Sdílet prostřednictvím

Podrobnosti konfigurace sítě pro App Service Environment pro Power Apps s Azure ExpressRoute

  • Článek

Důležité

Tento článek se týká služby App Service Environment v1. Služba App Service Environment v1 bude vyřazena 31. srpna 2024. Existuje nová verze služby App Service Environment, která se snadněji používá a běží na výkonnější infrastruktuře. Další informace o nové verzi najdete v úvodu do služby App Service Environment. Pokud aktuálně používáte App Service Environment v1, postupujte podle kroků v tomto článku a proveďte migraci na novou verzi.

Od 29. ledna 2024 už nemůžete vytvářet nové prostředky služby App Service Environment verze 1 pomocí žádné z dostupných metod, včetně šablon ARM/Bicep, webu Azure Portal, Azure CLI nebo rozhraní REST API. Před 31. srpnem 2024 musíte migrovat do služby App Service Environment v3 , abyste zabránili odstranění prostředků a ztrátě dat.

Zákazníci můžou připojit okruh Azure ExpressRoute ke své infrastruktuře virtuální sítě, aby rozšířili místní síť do Azure. Služba App Service Environment se vytvoří v podsíti infrastruktury virtuální sítě . Aplikace, které běží ve službě App Service Environment, navazují zabezpečená připojení k back-endovým prostředkům, které jsou přístupné jenom přes připojení ExpressRoute.

App Service Environment je možné vytvořit v těchto scénářích:

  • Virtuální sítě Azure Resource Manageru
  • Virtuální sítě modelu nasazení Classic
  • Virtuální sítě, které používají rozsahy veřejných adres nebo RFC1918 adresních prostorů (to znamená privátní adresy).

Poznámka:

I když se tento článek týká webových aplikací, platí také pro aplikace API a mobilní aplikace.

Požadované síťové připojení

Služba App Service Environment má požadavky na připojení k síti, které nemusí být zpočátku splněné ve virtuální síti připojené k ExpressRoute.

Služba App Service Environment vyžaduje, aby správně fungovalo následující nastavení síťového připojení:

  • Odchozí síťové připojení ke koncovým bodům služby Azure Storage po celém světě na portu 80 i portu 443. Tyto koncové body se nacházejí ve stejné oblasti jako App Service Environment a také v dalších oblastech Azure. Koncové body služby Azure Storage se přeloží v následujících doménách DNS: table.core.windows.net, blob.core.windows.net, queue.core.windows.net a file.core.windows.net.

  • Odchozí síťové připojení ke službě Azure Files na portu 445

  • Odchozí síťové připojení ke koncovým bodům služby Azure SQL Database, které jsou umístěné ve stejné oblasti jako App Service Environment. Koncové body služby SQL Database se přeloží v rámci domény database.windows.net, která vyžaduje otevřený přístup k portům 1433, 11000–11999 a 14000–14999. Podrobnosti o využití portů SQL Database V12 najdete v tématu Porty nad rámec 1433 pro ADO.NET 4.5.

  • Odchozí síťové připojení ke koncovým bodům roviny správy Azure (model nasazení Azure Classic i koncové body Azure Resource Manageru). Připojení ivity pro tyto koncové body zahrnuje domény management.core.windows.net a management.azure.com.

  • Odchozí síťové připojení k doménám ocsp.msocsp.com, mscrl.microsoft.com a crl.microsoft.com. Připojení pro tyto domény je potřeba k podpoře funkcí protokolu TLS.

  • Konfigurace DNS pro virtuální síť musí být schopná přeložit všechny koncové body a domény uvedené v tomto článku. Pokud se koncové body nedají vyřešit, vytvoření služby App Service Environment se nezdaří. Všechny existující služby App Service Environment se označí jako poškozené.

  • Pro komunikaci se servery DNS se vyžaduje odchozí přístup na portu 53.

  • Pokud na druhém konci brány VPN existuje vlastní server DNS, musí být server DNS dostupný z podsítě, která obsahuje službu App Service Environment.

  • Odchozí síťová cesta nemůže procházet interními podnikovými proxy servery a není možné vynutit tunelování místně. Tyto akce mění efektivní adresu překladu adres (NAT) odchozího síťového provozu ze služby App Service Environment. Změny adresy NAT odchozího síťového provozu ve službě App Service Environment způsobují selhání připojení k mnoha koncovým bodům. Vytvoření služby App Service Environment se nezdaří. Všechny existující služby App Service Environment se označí jako poškozené.

