配置 Azure 应用程序网关 TCP/TLS 代理(预览版)
为了试用 Azure 应用程序网关的第 4 层功能,本文将介绍如何使用 Azure 门户创建一个将 SQL Server 虚拟机作为后端服务器的 Azure 应用程序网关。 还会测试通过 SQL 客户端进行的连接,以验证配置是否正常工作。 本文将指导你完成以下过程:
- 创建 SQL Server Azure 虚拟机
- 创建新的应用程序网关
配置基本设置和前端公共 IP 地址
添加后端池并将 SQL Server 设置为后端目标
创建路由规则
- 使用所需端口 (SQL 1433) 创建侦听器
- 使用第 4 层协议创建后端设置
将 SQL Server 添加到后端池
- 使用 SQL 客户端连接到应用程序网关
重要
应用程序网关 TCP/TLS 代理目前为预览版。
有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Azure 预览版的补充使用条款。
注册预览版
注意
加入此预览版时,所有应用程序网关都将能够使用第 4 层代理功能。 该注册由系统自动批准,大约需要 30 分钟才能生效。
按照以下步骤使用 Azure 门户注册应用程序网关 TCP/TLS 代理的公共预览版:
登录 Azure 门户。
在搜索框中,输入“订阅” , 然后选择“订阅”。
选择订阅名称的链接。
从左侧菜单的“设置”下,选择“预览功能” 。
你会看到包含可用预览功能和当前注册状态的列表。
在“预览功能”的筛选框中键入“AllowApplicationGatewayTlsProxy”,选择该功能,然后选择“注册”。
创建 SQL Server
首先,使用 Azure 门户创建 SQL Server 虚拟机 (VM)。
在 Azure 门户主页中搜索“SQL 虚拟机”,然后在“服务”下选择“SQL 虚拟机”。
选择“创建”,然后在“选择 SQL 部署选项”页上,从下拉菜单中选择“免费 SQL Server 许可证”选项。 例如:Windows Server 2022 上的 SQL Server 2022 Developer。 也可以选择其他免费许可证版本进行测试。
选择免费 SQL 许可证版本后,选择“创建”。 此时将打开“基本信息”选项卡。
在“基本信息”选项卡中输入以下信息:
- 订阅:选择 Azure 订阅名称。
- 资源组:创建新的资源组,以便在测试后轻松将其删除,例如:myresourcegroup。
- 虚拟机名称:mySQLVM
- 区域:选择你的资源组所在的同一区域。
- 可用性选项:接受默认设置。
- 安全类型:接受默认设置。
- 映像:接受默认设置。
- 大小:选择与区域兼容的大小。
- 管理员详细信息:输入用户名和密码。
- 入站端口规则:接受默认设置。
选择“查看 + 创建”,然后选择“创建”。 部署虚拟机需花费数分钟。
部署完成后,选择 SQL Server 资源的概述页面并记下虚拟机的公共 IP 地址。
创建应用程序网关
在 Azure 门户菜单上或在“主页”中,选择“创建资源”。
在“类别”下选择“网络”,然后在“常用 Azure 服务”列表中选择“应用程序网关”。
在“基本信息”选项卡中输入以下详细信息:
- 订阅:选择 Azure 订阅名称。
- 资源组:选择上一过程中创建 SQL Server 虚拟机时输入的相同资源组。
- 应用程序网关名称:myL4AppGW
- 区域:选择你的资源组所在的同一区域。
- 层级:标准 V2
- 启用自动缩放:接受默认设置。
- 最小实例计数:2
- 所有其他实例详细信息:接受默认设置。
- 虚拟网络:选择“新建”并输入名称。 例如:myL4AppGWVNet。 接受默认地址空间设置,并将默认子网名称替换为描述性名称,例如 appgw-subnet。
注意
调整默认地址空间和子网设置,以避免与其他已部署的 VNet 冲突。
下表提供了此过程中使用的相关设置的详细信息。
字段 详细信息 订阅 选择部署 SQL Server 的同一订阅。 资源组 选择部署 SQL Server 的同一资源组。 应用程序网关名称 可以提供方便识别的任何名称。 区域 系统将根据所选的资源组自动选择区域。 层 对于 TCP/TLS 代理,可以选择“标准 v2”或“WAF v2”。 在混合模式下(HTTP、HTTPS 以及 TCP 或 TLS)使用网关时,WAF 功能仅适用于 HTTP(S)。 启用自动缩放 通过此设置,网关可根据负载进行横向扩展和横向缩减。 这适用于第 7 层和第 4 层代理。 默认设置为“是”。 最小/最大实例计数 有关详细信息,请参阅缩放应用程序网关 v2 和 WAF v2。 可用性区域 有关详细信息,请参阅什么是 Azure 区域和可用性区域?。 HTTP2 默认设置“已禁用”可用于此测试。 虚拟网络和子网 可以选择区域中的现有 VNet 或创建新的 VNet。 应用程序网关需要其自己的专用子网,其中不得部署其他服务。 选择“下一步: 前端”。
为“前端 IP 地址类型”选择“公共”,并使用现有 IP 地址或创建新的 IP 地址。
在完成时选择“下一步:后端。
在“后端”选项卡上,选择“添加后端池” 。
在“添加后端池”下输入详细信息:
- 名称:输入后端池的名称,例如 sql-vm。
- 目标类型:选择“IP 地址或 FQDN”,然后输入之前记下的 SQL Server 虚拟机的公共 IP 地址。
选择“添加”,然后选择“下一步: 配置”。
接下来,创建侦听器、后端设置和链接前端和后端属性的路由规则。 首先,选择“添加路由规则”并在“侦听器”选项卡上输入以下设置:
规则名称:SQL-rule
优先级:100
侦听器名称:sql-client-listener
前端 IP:公共 IPv4
协议:TCP
端口:1433
选择“后端目标”选项卡并输入以下设置:
- 目标类型:后端池
- 后端目标:选择创建的池名称,例如 sql-vm。
- 后端设置:选择“新增”并使用以下值创建后端设置:
后端设置名称:backend-settings-sql
后端协议:TCP
后端端口:1433
超时(秒):20
选择“添加”以添加后端设置,然后选择“添加”以添加路由规则。
选择“下一步: 标记”并根据需要添加标记。 此演示不需要标记。
选择“下一步: 查看 + 创建”,然后选择“创建”。 部署过程需要几分钟时间。
连接到 SQL Server
在连接到 SQL Server 之前,请确认已经:
- 有应用程序网关前端的公共 IP 地址
- 将 SQL Server 配置为接受 SQL 身份验证
- 在 SQL Server 上创建了管理员帐户
在安装了 SQL Server Management Studio 的客户端设备上,连接到 Azure 虚拟机的公共 IP 地址。
清理资源
如果不再需要,请删除创建的资源组“myresourcegroup”,从而删除应用程序网关和所有相关资源。
取消注册预览版
使用与注册预览版相同的过程,通过选择预览版功能,然后选择“注销”,即可注销预览版。
后续步骤
若要监视后端池的运行状况,请参阅应用程序网关的后端运行状况和诊断日志。