Hybridní připojení Azure App Service

  • Článek

Hybridní Připojení ions je služba v Azure i funkce ve službě Aplikace Azure Service. Jako služba má využití a možnosti nad rámec těch, které se používají ve službě App Service. Další informace o hybridních Připojení ionech a jejich využití mimo službu App Service najdete v tématu Azure Relay Hybrid Připojení ions.

V rámci služby App Service je možné použít hybridní Připojení iony pro přístup k prostředkům aplikace v jakékoli síti, která může provádět odchozí volání do Azure přes port 443. Hybridní Připojení iony poskytují přístup z vaší aplikace ke koncovému bodu TCP a neumožňují nový způsob přístupu k aplikaci. Jak se používá ve službě App Service, každý hybridní Připojení ion koreluje s jedním hostitelem TCP a kombinací portů. Tato funkce umožňuje aplikacím přístup k prostředkům v jakémkoli operačním systému za předpokladu, že se jedná o koncový bod TCP. Funkce Hybridní Připojení ions neví ani nezajímá, co je aplikační protokol nebo k čemu přistupujete. Jednoduše poskytuje přístup k síti.

Jak to funguje

Hybridní Připojení iony vyžadují nasazení přenosového agenta, do kterého může dosáhnout požadovaného koncového bodu i Azure. Přenosového agenta, Správce hybridního připojení (HCM), volá Azure Relay přes port 443. Z webu webové aplikace se infrastruktura služby App Service připojuje také k Azure Relay jménem vaší aplikace. Prostřednictvím připojených připojení má vaše aplikace přístup k požadovanému koncovému bodu. Připojení k ověřování a autorizaci používá protokol TLS 1.2 pro klíče sdíleného přístupového podpisu (SAS).

Diagram of Hybrid Connection high-level flow.

Když vaše aplikace vytvoří požadavek DNS, který odpovídá nakonfigurovanému koncovému bodu hybridního Připojení ionu, přesměruje se odchozí provoz TCP prostřednictvím hybridního Připojení ionu.

Poznámka:

To znamená, že byste se měli pokusit vždy použít název DNS pro hybridní Připojení ion. Pokud koncový bod místo toho používá IP adresu, některý klientský software neprovádí vyhledávání DNS.

Výhody hybridního Připojení služby App Service

Hybridní Připojení iony mají řadu výhod, mezi které patří:

  • Aplikace můžou bezpečně přistupovat k místním systémům a službám.
  • Tato funkce nevyžaduje koncový bod přístupný z internetu.
  • Je to rychlé a snadné nastavení. Nejsou vyžadovány žádné brány.
  • Každá hybridní Připojení ion odpovídá jedné kombinaci typu hostitel:port, která je užitečná pro zabezpečení.
  • Obvykle nevyžaduje díry brány firewall. Všechna připojení jsou odchozí přes standardní webové porty.
  • Vzhledem k tomu, že je tato funkce na úrovni sítě, je nezávislá na jazyce používaném vaší aplikací a technologií používaných koncovým bodem.
  • Dá se použít k poskytování přístupu v několika sítích z jedné aplikace.
  • Podporuje se v ga pro aplikace pro Windows a linuxové aplikace. Vlastní kontejnery Windows se nepodporují.

Co nemůžete dělat s hybridními Připojení iony

Mezi věci, které nemůžete dělat s hybridními Připojení iony, patří:

  • Připojte jednotku.
  • Použijte UDP.
  • Přistupovat ke službám založeným na protokolu TCP, které používají dynamické porty, jako je pasivní režim FTP nebo rozšířený pasivní režim.
  • Podpora protokolu LDAP, protože může vyžadovat PROTOKOL UDP.
  • Podpora služby Active Directory, protože se nemůžete připojit k pracovnímu procesu služby App Service.

Přidání a vytvoření hybridních Připojení ionů v aplikaci

Pokud chcete vytvořit hybridní Připojení ion, přejděte na Azure Portal a vyberte svou aplikaci. Vyberte Síťové>konfigurace koncových bodů hybridního Připojení ionu. Tady můžete vidět hybridní Připojení konfigurované pro vaši aplikaci.

