练习 - 为加密配置应用程序网关侦听器
配置 Azure 应用程序网关和后端池的证书后,可以创建一个侦听器来处理传入请求。 侦听器等待消息,使用私钥解密消息,然后将这些消息路由到后端池。
在本单元中,你将使用端口 443 和在第一个练习中创建的 SSL 证书设置侦听器。 下图突出显示了在本练习中设置的元素。
配置侦听器
运行以下命令,为网关创建新的前端端口(443):
az network application-gateway frontend-port create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name https-port \ --port 8443上传应用程序网关的 SSL 证书。 安装脚本在上一练习中生成了此证书。 证书存储在 server-config 文件夹中的 appgateway.pfx 文件中。
为 .pfx 文件生成的密码是 somepassword。 不要在以下命令中更改它。
az network application-gateway ssl-cert create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name appgateway-cert \ --cert-file server-config/appgateway.pfx \ --cert-password somepassword运行以下命令以创建接受端口 443 上的传入流量的新侦听器。 侦听器使用证书 appgateway-cert 解密消息。
az network application-gateway http-listener create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name https-listener \ --frontend-port https-port \ --ssl-cert appgateway-cert运行以下命令,创建一个规则,用于将通过新侦听器收到的流量定向到后端池。 此命令可能需要一两分钟才能完成。
az network application-gateway rule create \ --resource-group $rgName \ --gateway-name gw-shipping \ --name https-rule \ --address-pool ap-backend \ --http-listener https-listener \ --http-settings https-settings \ --rule-type Basic \ --priority 102
测试应用程序网关
检索应用程序网关的公共 URL。
echo https://$(az network public-ip show \ --resource-group $rgName \ --name appgwipaddr \ --query ipAddress \ --output tsv)在浏览器中访问网址。
与以前一样,浏览器可能会显示一条警告消息,指出 SSL 连接正在使用未经身份验证的证书。 此警告显示,因为证书是自签名的。 可以忽略此警告并继续访问网站。
验证发货门户的主页是否显示。
已将侦听器配置为侦听端口 443,并解密准备传递到后端池的数据。 当数据从网关传输到后端池中的服务器时,会重新加密数据。 有了此侦听器,你已为传送门户设置端到端加密。
如果需要,可以删除这些资源。 删除本模块中创建的所有资源的最简单方法是直接删除资源组。