تفاصيل تكوين الشبكة لـ App Service Environment لـ Power Apps باستخدام Azure ExpressRoute
هام
تتناول هذه المقالة App Service Environment إصدار 1. سيتم إيقاف الإصدارين 1 و2 من App Service Environment في 31 أغسطس 2024. يوجد إصدار جديد من App Service Environment يسهل استخدامه ويعمل ببنية أساسية أكثر قوة. لمعرفة المزيد عن الإصدار الجديد، ابدأ بمقدمة لبيئة App Service. إذا كنت تستخدم إصدار 1 من App Service Environment حاليًا، فالرجاء اتباع الخطوات الواردة في هذه المقالة للترحيل إلى الإصدار الجديد.
بعد 31 أغسطس 2024، سيبدأ إيقاف تشغيل أجهزة App Service Environment v1 وv2، وقد يؤثر ذلك على توفر التطبيقات والبيانات وأدائها. لن تنطبق اتفاقية مستوى الخدمة (SLA) وأرصدة الخدمة على أحمال عمل App Service Environment v1 وv2 التي تستمر في الإنتاج بعد 31 أغسطس 2024.
يجب إكمال الترحيل إلى App Service Environment v3 قبل 31 أغسطس 2024 أو قد يتم حذف التطبيقات والموارد. سنحاول الترحيل التلقائي لأي بيئة خدمة تطبيقات متبقية v1 وv2 على أساس أفضل جهد باستخدام ميزة الترحيل الموضعي، ولكن Microsoft لا تقدم أي مطالبة أو ضمانات حول توفر التطبيق بعد الترحيل التلقائي. قد تحتاج إلى إجراء تكوين يدوي لإكمال الترحيل وتحسين خيار SKU لخطة App Service لتلبية احتياجاتك. إذا لم يكن الترحيل التلقائي ممكنا، حذف الموارد وبيانات التطبيق المقترنة. ونحثك بشدة على التصرف الآن لتجنب أي من هذه السيناريوهات المتطرفة.
للحصول على أحدث المعلومات حول إيقاف App Service Environment v1/v2، راجع تحديث إيقاف App Service Environment v1 وv2.
يمكن للعملاء توصيل دائرة Azure ExpressRoute بالبنية الأساسية للشبكة الظاهرية الخاصة بهم لتوسيع شبكتهم المحلية إلى Azure. يتم إنشاء App Service Environment في شبكة فرعية من البنية الأساسية للشبكة الظاهرية. تنشئ التطبيقات التي تعمل على App Service Environment اتصالات آمنة بالموارد الخلفية التي يمكن الوصول إليها فقط عبر اتصال ExpressRoute.
يمكن إنشاء App Service Environment في هذه السيناريوهات:
- الشبكات الظاهرية لـ Azure Resource Manager.
- الشبكات الظاهرية لنموذج التوزيع الكلاسيكي.
- الشبكات الظاهرية التي تستخدم نطاقات العناوين العامة أو مساحات عناوين RFC1918 (أي العناوين الخاصة).
إشعار
بالرغم من أن هذه المقالة تشير إلى تطبيقات الويب، فإنها تنطبق أيضًا على تطبيقات واجهة برمجة التطبيقات وتطبيقات الهاتف المحمول.
اتصال الشبكة المطلوب
تحتوي App Service Environment على متطلبات اتصال الشبكة التي قد لا يتم تلبيتها في البداية في شبكة ظاهرية متصلة بـ ExpressRoute.
تتطلب App Service Environment إعدادات اتصال الشبكة التالية لتعمل بشكل صحيح:
اتصال الشبكة الصادرة بنقاط نهاية Azure Storage في جميع أنحاء العالم على كل من المنفذ 80 والمنفذ 443. توجد نقاط النهاية هذه في نفس المنطقة مثل App Service Environment ومناطق Azure الأخرى أيضاً. يتم حل نقاط نهاية Azure Storage ضمن مجالات DNS التالية: table.core.windows.net وblob.core.windows.net وqueue.core.windows.net وfile.core.windows.net.
