Integrace aplikace s virtuální sítí Azure

Tento článek popisuje funkci integrace virtuální sítě Azure App Service a jak ji nastavit s aplikacemi v App Service. S virtuálními sítěmi Azure můžete umístit mnoho prostředků Azure do sítě, která není směrovatelná na internet. Funkce integrace App Service virtuální sítě umožňuje vašim aplikacím přístup k prostředkům ve virtuální síti nebo prostřednictvím virtuální sítě. Integrace virtuální sítě neumožňuje privátní přístup k vašim aplikacím.

App Service má dvě varianty:

  • Vyhrazené cenové úrovně výpočetních prostředků, mezi které patří Basic, Standard, Premium, Premium v2 a Premium v3.
  • App Service Environment, která se nasadí přímo do vaší virtuální sítě s vyhrazenou podpůrnou infrastrukturou a používá cenové úrovně Izolované a izolované verze 2.

Funkce integrace virtuální sítě se používá v Azure App Service vyhrazených cenových úrovních výpočetních prostředků. Pokud je vaše aplikace v App Service Environment, už je ve virtuální síti a nevyžaduje použití funkce integrace virtuální sítě pro přístup k prostředkům ve stejné virtuální síti. Další informace o všech síťových funkcích najdete v tématu App Service síťových funkcích.

Integrace virtuální sítě poskytuje vaší aplikaci přístup k prostředkům ve vaší virtuální síti, ale neuděluje příchozí privátní přístup k vaší aplikaci z virtuální sítě. Přístup k privátní lokalitě odkazuje na zpřístupnění aplikace pouze z privátní sítě, například z virtuální sítě Azure. Integrace virtuální sítě se používá jenom k odchozím voláním z vaší aplikace do vaší virtuální sítě. Funkce integrace virtuální sítě se chová jinak, když se používá s virtuálními sítěmi ve stejné oblasti a s virtuálními sítěmi v jiných oblastech. Funkce integrace virtuální sítě má dvě varianty:

  • Integrace regionální virtuální sítě: Když se připojujete k virtuálním sítím ve stejné oblasti, musíte mít vyhrazenou podsíť ve virtuální síti, se kterou integrujete.
  • Integrace virtuální sítě vyžadovaná bránou: Když se připojujete přímo k virtuálním sítím v jiných oblastech nebo ke klasické virtuální síti ve stejné oblasti, potřebujete bránu Azure Virtual Network vytvořenou v cílové virtuální síti.

Funkce integrace virtuální sítě:

Integrace virtuální sítě nepodporuje některé věci, například:

  • Montáž jednotky.
  • Windows Server Active Directory připojení k doméně.
  • Netbios.

Integrace virtuální sítě vyžadovaná bránou poskytuje přístup k prostředkům pouze v cílové virtuální síti nebo v sítích připojených k cílové virtuální síti s partnerským vztahem nebo sítěmi VPN. Integrace virtuální sítě vyžadovaná bránou neumožňuje přístup k prostředkům dostupným v připojeních Azure ExpressRoute ani nefunguje s koncovými body služby.

Integrace virtuální sítě poskytuje vaší aplikaci přístup k prostředkům ve vaší virtuální síti bez ohledu na to, jakou verzi používáte, ale neuděluje příchozí privátní přístup k vaší aplikaci z virtuální sítě. Přístup k privátní lokalitě odkazuje na zpřístupnění aplikace pouze z privátní sítě, například z virtuální sítě Azure. Integrace virtuální sítě je určená jenom pro odchozí volání z vaší aplikace do vaší virtuální sítě.

Zjistěte , jak povolit integraci virtuální sítě.

Integrace regionální virtuální sítě

Integrace regionální virtuální sítě podporuje připojení k virtuální síti ve stejné oblasti a nevyžaduje bránu. Použití integrace regionální virtuální sítě umožňuje vaší aplikaci přístup:

  • Prostředky ve virtuální síti, se kterými jste integrovaní.
  • Prostředky ve virtuálních sítích, které jsou v partnerském vztahu k virtuální síti, je vaše aplikace integrovaná s připojením globálního partnerského vztahu.
  • Prostředky napříč připojeními Azure ExpressRoute
  • Služby zabezpečené koncovým bodem služby
  • Služby s podporou privátního koncového bodu

Při použití integrace regionální virtuální sítě můžete použít následující síťové funkce Azure:

  • Skupiny zabezpečení sítě (NSG): Odchozí provoz můžete blokovat pomocí skupiny zabezpečení sítě, která je umístěná v podsíti integrace. Pravidla příchozích přenosů se nevztahují, protože k poskytování příchozího přístupu k aplikaci nemůžete použít integraci virtuální sítě.
  • Směrovací tabulky (trasy definované uživatelem): Směrovací tabulku můžete umístit do podsítě integrace a odesílat odchozí provoz tam, kde chcete.

Jak funguje integrace regionální virtuální sítě

Aplikace v App Service jsou hostované v rolích pracovního procesu. Integrace místní virtuální sítě funguje připojením virtuálních rozhraní k rolím pracovního procesu s adresami v delegované podsíti. Vzhledem k tomu, že adresa z adresy je ve vaší virtuální síti, může přistupovat k většině věcí ve virtuální síti nebo prostřednictvím virtuální sítě, jako je virtuální počítač ve vaší virtuální síti. Implementace sítě se liší od spouštění virtuálního počítače ve vaší virtuální síti. Proto některé síťové funkce zatím nejsou pro tuto funkci dostupné.

