Будьте всегда 120 на 70!

Содержание

Занятие в средней группе «Наш друг – светофор»

Цели и задачи:

  • Расширять представления детей о правилах поведения на улице, при переходе через дорогу.
  • Закрепить у детей знание правил дорожного движения.
  • Воспитывать у детей внимание, сосредоточенность.
  • Сформировать наглядное представление о светофоре с помощью аппликаций.

Материалы и оборудование:

  • различные игрушечные машины;
  • круги для показа (красный, жёлтый, зелёный);
  • заготовки для аппликации «светофор» (прямоугольники, кружочки, полоски, лист бумаги, клей.

Ход занятия

1. Организационный момент

Приготовить материал и оборудование, рассадить детей.

2. Основная часть

Воспитатель: Тема сегодняшнего нашего занятия «Наш друг – светофор». Мы будем учиться правильно переходить дорогу. (Читает стихотворение С.Я.Маршака «Мой веселый звонкий мяч»).

Мой веселый звонкий мяч,
Ты куда помчался вскачь?
Красный, желтый, голубой.
Не угнаться за тобой!
Я тебя ладонью хлопал.
Ты скакал и громко топал,
Ты пятнадцать раз подряд
Прыгнул в угол и назад.
А потом ты покатился
И назад не воротился,
Покатился в огород,
Докатился до ворот,
Добежал до поворота,
Там попал под колесо,
Хлопнул, лопнул – вот и все!

Воспитатель: Ребята, почему нельзя играть на дороге где проезжают машины? (Ответы детей, обсуждение).

На проезжей части, дети, не играйте в игры эти.
Бегать можно без оглядки во дворе и на площадке.

Воспитатель: А иногда нам необходимо перейти дорогу. Особенно это сложно сделать в городе, где много машин.

Ребенок 1:

На улице нашей машины, машины,
Машины малютки, машины большие.
Спешат грузовые, фырчат легковые.
Торопятся, мчатся, как будто живые.

(Воспитатель показывает разные игрушечные машины)

Ребенок 2:

У каждой машины
Дела и заботы.
Машины выходят
С утра на работу.
Я примерный пешеход.
Торопиться не люблю,
Вам дорогу уступлю.

Воспитатель: Ребята, а вы знаете в каком месте надо переходить через дорогу? (Ответы детей).

Воспитатель:

Юрка живет
На другой стороне.
Он машет рукой
Через улицу мне.
«Я сейчас!» — кричу я другу
И к нему лечу стрелой.

Вдруг я замер от испуга,
Юрка в страхе крикнул:
«Ой!»
И откуда, и откуда
Появился самосвал?
Просто чудом, просто чудом
Под него я не попал!

У шофера грозный взгляд:
«Ты куда? Вернись назад!
Твой приятель подождет.
Посмотри, где переход!»

(показ плаката с переходом через дорогу)

Переходить через дорогу можно не в любом месте: переход обозначен белами полосками, его называют «зебра».

Воспитатель: При переходе через дорогу не надо спешить, а нужно посмотреть на нашего большого друга, которого называют «светофор». Кто- нибудь знает: что это такое? (ответы детей). А тем, кто не знает, я расскажу: на каждом перекрестке стоит столб, у которого на верху три глаза (кружочка) разных цвет

Конспект занятия по ПДД в средней группе «Страна Правил Дорожного Движения»

Цель:
Создание
социальной ситуации развития в процессе познавательной деятельности.

·        
Создать
условия для формирования представлений у  детей о светофоре, о его сигналах;

·        
Создать
условия для систематизирования знаний у детей о дорожных знаках, об их
значении;

·        
Создать
условия для развития представления о наземном и воздушном видах транспорта;

·        
Создать
условия для развития  наблюдательность и  зрительной 
памяти;

·        
Развивать
умение отвечать полным ответом.

·        
Воспитывать
культуру поведения на улице и умение соблюдать ПДД.

·        
Разрезные
картинки с изображением транспорта;

·        
картинки
с изображение дорожных знаков;

·        
макет
светофорчик

·        
заготовки
светофора 2 шт.

·        
раскраска
заготовка дорожные знаки

·        
загадки
по теме

·        
руль
2 шт. и мешочки с грузом для П/и

Предварительная работа:

·        
проблемно-поисковая
беседа: «Наши друзья на дороге»;

·        
рассматривание
картин о дорожных знаках, о светофоре, транспорт.

Орг. момент

Воспитатель:
Добрый
день, ребята!

Ребята, сегодня я хочу пригласить вас в
страну «Правил дорожного движения».

Воспитатель: Давайте
представим, что мы с вами гуляем по этой необычной стране. В этой большой
красивой стране много улиц. По ним движутся много легковых и грузовых автомашин,
автобусы и никто никому не мешает. Это потому что есть четкие и строгие правила
для водителей машин и пешеходов. Чтобы сохранить свое здоровье и жизнь, мы
должны строго соблюдать правила дорожного движения. А запомнить их нам поможет
наш сегодняшний друг, который и пригласил нас в эту страну.  Но для начала, нужно отгадать загадку.

Три
разноцветных круга

Мигают
друг за другом.

Светятся,
моргают –

Людям
помогают.

Дети: Светофор

Воспитатель: (показ картинки
«Светофор») А зачем он нужен, ребята?

Дети: Чтобы регулировать движение

Воспитатель: У светофора
есть три сигнала огонька:

У любого перекрестка

Нас встречает светофор

И заводит очень просто

С пешеходом разговор:

Cвет зеленый — проходи!

Желтый — лучше подожди!

Если свет зажжется красный —

Двигаться опасно!

Пускай пройдет трамвай,

наберись терпенья.

Изучай и уважай правила движенья.

Воспитатель: На  какой же сигнал светофора можно переходить
дорогу?

Дети: На зеленый свет.

                                                          Основная часть

         Воспитатель: Молодцы,
ребята! Давайте мы с вами поиграем в игру? Но сначала давайте разделимся на 2
команды.

Воспитатель: Игра называется
«Собери правильно светофор».

Ребята, ваша задача – правильно
расставить по порядку все цвета светофора. Итак, начинаем!

(дети
расставляют кружки в определенном порядке)

Воспитатель: А еще светофор
приготовил для всех загадки. У него есть помощники, называются они дорожные
знаки. Вы слышали про них?

Воспитатель: Итак, первая
загадка, слушайте внимательно!

1. По полоскам черно-белым

Пешеход шагает смело

Кто из вас, ребята, знает

Знак о чем предупреждает?

Дай машине тихий ход –

Дети: Пешеходный переход

Воспитатель: Ребята,
посмотрите, у нашего дорожного знака «Пешеходный переход» чего-то не хватает
(он не цветной). Хотите помочь нам со светофорчиком? И   раскрасить
знак и сделать его ярким (дети раскрашивают).

Воспитатель:
Ребята,
Зачем нужен этот знак?

Дети: Он показывает
нам, где можно переходить дорогу

Воспитатель:Тут машина не
пойдет.

Главный здесь – пешеход.

Чтоб друг другу не мешать,

Нужно справа путь держать.

Воспитатель:
Что
за транспорт такой

 Что везет тебя домой.

Он бежит туда-сюда,

 Упираясь в провода.

Дети:Троллейбус…
       
Воспитатель:
Наш автобус ехал-ехал,

И к площадочке подъехал.

 А
на ней народ скучает,

Молча транспорт ожидает.

Дети: Остановка…

Воспитатель:
Это
что за магазин?

Продается в нем бензин.

Вот машина подъезжает,

Полный бак им заливает.

Завелась и побежала.

Чтоб другая подъезжала.

Дети: Заправочная
станция

Воспитатель:
Молодцы!
Ловко справились с заданием.

 В
белом треугольнике

С окаемкой красной

Человечкам-школьникам

Очень безопасно

Этот знак дорожный

Знают все на свете

Будьте осторожны,

Воспитатель: Ребята, а о чем говорит нам
этот знак?

Дети: Этот знак
обозначает «Осторожно, дети». Водитель издалека видит этот знак и сбавляет
скорость, потому что в этом месте дорогу могут переходить дети.

Воспитатель: А где обычно
ставят такие знаки?

Дети:
Около
школ, детских садах.

Воспитатель:
Вот
видите, сколько помощников на дороге у светофора! А сейчас мы с вами представим,
что мы водители грузового автомобиля. А вы знаете кто это такие?

Дети: Те, кто сидят
за рулем автомобиля?

П/Игра
«Грузовики»

Игроки двух команд держат в руках рули и
двигаются до определенного

 знака и обратно с мешочком песка на голове,
передают эстафету  – руль и мешочек с
песком следующему игроку. Побеждает команда, пришедшая быстрее.

Воспитатель: Ребята, а какие
виды транспорта вы знаете?

Дети: наземный,
воздушный, водный.

Воспитатель:  Какой транспорт относится к наземному виду?

Дети: легковой
автомобиль, автобус, троллейбус, грузовик и т.д.

Воспитатель: Какой транспорт
относится к воздушному виду?

Дети: самолет,
вертолет.

Воспитатель: Какой транспорт
относится к водному виду?

Дети: корабль,
пароход, теплоход

Воспитатель: молодцы! Давайте
мы с вами поиграем в игру  «Собери картинку?».
 Каждой команде раздается по 2 разрезных
картинки, которые нужно собрать и назвать их (автобус, пожарная машина,
медицинская помощь и полиция).

Воспитатель: Молодцы! Посмотрите,
ребята, Какой это вид транспорта? Где он ездит?

Дети: на дорогах

Воспитатель: А как
называются машины, которые мы с вами собрали?

Дети: Специального
назначения. Которые помогают в беде.

Воспитатель: Молодцы, ребята! Справились со всеми заданиями! А
сейчас я предлагаю вам немного подумать и поиграть в еще одну игру по ПДД «Разрешается
и запрещается»

Всем
кто любит погулять

Всем без исключения

Нужно помнить

Правила движения.

Правила очень просты. Я говорю предложение, а вы
добавляете – разрешается или запрещается:

— Переходить улицу на зеленый свет …

— Играть на дороге …

— Перебегать улицу перед близко идущим
транспортом …

— Выбегать на проезжую часть …

— Переходить улицу по подземному переходу.