اتصال الشبكة الصادرة بخدمة Azure Files على المنفذ 445.
اتصال الشبكة الصادرة بنقاط نهاية قاعدة بيانات Azure SQL الموجودة في نفس المنطقة مثل App Service Environment. يتم حل نقاط نهاية قاعدة بيانات SQL ضمن المجال database.windows.net، والذي يتطلب الوصول المفتوح إلى المنافذ 1433 و11000-11999 و14000-14999. للحصول على تفاصيل حول استخدام منفذ SQL Database V12، راجع المنافذ التي تتجاوز 1433 لـADO.NET 4.5.
اتصال الشبكة الصادرة بنقاط نهاية وحدة إدارة Azure (كل من نموذج توزيع Azure الكلاسيكي ونقاط نهاية Azure Resource Manager). يتضمن الاتصال بنقاط النهاية هذه مجالات management.core.windows.net وmanagement.azure.com.
اتصال الشبكة الصادرة بمجالات ocsp.msocsp.com، mscrl.microsoft.com، crl.microsoft.com. الاتصال بهذه المجالات مطلوب لدعم وظائف TLS.
يجب أن يكون تكوين DNS للشبكة الظاهرية قادراً على حل جميع نقاط النهاية والمجالات المذكورة في هذه المقالة. إذا تعذر حل نقاط النهاية، يفشل إنشاء App Service Environment. يتم وضع علامة على App Service Environment موجودة على أنها غير صحية.
مطلوب الوصول الصادر على المنفذ 53 للاتصال بخوادم DNS.
في حالة وجود خادم DNS مخصص على الطرف الآخر من بوابة شبكة ظاهرية خاصة، يجب أن يكون خادم DNS قابلاً للوصول من الشبكة الفرعية التي تحتوي علىApp Service Environment.
لا يمكن لمسار الشبكة الصادرة السفر عبر وكلاء الشركات الداخليين ولا يمكن فرض الاتصال النفقي في أماكن العمل. تغير هذه الإجراءات عنوان NAT الفعال لنسبة استخدام الشبكة الصادرة من App Service Environment. تؤدي التغييرات في عنوان NAT لنسبة استخدام الشبكة الصادرة لـ App Service Environment إلى فشل الاتصال بالعديد من نقاط النهاية. فشل إنشاء App Service Environment. يتم وضع علامة على App Service Environment موجودة على أنها غير صحية.
يجب السماح بالوصول إلى الشبكة الواردة إلى المنافذ المطلوبة لـ App Service Environment. للحصول على التفاصيل، راجع كيفية التحكم في نسبة استخدام الشبكة الواردة إلى App Service Environment.
لتلبية متطلبات DNS، تأكد من تكوين بنية أساسية DNS صالحة وصيانتها للشبكة الظاهرية. إذا تم تغيير تكوين DNS بعد إنشاء App Service Environment، يمكن للمطورين إجبار App Service Environment على اختيار تكوين DNS الجديد. يمكنك تشغيل إعادة تشغيل بيئة متجددة باستخدام أيقونة إعادة التشغيل ضمن إدارة App Service Environment في مدخل Azure. تؤدي إعادة التشغيل إلى أن تلتقط البيئة تكوين DNS الجديد.
لتلبية متطلبات الوصول إلى الشبكة الواردة، قم بتكوين مجموعة أمان شبكة (NSG) على الشبكة الفرعية لـ App Service Environment. تسمح مجموعة أمان الشبكة بالوصول المطلوب للتحكم في نسبة استخدام الشبكة الواردة إلى App Service Environment.
اتصال الشبكة الصادرة
بشكل افتراضي، تعلن دائرة ExpressRoute المنشأة حديثاً عن مسار افتراضي يسمح بالاتصال بالإنترنت الصادر. يمكن لـ App Service Environment استخدام هذا التكوين للاتصال بنقاط نهاية Azure الأخرى.