Diagram znázorňující fungování integrace regionální virtuální sítě

Pokud je povolená integrace místní virtuální sítě, vaše aplikace provádí odchozí volání přes vaši virtuální síť. Odchozí adresy, které jsou uvedené na portálu vlastností aplikace, jsou adresy, které vaše aplikace stále používá. Pokud se ale vaše odchozí volání nachází na virtuálním počítači nebo privátním koncovém bodu ve virtuální síti integrace nebo partnerské virtuální síti, bude odchozí adresa adresou z podsítě integrace. Privátní IP adresa přiřazená instanci je zpřístupněna prostřednictvím proměnné prostředí WEBSITE_PRIVATE_IP.

Pokud je povolené veškeré směrování provozu, veškerý odchozí provoz se odesílá do vaší virtuální sítě. Pokud není povolené veškeré směrování provozu, budou se do virtuální sítě odesílat jenom privátní provoz (RFC1918) a koncové body služeb nakonfigurované v podsíti integrace a odchozí provoz do internetu prochází stejnými kanály jako normální.

Tato funkce podporuje pouze jedno virtuální rozhraní na pracovní proces. Jedno virtuální rozhraní na pracovní proces znamená jednu regionální integraci virtuální sítě na plán App Service. Všechny aplikace ve stejném plánu App Service můžou používat pouze stejnou integraci virtuální sítě do konkrétní podsítě. Pokud potřebujete aplikaci pro připojení k jiné virtuální síti nebo jiné podsíti ve stejné virtuální síti, musíte vytvořit jiný plán App Service. Použité virtuální rozhraní není prostředek, ke kterému mají zákazníci přímý přístup.

Vzhledem k povaze fungování této technologie se provoz používaný s integrací virtuální sítě nezobrazuje v protokolech toku NSG nebo Azure Network Watcher.

Požadavky na podsíť

Integrace virtuální sítě závisí na vyhrazené podsíti. Při vytváření podsítě ztratí podsíť Azure od začátku pět IP adres. Jedna adresa se používá z podsítě integrace pro každou instanci plánu. Pokud škálujete aplikaci na čtyři instance, použijí se čtyři adresy.

Při vertikálním navýšení nebo snížení kapacity se požadovaný adresní prostor po krátkou dobu zdvojnásobí. Tato změna ovlivňuje skutečnou, dostupnou podporovanou instanci pro danou velikost podsítě. Následující tabulka ukazuje maximální dostupné adresy na blok CIDR a účinek, který má na horizontální škálování.

Velikost bloku CIDR Maximální dostupné adresy Maximální horizontální škálování (instance)*
/28 11 5
/27 27 13
/26 59 29

*Předpokládá se, že v určitém okamžiku budete muset vertikálně navýšit kapacitu nebo snížit velikost nebo skladovou položku.

Vzhledem k tomu, že velikost podsítě se po přiřazení nedá změnit, použijte podsíť, která je dostatečně velká, aby vyhovovala libovolnému škálování aplikace. Pokud se chcete vyhnout problémům s kapacitou podsítě, použijte /26 64 adres. Při vytváření podsítí v Azure Portal při integraci s virtuální sítí se vyžaduje minimální velikost /27.

Pokud chcete, aby se vaše aplikace v plánu dostaly do virtuální sítě, ke které už jsou připojené aplikace v jiném plánu, vyberte jinou podsíť, než kterou používá integrace existující virtuální sítě.

Oprávnění

Abyste mohli nakonfigurovat integraci regionální virtuální sítě prostřednictvím Azure Portal, rozhraní příkazového virtualNetworkSubnetId řádku nebo při přímém nastavení vlastnosti lokality, musíte mít v podsíti alespoň následující oprávnění řízení přístupu na základě role nebo na vyšší úrovni:

Akce Popis
Microsoft.Network/virtualNetworks/read Čtení definice virtuální sítě
Microsoft.Network/virtualNetworks/subnets/read Čtení definice podsítě virtuální sítě
Microsoft.Network/virtualNetworks/subnets/join/action Připojí se k virtuální síti.

Pokud je virtuální síť v jiném předplatném než aplikace, musíte se ujistit, že je předplatné s virtuální sítí zaregistrované pro Microsoft.Web poskytovatele prostředků. Poskytovatele můžete explicitně zaregistrovat podle této dokumentace, ale při vytváření první webové aplikace v předplatném se automaticky zaregistruje.

Trasy

Můžete řídit, jaký provoz prochází integrací virtuální sítě. Při konfiguraci integrace regionální virtuální sítě je potřeba vzít v úvahu tři typy směrování. Směrování aplikací definuje, jaký provoz se směruje z vaší aplikace a do virtuální sítě. Směrování konfigurace ovlivňuje operace, ke kterým dochází před spuštěním aplikace nebo během spuštění aplikace. Příklady jsou nastavení vyžádání image kontejneru a aplikace s odkazem na Key Vault. Směrování sítě je schopnost zpracovávat způsob směrování provozu aplikace i konfigurace z vaší virtuální sítě i mimo provoz.