— Переходить улицу, при красном свете светофора.

— Переходить улицу при желтом сигнале светофора.

— Уважать правила движения.

И проспекты и бульвары —

Всюду улицы шумны,

Проходи по тротуару

Только с правой стороны!

Тут шалить, мешать народу

За-пре-ща-ет-ся!

Быть примерным пешеходом

Разрешается…

сли едешь ты в трамвае

И вокруг тебя народ,

Не толкаясь, не зевая,

Проходи скорей вперед.

Ехать «зайцем», как известно,

За-пре-ща-ет-ся!

Уступить старушке место

Разрешается…

Если ты гуляешь просто,

Все равно вперед гляди,

Через шумный перекресток

Осторожно проходи.

Переход при красном свете

За-пре-ща-ет-ся!

При зеленом даже детям

Разрешается…

Итог:

Воспитатель:  Ну что ребята, сегодня мы узнали много нового
о правилах дорожного движения. Вам понравилось наше путешествие? Что большего
всего понравилось? Хотите еще раз отправиться в путешествие? В какое путешествие
бы хотелось вам еще отправиться? Спасибо вам за интересную и увлекательную
игру-путешествие в страну ПДД. До новых встреч! Давайте попрощаемся со
светофорчиком и скажем ему до свидания!

Занятие по аппликации в средней группе на тему: «Осторожно! Опасные предметы!» (работа парами) Аннотация

Тема: «Домашние помощники»

Муниципальное бюджетное дошкольное образовательное учреждение «Детский сад 16» Конспект непосредственной образовательной деятельности в средней группе Тема: «Домашние помощники» Воспитатель: Бардакова

Подробнее

Конспект НОД Познание (Безопасность)

Муниципальное дошкольное образовательное учреждение детский сад 3 Конспект НОД Познание (Безопасность) Воспитатель: Румянцева И. М. Калязин, 2014г. Тема: «Научим Машеньку правилам личной безопасности» Цель:

Подробнее

«Кто такие инвалиды?»

Муниципальное автономное дошкольное образовательное учреждение Детский сад комбинированного вида 15. Непосредственная образовательная деятельность в подготовительной группе «Кто такие инвалиды?» Авторский

Подробнее

МДОУ «Детский сад 32 комбинированного вида»

МДОУ «Детский сад 32 комбинированного вида» Воспитатель: Морарь Е.П. 2013 г. Конспект непосредственно образовательной деятельности ФИО педагогического работника Место работы (наименование дошкольного образовательного

Подробнее

тема «Путешествие в мир мебели»

Конспект непосредственно образовательной деятельности с детьми младшего дошкольного возраста от 3 до 4 лет тема «Путешествие в мир мебели» образовательная область «Познание» Иванкова В. В., воспитатель

Подробнее

«Кошкин дом» Новосибирск 2014

«Кошкин дом» Новосибирск 2014 Виды детской деятельности: игровая, коммуникативная, познавательная, двигательная. Задачи: — закрепить знания об опасных предметах, знания номера телефона пожарной охраны;

Подробнее

Конспект занятия. (2 младшая группа)

Муниципальное дошкольное образовательное учреждение детский сад 9 «Малыш» комбинированного вида Конспект занятия «Путешествие в страну хороших манер» (2 младшая группа) Воспитатель МДОУ 9 «Малыш» Ольга

Подробнее

Конспект занятия по речевому развитию

Конспект занятия по речевому развитию Тема: Пересказ рассказа «Еж» по Е. Чарушину. Возрастная группа: 4 5 лет (средняя группа) Цель: Формирование навыка пересказа короткого текста с использованием мнемотаблиц.

Подробнее

.«Огонь друг, огонь — враг»>

.«Огонь друг, огонь — враг»> л (2 младшая группа) ч ТА Воспитатели: Кудряшова И.В. * зг ч.ш ф %OHcneiqn НОД во 2 младшей группе по пожарной безопасности На тему: «Огонь-друг, огонь-враг». Цель: Познакомить

Подробнее

«Давайте жить дружно»

Комитет образования, культуры, спорта и работы с молодежью Администрации города Костромы Муниципальное бюджетное дошкольное образовательное учреждение города Костромы «Центр развития ребенка Детский сад

Подробнее

НОД по ПДД в средней группе

НОД по ПДД в средней группе Тема: «Будьте осторожны на дороге». Воспитатель: ШвецоваТ.С. ( Апрель 2016г.) Цель: формирование знаний детей о безопасном поведении на улицах и проезжей части; совершенствование

Подробнее

Тема: «Мой веселый звонкий мяч»

План конспект образовательной деятельности в 1 младшей группе Автор-составитель: воспитатель Михеева Светлана Юрьевна Тема: «Мой веселый звонкий мяч» Интеграция образовательных областей. «Речевое развитие»,

Подробнее

Бесплатное эссе: Правила дорожного движения

Главная »Отдых» Экскурсии и путешествия »Вопрос

Я хочу эссе по правилам дорожного движения

Вопрос задан в« Путешествии »в 16:44 31 декабря 2007 г.

Теги: эссе, правила дорожного движения
! Вопрос закрыт
Сообщить о нарушении
Silpa
Silpa
Профиль | Q&A
Оцените это: 10
Напишите здесь ваш ответ. И продолжайте проверять, был ли он выбран как лучший ответ.* Введите ответ
Пожалуйста, введите ответ до отправки.
Ваш почтовый ящик:
Введите свой адрес электронной почты
* Мы не СПАМ на ваш почтовый ящик
Помогите нам избежать спама:
обновить изображение
Введите символы, показанные выше.

Закрыть У вас есть идентификатор ibibo?
Электронная почта / ibibo ID

Имя пользователя
Пароль

Пароль
Ответить анонимно

* Последние ответы (1)

Сортировать по последним | Самый старый | Наивысший рейтинг

В современном мире дорога и транспорт стали неотъемлемой частью каждого человека. Каждое тело — участник дорожного движения в той или иной форме. Существующая транспортная система минимизировала расстояния, но, с другой стороны, увеличила риск для жизни. Ежегодно в результате дорожно-транспортных происшествий гибнут сотни тысяч человек и тысячи людей получают серьезные травмы.

В самой Индии ежегодно в результате дорожно-транспортных происшествий погибает около восьмидесяти тысяч человек, что составляет тринадцать процентов от общего числа погибших во всем мире. Человек за рулем играет важную роль в большинстве аварий. В большинстве случаев аварии происходят либо по неосторожности, либо из-за недостаточной осведомленности участников дорожного движения о безопасности дорожного движения.Следовательно, образование в области безопасности дорожного движения так же важно, как и любые другие базовые навыки выживания.

Это установленный факт, что безопасное и эффективное использование дорожной среды — это приобретенное поведение. Все участники дорожного движения являются продуктом той или иной формы образования или обучения, как неформального, так и временного. В прошлом важность формального обучения вопросам безопасности дорожного движения недооценивалась из-за ошибочного убеждения, что уроки, которые необходимо извлечь, просты, а задачи, которые необходимо выполнять, элементарны.Дорожная полиция Дели, Нью-Дели (Индия) — Группа безопасности дорожного движения

Дорожная полиция Дели создала группу безопасности дорожного движения в 1972 году для повышения осведомленности участников дорожного движения. Это образовательное подразделение дорожной полиции Дели, и его основная функция заключается в обучении участников дорожного движения в отношении правильного и безопасного использования дорог, а также в развитии человеческих ресурсов, способных реагировать на запросы общественности и технически компетентных. Программа обучения предназначена для охвата всего диапазона проезда граждан, от простого пешехода до водителя транспортного средства.

Целевые группы

1. Водители коммерческого транспорта, включая автобусы Blue Line, грузовики и т. Д. 2. Школьники
3. Пешеходы
4. Велосипедисты и мотоциклисты
5. Драйверы Autorickshaw
6. Водители государственных транспортных средств

Образовательные программы

1. Регулярные программы для всех целевых групп, включая школьников. 2. Безопасность дорожного движения
марта
3. Уличные игры
4. Конкурс рисунков / викторин / эссе
5.Распространение литературы по безопасности дорожного движения

Форма обучения

Дорожная полиция Дели, Нью-Дели (Индия) — Группа по безопасности дорожного движения Были приняты различные инструменты для ознакомления с правилами безопасности дорожного движения среди различных категорий участников дорожного движения

1. Лекции
2. Киносеансы
3. Выставки через передвижные выставочные фургоны
4. Распространение литературы по безопасности дорожного движения
5. На месте помощь участникам дорожного движения, таким как пациенты OPD, пешеходы, велосипедисты и т. Д. 6.Крепление световозвращающих лент на циклах
7. Организация программ повышения осведомленности о безопасности дорожного движения совместно с НПО. 8. Повышение осведомленности о безопасности дорожного движения с участием RWA. Транспортные союзы и профсоюзы 9. Образование через систему PA

Аналитика трафика Azure | Документы Microsoft

  • 15 минут на чтение

В этой статье

Traffic Analytics — это облачное решение, которое обеспечивает видимость активности пользователей и приложений в облачных сетях.Аналитика трафика анализирует журналы потоков группы безопасности сети (NSG) Network Watcher, чтобы получить представление о потоке трафика в вашем облаке Azure. С помощью аналитики трафика вы можете:

  • Визуализируйте сетевую активность в своих подписках Azure и определяйте горячие точки.
  • Выявление угроз безопасности и защита вашей сети с помощью такой информации, как открытые порты, приложения, пытающиеся получить доступ в Интернет, и виртуальные машины (ВМ), подключающиеся к мошенническим сетям.
  • Изучите шаблоны потоков трафика в регионах Azure и в Интернете, чтобы оптимизировать развертывание сети с точки зрения производительности и емкости.
  • Определите неверные конфигурации сети, ведущие к сбоям в соединениях в вашей сети.

Примечание

Traffic Analytics теперь поддерживает сбор данных журналов потоков NSG с более высокой частотой — 10 минут

Примечание

Эта статья была обновлена ​​для использования новой оболочки Azure PowerShell Az.
модуль. Вы по-прежнему можете использовать модуль AzureRM, который будет получать исправления ошибок как минимум до декабря 2020 года.
Чтобы узнать больше о новом модуле Az и совместимости с AzureRM, см.
Представляем новый модуль Azure PowerShell Az.За
Инструкции по установке модуля Az см. В разделе Установка Azure PowerShell.

