Sítě ve službě App Service Environment

App Service Environment je jednoklientské nasazení Azure App Service, které hostuje kontejnery Windows a Linux, webové aplikace, aplikace API, aplikace logiky a aplikace funkcí. Když nainstalujete App Service Environment, vyberete virtuální síť Azure, ve které se má nasadit. Veškerý příchozí a odchozí provoz aplikace se nachází ve virtuální síti, kterou zadáte. Nasadíte do jedné podsítě ve virtuální síti a do této podsítě se nedá nasadit nic jiného.

Poznámka

Tento článek se týká App Service Environment verze 3, který se používá s izolovanými plány App Service verze 2.

Požadavky na podsíť

Podsíť musíte delegovat na Microsoft.Web/hostingEnvironmentsa podsíť musí být prázdná.

Velikost podsítě může ovlivnit omezení škálování instancí plánu App Service v rámci App Service Environment. Je vhodné použít /24 adresní prostor (256 adres) pro vaši podsíť, abyste zajistili dostatek adres pro podporu produkčního škálování.

Pokud používáte menší podsíť, mějte na paměti následující:

  • Každá konkrétní podsíť má pět adres rezervovaných pro účely správy. Kromě adres pro správu App Service Environment dynamicky škáluje podpůrnou infrastrukturu a používá se mezi 4 a 27 adresami v závislosti na konfiguraci a zatížení. Zbývající adresy můžete použít pro instance v plánu App Service. Minimální velikost podsítě je adresní /27 prostor (32 adres).

  • Pokud v podsíti dojde k výpadku adres, můžete omezit horizontální navýšení kapacity plánů App Service v App Service Environment. Další možností je, že během náročného zatížení provozu můžete zaznamenat zvýšenou latenci, pokud Microsoft nedokáže škálovat podpůrnou infrastrukturu.

Adresy

App Service Environment při vytváření obsahuje následující informace o síti:

Typ adresy Description
App Service Environment virtuální síť Virtuální síť nasazená do.
podsíť App Service Environment Podsíť nasazená do.
Přípona domény Přípona domény, kterou používají aplikace vytvořené.
Virtuální IP adresa (VIP) Použitý typ VIRTUÁLNÍ IP adresy. Tyto dvě možné hodnoty jsou interní a externí.
Příchozí adresa Příchozí adresa je adresa, na které jsou vaše aplikace dosaženy. Pokud máte interní VIRTUÁLNÍ IP adresu, je to adresa ve vaší podsíti App Service Environment. Pokud je adresa externí, jedná se o veřejnou adresu.
Výchozí odchozí adresy Aplikace používají tuto adresu ve výchozím nastavení při odchozích voláních na internet.

Podrobnosti najdete v části IP Adresy portálu, jak je znázorněno na následujícím snímku obrazovky:

Snímek obrazovky s podrobnostmi o IP adresách

Při škálování plánů App Service v App Service Environment budete používat více adres mimo podsíť. Počet adres, které používáte, se liší podle počtu instancí plánu App Service, které máte, a na tom, kolik provozu existuje. Aplikace v App Service Environment nemají v podsíti vyhrazené adresy. Konkrétní adresy používané aplikací v podsíti se v průběhu času změní.

Omezení portů a sítě

Aby vaše aplikace přijímala provoz, ujistěte se, že příchozí pravidla skupiny zabezpečení sítě (NSG) umožňují App Service Environment podsíti přijímat provoz z požadovaných portů. Kromě všech portů, na které chcete přijímat provoz, byste měli zajistit, aby se Azure Load Balancer mohl připojit k podsíti na portu 80. Používá se k kontrolám stavu interního virtuálního počítače. Přenosy portů 80 z virtuální sítě do podsítě můžete stále řídit.

