Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Nota
Os planos Basic, Standarde Enterprise entraram em um período de aposentadoria em 17 de março de 2025. Para obter mais informações, consulte o anúncio de aposentadoria do Azure Spring Apps.
O plano de consumo padrão e o plano dedicado entraram em um período de desativação a 30 de setembro de 2024, com um encerramento completo até o final de março de 2025. Para mais informações, consulte Migrar o Consumo Padrão e o Plano Dedicado do Azure Spring Apps para Aplicações de Contentor do Azure.
Este artigo aplica-se a: ❎ "Basic" ✅ "Standard" ✅ "Enterprise"
Nota
Este recurso não está disponível no plano Básico.
Este artigo descreve comunicações seguras no Azure Spring Apps. O artigo também explica como habilitar o SSL/TLS de entrada no aplicativo para proteger o tráfego de um controlador de entrada para aplicativos que suportam HTTPS.
A imagem a seguir mostra o suporte geral de comunicação segura no Azure Spring Apps.
Modelo de comunicação seguro no Azure Spring Apps
Esta seção explica o modelo de comunicação segura mostrado no diagrama de visão geral acima.
A solicitação do cliente para o aplicativo no Azure Spring Apps é direcionada pelo controlador de entrada. A solicitação pode ser HTTP ou HTTPS. O certificado TLS retornado pelo controlador de entrada é emitido pela CA emissora de TLS do Microsoft Azure.
Se o aplicativo tiver sido mapeado para um domínio personalizado existente e estiver configurado apenas como HTTPS, a solicitação para o controlador de entrada só poderá ser HTTPS. O certificado TLS retornado pelo controlador de entrada é o certificado de vinculação SSL para esse domínio personalizado. A verificação SSL/TLS do lado do servidor para o domínio personalizado é feita no controlador de entrada.
A comunicação segura entre o controlador de ingresso e as aplicações no Azure Spring Apps é controlada pelo TLS de ingresso para aplicação. Você também pode controlar a comunicação através do portal ou CLI, que será explicado mais adiante neste artigo. Se o TLS de entrada no aplicativo estiver desabilitado, a comunicação entre o controlador de entrada e os aplicativos no Azure Spring Apps será HTTP. Se o TLS de entrada no aplicativo estiver habilitado, a comunicação será HTTPS e não terá relação com a comunicação entre os clientes e o controlador de entrada. O controlador de entrada não verificará o certificado retornado dos aplicativos porque o TLS de entrada no aplicativo criptografa a comunicação.
A comunicação entre os aplicativos e os serviços do Azure Spring Apps é sempre HTTPS e tratada pelo Azure Spring Apps. Esses serviços incluem o servidor de configuração, o registro de serviço e o servidor Eureka.
Você gerencia a comunicação entre os aplicativos. Você também pode aproveitar os recursos do Azure Spring Apps para carregar certificados no repositório confiável do aplicativo. Para obter mais informações, consulte Usar certificados TLS/SSL em um aplicativo.
Você gerencia a comunicação entre aplicativos e serviços externos. Para reduzir seu esforço de desenvolvimento, o Azure Spring Apps ajuda você a gerenciar seus certificados públicos e os carrega no repositório confiável do seu aplicativo. Para obter mais informações, consulte Usar certificados TLS/SSL em um aplicativo.
Habilitar o TLS de entrada para uma aplicação
A seção a seguir mostra como habilitar SSL/TLS de entrada no aplicativo para proteger o tráfego de um controlador de entrada para aplicativos que suportam HTTPS.
Pré-requisitos
- Uma instância implantada do Azure Spring Apps. Siga nosso início rápido na implantação por meio da CLI do Azure para começar.
- Se estiver unfamiliarizado com o TLS de entrada para a aplicação, consulte o exemplo de TLS de ponta a ponta.
- Para carregar com segurança os certificados necessários em aplicativos Spring Boot, você pode usar spring-cloud-azure-starter-keyvault-certificates.
Ativar TLS de entrada para a aplicação numa aplicação existente
Use o comando az spring app update --enable-ingress-to-app-tls para habilitar ou desabilitar o TLS de entrada no aplicativo para um aplicativo.
az spring app update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app update --enable-ingress-to-app-tls false -n app_name -s service_name -g resource_group_name
Habilite o TLS de entrada no aplicativo quando você vincula um domínio personalizado
Use o comando az spring app custom-___domain update --enable-ingress-to-app-tls ou az spring app custom-___domain bind --enable-ingress-to-app-tls para habilitar ou desabilitar o TLS de entrada no aplicativo para um aplicativo.
az spring app custom-___domain update --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
az spring app custom-___domain bind --enable-ingress-to-app-tls -n app_name -s service_name -g resource_group_name
Habilitar TLS de entrada no aplicativo usando o portal do Azure
Para habilitar o TLS de entrada no aplicativo no portal do Azure, primeiro crie um aplicativo e, em seguida, habilite o recurso.
- Crie um aplicativo no portal como faria normalmente. Navegue até ele no portal.
- Role para baixo até o grupo Configurações no painel de navegação esquerdo.
- Selecione TLS de entrada no aplicativo.
- Altere o TLS de entrada para a aplicação para Sim.
Verificar o status do TLS de entrada no aplicativo
Use o comando az spring app show para verificar o valor de enableEndToEndTls.
az spring app show -n app_name -s service_name -g resource_group_name