Почему аналитика трафика?

Жизненно важно отслеживать, управлять и знать свою собственную сеть для обеспечения бескомпромиссной безопасности, соответствия требованиям и производительности. Знание своей среды имеет первостепенное значение для ее защиты и оптимизации. Вам часто нужно знать текущее состояние сети, кто подключается, откуда они подключаются, какие порты открыты для Интернета, ожидаемое поведение сети, нерегулярное поведение сети и внезапный рост трафика.

Облачные сети отличаются от локальных корпоративных сетей, где у вас есть маршрутизаторы и коммутаторы с поддержкой протокола netflow или аналогичного протокола, которые обеспечивают возможность сбора сетевого трафика IP, когда он входит или выходит из сетевого интерфейса. Анализируя данные о потоке трафика, вы можете построить анализ потока и объема сетевого трафика.

В виртуальных сетях

Azure есть журналы потоков NSG, которые предоставляют вам информацию о входящем и исходящем IP-трафике через группу безопасности сети, связанную с отдельными сетевыми интерфейсами, виртуальными машинами или подсетями. Анализируя необработанные журналы потоков NSG и добавляя сведения о безопасности, топологии и географии, аналитика трафика может предоставить вам представление о потоке трафика в вашей среде. Аналитика трафика предоставляет такую ​​информацию, как большинство взаимодействующих хостов, большинство взаимодействующих протоколов приложений, большинство взаимодействующих пар хостов, разрешенный / заблокированный трафик, входящий / исходящий трафик, открытые интернет-порты, большинство правил блокировки, распределение трафика по центрам обработки данных Azure, виртуальной сети, подсетям или мошеннические сети.

Ключевые компоненты

  • Группа безопасности сети (NSG) : содержит список правил безопасности, которые разрешают или запрещают сетевой трафик для ресурсов, подключенных к виртуальной сети Azure. Группы безопасности сети могут быть связаны с подсетями, отдельными виртуальными машинами (классические) или отдельными сетевыми интерфейсами (NIC), подключенными к виртуальным машинам (диспетчер ресурсов). Дополнительные сведения см. В разделе Обзор группы безопасности сети.
  • Журналы потоков группы безопасности сети (NSG) : позволяют просматривать информацию о входящем и исходящем IP-трафике через группу безопасности сети.Журналы потоков NSG записываются в формате json и показывают исходящие и входящие потоки для каждого правила, сетевой адаптер, к которому применяется поток, пятикортежную информацию о потоке (IP-адрес источника / назначения, порт источника / назначения и протокол), и был ли трафик разрешен или запрещен. Дополнительные сведения о журналах потоков NSG см. В разделе Журналы потоков NSG.
  • Log Analytics : служба Azure, которая собирает данные мониторинга и хранит данные в центральном репозитории. Эти данные могут включать в себя события, данные о производительности или пользовательские данные, предоставленные через Azure API.После сбора данные доступны для оповещения, анализа и экспорта. Приложения для мониторинга, такие как мониторинг производительности сети и аналитика трафика, создаются с использованием журналов Azure Monitor в качестве основы. Дополнительные сведения см. В разделе журналы Azure Monitor.
  • Рабочая область Log Analytics : экземпляр журналов Azure Monitor, в которых хранятся данные, относящиеся к учетной записи Azure. Дополнительные сведения о рабочих областях Log Analytics см. В разделе Создание рабочей области Log Analytics.
  • Наблюдатель за сетями : региональная служба, которая позволяет отслеживать и диагностировать условия на уровне сетевого сценария в Azure.Вы можете включать и отключать журналы потоков NSG с помощью Network Watcher. Для получения дополнительной информации см. Наблюдатель за сетями.

Как работает аналитика трафика

Traffic Analytics исследует необработанные журналы потоков NSG и фиксирует сокращенные журналы путем объединения общих потоков для одного и того же исходного IP-адреса, IP-адреса назначения, порта назначения и протокола. Например, узел 1 (IP-адрес: 10.10.10.10) обменивается данными с узлом 2 (IP-адрес: 10. 10.20.10) 100 раз в течение 1 часа с использованием порта (например, 80) и протокола (например, http) .В сокращенном журнале есть одна запись, что Хост 1 и Хост 2 обменивались данными 100 раз в течение 1 часа, используя порт 80 и протокол HTTP , вместо 100 записей. Сокращенные журналы дополняются информацией о географии, безопасности и топологии, а затем сохраняются в рабочей области Log Analytics. На следующем рисунке показан поток данных:

Поддерживаемые регионы: NSG

Вы можете использовать аналитику трафика для групп безопасности сети в любом из следующих поддерживаемых регионов:

Центральная Австралия
Восточная Австралия
Юго-восточная Австралия
Бразилия Южная
Центральная Канада
Восточная Канада
Центральная Индия
Центральная США
Восточный Китай 2
Северный Китай 2

Восточная Азия
Восток США
Восток США 2
Восток США 2 EUAP
Центральная Франция
Восточная Япония
Западная Япония
Центральная Корея
Южная Корея
Центральная Северная США

Северная Европа
Южная Африка Северная
Южная Центральная США
Южная Индия
Юго-Восточная Азия
Швейцария Северная
Швейцария Западная
Великобритания Юг
Великобритания Западная
Правительство США Аризона

USGov Texas
USGov Вирджиния
USNat East
USNat West
USSec East
USSec West
West Central US
West Europe
West US
West US 2

Поддерживаемые регионы: Log Analytics Workspaces

Рабочая область Log Analytics должна существовать в следующих регионах:

Центральная Австралия
Восточная Австралия
Юго-восточная Австралия
Бразилия Южная
Центральная Канада
Центральная Индия
Центральная США
Восточный Китай 2
Восточная Азия
Восток США

Восток США 2
Восток США 2 EUAP
Центральная Франция
Германия Западная Центральная
Восточная Япония
Центральная Корея
Центральная Северная Корея
Северная Европа
Южная Африка Северная
Центральная южная США

Юго-Восточная Азия
Швейцария Северная
Швейцария Запад
ОАЭ Центральная
Великобритания Юг
Великобритания Запад
Правительство США Аризона
Правительство США Вирджиния
США Восток
США Нат Запад

USSec East
USSec West
West Central US
West Europe
West US
West US 2

Предварительные требования

Требования к доступу пользователей

Ваша учетная запись должна быть членом одной из следующих встроенных ролей Azure:

Модель развертывания Роль
Менеджер ресурсов Владелец
Автор
Считыватель
Участник сети

Если ваша учетная запись не назначена одной из встроенных ролей, она должна быть назначена настраиваемой роли, которой назначены следующие действия на уровне подписки:

  • «Microsoft. Сеть / ApplicationGateways / читать «
  • »

  • «Microsoft.Network/connections/read»
  • «Microsoft.Network/loadBalancers/read»
  • «Microsoft.Network/localNetworkGateways/read»
  • «Microsoft.Network/networkInterfaces/read»
  • «Microsoft.Network/networkSecurityGroups/read»
  • «Microsoft.Network/publicIPAddresses/read»
  • «Microsoft.Network/routeTables/read»
  • «Microsoft.Network/virtualNetworkGateways/read»
  • «Microsoft.Сеть / virtualNetworks / читать «
  • »

  • «Microsoft.Network/expressRouteCircuits/read»

Для получения информации о том, как проверить права доступа пользователей, см. Часто задаваемые вопросы по аналитике трафика.

Включить мониторинг сети

Для анализа трафика у вас должен быть существующий сетевой наблюдатель или активировать сетевой наблюдатель в каждом регионе, где есть группы безопасности сети, для которых вы хотите анализировать трафик. Аналитику трафика можно включить для групп безопасности сети, размещенных в любом из поддерживаемых регионов.

Выберите группу безопасности сети

Перед включением ведения журнала потоков NSG необходимо иметь группу безопасности сети, для которой будут регистрироваться потоки.Если у вас нет группы безопасности сети, см. Раздел Создание группы безопасности сети, чтобы создать ее.

На портале Azure перейдите к Наблюдатель за сетями , а затем выберите Журналы потоков NSG . Выберите группу безопасности сети, для которой вы хотите включить журнал потока NSG, как показано на следующем рисунке:

Если вы попытаетесь включить аналитику трафика для группы безопасности сети, которая размещена в любом регионе, кроме поддерживаемых, вы получите ошибку «Не найдено».

Включить настройки журнала потока

Перед включением настроек журнала потоков необходимо выполнить следующие задачи:

Зарегистрируйте поставщика Azure Insights, если он еще не зарегистрирован для вашей подписки:

  Register-AzResourceProvider -ProviderNamespace Microsoft. Insights
  

Если у вас еще нет учетной записи хранения Azure для хранения журналов потока NSG, необходимо создать учетную запись хранения. Вы можете создать учетную запись хранения с помощью следующей команды. Перед запуском команды замените на имя, уникальное для всех расположений Azure, длиной от 3 до 24 символов, используя только цифры и строчные буквы. . При необходимости вы также можете изменить имя группы ресурсов.

  New-AzStorageAccount `
  -Местоположение westcentralus `
  -Name  `
  -ResourceGroupName myResourceGroup `
  -SkuName Standard_LRS `
  -Для храненияV2
  

Выберите следующие параметры, как показано на рисунке:

  1. Выберите На для Статус
  2. Выберите Version 2 для Flow Logs версии . Версия 2 содержит статистику сеанса потока (байты и пакеты)
  3. Выберите существующую учетную запись хранения для хранения журналов потока. Убедитесь, что для вашего хранилища не задано значение true для параметра «Иерархическое пространство имен Data Lake Storage 2-го поколения включено».
  4. Установите Хранение равным количеству дней, в течение которых вы хотите хранить данные. Если вы хотите хранить данные вечно, установите значение 0 . За учетную запись хранения взимается плата за хранилище Azure.
  5. Выберите на для статуса аналитики трафика .
  6. Выберите интервал обработки. По вашему выбору журналы потоков будут собираться из учетной записи хранения и обрабатываться аналитикой трафика.Вы можете выбрать интервал обработки: каждый час или каждые 10 минут.
  7. Выберите существующую рабочую область Log Analytics (OMS) или выберите Создать новую рабочую область , чтобы создать новую. Рабочая область Log Analytics используется в Traffic Analytics для хранения агрегированных и проиндексированных данных, которые затем используются для создания аналитики. Если вы выберете существующую рабочую область, она должна существовать в одном из поддерживаемых регионов и быть обновлена ​​до нового языка запросов. Если вы не хотите обновлять существующее рабочее пространство или у вас нет рабочего пространства в поддерживаемом регионе, создайте новое.Дополнительные сведения о языках запросов см. В разделе Обновление Azure Log Analytics до нового поиска по журналам.

