使用应用程序网关配置应用服务

对于生产级方案，建议使用此配置，此配置符合不更改请求流中的主机名的做法。 必须有一个可用的自定义域（和相关证书），以避免依赖于默认的“.chinacloudsites”域。

与后端池中的应用程序网关和应用服务相同的域名，请求流不需要重写主机名。 后端 Web 应用程序将原始主机视为客户端使用的原始主机。

此配置最简单，无需自定义域。 这样，便可以实现便捷的设置。

当应用服务没有与之关联的自定义域时：Web 应用程序传入请求上的主机标头需要设置为默认域，后缀为“.chinacloudsites.cn”，否则平台将无法正确路由请求。

应用程序网关收到的原始请求中的主机标头不同于后端应用服务的主机名。

• 应用程序网关：创建不带后端池目标的应用程序网关。 有关详细信息，请参阅快速入门：使用 Azure 应用程序网关定向 Web 流量 - Azure 门户

• 应用服务：如果没有现有的应用服务，请参阅应用服务文档。

• 一个自定义域名和存储在密钥保管库中的关联证书（由知名的颁发机构签名）。 有关如何在密钥保管库中存储证书的详细信息，请参阅教程：在 Azure 密钥保管库中导入证书

• 在应用程序网关中配置的自定义运行状况探测，该探测使用自定义域名作为其主机名。 若要创建自定义运行状况探测，请参阅 创建自定义运行状况探测。

• 应用程序网关：创建不带后端池目标的应用程序网关。 有关详细信息，请参阅快速入门：使用 Azure 应用程序网关定向 Web 流量 - Azure 门户

• 应用服务：如果没有现有的应用服务，请参阅应用服务文档。

使用自定义域将用户或客户端路由到应用程序网关。 使用指向应用程序网关 DNS 的 CNAME 别名设置 DNS。 应用程序网关的 DNS 地址显示在关联的公共 IP 地址的“概述”页上。 或者，创建直接指向该 IP 地址的 A 记录。 （对于应用程序网关 V1，如果你停止并启动服务，VIP 可能会更改，这使得该选项并非所需。）

应配置应用服务，以便它使用自定义域名作为传入主机接受来自应用程序网关的流量。 有关如何将自定义域映射到应用服务的详细信息，请参阅教程：将现有的自定义 DNS 名称映射到 Azure 应用服务。若要验证域，应用服务只需添加 TXT 记录。 不需要对 CNAME 或 A 记录进行更改。 自定义域的 DNS 配置仍定向到应用程序网关。

若要接受通过 HTTPS 与应用服务建立的连接，请配置其 TLS 绑定。 有关详细信息，请参阅 在 Azure 应用服务配置应用服务中使用 TLS/SSL 绑定保护自定义 DNS 名称 ，以便从 Azure Key Vault 中拉取自定义域的证书。

当没有可用的自定义域时，用户或客户端可以使用网关的 IP 地址或其 DNS 地址访问应用程序网关。 应用程序网关的 DNS 地址可以在关联的公共 IP 地址的“概述”页上找到。 没有可用的自定义域名意味着在应用程序网关上没有可用的公开签名证书用于 TLS。 客户端会被限制为使用带有自签名证书的 HTTP 或 HTTPS，而这两者都并非所需。

为了连接到应用服务，应用程序网关会使用应用服务提供的默认域（后缀为“.chinacloudsites.cn”）。

1. 在 Azure 门户中，选择你的应用程序网关。

2. 在“后端池”下，选择后端池。

3. 在“目标类型”下，选择“应用服务”。

4. 在“目标”下，选择你的应用服务。

   

   Note

   下拉列表仅填充与应用程序网关位于同一订阅中的应用服务。 如果要使用与应用程序网关所在的订阅不同的订阅中的应用服务，则无需在“目标”下拉列表中选择应用服务，请选择 IP 地址或主机名选项，然后输入应用服务的主机名（example.chinacloudsites.cn）。 如果将专用终结点用于应用服务，则应改用专用终结点的 FQDN 或 IP 地址。