Screenshot of Hybrid Connection list.

Pokud chcete přidat novou hybridní Připojení ion, vyberte [+] Přidat hybridní připojení. Zobrazí se seznam Připojení hybridních Připojení, které jste už vytvořili. Pokud chcete do aplikace přidat jednu nebo více z nich, vyberte ty, které chcete, a pak vyberte Přidat vybrané hybridní Připojení ion.

Screenshot of Hybrid Connection portal.

Pokud chcete vytvořit novou hybridní Připojení, vyberte Vytvořit nové hybridní připojení. Zadejte:

  • Název hybridního Připojení ionu
  • Název hostitele koncového bodu
  • Port koncového bodu
  • Obor názvů služby Service Bus, který chcete použít.

Screenshot of Create new hybrid connection dialog box.

Každý hybridní Připojení ion je svázaný s oborem názvů služby Service Bus a každý obor názvů služby Service Bus je v oblasti Azure. Je důležité se pokusit použít obor názvů služby Service Bus ve stejné oblasti jako vaše aplikace, abyste se vyhnuli latenci vyvolané sítí.

Pokud chcete ze své aplikace odebrat hybridní Připojení ion, klikněte na něj pravým tlačítkem a vyberte Odpojit.

Když do aplikace přidáte hybridní Připojení ion, můžete na ni jednoduše zobrazit podrobnosti tak, že ji vyberete.

Screenshot of Hybrid connections details.

Vytvoření hybridního Připojení ionu na portálu Azure Relay

Kromě prostředí portálu z aplikace můžete na portálu Azure Relay vytvořit hybridní Připojení iony. Aby služba App Service používala hybridní Připojení, musí:

  • Vyžadovat autorizaci klienta.
  • Má položku metadat a pojmenovaný koncový bod, který jako hodnotu obsahuje kombinaci host:port.

Hybridní Připojení iony a plány služby App Service

Hybridní Připojení služby App Service jsou dostupné jenom v cenových cenách Basic, Standard, Premium a Isolated. Hybridní Připojení iony nejsou dostupné pro aplikace funkcí v plánech Consumption. Cenový plán je svázaný s limity.

Cenový plán Počet Připojení hybridních Připojení využitelných v plánu
Basic 5 na plán
Standard 25 na plán
Premium (v1-v3) 220 na aplikaci
Izolované (v1–v2) 220 na aplikaci

Uživatelské rozhraní plánu služby App Service ukazuje, kolik hybridních Připojení ionů používá a jaké aplikace.

Screenshot of App Service plan properties.

Výběrem hybridního Připojení ion zobrazíte podrobnosti. Zobrazí se všechny informace, které jste viděli v zobrazení aplikace. Můžete také zjistit, kolik dalších aplikací ve stejném plánu používá hybridní Připojení ion.

Počet koncových bodů hybridních Připojení, které je možné použít v plánu služby App Service, je omezený. Jednotlivé hybridní Připojení se ale dají použít napříč libovolným počtem aplikací v daném plánu. Například jedna hybridní Připojení ion, která se používá v pěti samostatných aplikacích v plánu služby App Service, se počítá jako jedna hybridní Připojení ion.

Ceny

Kromě požadavku na skladovou položku plánu služby App Service jsou k dispozici dodatečné náklady na používání hybridních Připojení ionů. Každý naslouchací proces používaný hybridním Připojení se účtuje. Naslouchací proces je Správce hybridního připojení. Pokud byste měli pět hybridních Připojení podporovaných dvěma Správce hybridního připojení, bylo by to 10 naslouchacích procesů. Další informace najdete v tématu s cenami služby Service Bus.

Správce hybridního připojení

Funkce Hybridní Připojení ions vyžaduje přenosového agenta v síti, která hostuje koncový bod hybridního Připojení ionu. Tento přenosový agent se nazývá Správce hybridního připojení (HCM). Pokud chcete stáhnout HCM, vyberte z vaší aplikace na webu Azure Portal možnost Konfigurace hybridních>Připojení koncových bodů.