Примечание

Рабочая область аналитики журналов, в которой размещается решение для анализа трафика и группы безопасности сети, не обязательно должны находиться в одном регионе. Например, у вас может быть аналитика трафика в рабочей области в регионе Западной Европы, в то время как у вас могут быть группы безопасности сети в восточной и западной частях США. В одной рабочей области можно настроить несколько групп безопасности сети.

  1. Выбрать Сохранить .

Повторите предыдущие шаги для всех других групп безопасности сети, для которых вы хотите включить аналитику трафика. Данные из журналов потоков отправляются в рабочую область, поэтому убедитесь, что местные законы и правила в вашей стране / регионе разрешают хранение данных в регионе, где существует рабочая область. Если вы установили разные интервалы обработки для разных NSG, данные будут собираться с разными интервалами. Например: вы можете включить интервал обработки 10 минут для критических виртуальных сетей и 1 час для некритических виртуальных сетей.

Вы также можете настроить аналитику трафика с помощью командлета Set-AzNetworkWatcherConfigFlowLog PowerShell в Azure PowerShell.Запустите Get-Module -ListAvailable Az , чтобы найти установленную версию. Если вам нужно выполнить обновление, см. Раздел Установка модуля Azure PowerShell.

Просмотр аналитики трафика

Для просмотра аналитики трафика найдите Network Watcher в строке поиска портала. Попав в Network Watcher, чтобы изучить аналитику трафика и ее возможности, выберите Traffic Analytics в левом меню.

Панель мониторинга может появиться в первый раз в течение 30 минут, потому что аналитика трафика должна сначала собрать достаточно данных, чтобы получить значимые сведения, прежде чем она сможет создавать какие-либо отчеты.

Сценарии использования

Некоторые идеи, которые вы, возможно, захотите получить после полной настройки аналитики трафика, заключаются в следующем:

Найдите точки доступа

Ищи

  • Какие узлы, подсети и виртуальные сети отправляют или получают наибольший трафик, проходя максимальный вредоносный трафик и блокируя значительные потоки?

    • Проверьте сравнительную таблицу для хоста, подсети и виртуальной сети. Понимание того, какие хосты, подсети и виртуальные сети отправляют или получают наибольший трафик, может помочь вам определить узлы, которые обрабатывают наибольший трафик, и правильно ли выполнено распределение трафика.
    • Вы можете оценить, подходит ли объем трафика для хоста. Является ли объем трафика нормальным явлением или заслуживает дальнейшего изучения?
  • Сколько там входящего / исходящего трафика?

    • Ожидается ли, что хост будет получать больше входящего трафика, чем исходящего, или наоборот?
  • Статистика заблокированного трафика.

    • Почему хост блокирует значительный объем легкого трафика? Это поведение требует дальнейшего изучения и, возможно, оптимизации конфигурации
    • .

  • Статистика разрешенного / заблокированного вредоносного трафика

    • Почему хост получает вредоносный трафик и почему потоки из вредоносного источника разрешены? Такое поведение требует дальнейшего изучения и, возможно, оптимизации конфигурации.

      Выберите См. Все под Host , как показано на следующем рисунке:

  • На следующем рисунке показаны временные тенденции для пяти основных говорящих хостов и детали, связанные с потоками (разрешенные — входящие / исходящие и запрещенные — входящие / исходящие потоки) для хоста:

Ищите

  • Какие пары хостов наиболее часто разговаривают?

    • Ожидаемое поведение, такое как внешняя или внутренняя связь, или нестандартное поведение, например, внутренний интернет-трафик.
  • Статистика разрешенного / заблокированного трафика

    • Почему хост разрешает или блокирует значительный объем трафика
  • Наиболее часто используемый протокол приложений среди большинства взаимодействующих пар хостов:

    • Разрешены ли эти приложения в этой сети?

    • Правильно ли настроены приложения? Используют ли они подходящий протокол для связи? Выберите См. Все под Частый разговор , как показано на следующем рисунке:

  • На следующем рисунке показаны временные тенденции для пяти основных диалогов и детали, связанные с потоком, такие как разрешенные и запрещенные входящие и исходящие потоки для пары диалогов:

Ищите

  • Какой протокол приложения наиболее часто используется в вашей среде и какие пары взаимодействующих хостов используют протокол приложения больше всего?

    • Разрешены ли эти приложения в этой сети?

    • Правильно ли настроены приложения? Используют ли они подходящий протокол для связи? Ожидаемое поведение — обычные порты, такие как 80 и 443. Для стандартной связи, если отображаются какие-либо необычные порты, может потребоваться изменение конфигурации. Выберите . См. Все под Порт приложения , на следующем рисунке:

  • На следующих рисунках показаны временные тенденции для пяти основных протоколов L7 и детали, связанные с потоком (например, разрешенные и запрещенные потоки) для протокола L7:

Ищите

  • Тенденции использования емкости шлюза VPN в вашей среде.

    • Каждый SKU VPN допускает определенную полосу пропускания. Шлюзы VPN используются недостаточно?
    • Ваши шлюзы достигли максимальной емкости? Следует ли вам перейти на следующий более высокий SKU?
  • Какие хосты чаще всего общаются, через какой шлюз VPN, через какой порт?

  • На следующем рисунке показаны временные тенденции использования емкости VPN-шлюза Azure и детали, связанные с потоками (например, разрешенные потоки и порты):

Визуализируйте распределение трафика по географии

Ищи

  • Распределение трафика по центрам обработки данных, например основные источники трафика к центру обработки данных, основные мошеннические сети, взаимодействующие с центром обработки данных, и основные протоколы приложений для обмена данными.

    • Если вы наблюдаете большую нагрузку на центр обработки данных, вы можете спланировать эффективное распределение трафика.

    • Если мошеннические сети взаимодействуют в центре обработки данных, исправьте правила NSG, чтобы заблокировать их.

      Выберите Просмотреть карту под Ваша среда , как показано на следующем рисунке:

  • На географической карте показана верхняя лента для выбора таких параметров, как центры обработки данных (Развернутый / Без развертывания / Активный / Неактивный / Аналитика трафика включена / Аналитика трафика не включена) и страны / регионы, вносящие доброкачественный / вредоносный трафик в активный развертывание:

  • Геокарта показывает распределение трафика к центру обработки данных из стран / регионов и континентов, связывающихся с ним, синими (доброкачественный трафик) и красными (вредоносный трафик) линиями:

Визуализировать распределение трафика по виртуальным сетям

Ищи

  • Распределение трафика по виртуальной сети, топологии, основным источникам трафика в виртуальную сеть, основным мошенническим сетям, взаимодействующим с виртуальной сетью, и основным протоколам взаимодействующих приложений.

    • Информация о том, какая виртуальная сеть с какой виртуальной сетью обращается. Если разговор не ожидается, его можно исправить.

    • Если мошеннические сети взаимодействуют с виртуальной сетью, вы можете исправить правила NSG, чтобы заблокировать мошеннические сети.

      Выберите Просмотрите виртуальные сети под Ваша среда , как показано на следующем рисунке:

  • Топология виртуальной сети показывает верхнюю ленту для выбора таких параметров, как виртуальная сеть (Подключения к виртуальной сети / Активный / Неактивный), Внешние подключения, Активные потоки и Вредоносные потоки виртуальной сети.

  • Вы можете фильтровать топологию виртуальной сети на основе подписок, рабочих областей, групп ресурсов и временного интервала. Дополнительные фильтры, которые помогут вам понять поток:
    Тип потока (InterVNet, IntraVNET и т. Д.), Направление потока (входящий, исходящий), состояние потока (разрешено, заблокировано), виртуальные сети (целевые и подключенные), тип подключения (пиринг или шлюз — P2S и S2S) и NSG. Используйте эти фильтры, чтобы сосредоточиться на виртуальных сетях, которые вы хотите изучить подробно.

  • Топология виртуальной сети показывает распределение трафика в виртуальную сеть с учетом потоков (разрешенных / заблокированных / входящих / исходящих / доброкачественных / вредоносных), протокола приложения и групп безопасности сети, например:

Ищите

  • Распределение трафика по подсети, топологии, основным источникам трафика в подсеть, основным мошенническим сетям, взаимодействующим с подсетью, и основным протоколам взаимодействующих приложений.

    • Знание, какая подсеть ведет переговоры с какой подсетью. Если вы видите неожиданные разговоры, вы можете исправить свою конфигурацию.
    • Если мошеннические сети взаимодействуют с подсетью, вы можете исправить это, настроив правила NSG для блокировки мошеннических сетей.
  • Топология подсетей показывает верхнюю ленту для выбора таких параметров, как активная / неактивная подсеть, внешние соединения, активные потоки и вредоносные потоки подсети.

  • Топология подсети показывает распределение трафика в виртуальную сеть в отношении потоков (разрешенных / заблокированных / входящих / исходящих / доброкачественных / вредоносных), протокола приложений и групп безопасности сети, например:

Ищите

Распределение трафика на шлюз приложений и балансировщик нагрузки, топологию, основные источники трафика, основные мошеннические сети, взаимодействующие со шлюзом приложений и балансировщиком нагрузки, а также основные протоколы взаимодействия приложений.

  • Зная, какая подсеть взаимодействует с каким шлюзом приложений или балансировщиком нагрузки. Если вы наблюдаете неожиданные разговоры, вы можете исправить свою конфигурацию.

  • Если мошеннические сети взаимодействуют со шлюзом приложений или балансировщиком нагрузки, вы можете исправить это, настроив правила NSG для блокирования мошеннических сетей.