5. 选择“保存”。

# Fully qualified default domain name of the web app:
$webAppFQDN = "<nameofwebapp>.chinacloudsites.cn"

# For Application Gateway: both name, resource group and name for the backend pool to create:
$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$appGwBackendPoolNameForAppSvc = "<name for backend pool to be added>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Add a new Backend Pool with App Service in there:
Add-AzApplicationGatewayBackendAddressPool -Name $appGwBackendPoolNameForAppSvc -ApplicationGateway $gw -BackendFqdns $webAppFQDN

# Update Application Gateway with the new added Backend Pool:
Set-AzApplicationGateway -ApplicationGateway $gw

需要使用 HTTP 设置来指示应用程序网关使用自定义域名访问应用服务后端。 HTTP 设置默认使用 默认运行状况探测。 虽然默认情况下健康探测会使用接收流量时的主机名来转发请求，但由于未定义具体的主机名，健康探测可以使用 127.0.0.1 作为后端池的主机名。 因此，需要创建一个已配置有正确的自定义域名作为主机名的自定义运行状况探测。

我们使用 HTTPS 连接到后端。

1. 在“HTTP 设置”下，选择现有的 HTTP 设置或添加新的 HTTP 设置。
2. 创建新的 HTTP 设置时，请为其指定一个名称
3. 选择 HTTPS 作为所需的后端协议（使用端口 443）
4. 如果证书由已知颁发机构签名，请选择“是”作为“用户已知的 CA 证书”。或者 添加后端服务器的身份验证/受信任的根证书
5. 确保将“替代为新的主机名”设置为“否”
6. 在下拉列表中选择“自定义探测”中的自定义 HTTPS 运行状况探测。

需要使用 HTTP 设置来指示应用程序网关使用默认（“chinacloudsites.cn”）域名访问应用服务后端。 为此，HTTP 设置将显式替代主机名。

1. 在“HTTP 设置”下，选择现有的 HTTP 设置或添加新的 HTTP 设置。
2. 创建新的 HTTP 设置时，请为其指定一个名称
3. 选择 HTTPS 作为所需的后端协议（使用端口 443）
4. 如果证书由知名的颁发机构签署，请为“使用知名的 CA 证书”选择“是”。 或者，添加后端服务器的身份验证/受信任的根证书
5. 确保将“替代为新的主机名”设置为“是”
6. 在“主机名替代”下，选择“从后端目标中选择主机名”。 此设置会导致应用服务的请求使用“chinacloudsites.cn”主机名，如后端池中配置的那样。

# Configure Application Gateway to connect to App Service using the incoming hostname
$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$customProbeName = "<name for custom health probe>"
$customDomainName = "<FQDN for custom domain associated with App Service>"
$httpSettingsName = "<name for http settings to be created>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Add custom health probe using custom domain name:
Add-AzApplicationGatewayProbeConfig -Name $customProbeName -ApplicationGateway $gw -Protocol Https -HostName $customDomainName -Path "/" -Interval 30 -Timeout 120 -UnhealthyThreshold 3
$probe = Get-AzApplicationGatewayProbeConfig -Name $customProbeName -ApplicationGateway $gw

# Add HTTP Settings to use towards App Service:
Add-AzApplicationGatewayBackendHttpSettings -Name $httpSettingsName -ApplicationGateway $gw -Protocol Https -Port 443 -Probe $probe -CookieBasedAffinity Disabled -RequestTimeout 30

# Update Application Gateway with the new added HTTP settings and probe:
Set-AzApplicationGateway -ApplicationGateway $gw

# Configure Application Gateway to connect to backend using default App Service hostname
$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$httpSettingsName = "<name for http settings to be created>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Add HTTP Settings to use towards App Service:
Add-AzApplicationGatewayBackendHttpSettings -Name $httpSettingsName -ApplicationGateway $gw -Protocol Https -Port 443 -PickHostNameFromBackendAddress -CookieBasedAffinity Disabled -RequestTimeout 30

# Update Application Gateway with the new added HTTP settings and probe:
Set-AzApplicationGateway -ApplicationGateway $gw

1. 打开“侦听器”部分，然后选择“添加侦听器”或选择要编辑的现有侦听器
2. 对于新侦听器：为其命名
3. 在“前端 IP”下，选择要侦听的 IP 地址
4. 在“端口”下，选择 443
5. 在“协议”下，选择“HTTPS”
6. 在“选择证书”下，选择“从 Key Vault 中选择证书”。有关详细信息，请参阅 使用 Key Vault ，其中可以找到有关如何分配托管标识并向其提供 Key Vault 权限的详细信息。
   1. 为证书指定名称
   2. 选择托管标识
   3. 选择要从中获取证书的密钥保管库
   4. 选择证书
7. 在“侦听器类型”下，选择“基本”
8. 选择“添加”以添加侦听器