Prostřednictvím možností směrování nebo konfigurace aplikace můžete nakonfigurovat, jaký provoz se bude odesílat prostřednictvím integrace virtuální sítě. Provoz se vztahuje pouze na směrování sítě , pokud se odesílá prostřednictvím integrace virtuální sítě.

Směrování aplikací

Směrování aplikací se vztahuje na provoz odesílaný z vaší aplikace po jeho spuštění. Podívejte se na směrování konfigurace provozu během spuštění. Při konfiguraci směrování aplikací můžete buď směrovat veškerý provoz, nebo jenom privátní provoz (označovaný také jako provoz RFC1918 ) do vaší virtuální sítě. Toto chování nakonfigurujete pomocí nastavení Route All ( Pokud je funkce Route All zakázaná, vaše aplikace směruje jenom privátní provoz do vaší virtuální sítě. Pokud chcete směrovat veškerý provoz odchozích aplikací do vaší virtuální sítě, ujistěte se, že je povolená možnost Route All .

  • Pouze provoz nakonfigurovaný ve směrování aplikace nebo konfigurace se vztahuje na skupiny zabezpečení sítě a trasy definované uživatelem, které se použijí pro vaši podsíť integrace.
  • Pokud je povolená možnost Route All , odchozí provoz z vaší aplikace se stále odesílá z adres uvedených ve vlastnostech vaší aplikace, pokud nezadáte trasy, které směrují provoz jinde.

Zjistěte , jak nakonfigurovat směrování aplikací.

Doporučujeme použít nastavení konfigurace Route All k povolení směrování všech přenosů. Pomocí nastavení konfigurace můžete auditovat chování pomocí předdefinovaných zásad. Stávající WEBSITE_VNET_ROUTE_ALL nastavení aplikace se dá dál používat a můžete povolit veškeré směrování provozu pomocí obou nastavení.

Poznámka

Odchozí připojení SMTP (port 25) se podporuje pro App Service, když se provoz SMTP směruje přes integraci virtuální sítě. Možnost podpory je určena nastavením předplatného, ve kterém je virtuální síť nasazená. Pro virtuální sítě nebo podsítě vytvořené před 1. V srpnu 2022 je potřeba zahájit dočasnou změnu konfigurace virtuální sítě nebo podsítě, aby se nastavení synchronizovalo z předplatného. Příkladem může být přidání dočasné podsítě, přidružení nebo zrušení přidružení skupiny zabezpečení sítě dočasně nebo dočasné konfigurace koncového bodu služby. Další informace a řešení potíží najdete v tématu Řešení potíží s odchozím připojením SMTP v Azure.

Směrování konfigurace

Když používáte integraci virtuální sítě, můžete nakonfigurovat, jak se spravují části konfiguračního provozu. Ve výchozím nastavení se provoz konfigurace bude směrovat přímo přes veřejnou trasu, ale u zmíněných jednotlivých komponent můžete ho aktivně nakonfigurovat tak, aby se směroval prostřednictvím integrace virtuální sítě.

Úložiště obsahu

Přineste si vlastní úložiště pro obsah, který se často používá ve funkcích, kde je úložiště obsahu nakonfigurované jako součást aplikace Functions.

Pokud chcete směrovat provoz úložiště obsahu prostřednictvím integrace virtuální sítě, musíte přidat nastavení aplikace s názvem WEBSITE_CONTENTOVERVNET hodnota 1. Kromě přidání nastavení aplikace musíte také zajistit, aby všechny brány firewall nebo skupina zabezpečení sítě nakonfigurované na provoz z podsítě umožňovaly provoz na port 443 a 445.

Vyžádání image kontejneru

Pokud používáte vlastní kontejnery pro Linux, můžete kontejner přetáhnout přes integraci virtuální sítě. Pokud chcete směrovat přenosy kontejneru přes integraci virtuální sítě, musíte přidat nastavení aplikace s názvem WEBSITE_PULL_IMAGE_OVER_VNET s hodnotou true.

Nastavení aplikace pomocí odkazů na Key Vault

Nastavení aplikace používající odkazy na Key Vault se pokusí získat tajné kódy přes veřejnou trasu. Pokud Key Vault blokuje veřejný provoz a aplikace používá integraci virtuální sítě, provede se pokus o získání tajných kódů prostřednictvím integrace virtuální sítě.

Poznámka

  • Kontejnery Windows nepodporují načítání vlastních imagí kontejnerů přes integraci virtuální sítě.
  • Zálohování a obnovení do privátních účtů úložiště se v současné době nepodporuje.
  • Konfigurace certifikátů SSL/TLS z privátních trezorů klíčů se v současné době nepodporuje.
  • App Service Protokoly do privátních účtů úložiště se v současné době nepodporují. Doporučujeme používat protokolování diagnostiky a povolit důvěryhodné služby pro účet úložiště.

Směrování sítě

Směrovací tabulky můžete použít ke směrování odchozího provozu z vaší aplikace bez omezení. Mezi běžné cíle patří zařízení nebo brány brány firewall. Můžete také použít skupinu zabezpečení sítě (NSG) k blokování odchozího provozu do prostředků ve vaší virtuální síti nebo internetu. Skupina zabezpečení sítě, která se použije pro vaši podsíť integrace, se projeví bez ohledu na všechny směrovací tabulky použité v podsíti integrace.

