通过 Azure 门户使用 SSL 终端创建应用程序网关

可通过 Azure 门户使用 SSL 终端的证书创建使用虚拟机作为后端服务器的应用程序网关

在本文中,学习如何:

  • 创建自签名证书
  • 使用证书创建应用程序网关
  • 创建用作后端服务器的虚拟机

如果没有 Azure 订阅,可在开始前创建一个试用帐户

登录 Azure

http://portal.azure.cn 登录 Azure 门户

创建自签名证书

在本部分中,将使用 New-SelfSignedCertificate 创建自签名证书,为应用程序网关创建侦听器时会将该证书上传到 Azure 门户。

在本地计算机上,以管理员身份打开 Windows PowerShell 窗口。 运行以下命令以创建证书:

New-SelfSignedCertificate \
  -certstorelocation cert:\localmachine\my \
  -dnsname www.contoso.com

应看到与此响应类似的内容:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Use [Export-PfxCertificate](https://docs.microsoft.com/powershell/module/pkiclient/export-pfxcertificate) with the Thumbprint that was returned to export a pfx file from the certificate:
$pwd = ConvertTo-SecureString -String "Azure123456!" -Force -AsPlainText
Export-PfxCertificate \
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 \
  -FilePath c:\appgwcert.pfx \
  -Password $pwd

创建应用程序网关

若要在创建的资源之间实现通信,需要设置虚拟网络。 在本示例中创建了两个子网:一个用于应用程序网关,另一个用于后端服务器。 可以在创建应用程序网关的同时创建虚拟网络。

  1. 单击 Azure 门户左上角的“新建”。
  2. 选择“网络”,然后在“特别推荐”列表中选择“应用程序网关”。
  3. 输入 myAppGateway 作为应用程序网关的名称,输入 myResourceGroupAG 作为新资源组的名称。
  4. 接受其他设置的默认值,然后单击“确定”。
  5. 依次单击“选择虚拟网络”、“新建”,然后输入虚拟网络的以下值:

    • myVNet - 虚拟网络的名称。
    • 10.0.0.0/16 - 虚拟网络地址空间。
    • myAGSubnet - 子网名称。
    • 10.0.0.0/24 - 子网地址空间。

      创建虚拟网络

  6. 单击“确定”创建虚拟网络和子网。

  7. 依次单击“选择公共 IP 地址”、“新建”,然后输入公共 IP 地址的名称。 在本示例中,公共 IP 地址名为 myAGPublicIPAddress。 接受其他设置的默认值,然后单击“确定”。
  8. 单击 HTTPS 作为侦听器的协议,并确保端口定义为 443
  9. 单击“文件夹”图标,然后浏览到以前创建的 appgwcert.pfx 证书,以便将其上传。
  10. 输入 mycert1 作为证书的名称,输入 Azure123456! 作为密码,并单击“确定”。

    新建应用程序网关

  11. 复查摘要页上的设置,然后单击“确定”以创建网络资源和应用程序网关。 创建应用程序网关可能需要几分钟时间,请等到部署成功完成,然后转到下一部分。

添加子网

  1. 单击左侧菜单中的“所有资源”,然后从资源列表中单击“myVNet”。
  2. 单击“子网”,然后单击“子网”。

    创建子网

  3. 输入 myBackendSubnet 作为子网的名称,然后单击“确定”。

创建后端服务器

在此示例中,将创建两个虚拟机以用作应用程序网关的后端服务器。 还可以在虚拟机上安装 IIS,以验证是否已成功创建应用程序网关。

创建虚拟机

  1. 单击“新建” 。
  2. 单击“计算”,然后在“特色”列表中选择“Windows Server 2016 Datacenter”。
  3. 为虚拟机输入以下值:

    • myVM - 作为虚拟机的名称。
    • azureuser - 作为管理员用户名。
    • Azure123456! - 密码。
    • 选择“使用现有资源组”,然后选择“myResourceGroupAG”。
  4. 单击 “确定”

  5. 选择“DS1_V2”作为虚拟机的大小,然后单击“选择”。
  6. 请确保选择 myVNet 作为虚拟网络,子网是 myBackendSubnet
  7. 单击“禁用”以禁用启动诊断。
  8. 创建“确定”,检查“摘要”页上的设置,然后单击“创建”。

安装 IIS

  1. 在 PowerShell 中使用以下命令登录到 Azure 门户:

    Login-azureRmAccount -EnvironmentName AzureChinaCloud
    
  2. 运行以下命令以在虚拟机上安装 IIS:

    Set-AzureRmVMExtension `
      -ResourceGroupName myResourceGroupAG `
      -ExtensionName IIS `
      -VMName myVM `
      -Publisher Microsoft.Compute `
      -ExtensionType CustomScriptExtension `
      -TypeHandlerVersion 1.4 `
      -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
      -Location ChinaNorth
    
  3. 使用刚刚完成的步骤创建第二个虚拟机并安装 IIS。 输入 myVM2 作为其名称,并将其用于 Set-AzureRmVMExtension 中的 VMName。

添加后端服务器

  1. 单击“所有资源”,然后单击 myAppGateway
  2. 单击“后端池”。 默认池已随应用程序网关自动创建。 单击 appGateayBackendPool
  3. 单击“添加目标”将所创建的每个虚拟机添加到后端池。

    添加后端服务器

  4. 单击“保存” 。

测试应用程序网关

  1. 单击“所有资源”,然后单击“myAGPublicIPAddress”。

    记下应用程序网关的公共 IP 地址

  2. 复制该公共 IP 地址,并将其粘贴到浏览器的地址栏。 若要接受有关使用自签名证书的安全警告,请依次选择“详细信息”和“继续转到网页”:

    安全警告

    随即显示受保护的 IIS 网站,如下例所示:

    在应用程序网关中测试基 URL

后续步骤

在本教程中,你已学习了如何执行以下操作:

  • 创建自签名证书
  • 使用证书创建应用程序网关
  • 创建用作后端服务器的虚拟机

若要了解有关应用程序网关及其关联资源的详细信息,请继续阅读操作指南文章。