Просмотр портов и виртуальных машин, получающих трафик из Интернета

Ищи

  • Какие открытые порты взаимодействуют через Интернет?

Ищите

Есть ли в вашей среде вредоносный трафик? Откуда это происходит? Куда ему суждено?

Визуализируйте тенденции в правилах NSG / NSG.

Ищи

  • Какие правила NSG / NSG имеют больше всего совпадений в сравнительной диаграмме с распределением потоков?

  • Каковы основные пары разговоров источника и назначения в соответствии с правилами NSG / NSG?

  • На следующих рисунках показаны временные тенденции для совпадений правил NSG и сведения о потоке исходный-целевой для группы безопасности сети:

    • Быстро определять, какие группы безопасности сети и правила группы безопасности сети пересекают вредоносные потоки, а какие — основные вредоносные IP-адреса, получающие доступ к вашей облачной среде

    • Определите, какие правила NSG / NSG разрешают / блокируют значительный сетевой трафик

    • Выберите верхние фильтры для детальной проверки правил NSG или NSG

Часто задаваемые вопросы

Чтобы получить ответы на часто задаваемые вопросы, см. Часто задаваемые вопросы по аналитике трафика.

Следующие шаги

Часто задаваемые вопросы о шлюзе приложений Azure

  • 19 минут для чтения

В этой статье

Примечание

Эта статья была обновлена ​​для использования новой оболочки Azure PowerShell Az.
модуль. Вы по-прежнему можете использовать модуль AzureRM, который будет получать исправления ошибок как минимум до декабря 2020 года.Чтобы узнать больше о новом модуле Az и совместимости с AzureRM, см.
Представляем новый модуль Azure PowerShell Az. За
Инструкции по установке модуля Az см. В разделе Установка Azure PowerShell.

Ниже приведены часто задаваемые вопросы о шлюзе приложений Azure.

Общие

Что такое шлюз приложений?

Шлюз приложений Azure предоставляет контроллер доставки приложений (ADC) в качестве службы. Он предлагает различные возможности балансировки нагрузки уровня 7 для ваших приложений.Эта служба отличается высокой доступностью, масштабируемостью и полностью управляется Azure.

Какие функции поддерживает шлюз приложений?

Application Gateway поддерживает автомасштабирование, разгрузку TLS и сквозной TLS, брандмауэр веб-приложений (WAF), привязку сеанса на основе файлов cookie, маршрутизацию на основе URL-пути, многосайтовый хостинг и другие функции. Полный список поддерживаемых функций см. В разделе Введение в шлюз приложений.

Чем отличаются шлюз приложений и балансировщик нагрузки Azure?

Application Gateway — это балансировщик нагрузки уровня 7, что означает, что он работает только с веб-трафиком (HTTP, HTTPS, WebSocket и HTTP / 2).Он поддерживает такие возможности, как завершение TLS, привязка сеанса на основе файлов cookie и циклический перебор для трафика с балансировкой нагрузки. Load Balancer балансирует нагрузку на уровне 4 (TCP или UDP).

Какие протоколы поддерживает шлюз приложений?

Application Gateway поддерживает HTTP, HTTPS, HTTP / 2 и WebSocket.

Как шлюз приложений поддерживает HTTP / 2?

См. Поддержку HTTP / 2.

Какие ресурсы поддерживаются как часть внутреннего пула?

См. Поддерживаемые внутренние ресурсы.

В каких регионах доступен шлюз приложений?

Application Gateway v1 (Standard и WAF) доступен во всех регионах глобальной сети Azure. Он также доступен в Azure 21Vianet Китая и Azure для государственных организаций.

Информацию о доступности Application Gateway v2 (Standard_v2 и WAF_v2) см. В регионах, поддерживаемых для Application Gateway v2

Предназначено ли это развертывание для моей подписки или оно доступно для всех клиентов?

Application Gateway — это выделенное развертывание в вашей виртуальной сети.

Поддерживает ли шлюз приложений перенаправление HTTP-HTTPS?

Перенаправление поддерживается. См. Обзор перенаправления шлюза приложений.

В каком порядке обрабатываются слушатели?

См. Порядок обработки слушателя.

Где я могу найти IP-адрес и DNS шлюза приложений?

Если вы используете общедоступный IP-адрес в качестве конечной точки, вы найдете информацию об IP и DNS в ресурсе общедоступного IP-адреса. Или найдите его на портале на странице обзора шлюза приложений.Если вы используете внутренние IP-адреса, найдите информацию на странице обзора.

Для SKU v2 откройте общедоступный IP-ресурс и выберите Configuration . Метка имени DNS (необязательно) Поле доступно для настройки имени DNS.

Каковы настройки для тайм-аута Keep-Alive и тайм-аута простоя TCP?

Тайм-аут Keep-Alive определяет, как долго шлюз приложений будет ждать, пока клиент отправит другой HTTP-запрос по постоянному соединению, прежде чем повторно использовать его или закрыть. Тайм-аут простоя TCP определяет, как долго TCP-соединение остается открытым в случае отсутствия активности.

Тайм-аут Keep-Alive в SKU Application Gateway v1 составляет 120 секунд, а в SKU v2 — 75 секунд. Тайм-аут простоя TCP — это 4-минутное значение по умолчанию для внешнего виртуального IP-адреса (VIP) для SKU v1 и v2 шлюза приложений. Вы можете настроить значение тайм-аута простоя TCP на шлюзах приложений v1 и v2 в диапазоне от 4 до 30 минут.Для шлюзов приложений v1 и v2 вам необходимо перейти к общедоступному IP-адресу шлюза приложений и изменить тайм-аут простоя TCP в колонке «Конфигурация» общедоступного IP-адреса на портале. Вы можете установить значение тайм-аута простоя TCP для общедоступного IP-адреса через PowerShell, выполнив следующие команды:

  $ publicIP = Get-AzPublicIpAddress -Name MyPublicIP -ResourceGroupName MyResourceGroup
$ publicIP.IdleTimeoutInMinutes = "15"
Set-АзПублиципаддресс -Публиципаддресс $ publicIP
  

Меняется ли IP или DNS-имя в течение срока службы шлюза приложений?

В SKU шлюза приложений версии 1 VIP может измениться, если вы остановите и запустите шлюз приложений. Но имя DNS, связанное со шлюзом приложений, не меняется в течение срока службы шлюза. Поскольку DNS-имя не меняется, следует использовать псевдоним CNAME и указать его на DNS-адрес шлюза приложений. В SKU Application Gateway V2 вы можете установить статический IP-адрес, чтобы IP-адрес и DNS-имя не менялись в течение срока службы шлюза приложений.

Поддерживает ли шлюз приложений статический IP-адрес?

Да, SKU шлюза приложений v2 поддерживает статические общедоступные IP-адреса.SKU v1 поддерживает статические внутренние IP-адреса.

Поддерживает ли шлюз приложений несколько общедоступных IP-адресов на шлюзе?

Шлюз приложений поддерживает только один общедоступный IP-адрес.

Какого размера должна быть моя подсеть для шлюза приложений?

См. Рекомендации по размеру подсети шлюза приложений.

Могу ли я развернуть более одного ресурса шлюза приложений в одной подсети?

Да. Помимо нескольких экземпляров данного развертывания шлюза приложений, вы можете предоставить другой уникальный ресурс шлюза приложений для существующей подсети, содержащей другой ресурс шлюза приложений.

Одна подсеть не может поддерживать SKU шлюза приложений v2 и v1.

Поддерживает ли шлюз приложений версии 2 определяемые пользователем маршруты (UDR)?

Да, но только по конкретным сценариям. Дополнительные сведения см. В разделе Настройка инфраструктуры шлюза приложений.

Поддерживает ли шлюз приложений x-forwarded-for заголовки?

Да. См. «Изменения в запросе».

Сколько времени нужно на развертывание шлюза приложений? Будет ли мой шлюз приложений работать во время обновления?

New Application Gateway v1 для развертывания SKU может занять до 20 минут.Изменения размера или количества экземпляров не нарушают работу, и в это время шлюз остается активным.

Для большинства развертываний, в которых используется SKU v2, требуется около 6 минут. Однако это может занять больше времени в зависимости от типа развертывания. Например, развертывание в нескольких зонах доступности с множеством экземпляров может занять более 6 минут.

Могу ли я использовать Exchange Server в качестве серверной части со шлюзом приложений?

Нет. Шлюз приложений не поддерживает такие протоколы электронной почты, как SMTP, IMAP и POP3.

Есть ли инструкции по переходу с SKU v1 на SKU v2?

Да. Дополнительные сведения см. В разделе «Миграция шлюза приложений Azure и брандмауэра веб-приложений с версии 1 на версию 2».

Будет ли по-прежнему поддерживаться SKU шлюза приложений v1?

Да. SKU Application Gateway v1 будет по-прежнему поддерживаться. Однако настоятельно рекомендуется перейти на версию 2, чтобы воспользоваться преимуществами обновлений функций в этом SKU. Дополнительные сведения см. В разделе Автомасштабирование и шлюз приложений с резервированием по зоне v2.

Поддерживает ли шлюз приложений версии 2 прокси-запросы с проверкой подлинности NTLM?

Нет. Шлюз приложений V2 пока не поддерживает проксирование запросов с аутентификацией NTLM.

Поддерживает ли файл cookie привязки шлюза приложений атрибут SameSite?

Да, в обновлении браузера Chromium v80 введен запрет на обработку файлов cookie HTTP без атрибута SameSite как SameSite = Lax. Это означает, что файл cookie привязки шлюза приложений не будет отправлен браузером в стороннем контексте.

Для поддержки этого сценария шлюз приложений внедряет еще один файл cookie с именем ApplicationGatewayAffinityCORS в дополнение к существующему файлу cookie ApplicationGatewayAffinity . Эти файлы cookie похожи, но в файл cookie ApplicationGatewayAffinityCORS добавлены еще два атрибута: SameSite = None; Обеспечьте . Эти атрибуты поддерживают закрепленные сеансы даже для запросов из разных источников. См. Раздел сходства на основе файлов cookie для получения дополнительной информации.

Производительность

Как шлюз приложений поддерживает высокую доступность и масштабируемость?