Tento nástroj běží na Windows Serveru 2012 a novějším. HCM běží jako služba a připojuje se k Azure Relay na portu 443.

Po instalaci HCM můžete spustit Hybrid Připojení ionManagerUi.exe pro použití uživatelského rozhraní nástroje. Tento soubor je v instalačním adresáři Správce hybridního připojení. Ve Windows 10 můžete ve vyhledávacím poli také vyhledat Správce hybridního připojení uživatelské rozhraní.

Screenshot of Hybrid Connection Manager.

Když spustíte uživatelské rozhraní HCM, první věc, kterou uvidíte, je tabulka se seznamem všech hybridních Připojení ionů nakonfigurovaných s touto instancí HCM. Pokud chcete provést nějaké změny, nejprve se ověřte pomocí Azure.

Přidání jedné nebo více hybridních Připojení ionů do HCM:

  1. Spusťte uživatelské rozhraní HCM.

  2. Vyberte Přidat novou hybridní Připojení ion. Screenshot of Configure New Hybrid Connections.

  3. Přihlaste se pomocí svého účtu Azure a získejte hybridní Připojení dostupné pro vaše předplatná. HCM dál nepoužívá váš účet Azure za tímto krokem.

  4. Zvolte předplatné.

  5. Vyberte hybridní Připojení iony, které má HCM předávat. Screenshot of Hybrid Connections.

  6. Zvolte Uložit.

Nově můžete zobrazit přidané hybridní Připojení. Můžete také vybrat nakonfigurovanou hybridní Připojení ion a zobrazit podrobnosti.

Screenshot of Hybrid Connection Details.

Pokud chcete podporovat hybridní Připojení nakonfigurované hybridní Připojení, vyžaduje HCM:

  • Přístup TCP k Azure přes port 443
  • Přístup TCP ke koncovému bodu Hybridní Připojení ion
  • Možnost vyhledávání DNS na hostiteli koncového bodu a oboru názvů služby Service Bus. Jinými slovy, název hostitele v připojení azure relay by měl být přeložitelný z počítače, který je hostitelem HCM.

Poznámka:

Azure Relay spoléhá na připojení k webovým soketům. Tato funkce je dostupná jenom ve Windows Serveru 2012 nebo novějším. Z tohoto důvodu se HCM nepodporuje na nic starším než Windows Server 2012.

Redundance

Každý HCM může podporovat více hybridních Připojení ionů. Všechny dané hybridní Připojení podporují také několik hybridních Připojení. Výchozím chováním je směrování provozu napříč nakonfigurovaným HCM pro každý daný koncový bod. Pokud chcete ve své hybridní Připojení z vaší sítě vysokou dostupnost, spusťte na samostatných počítačích několik HCM. Algoritmus distribuce zatížení používaný službou Relay k distribuci provozu do HCM je náhodné přiřazení.

Ruční přidání hybridního Připojení ionu

Pokud chcete někomu mimo vaše předplatné povolit hostování instance HCM pro danou hybridní Připojení ion, nasdílejte bránu připojovací řetězec pro hybridní Připojení ion s nimi. Bránu připojovací řetězec můžete zobrazit ve vlastnostech hybridního Připojení ionu na webu Azure Portal. Pokud chcete tento řetězec použít, vyberte v HCM zadat ručně a vložte bránu připojovací řetězec.

Manually add a Hybrid Connection.

Upgrade

K dispozici jsou pravidelné aktualizace Správce hybridního připojení, které opravují problémy nebo poskytují vylepšení. Po vydání upgradů se v uživatelském rozhraní HCM zobrazí automaticky otevírané okno. Při použití upgradu se změny použijí a restartuje HCM.

Programové přidání hybridního Připojení do aplikace

K dispozici je podpora Azure CLI pro hybridní Připojení iony. Zadané příkazy fungují na úrovni aplikace i plánu služby App Service. Příkazy na úrovni aplikace jsou:

az webapp hybrid-connection

Group
    az webapp hybrid-connection : Methods that list, add and remove hybrid-connections from webapps.
        This command group is in preview. It may be changed/removed in a future release.
Commands:
    add    : Add a hybrid-connection to a webapp.
    list   : List the hybrid-connections on a webapp.
    remove : Remove a hybrid-connection from a webapp.