يتمثل التكوين الشائع للعميل في تحديد المسار الافتراضي الخاص به (0.0.0.0/0)، والذي يفرض حركة مرور الإنترنت الصادرة للتدفق في أماكن العمل. يكسر تدفق نسبة استخدام الشبكة هذا App Service Environment دائماً. يتم حظر نسبة استخدام الشبكة الصادرة إما محلياً أو NAT'd إلى مجموعة عناوين لا يمكن التعرف عليها لم تعد تعمل مع نقاط النهاية Azure المختلفة.
الحل هو تحديد مسار واحد (أو أكثر) معرف من قبل المستخدم (UDRs) على الشبكة الفرعية التي تحتوي على App Service Environment. يحدد المسار المعرف من قبل المستخدم المسارات الخاصة بالشبكة الفرعية التي يتم الالتزام بها بدلاً من المسار الافتراضي.
إذا كان ذلك ممكناً، استخدم التكوين التالي:
- يعلن تكوين ExpressRoute عن 0.0.0.0/0. بشكل افتراضي، يفرض التكوين الأنفاق على جميع نسبة استخدام الشبكة الصادرة محلياً.
- يحدد المسار المعرف من قبل المستخدم المطبق على الشبكة الفرعية التي تحتوي على App Service Environment 0.0.0.0/0 مع نوع الوثب التالي للإنترنت. يتم وصف مثال على هذا التكوين لاحقاً في هذه المقالة.
التأثير المدمج لهذا التكوين هو أن المسار المعرف من قبل المستخدم على مستوى الشبكة الفرعية له الأسبقية على نفق قوة ExpressRoute. الوصول إلى الإنترنت الصادر من App Service Environment مضمون.
هام
يجب أن تكون المسارات المحددة في المسار المعرف من قبل المستخدم محددة بما يكفي لتكون لها الأسبقية على أي مسارات يتم الإعلان عنها بواسطة تكوين ExpressRoute. يستخدم المثال الموضح في القسم التالي نطاق العناوين 0.0.0.0/0 الواسع. يمكن تجاوز هذا النطاق عن طريق الخطأ بإعلانات المسار التي تستخدم نطاقات عناوين أكثر تحديداً.
لا يتم دعم App Service Environment مع تكوينات ExpressRoute التي تعلن عبر المسارات من مسار التناظر العام إلى مسار التناظر الخاص. تتلقى تكوينات ExpressRoute التي تم تكوين تناظر عام لها إعلانات المسار من Microsoft لمجموعة كبيرة من نطاقات عناوين IP لـ Microsoft Azure. إذا تم الإعلان عن نطاقات العناوين عبر مسار التناظر الخاص، فسيتم توجيه جميع حزم الشبكة الصادرة من الشبكة الفرعية لـ App Service Environment إلى البنية الأساسية للشبكة المحلية للعميل. تدفق الشبكة هذا غير مدعوم حالياً مع App Service Environment. يتمثل أحد الحلول في إيقاف مسارات الإعلانات المتقاطعة من مسار التناظر العام إلى مسار التناظر الخاص.
للحصول على معلومات الخلفية حول المسارات المُعرَّفة من قِبل المستخدم، راجع تويجه نسبة استخدام الشبكة الظاهرية.
لمعرفة كيفية إنشاء المسارات المعرفة من قبل المستخدم وتكوينها، راجع توجيه نسبة استخدام الشبكة باستخدام جدول توجيه باستخدام PowerShell.
تكوين المسار المعرف من قبل المستخدم
يعرض هذا القسم مثالاً لتكوين المسار المعرف من قبل المستخدم لـ App Service Environment.
المتطلبات الأساسية
تثبيت Azure PowerShell من صفحة التنزيلات لـ Azure. اختر تنزيلاً بتاريخ يونيو 2015 أو أحدث. ضمن أدوات سطر الأوامر>Windows PowerShell، حدد تثبيت لتثبيت أحدث أوامر cmdlets لـ PowerShell.
إنشاء شبكة فرعية فريدة للاستخدام الحصري من قبل App Service Environment. تضمن الشبكة الفرعية الفريدة أن المسارات المعرفة من قبل المستخدم المطبقة على الشبكة الفرعية تفتح نسبة استخدام الشبكة الصادرة لـ App Service Environment فقط.