  • Příchozí síťový přístup k požadovaným portům pro službu App Service Environment musí být povolený. Podrobnosti najdete v tématu Řízení příchozího provozu do služby App Service Environment.

Pokud chcete splnit požadavky DNS, ujistěte se, že je pro virtuální síť nakonfigurovaná a udržovaná platná infrastruktura DNS. Pokud se konfigurace DNS po vytvoření služby App Service Environment změní, můžou vývojáři vynutit, aby služba App Service Environment vyzvedá novou konfiguraci DNS. Restartování průběžného prostředí můžete aktivovat pomocí ikony Restartovat v části Správa služby App Service Environment na webu Azure Portal. Restartování způsobí, že prostředí vyzvedne novou konfiguraci DNS.

Pokud chcete splnit požadavky na příchozí přístup k síti, nakonfigurujte skupinu zabezpečení sítě (NSG) v podsíti služby App Service Environment. Skupina zabezpečení sítě umožňuje požadovaný přístup k řízení příchozího provozu do služby App Service Environment.

Odchozí síťové připojení

Nově vytvořený okruh ExpressRoute ve výchozím nastavení inzeruje výchozí trasu, která umožňuje odchozí připojení k internetu. App Service Environment může tuto konfiguraci použít k připojení k jiným koncovým bodům Azure.

Běžnou konfigurací zákazníka je definovat vlastní výchozí trasu (0.0.0.0/0), která vynutí tok odchozího internetového provozu do místního prostředí. Tento tok provozu vždy přeruší službu App Service Environment. Odchozí provoz je buď blokovaný místně, nebo překlad adres (NAT) do nerozpoznané sady adres, které už nefungují s různými koncovými body Azure.

Řešením je definovat jednu (nebo více) tras definovaných uživatelem v podsíti, která obsahuje službu App Service Environment. Trasa definovaná uživatelem definuje trasy specifické pro podsíť, které se dodržují místo výchozí trasy.

Pokud je to možné, použijte následující konfiguraci:

  • Konfigurace ExpressRoute inzeruje 0.0.0.0/0. Ve výchozím nastavení konfigurace vynucuje tunelování veškerého odchozího provozu místně.
  • Trasy definované uživatelem použité u podsítě, která obsahuje službu App Service Environment, definuje 0.0.0.0/0 s typem dalšího segmentu směrování internetu. Příklad této konfigurace je popsán dále v tomto článku.

Kombinovaný účinek této konfigurace spočívá v tom, že UDR na úrovni podsítě má přednost před vynuceným tunelováním ExpressRoute. Zaručuje se odchozí přístup k internetu ze služby App Service Environment.

Důležité

Trasy definované v trasách definované uživatelem musí být dostatečně specifické, aby měly přednost před všemi trasami inzerovanými konfigurací ExpressRoute. Příklad popsaný v další části používá široký rozsah adres 0.0.0.0/0. Tento rozsah může být omylem přepsán inzerováním tras, které používají konkrétnější rozsahy adres.

Služba App Service Environment se nepodporuje s konfiguracemi ExpressRoute, které křížově inzerují trasy z cesty veřejného partnerského vztahu k privátní cestě partnerského vztahu. Konfigurace ExpressRoute s nakonfigurovaným veřejným partnerským vztahem přijímají inzerování tras od Microsoftu pro velkou sadu rozsahů IP adres Microsoft Azure. Pokud se tyto rozsahy adres křížově inzerují na cestě privátního partnerského vztahu, všechny odchozí síťové pakety z podsítě služby App Service Environment se vynutí tunelování do místní síťové infrastruktury zákazníka. Tento tok sítě se v současné době nepodporuje ve službě App Service Environment. Jedním z řešení je zastavení tras křížové reklamy z cesty veřejného partnerského vztahu k cestě privátního partnerského vztahu.

Základní informace o trasách definovaných uživatelem najdete v tématu Směrování provozu virtuální sítě.

Informace o vytváření a konfiguraci tras definovaných uživatelem najdete v tématu Směrování síťového provozu pomocí směrovací tabulky pomocí PowerShellu.