Příkazy plánu služby App Service umožňují nastavit klíč, který dané hybridní připojení používá. Pro každou hybridní Připojení, primární a sekundární sadu jsou nastavené dva klíče. Primární nebo sekundární klíč můžete použít pomocí následujících příkazů. Tato možnost umožňuje přepínat klíče, kdy chcete klíče pravidelně znovu vygenerovat.

az appservice hybrid-connection --help

Group
    az appservice hybrid-connection : A method that sets the key a hybrid-connection uses.
        This command group is in preview. It may be changed/removed in a future release.
Commands:
    set-key : Set the key that all apps in an appservice plan use to connect to the hybrid-
                connections in that appservice plan.

Zabezpečení hybridních Připojení ionů

Existující hybridní Připojení ion je možné přidat do jiných aplikací App Service Web Apps všem uživatelům, kteří mají dostatečná oprávnění k podkladové službě Azure Service Bus Relay. To znamená, že pokud musíte ostatním zabránit v opakovaném použití stejného hybridního Připojení (například pokud je cílovým prostředkem služba, která nemá k dispozici žádná další bezpečnostní opatření, aby se zabránilo neoprávněnému přístupu), musíte uzamknout přístup ke službě Azure Service Bus Relay.

Každý, kdo Reader má přístup ke službě Relay, uvidíhybridní Připojení při pokusu o jeho přidání do webové aplikace na webu Azure Portal, ale nemůžou ho přidat, protože nemají oprávnění k načtení připojovací řetězec, který se používá k navázání připojení pro přenos. Aby bylo možné úspěšně přidat hybridní Připojení ion, musí mít listKeys oprávnění (Microsoft.Relay/namespaces/hybridConnections/authorizationRules/listKeys/action). Role Contributor nebo jakákoli jiná role, která zahrnuje toto oprávnění na službě Relay, umožňuje uživatelům používat hybridní Připojení ion a přidat ji do vlastních webových aplikací.

Správa hybridních Připojení ionů

Pokud potřebujete změnit hostitele nebo port koncového bodu pro hybridní Připojení ion, postupujte následovně:

  1. Odeberte hybridní Připojení ion z Správce hybridního připojení na místním počítači tak, že vyberete připojení a v levém horním rohu okna Podrobnosti o hybridním Připojení ionu vyberete Odebrat.
  2. Odpojte hybridní Připojení ion od služby App Service tak, že přejdete na hybridní Připojení iony na stránce Sítě služby App Service.
  3. Přejděte na relay pro koncový bod, který potřebujete aktualizovat, a v levé navigační nabídce vyberte Hybridní Připojení ions.
  4. Vyberte hybridní Připojení ion, který chcete aktualizovat, a v levé navigační nabídce v části Nastavení vyberte Vlastnosti.
  5. Proveďte změny a v horní části stiskněte Uložit změny .
  6. Vraťte se do nastavení hybridních Připojení ionů pro službu App Service a znovu přidejte hybridní Připojení ion. Ujistěte se, že je koncový bod aktualizovaný podle očekávání. Pokud v seznamu nevidíte hybridní Připojení ion, aktualizujte se za 5 až 10 minut.
  7. Vraťte se do Správce hybridního připojení na místním počítači a znovu přidejte připojení.

Řešení problému

Stav Připojení ed znamená, že alespoň jeden HCM je nakonfigurovaný s tímto hybridním Připojení ionem a je schopný se spojit s Azure. Pokud se stav vašeho hybridního Připojení ionu neřekne Připojení, vaše hybridní Připojení ion není nakonfigurovaný u žádného HCM, který má přístup k Azure. Když se váš HCM zobrazí Připojení, můžete zkontrolovat několik věcí:

  • Má váš hostitel odchozí přístup k Azure na portu 443? Z hostitele HCM můžete testovat pomocí příkazu PowerShellu Test-Net Připojení ion Destination -P Port

  • Je váš HCM potenciálně ve špatném stavu? Zkuste restartovat místní službu Azure Správce hybridního připojení Service.