Směrovací tabulky a skupiny zabezpečení sítě se vztahují pouze na provoz směrovaný prostřednictvím integrace virtuální sítě. Podrobnosti najdete v tématu Směrování a konfiguraceaplikací. Trasy nebudou mít vliv na odpovědi na příchozí žádosti o aplikaci a příchozí pravidla v NSG se nevztahují na vaši aplikaci, protože integrace virtuální sítě ovlivňuje jenom odchozí provoz z vaší aplikace. Pokud chcete řídit příchozí provoz do vaší aplikace, použijte funkci Omezení přístupu.

Při konfiguraci skupin zabezpečení sítě nebo směrovacích tabulek, které ovlivňují odchozí provoz, je nutné zvážit závislosti aplikace. Závislosti aplikací zahrnují koncové body, které vaše aplikace potřebuje během běhu. Kromě rozhraní API a služeb, které aplikace volá, můžou být také odvozené koncové body, jako je seznam odvolaných certifikátů (CRL), kontrolují koncové body a koncový bod identity/ověřování, například Azure Active Directory. Pokud používáte průběžné nasazování v App Service, budete možná muset také povolit koncové body v závislosti na typu a jazyce. Konkrétně pro průběžné nasazování Linuxu budete muset povolit oryx-cdn.microsoft.io:443.

Pokud chcete směrovat odchozí provoz místně, můžete pomocí směrovací tabulky odesílat odchozí provoz do brány Azure ExpressRoute. Pokud směrujete provoz do brány, nastavte trasy v externí síti a odešlete všechny odpovědi zpět. Trasy protokolu BGP (Border Gateway Protocol) také ovlivňují provoz aplikací. Pokud máte trasy protokolu BGP z nějaké brány ExpressRoute, týká se to odchozího provozu vaší aplikace. Podobně jako trasy definované uživatelem ovlivňují trasy protokolu BGP provoz podle nastavení rozsahu směrování.

Koncové body služby

Integrace regionální virtuální sítě umožňuje spojit se se službami Azure, které jsou zabezpečené pomocí koncových bodů služby. Pokud chcete získat přístup ke službě zabezpečené koncovým bodem služby, postupujte takto:

  1. Nakonfigurujte integraci místní virtuální sítě s vaší webovou aplikací tak, aby se připojila ke konkrétní podsíti pro integraci.
  2. Přejděte do cílové služby a nakonfigurujte koncové body služby pro podsíť integrace.

Privátní koncové body

Pokud chcete volat privátní koncové body, ujistěte se, že se vyhledávání DNS přeloží na privátní koncový bod. Toto chování můžete vynutit jedním z následujících způsobů:

  • Integrace s privátními zónami Azure DNS Pokud vaše virtuální síť nemá vlastní server DNS, integrace se provede automaticky, když jsou zóny propojené s virtuální sítí.
  • Spravujte privátní koncový bod na serveru DNS používaném vaší aplikací. Pokud chcete spravovat konfiguraci, musíte znát IP adresu privátního koncového bodu. Potom pomocí záznamu A nasměrujte koncový bod, ke kterému se pokoušíte připojit.
  • Nakonfigurujte vlastní server DNS pro předávání do privátních zón Azure DNS.

Privátní zóny Azure DNS

Jakmile se vaše aplikace integruje s vaší virtuální sítí, použije stejný server DNS, se kterým je vaše virtuální síť nakonfigurovaná. Pokud není zadán žádný vlastní DNS, používá výchozí DNS Azure a všechny privátní zóny propojené s virtuální sítí.

Omezení

Integrace regionální virtuální sítě má určitá omezení:

  • Tato funkce je dostupná ze všech nasazení App Service v Premium verze 2 a Premium v3. Je také k dispozici na úrovni Basic a Standard, ale pouze z novějších nasazení App Service. Pokud používáte starší nasazení, můžete tuto funkci použít jenom z plánu App Service Premium verze 2. Pokud chcete mít jistotu, že tuto funkci můžete použít v plánu Basic nebo Standard App Service, vytvořte aplikaci v App Service plánu Premium v3. Tyto plány jsou podporovány pouze v našich nejnovějších nasazeních. Pokud chcete po vytvoření plánu vertikálně snížit kapacitu, můžete ji snížit.
  • Tuto funkci nelze používat aplikacemi izolovaného plánu, které jsou v App Service Environment.
  • Nemůžete se spojit s prostředky napříč připojeními peeringu s klasickými virtuálními sítěmi.
  • Tato funkce vyžaduje nepoužitou podsíť, která je blok IPv4 /28 nebo větší ve virtuální síti Azure Resource Manager.
  • Aplikace a virtuální síť musí být ve stejné oblasti.
  • Virtuální síť integrace nemůže mít definované adresní prostory IPv6.
  • Podsíť integrace nemůže mít povolené zásady koncového bodu služby .
  • Podsíť integrace může používat jenom jeden plán App Service.
  • Virtuální síť nejde odstranit pomocí integrované aplikace. Před odstraněním virtuální sítě odeberte integraci.
  • Pro každý plán App Service můžete mít pouze jednu regionální integraci virtuální sítě. Více aplikací ve stejném plánu App Service může používat stejnou virtuální síť.
  • Předplatné aplikace ani plán nemůžete změnit, i když existuje aplikace, která používá integraci regionální virtuální sítě.