假设没有可用的自定义域或关联的证书，请将应用程序网关配置为侦听端口 80 上的 HTTP 流量。 或者，请参阅有关如何创建自签名证书的说明

1. 打开“侦听器”部分，然后选择“添加侦听器”或选择要编辑的现有侦听器
2. 对于新侦听器：为其命名
3. 在“前端 IP”下，选择要侦听的 IP 地址
4. 在“端口”下，选择 80
5. 在“协议”下，选择“HTTP”

# This script assumes that:
# - a certificate was imported in Azure Key Vault already
# - a managed identity was assigned to Application Gateway with access to the certificate
# - there is no HTTP listener defined yet for HTTPS on port 443

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$appGwSSLCertificateName = "<name for ssl cert to be created within Application Gateway"
$appGwSSLCertificateKeyVaultSecretId = "<key vault secret id for the SSL certificate to use>"
$httpListenerName = "<name for the listener to add>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Create SSL certificate object for Application Gateway:
Add-AzApplicationGatewaySslCertificate -Name $appGwSSLCertificateName -ApplicationGateway $gw -KeyVaultSecretId $appGwSSLCertificateKeyVaultSecretId
$sslCert = Get-AzApplicationGatewaySslCertificate -Name $appGwSSLCertificateName -ApplicationGateway $gw

# Fetch public ip associated with Application Gateway:
$ipAddressResourceId = $gw.FrontendIPConfigurations.PublicIPAddress.Id
$ipAddressResource = Get-AzResource -ResourceId $ipAddressResourceId
$publicIp = Get-AzPublicIpAddress -ResourceGroupName $ipAddressResource.ResourceGroupName -Name $ipAddressResource.Name

$frontendIpConfig = $gw.FrontendIpConfigurations | Where-Object {$_.PublicIpAddress -ne $null}

$port = New-AzApplicationGatewayFrontendPort -Name "port_443" -Port 443
Add-AzApplicationGatewayFrontendPort -Name "port_443" -ApplicationGateway $gw -Port 443
Add-AzApplicationGatewayHttpListener -Name $httpListenerName -ApplicationGateway $gw -Protocol Https -FrontendIPConfiguration $frontendIpConfig -FrontendPort $port -SslCertificate $sslCert

# Update Application Gateway with the new HTTPS listener:
Set-AzApplicationGateway -ApplicationGateway $gw

在许多情况下，端口 80 上的 HTTP 的公共侦听器存在。 以下脚本会创建一个（如果尚未存在）。

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$httpListenerName = "<name for the listener to add if not exists yet>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Check if HTTP listener on port 80 already exists:
$port = $gw.FrontendPorts | Where-Object {$_.Port -eq 80}
$listener = $gw.HttpListeners | Where-Object {$_.Protocol.ToString().ToLower() -eq "http" -and $_.FrontendPort.Id -eq $port.Id}

if ($listener -eq $null){
    $frontendIpConfig = $gw.FrontendIpConfigurations | Where-Object {$_.PublicIpAddress -ne $null}
    Add-AzApplicationGatewayHttpListener -Name $httpListenerName -ApplicationGateway $gw -Protocol Http -FrontendIPConfiguration $frontendIpConfig -FrontendPort $port

    # Update Application Gateway with the new HTTPS listener:
    Set-AzApplicationGateway -ApplicationGateway $gw
}

1. 在“规则”下，选择添加新的“请求路由规则”
2. 为规则提供名称
3. 选择尚未绑定到现有路由规则的 HTTP 或 HTTPS 侦听器
4. 在“后端目标”下，选择已配置了应用服务的后端池
5. 配置应用程序网关要用于连接到应用服务后端的 HTTP 设置
6. 选择“添加”以保存此配置