هام
توزيع App Service Environment فقط بعد إكمال خطوات التكوين. تضمن الخطوات توفر اتصال الشبكة الصادرة قبل محاولة توزيع App Service Environment.
الخطوة 1: إنشاء جدول توجيه
إنشاء جدول توجيه يسمى DirectInternetRouteTable في منطقة Azure غرب الولايات المتحدة، كما هو موضح في هذه القصاصة البرمجية:
New-AzureRouteTable -Name 'DirectInternetRouteTable' -Location uswest
الخطوة 2: إنشاء مسارات في الجدول
إضافة مسارات إلى جدول التوجيه لتمكين الوصول إلى الإنترنت الصادر.
تكوين الوصول الصادر للوصول إلى الإنترنت. حدد مساراً لـ 0.0.0.0/0 كما هو موضح في هذه القصاصة البرمجية:
Get-AzureRouteTable -Name 'DirectInternetRouteTable' | Set-AzureRoute -RouteName 'Direct Internet Range 0' -AddressPrefix 0.0.0.0/0 -NextHopType Internet
0.0.0.0/0 هو نطاق عناوين واسع. يتم تجاوز النطاق بواسطة نطاقات العناوين المعلن عنها بواسطة ExpressRoute الأكثر تحديداً. يجب استخدام المسار المعرف من قبل المستخدم مع مسار 0.0.0.0/0 بالتزامن مع تكوين ExpressRoute الذي يعلن عن 0.0.0.0/0 فقط.
كبديل، قم بتنزيل قائمة شاملة حالية لنطاقات CIDR قيد الاستخدام من قبل Azure. يتوفر ملف XML لكافة نطاقات عناوين IP Azure من مركز تنزيل Microsoft.
إشعار
تتغير نطاقات عناوين IP Azure بمرور الوقت. تحتاج المسارات المعرفة من قبل المستخدم إلى تحديثات يدوية دورية للحفاظ على مزامنتها.
يحتوي مسار واحد معرف من قبل المستخدم على حد أعلى افتراضي يبلغ 100 مسار. تحتاج إلى "تلخيص" نطاقات عناوين IP Azure لتناسب حد 100 مسار. يجب أن تكون المسارات المعرفة من قبل UDR أكثر تحديداً من المسارات التي يتم الإعلان عنها بواسطة اتصال ExpressRoute الخاص بك.
الخطوة 3: اتصال ربط الجدول بالشبكة الفرعية
ربط جدول التوجيه بالشبكة الفرعية حيث تنوي توزيع App Service Environment. يربط هذا الأمر جدول DirectInternetRouteTable بالشبكة الفرعية ASESubnet التي ستحتوي على App Service Environment.
Set-AzureSubnetRouteTable -VirtualNetworkName 'YourVirtualNetworkNameHere' -SubnetName 'ASESubnet' -RouteTableName 'DirectInternetRouteTable'
الخطوة 4: اختبار المسار وتأكيده
بعد ربط جدول التوجيه بالشبكة الفرعية، قم باختبار المسار وتأكيده.
توزيع جهاز ظاهري في الشبكة الفرعية وتأكيد هذه الشروط:
- لا تتدفق نسبة استخدام الشبكة الصادرة إلى نقاط نهاية Azure وغير Azure الموضحة في هذه المقالة إلى أسفل دائرة ExpressRoute. إذا تم فرض نسبة استخدام الشبكة الصادرة من الشبكة الفرعية داخل نفق، فإن إنشاء App Service Environment يفشل دائماً.
- يتم حل عمليات بحث DNS لنقاط النهاية الموضحة في هذه المقالة بشكل صحيح.
بعد إكمال خطوات التكوين وتأكيد المسار، احذف الجهاز الظاهري. يجب أن تكون الشبكة الفرعية "فارغة" عند إنشاء App Service Environment.
أنت الآن جاهز لتوزيع App Service Environment.
الخطوات التالية
لبدء استخدام App Service Environment، راجع مقدمة حول App Service Environment.