Konfigurace trasy definované uživatelem

Tato část ukazuje ukázkovou konfiguraci trasy definované uživatelem pro App Service Environment.

Požadavky

  • Nainstalujte Azure PowerShell ze stránky stažené soubory Azure. Zvolte stažení s datem června 2015 nebo novějším. V části Nástroje>příkazového řádku windows PowerShell vyberte Nainstalovat a nainstalujte nejnovější rutiny PowerShellu.

  • Vytvořte jedinečnou podsíť pro výhradní použití službou App Service Environment. Jedinečná podsíť zajišťuje, aby trasy definované uživatelem použité u podsítě otevíraly odchozí provoz jenom pro službu App Service Environment.

Důležité

Nasaďte službu App Service Environment pouze po dokončení kroků konfigurace. Před pokusem o nasazení služby App Service Environment se ujistěte, že je dostupné odchozí síťové připojení.

Krok 1: Vytvoření směrovací tabulky

Vytvořte směrovací tabulku s názvem DirectInternetRouteTable v oblasti Azure USA – západ, jak je znázorněno v tomto fragmentu kódu:

New-AzureRouteTable -Name 'DirectInternetRouteTable' -Location uswest

Krok 2: Vytvoření tras v tabulce

Přidejte trasy do směrovací tabulky a povolte odchozí přístup k internetu.

Nakonfigurujte odchozí přístup k internetu. Definujte trasu pro verzi 0.0.0.0/0, jak je znázorněno v tomto fragmentu kódu:

Get-AzureRouteTable -Name 'DirectInternetRouteTable' | Set-AzureRoute -RouteName 'Direct Internet Range 0' -AddressPrefix 0.0.0.0/0 -NextHopType Internet

0.0.0.0/0 je široký rozsah adres. Rozsah se přepíše podle rozsahů adres inzerovaných službou ExpressRoute, které jsou konkrétnější. Trasa definovaná uživatelem s trasou 0.0.0.0/0 by se měla používat ve spojení s konfigurací ExpressRoute, která inzeruje pouze trasu 0.0.0.0/0.

Jako alternativu si stáhněte aktuální komplexní seznam rozsahů CIDR, které azure používá. Soubor XML pro všechny rozsahy IP adres Azure je k dispozici na webu Microsoft Download Center.

Poznámka:

Rozsahy IP adres Azure se v průběhu času mění. Trasy definované uživatelem potřebují pravidelné ruční aktualizace, aby se synchronizovaly.

Jedna trasa definovaná uživatelem má výchozí horní limit 100 tras. Abyste se mohli přizpůsobit limitu 100 tras, musíte "sumarizovat" rozsahy IP adres Azure. Trasy definované uživatelem musí být konkrétnější než trasy inzerované vaším připojením ExpressRoute.

Krok 3: Přidružení tabulky k podsíti

Přidružte směrovací tabulku k podsíti, ve které chcete nasadit službu App Service Environment. Tento příkaz přidruží tabulku DirectInternetRouteTable k podsíti ASESubnet , která bude obsahovat službu App Service Environment.

Set-AzureSubnetRouteTable -VirtualNetworkName 'YourVirtualNetworkNameHere' -SubnetName 'ASESubnet' -RouteTableName 'DirectInternetRouteTable'

Krok 4: Otestování a potvrzení trasy

Jakmile je směrovací tabulka svázaná s podsítí, otestujte a potvrďte trasu.

Nasaďte virtuální počítač do podsítě a potvrďte tyto podmínky:

  • Odchozí provoz do koncových bodů Azure a jiných než Azure popsaných v tomto článku neprotéká okruhEm ExpressRoute. Pokud odchozí provoz z podsítě vynutí tunelové propojení v místním prostředí, vytváření služby App Service Environment vždy selže.
  • Vyhledávání DNS pro koncové body popsané v tomto článku se správně přeloží.

Po dokončení kroků konfigurace a potvrzení trasy odstraňte virtuální počítač. Po vytvoření služby App Service Environment musí být podsíť prázdná.

Teď jste připraveni nasadit službu App Service Environment!

Další kroky

Pokud chcete začít pracovat se službou App Service Environment pro Power Apps, přečtěte si téma Úvod do služby App Service Environment.