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"
$httpListenerName = "<name for existing http listener (without rule) to route traffic from>"
$httpSettingsName = "<name for http settings to use>"
$appGwBackendPoolNameForAppSvc = "<name for backend pool to route to>"
$reqRoutingRuleName = "<name for request routing rule to be added>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Get HTTP Settings:
$httpListener = Get-AzApplicationGatewayHttpListener -Name $httpListenerName -ApplicationGateway $gw
$httpSettings = Get-AzApplicationGatewayBackendHttpSettings -Name $httpSettingsName -ApplicationGateway $gw
$backendPool = Get-AzApplicationGatewayBackendAddressPool -Name $appGwBackendPoolNameForAppSvc -ApplicationGateway $gw

# Add routing rule:
Add-AzApplicationGatewayRequestRoutingRule -Name $reqRoutingRuleName -ApplicationGateway $gw -RuleType Basic -BackendHttpSettings $httpSettings -HttpListener $httpListener -BackendAddressPool $backendPool

# Update Application Gateway with the new routing rule:
Set-AzApplicationGateway -ApplicationGateway $gw

打开“后端运行状况”部分，并确保“状态”列指示 HTTP 设置和后端池的组合显示为“正常”。

现在，使用应用程序网关 IP 地址或该 IP 地址的关联 DNS 名称浏览到 Web 应用程序。 这两者都可以在应用程序网关“概述”页上找到，作为“Essentials”下的属性。或者，公共 IP 地址资源还显示 IP 地址和关联的 DNS 名称。

在测试应用程序时，请注意以下不完全的潜在症状列表：

• 直接指向“.chinacloudsites.cn”而不是应用程序网关的重定向
• 包括尝试直接访问“.chinacloudsites.cn”的身份验证重定向
• 未传递到后端的域绑定 Cookie
• 包括在应用服务中使用“ARR 关联”设置

上述情况（在体系结构中心进行了更详细的说明）表明你的 Web 应用程序无法很好地处理重写主机名。 这是很常见的。 处理此问题的建议方法是按照使用自定义域为应用服务配置应用程序网关的说明进行操作。 另请参阅：排查应用程序网关中的应用服务问题。

打开“后端运行状况”部分，并确保“状态”列指示 HTTP 设置和后端池的组合显示为“正常”。

现在，使用与应用程序网关和后端应用服务相关联的自定义域浏览到 Web 应用程序。

检查后端的后端运行状况和 HTTP 设置是否显示为“正常”：

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Check health:
Get-AzApplicationGatewayBackendHealth -ResourceGroupName $rgName -Name $appGwName

若要测试配置，我们使用自定义域通过应用程序网关从应用服务请求内容：

$customDomainName = "<FQDN for custom domain pointing to Application Gateway>"
Invoke-WebRequest $customDomainName

检查后端的后端运行状况和 HTTP 设置是否显示为“正常”：

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Check health:
Get-AzApplicationGatewayBackendHealth -ResourceGroupName $rgName -Name $appGwName

若要测试配置，我们使用 IP 地址通过应用程序网关从应用服务请求内容：

$rgName = "<name of resource group for App Gateway>"
$appGwName = "<name of the App Gateway>"

# Get existing Application Gateway:
$gw = Get-AzApplicationGateway -Name $appGwName -ResourceGroupName $rgName

# Get ip address:
$ipAddressResourceId = $gw.FrontendIPConfigurations.PublicIPAddress.Id
$ipAddressResource = Get-AzResource -ResourceId $ipAddressResourceId
$publicIp = Get-AzPublicIpAddress -ResourceGroupName $ipAddressResource.ResourceGroupName -Name $ipAddressResource.Name
Write-Host "Public ip address for Application Gateway is $($publicIp.IpAddress)"
Invoke-WebRequest "http://$($publicIp.IpAddress)"

在测试应用程序时，请注意以下不完全的潜在症状列表：

• 直接指向“.chinacloudsites.cn”而不是应用程序网关的重定向
• 这包括尝试直接访问“.chinacloudsites.cn”的应用服务身份验证重定向
• 未传递到后端的域绑定 Cookie
• 这包括在应用服务中使用“ARR 相关性”设置

上述情况（在体系结构中心进行了更详细的说明）表明你的 Web 应用程序无法很好地处理重写主机名。 这是很常见的。 处理此条件的建议方法是按照有关使用自定义域配置应用程序网关和应用服务的说明进行作。 另请参阅：排查应用程序网关中的应用服务问题。