SKU Application Gateway v1 поддерживает сценарии высокой доступности при развертывании двух или более экземпляров. Azure распределяет эти экземпляры по доменам обновления и сбоя, чтобы гарантировать, что все экземпляры не выйдут из строя одновременно. SKU v1 поддерживает масштабируемость за счет добавления нескольких экземпляров одного и того же шлюза для распределения нагрузки.

SKU v2 автоматически обеспечивает распределение новых экземпляров по доменам сбоя и доменам обновления.Если вы выбираете избыточность зоны, новейшие экземпляры также распределяются по зонам доступности, чтобы обеспечить отказоустойчивость зон.

Как достичь сценария аварийного восстановления в центрах обработки данных с помощью шлюза приложений?

Используйте диспетчер трафика для распределения трафика между несколькими шлюзами приложений в разных центрах обработки данных.

Поддерживает ли шлюз приложений автоматическое масштабирование?

Да, SKU шлюза приложений v2 поддерживает автомасштабирование. Дополнительные сведения см. В разделе Автомасштабирование и шлюз приложений с резервированием по зоне.

Ручное или автоматическое увеличение или уменьшение масштаба вызывает простои?

Нет. Экземпляры распределяются по доменам обновления и доменам сбоя.

Поддерживает ли шлюз приложений слив соединения?

Да. Вы можете настроить слив соединения, чтобы без прерывания менять участников в бэкэнд-пуле. Дополнительные сведения см. В разделе «Осушение соединения» шлюза приложений.

Могу ли я без перебоев изменить размер инстанса со среднего на большой?

Да.

Конфигурация

Всегда ли шлюз приложений развертывается в виртуальной сети?

Да. Шлюз приложений всегда развертывается в подсети виртуальной сети. Эта подсеть может содержать только шлюзы приложений. Дополнительные сведения см. В разделе Требования к виртуальной сети и подсети.

Может ли шлюз приложений обмениваться данными с экземплярами за пределами своей виртуальной сети или вне подписки?

Если у вас есть IP-соединение, шлюз приложений может взаимодействовать с экземплярами за пределами виртуальной сети, в которой он находится.Шлюз приложений также может обмениваться данными с экземплярами за пределами подписки, в которой он находится. Если вы планируете использовать внутренние IP-адреса в качестве участников внутреннего пула, используйте пиринг виртуальной сети или шлюз VPN Azure.

Могу ли я развернуть что-нибудь еще в подсети шлюза приложений?

Нет. Но вы можете развернуть другие шлюзы приложений в подсети.

Поддерживаются ли группы безопасности сети в подсети шлюза приложений?

См. Группы безопасности сети в подсети шлюза приложений.

Поддерживает ли подсеть шлюза приложений определяемые пользователем маршруты?

См. Определяемые пользователем маршруты, поддерживаемые в подсети шлюза приложений.

Поддерживаются ли политики конечных точек служб в подсети шлюза приложений?

Нет. Политики конечных точек служб для учетных записей хранения не поддерживаются в подсети шлюза приложений, и их настройка заблокирует трафик инфраструктуры Azure.

Каковы ограничения на шлюз приложений? Могу ли я увеличить эти лимиты?

См. Ограничения шлюза приложений.

Могу ли я одновременно использовать шлюз приложений как для внешнего, так и для внутреннего трафика?

Да. Шлюз приложений поддерживает один внутренний IP-адрес и один внешний IP-адрес для каждого шлюза приложений.

Поддерживает ли шлюз приложений пиринг виртуальных сетей?

Да. Пиринг виртуальных сетей помогает сбалансировать нагрузку трафика в других виртуальных сетях.

Могу ли я разговаривать с локальными серверами, когда они подключены через ExpressRoute или VPN-туннели?

Да, если трафик разрешен.

Может ли один бэкэнд-пул обслуживать множество приложений на разных портах?

Поддерживается микросервисная архитектура. Чтобы зондировать разные порты, вам необходимо настроить несколько параметров HTTP.

Поддерживают ли настраиваемые зонды подстановочные знаки или регулярное выражение в данных ответа?

Как правила маршрутизации обрабатываются в шлюзе приложений?

См. Порядок обработки правил.

Что означает поле Host для настраиваемых зондов?

В поле Host указывается имя, на которое будет отправляться зонд, когда вы настроили мультисайт на шлюзе приложений.В противном случае используйте 127.0.0.1. Это значение отличается от имени хоста виртуальной машины. Его формат: <протокол>: <хост >: <порт> <путь>.

Могу ли я разрешить шлюзу приложений доступ только к нескольким исходным IP-адресам?

Да. См. Раздел ограничение доступа к определенным исходным IP-адресам.

Могу ли я использовать один и тот же порт как для общедоступных, так и для частных слушателей?

Поддерживает ли шлюз приложений IPv6?

Application Gateway v2 в настоящее время не поддерживает IPv6.Он может работать в виртуальной сети с двойным стеком, используя только IPv4, но подсеть шлюза должна быть только IPv4. Шлюз приложений v1 не поддерживает виртуальные сети с двойным стеком.

Как использовать шлюз приложений V2 только с частным IP-адресом внешнего интерфейса?

Application Gateway V2 в настоящее время не поддерживает только режим частного IP. Он поддерживает следующие комбинации

  • Частный IP и общедоступный IP
  • Только публичный IP

Но если вы хотите использовать шлюз приложений V2 только с частным IP-адресом, вы можете выполнить следующий процесс:

  1. Создайте шлюз приложений с общедоступным и частным IP-адресом внешнего интерфейса

  2. Не создавайте прослушивателей для общедоступного IP-адреса внешнего интерфейса.Шлюз приложений не будет прослушивать трафик с общедоступного IP-адреса, если для него не созданы прослушиватели.

  3. Создайте и присоедините группу безопасности сети для подсети шлюза приложений со следующей конфигурацией в порядке приоритета:

    а. Разрешить трафик от источника как , сервисный тег GatewayManager и назначения как , любой и порт назначения как 65200-65535 . Этот диапазон портов необходим для связи инфраструктуры Azure.Эти порты защищены (заблокированы) аутентификацией сертификата. Внешние объекты, включая администраторов пользователей шлюза, не могут инициировать изменения на этих конечных точках без соответствующих сертификатов

    г. Разрешить трафик из источника в качестве тега службы AzureLoadBalancer и пункта назначения и порт назначения как Любой

    г. Запретить весь входящий трафик от источника как Интернет-тег службы и адресата и порта назначения как Любой .Дайте этому правилу наименьший приоритет во входящих правилах

    г. Сохраните правила по умолчанию, такие как разрешение входящего трафика VirtualNetwork, чтобы доступ к частному IP-адресу не блокировался

    e. Исходящее подключение к Интернету нельзя заблокировать. В противном случае у вас возникнут проблемы с логированием, показателями и т. Д.

Пример конфигурации NSG для доступа только по частному IP:

Конфигурация — TLS

Какие сертификаты поддерживает шлюз приложений?

Application Gateway поддерживает самозаверяющие сертификаты, сертификаты центра сертификации (CA), сертификаты расширенной проверки (EV), многодоменные сертификаты (SAN) и групповые сертификаты.

Какие наборы шифров поддерживает шлюз приложений?

Application Gateway поддерживает следующие наборы шифров.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Сведения о настройке параметров TLS см. В разделе Настройка версий политик TLS и наборов шифров на шлюзе приложений.

Поддерживает ли шлюз приложений повторное шифрование трафика на серверную часть?

Да. Шлюз приложений поддерживает разгрузку TLS и сквозной TLS, которые повторно шифруют трафик на серверную часть.

Могу ли я настроить политику TLS для управления версиями протокола TLS?

Да. Вы можете настроить шлюз приложений для запрета TLS1.0, TLS1.1 и TLS1.2. По умолчанию SSL 2.0 и 3.0 уже отключены и не подлежат настройке.

Могу ли я настроить комплекты шифров и порядок политик?

Да.В шлюзе приложений можно настроить наборы шифров. Чтобы определить настраиваемую политику, включите хотя бы один из следующих наборов шифров.

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256

Application Gateway использует SHA256 для внутреннего управления.

Сколько сертификатов TLS / SSL поддерживает шлюз приложений?

Application Gateway поддерживает до 100 сертификатов TLS / SSL.

Сколько сертификатов аутентификации для внутреннего шифрования поддерживает шлюз приложений?

Application Gateway поддерживает до 100 сертификатов аутентификации.

Интегрируется ли шлюз приложений с Azure Key Vault изначально?

Да, SKU Application Gateway v2 поддерживает Key Vault. Дополнительные сведения см. В разделе Завершение TLS с помощью сертификатов Key Vault.

Как настроить прослушиватели HTTPS для сайтов .com и .net?

Для маршрутизации на основе нескольких доменов (на основе хоста) вы можете создавать многосайтовые прослушиватели, настраивать прослушиватели, использующие HTTPS в качестве протокола, и связывать их с правилами маршрутизации. Дополнительные сведения см. В разделе «Размещение нескольких сайтов с помощью шлюза приложений».

Могу ли я использовать специальные символы в пароле моего файла . pfx?

Нет, используйте только буквенно-цифровые символы в пароле вашего файла .pfx.

Мой сертификат EV выдан DigiCert, и мой промежуточный сертификат был отозван.Как обновить свой сертификат на шлюзе приложений?

Центр сертификации (ЦС). Члены обозревателя недавно опубликовали отчеты с подробным описанием нескольких сертификатов, выданных поставщиками ЦС, которые используются нашими клиентами, Microsoft и большим технологическим сообществом, которые не соответствовали отраслевым стандартам для публично доверенных ЦС. Отчеты о центрах сертификации, не соответствующих требованиям, можно найти здесь:

В соответствии с отраслевыми требованиями соответствия, CAvendors начали отзывать несоответствующие CA и выдавать соответствующие CA, что требует от клиентов перевыпуска сертификатов.Microsoft тесно сотрудничает с этими поставщиками, чтобы минимизировать потенциальное влияние на службы Azure, , однако ваши самостоятельно выданные сертификаты или сертификаты, используемые в сценариях «Принесите свой собственный сертификат» (BYOC), все еще рискуют быть неожиданно отозванными .