  • Máte nainstalovaný konfliktní software? Správce hybridního připojení nemůže existovat společně s biztalk Správce hybridního připojení ani službou Service Bus pro Windows Server. Při instalaci HCM by se měly nejprve odebrat všechny verze těchto balíčků.

  • Máte bránu firewall mezi hostitelem HCM a Azure? Pokud ano, musíte povolit odchozí přístup jak k adrese URL koncového bodu služby Service Bus, tak k branám služby Service Bus, které obsluhují vaši hybridní Připojení ion.

    • Adresu URL koncového bodu služby Service Bus najdete v uživatelském rozhraní Správce hybridního připojení.

    Screenshot of Hybrid Connection Service Bus endpoint.

    • Brány služby Service Bus jsou prostředky, které přijímají požadavek do hybridního Připojení ionu a předávají je přes Azure Relay. Musíte povolit všech 128 bran. Brány jsou ve formátu G#-prod-[stamp]-sb.servicebus.windows.net , kde #je číslo v rozsahu 0 až 127 a razítko je název instance v rámci vašeho datacentra Azure, kde existuje koncový bod služby Service Bus.

      • Pokud můžete použít zástupný znak, můžete povolit seznam *.servicebus.windows.net.

      • Pokud nemůžete použít zástupný znak, musíte povolit seznam všech 128 bran.

        Kolek můžete zjistit pomocí příkazu nslookup na adrese URL koncového bodu služby Service Bus.

        Screenshot of terminal showing where to find the stamp name for the Service Bus.

        V tomto příkladu je razítko "sn3-010". Pokud chcete povolit seznam bran služby Service Bus, potřebujete následující položky:

        G0-prod-sn3-010-sb.servicebus.windows.net
        G1-prod-sn3-010-sb.servicebus.windows.net
        G2-prod-sn3-010-sb.servicebus.windows.net
        G3-prod-sn3-010-sb.servicebus.windows.net
        ...
        G126-prod-sn3-010-sb.servicebus.windows.net
        G127-prod-sn3-010-sb.servicebus.windows.net

Pokud se váš stav zobrazuje Připojení, ale vaše aplikace se nemůže připojit ke koncovému bodu, postupujte takhle:

  • Ujistěte se, že ve svém hybridním Připojení ion používáte název DNS. Pokud používáte IP adresu, nemusí dojít k požadovanému vyhledávání DNS klienta. Pokud klient spuštěný ve webové aplikaci neprovádí vyhledávání DNS, nefunguje hybridní Připojení ion.
  • Zkontrolujte, jestli se název DNS použitý ve vašem hybridním Připojení může přeložit z hostitele HCM. Zkontrolujte rozlišení pomocí příkazu nslookup EndpointDNSname, kde název EndpointDNSname odpovídá tomu, co se používá v definici hybridního Připojení ionu.
  • Otestujte přístup z hostitele HCM ke svému koncovému bodu pomocí příkazu PowerShellu Test-Net Připojení ion EndpointDNSname -P Port, pokud se nemůžete připojit ke koncovému bodu z hostitele HCM, zkontrolujte brány firewall mezi těmito dvěma hostiteli, včetně všech bran firewall založených na hostiteli na cílovém hostiteli.
  • Pokud používáte App Service v Linuxu, ujistěte se, že jako hostitele koncového bodu nepoužíváte "localhost". Místo toho použijte název počítače, pokud se pokoušíte vytvořit připojení k prostředku na místním počítači.

Ve službě App Service lze nástroj příkazového řádku tcpping vyvolat z konzoly Advanced Tools (Kudu). Tento nástroj vám může říct, jestli máte přístup ke koncovému bodu TCP, ale neřekne vám, jestli máte přístup ke koncovému bodu hybridního Připojení ionu. Pokud použijete nástroj v konzole pro koncový bod hybridního Připojení ionu, potvrzujete pouze, že používá kombinaci host:port.

Pokud máte klienta příkazového řádku pro koncový bod, můžete otestovat připojení z konzoly aplikace. Pomocí nástroje curl můžete například otestovat přístup ke koncovým bodům webového serveru.