如何在应用程序网关后面进行基于路径的反向代理应用程序服务？

Question

我有一个配置了我的通配符证书的应用程序网关，我想用它来代理 myapp.mywebsite.net/mypath 后面的 myapp.azurewebsites.net（一个 ASP.NET 核心应用程序）。

我有一个在网关中配置的 myapp.mywebsite.net 上运行的现有站点，但我只希望/mypath路由指向应用程序服务。 我怎样才能做到这一点？

Answer 1

第 1 步 - 配置网关

1. 为myapp.azurewebsites.net添加新的后端目标
2. 添加新的 http 设置，为myapp.azurewebsites.net启用具有特定域名的主机名覆盖。 不要添加路径覆盖，我们希望将/mypath传递给应用服务。
3. 编辑站点的现有基于路径的规则：
   1. 添加新的基于路径的规则
      1. 路径= /mypath/*
      2. name= mypathname // 可以是任何值
      3. httpsetting=我们刚刚做的那个
      4. backendpool=我们刚做的那个

这会将myapp.mywebsite.net/mypath指向该站点

第 2 步 - 配置应用程序

Startup.cs - 配置

请参阅此处了解更多信息。

将以下内容添加到 Configure 方法的开头。 我们希望在所有其他中间件发生之前调整标头。

app.UseForwardedHeaders(); // Enable hostname to be derived from headers added by app gateway
app.UsePathBase("/mypath"); // Tell ASP.NET that we have a base path

有关调试帮助，请参见此处。

Startup.cs - 配置服务

我们需要告诉 ASP.NET 信任网关标头

services.Configure<ForwardedHeadersOptions>(options =>
{
    options.ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto;
    options.AllowedHosts.Add("myapp.mywebsite.net");
    options.KnownProxies.Add(IPAddress.Parse("10.my.gateway.ip"));
});

如果您正在使用

services.AddMicrosoftIdentityWebAppAuthentication(config);

对于身份验证，我们需要覆盖回复 url 使其指向myapp.mywebsite.net/mypath/signin-oidc而不是myapp.azurewebsites.net/signin-oidc 。 这可以通过以下方式完成：

if (!env.IsDevelopment())
{
    services.Configure<OpenIdConnectOptions>(OpenIdConnectDefaults.AuthenticationScheme, options =>
    {
        // options.SaveTokens = true; // this saves the token for the downstream api
        options.Events = new OpenIdConnectEvents
        {
            OnRedirectToIdentityProvider = async ctxt =>
            {
                ctxt.ProtocolMessage.RedirectUri = "https://myapp.mywebsite.net/mypath/signin-oidc";
                await Task.Yield();
            }
        };
    });
}

我们只在 dev 中运行它，以便在本地运行我们的东西会执行使用 localhost 填充回复 URL 的默认行为。