировано для каждого прослушивателя. Дополнительные сведения см. в разделе "Создание пользовательских страниц ошибок шлюза приложений".
Замечание
Ошибка, возникающая на серверной части, передается шлюзом приложений клиенту без изменений.
Политика TLS
Вы можете централизованно управлять сертификатами TLS/SSL и уменьшать затраты на шифрование и расшифровку для серверной фермы. Централизованная обработка TLS также позволяет указать центральную политику TLS, которая подходит для ваших требований безопасности. Вы можете выбрать предопределенную или настраиваемую политику TLS.
Вы настраиваете политику TLS для управления версиями протокола TLS. Шлюз приложений можно настроить для использования минимальной версии протокола для подтверждения TLS из TLS1.0, TLS1.1, TLS1.2 и TLS1.3. По умолчанию ssl 2.0 и 3.0 отключены и не настраиваются. Дополнительные сведения см. в разделе "Общие сведения о политике TLS шлюза приложений".
После создания прослушивателя вы связываете его с правилом маршрутизации запросов. Это правило определяет, как запросы, полученные на слушателе, направляются на обработку.