Doporučujeme nakonfigurovat následující příchozí pravidlo skupiny zabezpečení sítě:

Zdrojové nebo cílové porty Směr Zdroj Cíl Účel
* / 80,443 Příchozí VirtualNetwork rozsah podsítě App Service Environment Povolit provoz aplikací a interní provoz ping stavu

Minimálním požadavkem na provoz App Service Environment je:

Zdrojové nebo cílové porty Směr Zdroj Cíl Účel
* / 80 Příchozí AzureLoadBalancer rozsah podsítě App Service Environment Povolit provoz ping interního stavu

Pokud používáte minimální požadované pravidlo, možná budete potřebovat jedno nebo více pravidel pro provoz aplikace. Pokud používáte některou z možností nasazení nebo ladění, musíte tento provoz také povolit do podsítě App Service Environment. Zdrojem těchto pravidel může být virtuální síť nebo jedna nebo více konkrétních IP adres klienta nebo rozsahy IP adres. Cílem je vždy rozsah podsítě App Service Environment. Interní provoz ping stavu na portu 80 je izolovaný mezi nástrojem pro vyrovnávání zatížení a interními servery. Do koncového bodu ping stavu se nemůže dostat žádný vnější provoz.

Příchozí porty pro přístup k normálním aplikacím jsou následující:

Použití Porty
HTTP/HTTPS 80, 443
FTP/FTPS 21, 990, 10001-10020
Vzdálené ladění sady Visual Studio 4022, 4024, 4026
Služba nasazení webu 8172

Směrování sítě

Směrovací tabulky můžete nastavit bez omezení. Veškerý odchozí provoz aplikace můžete tunelovat z vašeho App Service Environment na výchozí zařízení brány firewall, například Azure Firewall. V tomto scénáři je jedinou věcí, kterou si musíte dělat starosti, je závislosti vaší aplikace.

Závislosti aplikací zahrnují koncové body, které vaše aplikace potřebuje během běhu. Kromě rozhraní API a služeb, které aplikace volá, můžou být také odvozené koncové body, jako je seznam odvolaných certifikátů (CRL), kontrolují koncové body a koncový bod identity/ověřování, například Azure Active Directory. Pokud používáte průběžné nasazování v App Service, možná budete muset také povolit koncové body v závislosti na typu a jazyce. Konkrétně pro průběžné nasazování Linuxu budete muset povolit oryx-cdn.microsoft.io:443.

Zařízení brány firewall webových aplikací, například Azure Application Gateway, můžete umístit před příchozí provoz. Díky tomu můžete v této App Service Environment zpřístupnit konkrétní aplikace.

Vaše aplikace použije jednu z výchozích odchozích adres pro odchozí provoz do veřejných koncových bodů. Pokud chcete přizpůsobit odchozí adresu aplikací na App Service Environment, můžete do podsítě přidat bránu NAT.

Poznámka

Odchozí připojení SMTP (port 25) je podporováno pro App Service Environment v3. Možnost podpory je určena nastavením předplatného, ve kterém je virtuální síť nasazená. Pro virtuální sítě nebo podsítě vytvořené před 1. V srpnu 2022 je potřeba zahájit dočasnou změnu konfigurace virtuální sítě nebo podsítě, aby se nastavení synchronizovalo z předplatného. Příkladem může být přidání dočasné podsítě, přidružení nebo zrušení přidružení skupiny zabezpečení sítě dočasně nebo dočasné konfigurace koncového bodu služby. Další informace a řešení potíží najdete v tématu Řešení potíží s odchozím připojením SMTP v Azure.

Privátní koncový bod

Pokud chcete povolit privátní koncové body pro aplikace hostované ve vašem App Service Environment, musíte tuto funkci nejprve povolit na App Service Environment úrovni.

Můžete ho aktivovat prostřednictvím Azure Portal: v podokně konfigurace App Service Environment zapněte nastavení Allow new private endpoints. Případně ho může povolit následující rozhraní příkazového řádku:

az appservice ase update --name myasename --allow-new-private-endpoint-connections true

Další informace o privátním koncovém bodu a webové aplikaci najdete v tématu Privátní koncový bod webové aplikace Azure

DNS

Následující části popisují aspekty a konfiguraci DNS, které se vztahují na příchozí a odchozí provoz z vašeho App Service Environment.