Integrace virtuální sítě vyžadovaná bránou

Integrace virtuální sítě vyžadovaná bránou podporuje připojení k virtuální síti v jiné oblasti nebo klasické virtuální síti. Integrace virtuální sítě vyžadovaná bránou:

  • Umožňuje aplikaci připojit se jenom k jedné virtuální síti najednou.
  • Umožňuje integraci až pěti virtuálních sítí do plánu App Service.
  • Umožňuje používat stejnou virtuální síť více aplikací v plánu App Service, aniž by to ovlivnilo celkový počet, který může použít plán App Service. Pokud máte šest aplikací používajících stejnou virtuální síť ve stejném App Service plánu, který se počítá jako jedna virtuální síť, která se používá.
  • Smlouva SLA na bráně může ovlivnit celkovou smlouvu SLA.
  • Umožňuje vašim aplikacím používat DNS, se kterými je virtuální síť nakonfigurovaná.
  • Vyžaduje bránu založenou na trasách virtuální sítě nakonfigurovanou pomocí sítě VPN typu point-to-site protokolu SSTP, než je možné ji připojit k aplikaci.

Nemůžete použít integraci virtuální sítě vyžadované bránou:

  • S virtuální sítí připojenou k ExpressRoute
  • Z linuxové aplikace.
  • Z kontejneru Windows.
  • Přístup k prostředkům zabezpečeným koncovým bodem služby
  • Pokud chcete vyřešit nastavení aplikace odkazující na síť chráněnou Key Vault.
  • S koexistence brány, která podporuje sítě VPN ExpressRoute i point-to-site nebo site-to-site.

Nastavení brány ve virtuální síti Azure

Vytvoření brány:

  1. Vytvořte bránu VPN a podsíť. Vyberte typ sítě VPN založený na trasách.

  2. Nastavte adresy typu point-to-site. Pokud brána není v základní SKU, musí být v konfiguraci point-to-site zakázaná hodnota IKEV2 a je nutné vybrat SSTP. Adresní prostor typu point-to-site musí být v blocích adresy RFC 1918 10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16.

Pokud vytvoříte bránu pro použití s integrací virtuální sítě vyžadovanou bránou, nemusíte nahrávat certifikát. Vytvoření brány může trvat 30 minut. Aplikaci nebudete moct integrovat do virtuální sítě, dokud se brána nevytvořila.

Jak funguje integrace virtuální sítě vyžadovaná bránou

Integrace virtuální sítě vyžadovaná bránou je založená na technologii VPN typu point-to-site. Sítě VPN typu point-to-site omezují síťový přístup k virtuálnímu počítači, který je hostitelem aplikace. Aplikace jsou omezené tak, aby odesílaly provoz do internetu jenom prostřednictvím hybridních připojení nebo integrace virtuální sítě. Když je vaše aplikace nakonfigurovaná na portálu tak, aby používala integraci virtuální sítě vyžadované bránou, komplexní vyjednávání se spravuje vaším jménem a vytváří a přiřazuje certifikáty na straně brány a aplikace. Výsledkem je, že se pracovníci, kteří používají k hostování aplikací, můžou přímo připojit k bráně virtuální sítě ve vybrané virtuální síti.

Diagram znázorňující fungování integrace virtuální sítě vyžadované bránou

Přístup k místním prostředkům

Aplikace můžou přistupovat k místním prostředkům integrací s virtuálními sítěmi, které mají připojení typu site-to-site. Pokud používáte integraci virtuální sítě s požadovanou bránou, aktualizujte trasy místní brány VPN pomocí bloků adres typu point-to-site. Když je síť VPN typu site-to-site poprvé nastavená, měly by skripty použité ke konfiguraci správně nastavit trasy. Pokud po vytvoření sítě VPN typu site-to-site přidáte adresy typu point-to-site, musíte trasy aktualizovat ručně. Podrobnosti o tom, jak se liší podle brány, a tady nejsou popsané.

Trasy protokolu BGP z místního prostředí nebudou automaticky šířené do App Service. Je potřeba je ručně rozšířit v konfiguraci point-to-site pomocí kroků v tomto dokumentu Inzerovat vlastní trasy pro klienty VPN typu P2S.

Pro integraci regionální virtuální sítě není nutná žádná další konfigurace, která by se dostala přes vaši virtuální síť k místním prostředkům. Stačí připojit virtuální síť k místním prostředkům pomocí ExpressRoute nebo vpn typu site-to-site.

Poznámka

Funkce integrace virtuální sítě vyžadovaná bránou neintegruje aplikaci s virtuální sítí, která má bránu ExpressRoute. I když je brána ExpressRoute nakonfigurovaná v režimu koexistence, integrace virtuální sítě nefunguje. Pokud potřebujete přistupovat k prostředkům prostřednictvím připojení ExpressRoute, použijte funkci integrace místní virtuální sítě nebo App Service Environment, která běží ve vaší virtuální síti.

Partnerské vztahy

Pokud používáte peering s integrací regionální virtuální sítě, nemusíte provádět žádnou další konfiguraci.