Чтобы проверить, были ли отозваны сертификаты, используемые вашим приложением, см. Объявление DigiCert и Средство отслеживания отзыва сертификатов. Если ваши сертификаты были отозваны или будут отозваны, вам нужно будет запросить новые сертификаты у поставщика CA, используемого в ваших приложениях.Во избежание прерывания доступности вашего приложения из-за неожиданного отзыва сертификатов или для обновления отозванного сертификата, пожалуйста, обратитесь к нашей публикации об обновлениях Azure, чтобы найти ссылки для исправления различных служб Azure, поддерживающих BYOC: https://azure.microsoft. ru / updates / certificateauthorityrevocation /

Информацию о шлюзе приложений см. Ниже —

Если вы используете сертификат, выданный одним из отозванных ICA, доступность вашего приложения может быть прервана, и в зависимости от вашего приложения вы можете получить различные сообщения об ошибках, включая, помимо прочего:

  1. Недействительный сертификат / отозванный сертификат
  2. Время ожидания соединения истекло
  3. HTTP 502

Чтобы избежать прерывания работы вашего приложения из-за этой проблемы или повторно выпустить отозванный CA, вам необходимо выполнить следующие действия:

  1. Обратитесь к поставщику сертификатов, чтобы узнать, как повторно выпустить сертификаты.
  2. После повторной выдачи обновите свои сертификаты на шлюзе приложений Azure / WAF, добавив в них полную цепочку доверия (конечный, промежуточный, корневой сертификат).В зависимости от того, где вы используете свой сертификат, на прослушивателе или настройках HTTP шлюза приложений, выполните следующие действия, чтобы обновить сертификаты, и проверьте указанные ссылки на документацию для получения дополнительной информации.
  3. Обновите серверы внутренних приложений, чтобы использовать повторно выданный сертификат. В зависимости от используемого внутреннего сервера действия по обновлению сертификата могут отличаться. Пожалуйста, проверьте документацию у вашего поставщика.

Чтобы обновить сертификат в слушателе:

  1. На портале Azure откройте ресурс шлюза приложений
  2. Откройте настройки прослушивателя, связанные с вашим сертификатом.
  3. Нажмите «Продлить или отредактировать выбранный сертификат».
  4. Загрузите новый сертификат PFX с паролем и нажмите «Сохранить».
  5. Зайдите на сайт и проверьте, работает ли он должным образом.
    Для получения дополнительной информации проверьте документацию здесь.

Если вы ссылаетесь на сертификаты из Azure KeyVault в прослушивателе шлюза приложений, мы рекомендуем выполнить следующие шаги для быстрого изменения —

  1. На портале Azure перейдите к настройкам Azure KeyVault, которые были связаны со шлюзом приложений
  2. Добавьте / импортируйте повторно выданный сертификат в свой магазин. См. Документацию здесь для получения дополнительной информации о том, как это сделать.
  3. После импорта сертификата перейдите к настройкам прослушивателя шлюза приложений и в разделе «Выбрать сертификат из Key Vault» щелкните раскрывающийся список «Сертификат» и выберите недавно добавленный сертификат.
  4. Нажмите Сохранить
    Дополнительную информацию о завершении TLS на шлюзе приложений с сертификатами Key Vault см. В документации здесь.

Чтобы обновить сертификат в настройках HTTP:

Если вы используете номер SKU версии 1 для службы шлюза приложений / WAF, вам придется загрузить новый сертификат в качестве сертификата внутренней аутентификации.

  1. На портале Azure откройте ресурс шлюза приложений
  2. Откройте настройки HTTP, связанные с вашим сертификатом.
  3. Нажмите «Добавить сертификат», загрузите повторно выданный сертификат и нажмите «Сохранить».
  4. Вы можете удалить старый сертификат позже, нажав кнопку «…» рядом со старым сертификатом, выбрав «Удалить» и нажав «Сохранить».Для получения дополнительной информации проверьте документацию здесь.

Если вы используете SKU V2 службы шлюза приложений / WAF, вам не нужно загружать новый сертификат в настройках HTTP, поскольку SKU V2 использует «доверенные корневые сертификаты», и здесь не требуется никаких действий.

Конфигурация — входной контроллер для AKS

Что такое Ingress Controller?

Kubernetes позволяет создавать развертывание и сервисный ресурс , чтобы предоставить группу подов внутри кластера.Чтобы предоставить ту же службу извне, определяется ресурс Ingress , который обеспечивает балансировку нагрузки, завершение TLS и виртуальный хостинг на основе имен.
Чтобы удовлетворить этот ресурс Ingress , требуется Ingress Controller, который отслеживает любые изменения ресурсов Ingress и настраивает политики балансировщика нагрузки.

Контроллер входящего трафика шлюза приложений (AGIC) позволяет использовать шлюз приложений Azure в качестве входа для службы Azure Kubernetes, также известной как кластер AKS.

Может ли один экземпляр контроллера входящего трафика управлять несколькими шлюзами приложений?

В настоящее время один экземпляр Ingress Controller может быть связан только с одним шлюзом приложений.

Почему мой кластер AKS с kubenet не работает с AGIC?

AGIC пытается автоматически связать ресурс таблицы маршрутов с подсетью шлюза приложений, но может не сделать это из-за отсутствия разрешений от AGIC. Если AGIC не может связать таблицу маршрутов с подсетью шлюза приложений, в журналах AGIC появится сообщение об этом, и в этом случае вам придется вручную связать таблицу маршрутов, созданную кластером AKS, с подсетью шлюза приложений. .Для получения дополнительной информации см. Поддерживаемые пользовательские маршруты.

Могу ли я подключить кластер AKS и шлюз приложений в отдельные виртуальные сети?

Да, если виртуальные сети являются одноранговыми и у них нет перекрывающихся адресных пространств. Если вы используете AKS с kubenet, обязательно свяжите таблицу маршрутов, созданную AKS, с подсетью Application Gateway.

Какие функции не поддерживаются в надстройке AGIC?

Пожалуйста, посмотрите различия между AGIC, развернутым через Helm, и развернутым в виде надстройки AKS здесь

Когда мне следует использовать надстройку по сравнению с развертыванием Helm?

Пожалуйста, обратите внимание на различия между AGIC, развернутым через Helm, и развернутым как надстройка AKS здесь, особенно в таблицах, в которых указано, какие сценарии поддерживаются AGIC, развернутым через Helm, а не надстройкой AKS.В общем, развертывание через Helm позволит вам протестировать бета-функции и выпускать кандидатов до официального выпуска.

Могу ли я контролировать, какая версия AGIC будет развернута с надстройкой?

Нет, надстройка AGIC — это управляемая служба, что означает, что Microsoft автоматически обновит надстройку до последней стабильной версии.

Диагностика и ведение журнала

Какие типы журналов предоставляет шлюз приложений?

Application Gateway предоставляет три журнала:

  • ApplicationGatewayAccessLog : журнал доступа содержит каждый запрос, отправленный во внешний интерфейс шлюза приложений.Данные включают IP-адрес вызывающего абонента, запрошенный URL-адрес, задержку ответа, код возврата и входящие и исходящие байты. Он содержит одну запись для каждого шлюза приложений.
  • ApplicationGatewayPerformanceLog : журнал производительности фиксирует информацию о производительности для каждого шлюза приложений. Информация включает в себя пропускную способность в байтах, общее количество обслуженных запросов, количество неудачных запросов, а также количество исправных и неисправных внутренних экземпляров.
  • ApplicationGatewayFirewallLog : для шлюзов приложений, настроенных с помощью WAF, журнал брандмауэра содержит запросы, которые регистрируются либо в режиме обнаружения, либо в режиме предотвращения.

Все журналы собираются каждые 60 секунд. Дополнительные сведения см. В разделе «Работоспособность серверной части», журналы диагностики и показатели для шлюза приложений.

Как мне узнать, здоровы ли участники моего бэкэнд-пула?

Проверьте работоспособность с помощью командлета PowerShell Get-AzApplicationGatewayBackendHealth или портала. Дополнительные сведения см. В разделе Диагностика шлюза приложений.

Какова политика хранения журналов диагностики?

Журналы диагностики поступают в учетную запись хранения клиента.Клиенты могут установить политику хранения в зависимости от своих предпочтений. Журналы диагностики также можно отправлять в концентратор событий или журналы Azure Monitor. Дополнительные сведения см. В разделе Диагностика шлюза приложений.

Как получить журналы аудита для шлюза приложений?

На портале в колонке меню шлюза приложений выберите Журнал активности , чтобы получить доступ к журналу аудита.

Могу ли я установить оповещения с помощью шлюза приложений?

Да. В шлюзе приложений оповещения настраиваются по метрикам.Дополнительные сведения см. В разделах «Метрики шлюза приложений» и «Получение уведомлений о предупреждениях».

Как мне анализировать статистику трафика для шлюза приложений?

Вы можете просматривать и анализировать журналы доступа несколькими способами. Используйте журналы Azure Monitor, Excel, Power BI и т. Д.

Вы также можете использовать шаблон Resource Manager, который устанавливает и запускает популярный анализатор журналов GoAccess для журналов доступа к шлюзу приложений. GoAccess предоставляет ценную статистику HTTP-трафика, такую ​​как уникальные посетители, запрошенные файлы, хосты, операционные системы, браузеры и коды состояния HTTP.Для получения дополнительных сведений в GitHub см. Файл Readme в папке шаблона диспетчера ресурсов.

Что может привести к тому, что работоспособность серверной части вернет неизвестный статус?

Обычно вы видите неизвестный статус, когда доступ к серверной части заблокирован группой безопасности сети (NSG), настраиваемым DNS или определяемой пользователем маршрутизацией (UDR) в подсети шлюза приложений. Дополнительные сведения см. В разделе «Работоспособность серверной части», ведение журнала диагностики и показатели для шлюза приложений.

Есть ли случай, когда в журналах потоков NSG не отображается разрешенный трафик?

Да.Если ваша конфигурация соответствует следующему сценарию, вы не увидите разрешенный трафик в журналах потоков NSG:

  • Вы развернули шлюз приложений v2
  • У вас есть группа безопасности сети в подсети шлюза приложений
  • Вы включили журналы потоков NSG на этом NSG

Хранит ли шлюз приложений данные клиентов?

