为应用程序启用入口到应用 TLS

注意

Azure Spring Apps 是 Azure Spring Cloud 服务的新名称。 虽然该服务有新名称,但一些地方仍会使用旧名称,我们仍在更新屏幕截图、视频和图形等资产。

注意

此功能在基本计划中不可用。

本文介绍 Azure Spring Apps 中的安全通信。 本文还说明如何启用入口到应用 SSL/TLS,以保护从入口控制器到支持 HTTPS 的应用程序的流量。

下图显示了 Azure Spring Apps 中的总体安全通信支持。

Diagram that shows the secured TLS flow in Azure Spring Apps.

Azure Spring Apps 中的安全通信模型

本部分说明上述概览图中所示的安全通信模型。

  1. 客户端请求(从客户端到 Azure Spring Apps 中的应用程序)进入入口控制器。 请求可以是 HTTP 或 HTTPS。 入口控制器返回的 TLS 证书由 Azure TLS 证书颁发机构颁发。

    如果应用已映射到现有的自定义域,并且仅配置为 HTTPS,则对入口控制器的请求只能是 HTTPS。 入口控制器返回的 TLS 证书是该自定义域的 SSL 绑定证书。 自定义域的服务器端 SSL/TLS 验证是在入口控制器中完成的。

  2. 入口控制器与 Azure Spring Apps 中的应用程序之间的安全通信由入口到应用 TLS 控制。 还可以通过门户或 CLI 控制通信,本文稍后将对此进行说明。 如果禁用入口到应用 TLS,则入口控制器与 Azure Spring Apps 中的应用之间的通信使用 HTTP。 如果启用了入口到应用 TLS,则通信将使用 HTTPS,并且与客户端和入口控制器之间的通信无关。 入口控制器不会验证从应用返回的证书,因为入口到应用 TLS 会加密通信。

  3. 应用与 Azure Spring Apps 服务之间的通信始终使用 HTTPS,且由 Azure Spring Apps 处理。 此类服务包括配置服务器、服务注册表和 Eureka 服务器。

  4. 管理应用程序之间的通信。 还可以利用 Azure Spring Apps 功能将证书加载到应用程序的信任存储中。 有关详细信息,请参阅在应用程序中使用 TLS/SSL 证书

  5. 管理应用程序和外部服务之间的通信。 要减少开发工作量,可使用 Azure Spring Apps 帮助管理公共证书并将其加载到应用程序的信任存储中。 有关详细信息,请参阅在应用程序中使用 TLS/SSL 证书

为应用程序启用入口到应用 TLS

下一节介绍如何启用入口到应用 SSL/TLS,以保护从入口控制器到支持 HTTPS 的应用程序的流量。

先决条件

在现有应用上启用入口到应用 TLS

使用命令 az spring app update --enable-ingress-to-app-tls为应用启用或禁用入口到应用 TLS。

az spring app update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app update --enable-ingress-to-app-tls false -n app_name -s service_name -g resource_group_name

绑定自定义域后,启用入口到应用 TLS

使用命令 az spring app custom-domain update --enable-ingress-to-app-tlsaz spring app custom-domain bind --enable-ingress-to-app-tls,为应用启用或禁用入口到应用 TLS。

az spring app custom-domain update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app custom-domain bind --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name

使用 Azure 门户启用入口到应用 TLS

要在 Azure 门户中启用入口到应用 TLS,请首先创建一个应用,然后启用该功能。

  1. 按常规在门户中创建应用。 在门户中导航到该应用。
  2. 在左侧导航窗格中向下滚动到“设置”组。
  3. 选择“入口到应用 TLS”。
  4. 将“入口到应用 TLS”切换为“是”。

Screenshot of the Azure portal that shows the app Ingress-to-app TLS page.

验证入口到应用 TLS 状态

使用命令 az spring app show 来检查 enableEndToEndTls 的值。

az spring app show -n app_name -s service_name -g resource_group_name

后续步骤

访问 Config Server 和服务注册表