Pokud používáte integraci virtuální sítě vyžadované bránou s partnerským vztahem, musíte nakonfigurovat několik dalších položek. Konfigurace partnerského vztahu pro práci s aplikací:

  1. Přidejte připojení peeringu do virtuální sítě, ke které se vaše aplikace připojuje. Když přidáte připojení peeringu, povolte povolit přístup k virtuální síti a vyberte Povolit přesměrovaný provoz a Povolit průchod bránou.
  2. Přidejte připojení peeringu do virtuální sítě, která je v partnerském vztahu k virtuální síti, ke které jste připojení. Když přidáte připojení peeringu do cílové virtuální sítě, povolte povolit přístup k virtuální síti a vyberte Povolit přesměrovaný provoz a Povolit vzdálené brány.
  3. Přejděte na App Service plánování>integracevirtuální sítě sítě> na portálu. Vyberte virtuální síť, ke které se vaše aplikace připojí. V části směrování přidejte rozsah adres virtuální sítě, která je v partnerském vztahu s virtuální sítí, ke které je vaše aplikace připojená.

Správa integrace virtuální sítě

Připojení a odpojení virtuální sítě je na úrovni aplikace. Operace, které můžou ovlivnit integraci virtuální sítě napříč více aplikacemi, jsou na úrovni plánu App Service. Na portálupro integracivirtuální> sítě aplikací > můžete získat podrobnosti o virtuální síti. Podobné informace můžete zobrazit na úrovni plánu App Service na portálu pro integracivirtuální sítě> App Service>.

Jedinou operací, kterou můžete vzít v zobrazení aplikace instance integrace virtuální sítě, je odpojit aplikaci od virtuální sítě, ke které je aktuálně připojená. Pokud chcete aplikaci odpojit od virtuální sítě, vyberte Odpojit. Aplikace se restartuje, když se odpojíte od virtuální sítě. Odpojení nezmění vaši virtuální síť. Podsíť nebo brána se neodebere. Pokud pak chcete odstranit virtuální síť, nejprve odpojte aplikaci od virtuální sítě a odstraňte prostředky v ní, například brány.

Uživatelské rozhraní App Service plánování integrace virtuální sítě ukazuje všechny integrace virtuální sítě používané aplikacemi v plánu App Service. Pokud chcete zobrazit podrobnosti o každé virtuální síti, vyberte virtuální síť, kterou vás zajímá. Tady můžete provést dvě akce pro integraci virtuální sítě vyžadované bránou:

  • Synchronizační síť: Operace synchronizace sítě se používá pouze pro funkci integrace virtuální sítě vyžadované bránou. Provedení operace synchronizace sítě zajišťuje synchronizaci certifikátů a informací o síti. Pokud přidáte nebo změníte DNS virtuální sítě, proveďte operaci synchronizace sítě. Tato operace restartuje všechny aplikace, které používají tuto virtuální síť. Tato operace nebude fungovat, pokud používáte aplikaci a virtuální síť patřící různým předplatným.
  • Přidání tras: Přidání tras řídí odchozí provoz do virtuální sítě.

Privátní IP adresa přiřazená instanci je zpřístupněna prostřednictvím proměnné prostředí WEBSITE_PRIVATE_IP. Uživatelské rozhraní konzoly Kudu také zobrazuje seznam proměnných prostředí dostupných pro webovou aplikaci. Tato IP adresa se přiřadí z rozsahu adres integrované podsítě. Pro integraci regionální virtuální sítě je hodnota WEBSITE_PRIVATE_IP IP adresa z rozsahu adres delegované podsítě. Pro integraci virtuální sítě vyžadované bránou je hodnota IP adresa z rozsahu adres fondu adres typu point-to-site nakonfigurovaného na bráně virtuální sítě. Tuto IP adresu použije webová aplikace k připojení k prostředkům prostřednictvím virtuální sítě Azure.

Poznámka

Hodnota WEBSITE_PRIVATE_IP je vázána na změnu. Bude to ale IP adresa v rozsahu adres podsítě integrace nebo rozsahu adres typu point-to-site, takže budete muset povolit přístup z celého rozsahu adres.

Směrování integrace virtuální sítě vyžadované bránou

Trasy definované ve vaší virtuální síti slouží k směrování provozu do vaší virtuální sítě z vaší aplikace. Pokud chcete do virtuální sítě odesílat více odchozích přenosů, přidejte sem tyto bloky adres. Tato funkce funguje jenom s integrací virtuální sítě vyžadovanou bránou. Směrovací tabulky nemají vliv na provoz aplikací, když používáte integraci virtuální sítě vyžadované bránou tak, jak to dělají s integrací regionální virtuální sítě.

Certifikáty integrace virtuální sítě vyžadované bránou

Pokud je povolená integrace virtuální sítě vyžadovaná bránou, je potřeba vyměnit certifikáty, aby se zajistilo zabezpečení připojení. Spolu s certifikáty jsou konfigurace DNS, trasy a další podobné věci, které popisují síť.

Pokud se změní certifikáty nebo informace o síti, vyberte Synchronizovat síť. Když vyberete Možnost Synchronizovat síť, dojde ke krátkému výpadku připojení mezi vaší aplikací a virtuální sítí. Vaše aplikace se nerestartuje, ale ztráta připojení může způsobit, že web nebude správně fungovat.

Podrobnosti o cenách

Funkce integrace regionální virtuální sítě nemá žádné další poplatky za použití nad rámec poplatků za cenovou úroveň plánu App Service.

Tři poplatky souvisejí s použitím funkce integrace virtuální sítě vyžadované bránou:

  • App Service poplatky za cenovou úroveň plánu: Vaše aplikace musí být v plánu Basic, Standard, Premium, Premium v2 nebo Premium v3 App Service. Další informace o těchto nákladech najdete v tématu App Service cenách.
  • Náklady na přenos dat: Za výchozí přenos dat se účtují poplatky, i když je virtuální síť ve stejném datacentru. Tyto poplatky jsou popsány v podrobnostech o cenách přenosu dat.
  • Náklady na bránu VPN: Pro bránu virtuální sítě, která se vyžaduje pro síť VPN typu point-to-site, jsou náklady. Další informace najdete v tématu Ceny služby VPN Gateway.

Řešení potíží

Poznámka

Integrace virtuální sítě se nepodporuje pro scénáře Docker Compose v App Service. Pokud existuje privátní koncový bod, omezení přístupu se ignorují.

Tato funkce je snadno nastavená, ale to neznamená, že vaše zkušenosti budou bez problémů. Pokud narazíte na problémy s přístupem k požadovanému koncovému bodu, můžete použít některé nástroje, které můžete použít k otestování připojení z konzoly aplikace. Existují dvě konzoly, které můžete použít. Jedna je konzola Kudu a druhá je konzola v Azure Portal. Pokud se chcete dostat ke konzole Kudu z vaší aplikace, přejděte na Nástroje>Kudu. Ke konzole Kudo se dostanete také na adrese [sitename].scm.azurewebsites.net. Po načtení webu přejděte na kartu Konzola ladění. Pokud se chcete z aplikace dostat do konzoly hostované Azure Portal, přejděte do konzoly Nástroje>.

Nástroje

V nativních aplikacích pro Windows nebudou nástroje ping, nslookup a tracert fungovat prostřednictvím konzoly kvůli omezením zabezpečení (fungují ve vlastních kontejnerech Windows). K vyplnění void se přidají dva samostatné nástroje. K otestování funkčnosti DNS jsme přidali nástroj s názvem nameresolver.exe. Syntaxe je:

nameresolver.exe hostname [optional: DNS Server]

Pomocí nameresolveru můžete zkontrolovat názvy hostitelů, na které vaše aplikace závisí. Tímto způsobem můžete otestovat, jestli máte něco špatně nakonfigurovaného s DNS nebo nemáte přístup k vašemu serveru DNS. Server DNS, který vaše aplikace používá v konzole, můžete zobrazit tak, že se podíváte na proměnné prostředí WEBSITE_DNS_SERVER a WEBSITE_DNS_ALT_SERVER.

Poznámka

Nástroj nameresolver.exe aktuálně nefunguje ve vlastních kontejnerech Windows.

Pomocí dalšího nástroje můžete otestovat připojení TCP k hostiteli a kombinaci portů. Tento nástroj se nazývá tcpping a syntaxe je:

tcpping.exe hostname [optional: port]

Nástroj tcpping vám řekne, jestli se můžete spojit s konkrétním hostitelem a portem. Může se ukázat úspěch jenom v případě, že aplikace naslouchá v kombinaci hostitele a portu a existuje síťový přístup z vaší aplikace k zadanému hostiteli a portu.

Ladění přístupu k prostředkům hostovaným ve virtuální síti

Řadě věcí může zabránit, aby vaše aplikace dosáhla konkrétního hostitele a portu. Většinou je to jedna z těchto věcí:

  • Brána firewall je v cestě. Pokud máte bránu firewall tak, že dojde k vypršení časového limitu protokolu TCP. Časový limit protokolu TCP je v tomto případě 21 sekund. K otestování připojení použijte nástroj tcpping . Vypršení časového limitu protokolu TCP může být způsobeno mnoha věcmi nad rámec bran firewall, ale začněte tam.
  • DNS není přístupný. Časový limit DNS je 3 sekundy na server DNS. Pokud máte dva servery DNS, časový limit je 6 sekund. Pomocí nameresolver zjistěte, jestli DNS funguje. Nslookup nemůžete použít, protože to nepoužívá DNS, se kterou je vaše virtuální síť nakonfigurovaná. Pokud je nepřístupný, můžete mít bránu firewall nebo skupinu zabezpečení sítě, která blokuje přístup k DNS nebo může být mimo provoz.

Pokud tyto položky neodpovídají na vaše problémy, podívejte se napřed na tyto věci:

Integrace regionální virtuální sítě

  • Je vaše cílová adresa mimo RFC1918 a nemáte povolenou trasu Vše ?
  • Blokuje skupina zabezpečení sítě výchozí přenos dat z vaší podsítě integrace?
  • Pokud procházíte přes Azure ExpressRoute nebo VPN, je vaše místní brána nakonfigurovaná tak, aby směrovala provoz do Azure? Pokud se dostanete ke koncovým bodům ve virtuální síti, ale ne místně, zkontrolujte trasy.
  • Máte dostatečná oprávnění k nastavení delegování v podsíti integrace? Během konfigurace integrace místní virtuální sítě se vaše podsíť integrace deleguje na Microsoft.Web/serverFarms. Uživatelské rozhraní integrace virtuální sítě deleguje podsíť na Microsoft.Web/serverFarms automaticky. Pokud váš účet nemá dostatečná síťová oprávnění k nastavení delegování, budete potřebovat někoho, kdo může nastavit atributy ve vaší podsíti integrace, aby delegoval podsíť. Pokud chcete podsíť integrace delegovat ručně, přejděte do uživatelského rozhraní podsítě Azure Virtual Network a nastavte delegování pro Microsoft.Web/serverFarms.

Integrace virtuální sítě vyžadovaná bránou

  • Je rozsah adres typu point-to-site v rozsahech RFC 1918 (10.0.0.0-10.255.255.255 / 172.16.16.0.0-172.31.255.255 / 192.168.0.0-192.168.255.255)?
  • Zobrazuje se brána jako na portálu? Pokud je vaše brána dole, vraťte ji zpět.
  • Zobrazují se certifikáty jako synchronizované nebo se domníváte, že došlo ke změně konfigurace sítě? Pokud se vaše certifikáty nesynchronizují nebo máte podezření, že došlo ke změně konfigurace virtuální sítě, která nebyla synchronizována s vašimi ASP, vyberte Synchronizovat síť.
  • Pokud procházíte přes síť VPN, je místní brána nakonfigurovaná tak, aby směrovala provoz do Azure? Pokud se dostanete ke koncovým bodům ve virtuální síti, ale ne místně, zkontrolujte trasy.
  • Pokoušíte se použít bránu koexistence, která podporuje jak point-to-site, tak ExpressRoute? Integrace bran koexistence se nepodporuje s integrací virtuální sítě.

Problémy s laděním sítí jsou výzvou, protože nevidíte, co blokuje přístup ke konkrétní kombinaci hostitel:port. Mezi příčiny patří:

  • Na hostiteli máte bránu firewall, která brání přístupu k portu aplikace z rozsahu IP adres typu point-to-site. Přecházení podsítí často vyžaduje veřejný přístup.
  • Váš cílový hostitel je dole.
  • Vaše aplikace je dole.
  • Měli jste nesprávnou IP adresu nebo název hostitele.
  • Vaše aplikace naslouchá na jiném portu, než jste očekávali. ID procesu můžete spárovat s portem naslouchání pomocí příkazu netstat -aon na hostiteli koncového bodu.
  • Skupiny zabezpečení sítě jsou nakonfigurované tak, aby zabránily přístupu k hostiteli vaší aplikace a portu z rozsahu IP adres typu point-to-site.

Nevíte, jakou adresu vaše aplikace skutečně používá. Může se jednat o libovolnou adresu v podsíti integrace nebo rozsahu adres typu point-to-site, takže potřebujete povolit přístup z celého rozsahu adres.

Další kroky ladění zahrnují:

  • Připojte se k virtuálnímu počítači ve virtuální síti a pokuste se připojit k hostiteli prostředků:port odsud. K otestování přístupu přes protokol TCP použijte příkaz PowerShellu Test-NetConnection. Syntaxe je:
Test-NetConnection hostname [optional: -Port]
  • Vyvolání aplikace na virtuálním počítači a otestování přístupu k danému hostiteli a portu z konzoly z vaší aplikace pomocí příkazu tcpping.

Místní prostředky

Pokud se vaše aplikace nemůže spojit s místním prostředkem, zkontrolujte, jestli se k prostředku dostanete z vaší virtuální sítě. Pomocí příkazu PowerShellu Test-NetConnection zkontrolujte přístup TCP. Pokud se váš virtuální počítač nemůže připojit k místnímu prostředku, možná není správně nakonfigurované připojení VPN nebo ExpressRoute.

Pokud se váš virtuální počítač hostovaný virtuální sítí může spojit s místním systémem, ale vaše aplikace nemůže, příčinou je pravděpodobně jeden z následujících důvodů:

  • Vaše trasy nejsou nakonfigurované pro vaši podsíť nebo rozsahy adres typu point-to-site v místní bráně.
  • Vaše skupiny zabezpečení sítě blokují přístup k rozsahu IP adres typu point-to-site.
  • Místní brány firewall blokují provoz z rozsahu IP adres typu point-to-site.
  • Pokoušíte se spojit s adresou, která není adresou RFC 1918, pomocí funkce integrace regionální virtuální sítě.

Odstranění plánu App Service nebo webové aplikace před odpojením integrace virtuální sítě

Pokud jste webovou aplikaci nebo plán App Service odstranili, aniž byste nejprve odpojili integraci virtuální sítě, nebudete moct provádět žádné operace aktualizace nebo odstranění virtuální sítě nebo podsítě, které byly použity pro integraci s odstraněným prostředkem. Delegování podsítě Microsoft.Web/serverFarms zůstane přiřazené k vaší podsíti a zabrání operacím aktualizace a odstranění.

Pokud chcete provést aktualizaci nebo odstranění podsítě nebo virtuální sítě znovu, musíte znovu vytvořit integraci virtuální sítě a pak ji odpojit:

  1. Znovu vytvořte plán App Service a webovou aplikaci (je povinné použít stejný název webové aplikace jako předtím).
  2. Přejděte do okna Sítě ve webové aplikaci a nakonfigurujte integraci virtuální sítě.
  3. Po nakonfigurování integrace virtuální sítě vyberte tlačítko Odpojit.
  4. Odstraňte plán App Service nebo webovou aplikaci.
  5. Aktualizace nebo odstranění podsítě nebo virtuální sítě

Pokud po provedení výše uvedených kroků stále dochází k problémům s integrací virtuální sítě, obraťte se na podpora Microsoftu.