Konfigurace DNS pro váš App Service Environment

Pokud se vaše App Service Environment vytvoří s externí virtuální IP sadou, vaše aplikace se automaticky vloží do veřejného DNS. Pokud je váš App Service Environment vytvořený s interní VIRTUÁLNÍ IP sadou, možná budete muset pro něj nakonfigurovat DNS. Když jste vytvořili App Service Environment, pokud jste vybrali, že máte nakonfigurované privátní zóny Azure DNS automaticky, dns se nakonfiguruje ve vaší virtuální síti. Pokud jste se rozhodli dns nakonfigurovat ručně, musíte buď použít vlastní server DNS, nebo nakonfigurovat privátní zóny Azure DNS. Pokud chcete najít příchozí adresu, přejděte na portál App Service Environment a vyberte IP adresy.

Pokud chcete použít vlastní server DNS, přidejte následující záznamy:

  1. Vytvořte zónu pro <App Service Environment-name>.appserviceenvironment.net.
  2. Vytvořte záznam A v této zóně, který odkazuje * na příchozí IP adresu používanou vaší App Service Environment.
  3. V této zóně vytvořte záznam A, který odkazuje na příchozí IP adresu používanou vaší App Service Environment.
  4. Vytvořte zónu s <App Service Environment-name>.appserviceenvironment.net názvem scm.
  5. Vytvořte záznam A v scm zóně, která odkazuje * na IP adresu používanou privátním koncovým bodem vašeho App Service Environment.

Konfigurace DNS v privátních zónách Azure DNS:

  1. Vytvořte privátní zónu Azure DNS s názvem <App Service Environment-name>.appserviceenvironment.net.
  2. V této zóně vytvořte záznam A, který odkazuje * na příchozí IP adresu.
  3. V této zóně vytvořte záznam A, který odkazuje na příchozí IP adresu @.
  4. Vytvořte záznam A v této zóně, který odkazuje *.scm na příchozí IP adresu.

Kromě výchozí domény poskytnuté při vytváření aplikace můžete do aplikace přidat také vlastní doménu. Vlastní název domény můžete nastavit bez ověření aplikací. Pokud používáte vlastní domény, musíte se ujistit, že mají nakonfigurované záznamy DNS. Podle předchozích pokynů můžete nakonfigurovat zóny a záznamy DNS pro vlastní název domény (jednoduše nahraďte výchozí název domény vlastním názvem domény). Název vlastní domény funguje pro žádosti o aplikace, ale nefunguje pro scm web. Web scm je k dispozici pouze na <webu appname.scm>.< asename.appserviceenvironment.net>.

Konfigurace DNS pro přístup k FTP

Pro přístup FTP k internímu nástroji pro vyrovnávání zatížení (ILB) App Service Environment verze 3 musíte zajistit konfiguraci DNS. Nakonfigurujte privátní zónu Azure DNS nebo ekvivalentní vlastní DNS s následujícími nastaveními:

  1. Vytvořte privátní zónu Azure DNS s názvem ftp.appserviceenvironment.net.
  2. Vytvořte záznam A v této zóně, který odkazuje <App Service Environment-name> na příchozí IP adresu.

Kromě nastavení DNS ho také musíte povolit v konfiguraci App Service Environment i na úrovni aplikace.

Konfigurace DNS z vašeho App Service Environment

Aplikace ve vaší App Service Environment budou používat DNS, se kterou je vaše virtuální síť nakonfigurovaná. Pokud chcete, aby některé aplikace používaly jiný server DNS, můžete ho nastavit ručně na základě jednotlivých aplikací s nastavením WEBSITE_DNS_SERVER aplikace a WEBSITE_DNS_ALT_SERVER. WEBSITE_DNS_ALT_SERVER nakonfiguruje sekundární server DNS. Sekundární server DNS se používá pouze v případě, že z primárního serveru DNS nepřichází žádná odpověď.

Omezení

I když se App Service Environment nasazuje do vaší virtuální sítě, nemůžete k monitorování odchozího provozu použít Azure Network Watcher ani tok NSG.

Další zdroje informací