Нет, шлюз приложений не хранит данные клиентов.

Следующие шаги

Чтобы узнать больше о шлюзе приложений, см. Что такое шлюз приложений Azure ?.

Конечные точки ролей Azure и правила сетевого трафика

Введение

Azure — это операционная система Microsoft для облачных вычислений, которая позволяет размещать и запускать приложения в облаке. Облако — это не что иное, как центр обработки данных Microsoft. Приложения размещаются в облаке в виде ролей. Существует два основных типа ролей: веб-роль и рабочая роль. Обе роли преследуют разные цели.

Часть любого приложения, которое мы размещаем в IIS, должна быть создана как веб-роль при размещении в облаке.Веб-роли работают как мост между пользователями приложения и рабочей ролью.

Рабочие роли, как следует из названия, выполняют задачи, назначенные веб-ролями. Он постоянно работает в облаке, обрабатывает задачи асинхронно.

С этой базовой основы, давайте начнем тему. Каждая служба предоставляет набор конечных точек для внешнего мира или клиента для этой службы. Потребитель службы узнает о метаданных или предложениях службы, используя эти конечные точки. В облаке каждая размещенная роль (веб или рабочая) представляет собой службу, которую можно использовать из локального приложения или браузера, для этой цели определяются конечные точки.

В этой статье основное внимание будет уделено конечным точкам и настройке сетевых правил, а не другим членам схемы конфигурации.

Конечные точки ролей

Конечные точки роли

Azure определены в файле определения конфигурации роли ( .csdef ) в узле схемы « Конечные точки ».

 <Конечные точки>
      <. . . />
 

Мы можем найти файл определения в соответствующей папке проекта.Ниже приведен снимок приложения под названием « DicomConvert » и места, где мы можем найти файл определения в папке и проводнике решений:

Рисунок 1

Каждое определение конечной точки имеет три основных свойства: « Имя », « Протокол » и « Порт ». Ниже приведен пример определения конечной точки Входной :

 <Конечные точки>
      
 

К этой конечной точке можно получить доступ с помощью протокола http на порту 80.

Примечание : если мы внесем какие-либо изменения в файл определения, нам придется повторно развернуть (либо «опубликовать», либо «упаковать и загрузить») приложение в облаке. На портале управления Azure нет возможности изменять файл определения ( .csdef ) на лету, в то время как мы можем изменить файл конфигурации ( .cscfg ) через портал, даже если приложение уже развернуто и все еще может видеть меняется на лету.

Мы можем либо открыть файл определения в текстовом редакторе Visual Studio, чтобы написать для настройки конечных точек, либо мы можем сделать это с помощью пользовательского интерфейса, предоставляемого им.

Дважды щелкните по роли, созданной в обозревателе решений, чтобы получить пользовательский интерфейс конфигурации. Получаем варианты добавления, удаления конечных точек. Наряду с этим на левой панели также доступны другие параметры конфигурации.

Рисунок 2

После этого сохраните (‘Ctrl + S’) настройку, и она автоматически отразится в файле определения.

Windows Azure предоставляет доступ к вашим ролям только тогда, когда мы явно указываем конечные точки в определении службы.Определяя конечные точки, мы инструктируем контроллер Fabric направлять веб-трафик определенной роли с помощью балансировщика нагрузки. Изначально Windows Azure не позволяла подключать рабочие роли напрямую, т.е. каждый запрос к рабочей роли должен проходить через балансировщик нагрузки; включая запросы от экземпляров ролей одного и того же приложения, присутствующих в одной виртуальной сети. У этого дизайна была задержка ответа. Ограничение было снято, когда платформа Azure перешла в рабочую среду, введены два типа конечных точек: одна для обработки внешних запросов извне брандмауэра, а другая - для обработки запросов, происходящих за брандмауэром среди экземпляров ролей приложения.

Полный файл определения и определение конечной точки см. На следующем снимке. Обратите внимание на настройки конечной точки на предыдущем снимке:

Рисунок 3

Типы оконечных устройств

Azure имеет два типа конечных точек: входные и внутренние.

Входная конечная точка - Входные конечные точки - это конечные точки, которые доступны через Интернет (внешний вид). Изначально это было единственное определение конечной точки, доступное для Azure.Он поддерживает протоколы http и https. Такая конечная точка отвечает за обработку интернет-трафика, проходящего через балансировщик нагрузки. Ниже приведены доступные атрибуты конфигурации:

Атрибут Описание
имя Обязательно.
Уникальное имя внешней конечной точки.
протокол Обязательно.
Транспортный протокол для внешней конечной точки.Возможные значения для веб-роли: HTTP, HTTPS или TCP. Примечание. TCP поддерживается только в том случае, если входная конечная точка определена как дочерняя для элемента Endpoints .
порт

Обязательно.
Порт для внешней конечной точки. Вы можете указать любой номер порта по вашему выбору, но номера портов, указанные для каждой роли в службе, должны быть уникальными.
Требуется сертификат для конечной точки HTTPS. Имя сертификата определяется элементом Certificate.

localPort Необязательно.
Задает порт, используемый для внутренних соединений на конечной точке. Атрибут localPort сопоставляет внешний порт конечной точки с внутренним портом роли. Это полезно в сценариях, где роль должна взаимодействовать с внутренним компонентом на порту, отличном от того, который предоставляется извне. Если не указан, значение параметра Set localPort совпадает со значением, установленным в атрибуте порта.Установите для localPort значение «*», чтобы структура Windows Azure могла назначать нераспределенный порт, который можно обнаружить с помощью API среды выполнения.
Примечание : Атрибут localPort доступен только при использовании Windows Azure SDK версии 1.3 или выше.
ignoreRoleInstanceStatus Необязательно.
Если значение этого атрибута установлено на true , статус службы игнорируется, и конечная точка не будет удалена балансировщиком нагрузки.Значение по умолчанию - , ложь . Установка этого значения в true полезна для отладки загруженных экземпляров службы.
Примечание : Конечная точка все еще может получать трафик, даже если роль не находится в состоянии готовности.

Внутренняя конечная точка - внутренние конечные точки доступны в пределах узла Azure (внутри виртуальной сети) для экземпляров ролей того же приложения. Роли одного приложения не могут получить доступ к внутренним конечным точкам других ролей приложения.Это общение происходит напрямую, без участия балансировщика нагрузки. Таким образом, для рабочей роли, которая используется только веб-ролью, и обе роли размещены в облаке, необязательно определять конечную точку ввода. В этом случае рабочая роль может иметь набор внутренних конечных точек, которые предоставляются размещенным веб-ролям, а веб-роль, в свою очередь, может иметь набор конечных точек ввода, доступных для Интернета. Он поддерживает протоколы http, https и tcp.

 <Конечные точки>
      
 
 

Приведенный выше фрагмент конфигурации относится к веб-роли, которая имеет одну конечную точку ввода для исходящей связи и одну внутреннюю конечную точку для связи между ролями.Итак, теперь понятно, что создание конечной точки в Azure - это решение, основанное на архитектуре размещенного приложения.

Настройка правил сетевого трафика

Используя внутренние конечные точки, мы можем установить правила для установки правил взаимодействия между экземплярами ролей. В случае нарушений Azure выдает исключения. Эти правила могут быть разработаны для реализации функций безопасности на случай, если мы не хотим, чтобы к роли была доступна другая веб-или рабочая роль.

Из множества возможных сценариев мы возьмем несколько для настройки правил сетевого трафика.Предположим, у нас есть веб-роль « WB1 » и набор рабочих ролей « WR1 », « WR2 ». И как требование приложения, нам нужно установить сетевое правило следующим образом:

WB1 WR1 WR2

  1. Экземпляр веб-роли может получить доступ только к WR1 и WR1 может получить доступ только к WR2 . WR2 недоступен напрямую из веб-роли.

  2. WB1 может получить доступ к обоим экземплярам рабочих ролей.

Когда мы настраиваем приложение, чтобы иметь одну веб-роль и две рабочие роли, создается следующий файл определения конфигурации:

 
  
    <Сайты>
      
        <Привязки>
          <Имя привязки = "HttpIn" endpointName = "HttpIn" />
        
      
    
    <Конечные точки>
      
      
    
  
  
    <Конечные точки>
      
    
  
  
    <Конечные точки>
      
    
      
  
 

Чтобы определить правила сетевого трафика, откройте «.csdef ”в текстовом редакторе Visual Studio. Здесь все внутренние конечные точки настроены на использование протокола TCP, который также мог быть HTTP. Обратите внимание, что узел правил сетевого трафика должен быть последним узлом, определенным в файле определения конфигурации. В противном случае иногда возникает исключение, когда приложение размещается в облаке.

Правила устанавливаются на основе ролей источника и назначения трафика и почти не требуют пояснений.

Для сценария 1

 <правила сетевого трафика>
  

    <Пункты назначения>
      
    

    
      
    

  



  
    
    <Пункты назначения>
      
    

    
      
    

  
 

для сценария 2

 <правила сетевого трафика>
  

    <Пункты назначения>
      
      
    

    
      
    

  
 

Точно так же мы можем придумать любую комбинацию для коммуникации и установить для нее соответствующее правило.

Ограничение допустимого количества конечных точек

Для любой размещенной службы в Azure разрешенное количество ролей было увеличено с 5 до 25 (веб-роль и рабочая роль). Размещенная служба может иметь 25 входных и 25 внутренних конечных точек. Распределение конечных точек по ролям можно производить любым способом. Итак, допустимое количество внутренних или входных конечных точек для каждой роли - 25. Я попытался создать 26 внутренних конечных точек для рабочей роли и попытался опубликовать ее в Azure. Ниже приведен снимок уведомления о неудачном развертывании с сообщением об ошибке, обведенным красным, четко указывающим ограничение.

Рис: 4

Заключение

Конечные точки

Azure и соответствующие правила сетевого трафика позволяют роли получать доступ только к другим соответствующим ролям или службам. Это помогает в защищенном и версионном доступе (в случае двух версий одной и той же рабочей роли). Эти правила могут быть очень полезны для больших приложений, которые постоянно обновляются.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *