Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Verwaltete Instanz in Azure App Service (Vorschau) ist eine planbezogene Hostingoption für Windows-Web-Apps, die Betriebssystemanpassungen, optionale private Netzwerke und sichere Integration in Azure-Ressourcen benötigen. Sie zielt auf legacy- oder infrastrukturabhängige Workloads (Component Object Model (COM), Registrierung, Microsoft/Windows Installer (MSI)) ab, während die verwalteten Patching-, Skalierungs-, Diagnose- und Identitätsfeatures des App-Diensts beibehalten werden.
Von Bedeutung
Verwaltete Instanz befindet sich in der Vorschau, verfügbar für Windows-Web-Apps in ausgewählten Regionen und beschränkt auf Pv4- und Pmv4-Preispläne. Weitere Zu befolgende Regionen. Linux und Container werden nicht unterstützt.
Wichtige Funktionen
In der folgenden Tabelle sind die wichtigsten Funktionen zusammengefasst, die verwaltete Instanz bietet:
| Kategorie | Fähigkeit |
|---|---|
| Netzwerkisolation | Virtuelle Netzwerkintegration auf Planebene (optional, kann nach der Erstellung hinzugefügt werden): • Private Endpunkte und benutzerdefiniertes Routing • Unterstützung von Netzwerksicherheitsgruppen (Network Security Groups, NSG), NAT-Gateways und Routingtabellen • Private Domain Name Server (DNS) für die interne Namensauflösung |
| Computeisolation | • Planweite Isolation mit vollständiger Kontrolle über Netzwerkgrenzen • Dedizierte Berechnung für vorhersehbare Leistung |
| Unterstützung benutzerdefinierter Komponenten | PowerShell-Installationsskripts für: • COM-Komponenten • Registrierungs- und persistente Registrierungswerte • Internetinformationsdienste (IIS Server)-Konfiguration und ACLs • MSI-Installationsprogramme • Nicht von Microsoft stammende Komponenten und Windows-Dienste • Global Assembly Cache (GAC)-Installationen • Windows-Features (MSMQ-Client, Serverrollen) • Benutzerdefinierte Frameworks (vom Kunden verwaltete Aktualisierung) |
| Registrierungsadapter | Azure Key Vault-gesicherte Registrierungsschlüssel für sichere Konfiguration |
| Speicherflexibilität | • Azure Files mit Key Vault-Integration • UNC-Pfade und Netzwerkfreigabezugriff Laufwerkzuordnung per Skript • Lokaler temporärer Speicher (2 GB, nicht persistent) |
| Verwaltete Identität | • Vom System zugewiesene und vom Benutzer zugewiesene Identitäten auf Planebene • Schlüssellose Authentifizierung für Azure-Ressourcen |
| Operative Effizienz | Plattformverwaltetes Lastenausgleich, Patchen und Skalieren: • Horizontale automatische Skalierung (alle Instanzen) • Vertikaler Maßstab (nur Pv4/Pmv4) |
| Remotedesktopprotokoll | • Just-in-Time-RDP über Azure Bastion (erfordert virtuelles Netzwerk) • Zugriff auf Protokolle, Ereignisanzeige und IIS-Manager |
| Sicherheit und Authentifizierung | • TLS und benutzerdefinierte Domänen mit Zertifikatbindung • App-Dienstauthentifizierung mit Microsoft Entra ID |
| Laufzeitunterstützung | • Vorinstalliert: .NET Framework 3.5, 4.8 und .NET 8 • Benutzerdefinierte Laufzeiten über Installationsskripts |
| CI/CD-Integration | GitHub Actions, Azure DevOps, Zip-Deploy, Package-Deploy, Run-from-Package |
Konfigurationsoptionen
Eine verwaltete Instanz stellt die Konfiguration auf der Plan-Ebene durch:
Konfigurationsskripts (Installation): Hochladen gezippter PowerShell-Skripts in Azure Storage (Zugriff über verwaltete Identität). Skripts werden beim Start für die dauerhafte Konfiguration ausgeführt.
- RDP-Sitzungsänderungen sind vorübergehend und gehen nach dem Neustart oder der Plattformwartung verloren.
- Skriptausführungsprotokolle werden in App Service-Konsolenprotokollen angezeigt und können auf Azure Monitor gestreamt werden.
Windows-Registrierungsadapter: Definieren Sie Registrierungsschlüssel auf Planebene mit geheimen Werten, die in Azure Key Vault gespeichert sind.
Speichereinbindung: Zuordnung von Speicher mithilfe von benutzerdefinierten Laufwerkbuchstaben mit Azure Files oder benutzerdefinierten UNC-Pfaden. Der lokale Speicher ist auch verfügbar, aber beschränkt auf 2 GB und wird nach dem Neustart nicht beibehalten.
RDP-Zugriff: Just-in-Time-Remotedesktop über Azure Bastion (erfordert virtuelle Netzwerkintegration).
Protokollierung und Problembehandlung
- Protokolle für verwaltete Instanzen werden auf App Service-Planebene und nicht auf App-Ebene erstellt.
- Speichereinbindungs- und Registrierungsadapterereignisse werden in App Service-Plattformprotokollen erfasst. Diese Protokolle können über Logstream gestreamt oder in Azure Monitor integriert werden.
- Konfigurationsskriptprotokolle (Installation) sind in App Service-Konsolenprotokollen und in der Instanz verfügbar (z. B. C:\InstallScripts<scriptName>\Install.log). Verwenden Sie Logstream oder Azure Monitor für den zentralisierten Zugriff.
- RDP-Zugriff erfordert Azure Bastion und die Integration des virtuellen Netzwerks. IIS-Manager und Ereignisanzeige werden für die Diagnose empfohlen.
Auswählen der richtigen Hostingoption
Verwenden Sie bei Bedarf verwaltete Instanzen:
Legacy-Windows-Kompatibilität
- COM-Komponenten, Registrierungsänderungen und MSI-Installationsprogramme
- IIS-Manager-Zugriff und RDP für die Diagnose
- Netzwerkfreigaben über UNC-Pfade oder Laufwerkzuordnung
Migration mit minimaler Umgestaltung
- „Heben und Verbessern“ für ältere .NET Framework-Apps
- Schrittweise Modernisierung ohne vollständige Umschreibungen
- Netzwerkisolation auf Planebene für Complianceanforderungen
Windows-spezifische Anpassung
- PowerShell-Installationsskripts für die Startkonfiguration
- Windows-Features wie MSMQ oder Serverrollen
- Benutzerdefinierte Nicht-Microsoft-Komponenten im GAC
Verwenden Sie standard App Service bei Bedarf:
Moderne, cloudeigene Entwicklung
- Unterstützung für mehrsprachige Apps (Python, Node.js, Java, PHP usw.)
- Linux- oder containerisierte Workloads
- Plattformverwaltete Infrastruktur ohne Betriebssystemanpassung
- Umfassendere Laufzeit- und Frameworkoptionen
Verwenden Sie App Service Environment (ASE), wenn Sie es benötigen.
Unternehmensweite Isolation
- Vollständig isolierte, dedizierte Infrastruktur
- Bereitstellungen, die mehr als 100 Anwendungen unterstützen
- Umfassende Netzkontrolle an der Grenze
Aktuelle Einschränkungen (Vorschau)
| Einschränkung | Einzelheiten |
|---|---|
| Plattform | • Nur Windows (keine Linux/Container) • In ASE nicht verfügbar |
| SKUs | Nur Pv4 und Pmv4 |
| Regions | Ostasien, West-Zentral-USA, Nordeuropa, Ost-USA, Australien |
| Authentifizierung | Nur Entra-ID und verwaltete Identität (keine Domänenbeitritt/NTLM/Kerberos) |
| Arbeitsauslastungen | Nur Web-Apps (keine WebJobs, TCP/NetPipes) |
| Configuration | Persistente Änderungen erfordern Skripts (RDP ist nur für Diagnosezwecke) |
Bewährte Methoden
- Verwenden Sie Konfigurationsskripts (Installationsskripts) für die dauerhafte Konfiguration.
- Zentralisieren Sie geheime Schlüssel mithilfe von Key Vault.
- Validierung des Protokollierungssetups in Vorschauumgebungen.
- Testen Sie die Konfigurationsskripts im Staging, bevor sie in die Produktion überführt werden.
- Richten Sie Netzwerkregeln an Abhängigkeitsinventaren aus.
- Überwachen sie mit Microsoft Defender für Cloud für die Bedrohungserkennung.