Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwaltete Instanz in Azure App Service (Vorschau) ist eine planbezogene Hostingoption für Windows-Web-Apps, die Betriebssystemanpassungen, optionale private Netzwerke und sichere Integration in Azure-Ressourcen benötigen. Sie zielt auf legacy- oder infrastrukturabhängige Workloads (Component Object Model (COM), Registrierung, Microsoft/Windows Installer (MSI)) ab, während die verwalteten Patching-, Skalierungs-, Diagnose- und Identitätsfeatures des App-Diensts beibehalten werden.
Von Bedeutung
Verwaltete Instanz befindet sich in der Vorschau, verfügbar für Windows-Web-Apps in ausgewählten Regionen und beschränkt auf Pv4- und Pmv4-Preispläne. Weitere Zu befolgende Regionen. Linux und Container werden nicht unterstützt.
Wichtige Funktionen
In der folgenden Tabelle sind die wichtigsten Funktionen zusammengefasst, die verwaltete Instanz bietet:
| Kategorie | Fähigkeit |
|---|---|
| Netzwerkisolation | Virtuelle Netzwerkintegration auf Planebene (optional, kann nach der Erstellung hinzugefügt werden): • Private Endpunkte und benutzerdefiniertes Routing • Unterstützung von Netzwerksicherheitsgruppen (Network Security Groups, NSG), NAT-Gateways und Routingtabellen • Private Domain Name Server (DNS) für die interne Namensauflösung |
| Computeisolation | • Planweite Isolation mit vollständiger Kontrolle über Netzwerkgrenzen • Dedizierte Berechnung für vorhersehbare Leistung |
| Unterstützung benutzerdefinierter Komponenten | PowerShell-Installationsskripts für: • COM-Komponenten • Registrierungs- und persistente Registrierungswerte • Internetinformationsdienste (IIS Server)-Konfiguration und ACLs • MSI-Installationsprogramme • Nicht von Microsoft stammende Komponenten und Windows-Dienste • Global Assembly Cache (GAC)-Installationen • Windows-Features (MSMQ-Client, Serverrollen) • Benutzerdefinierte Frameworks (vom Kunden verwaltete Aktualisierung) |
| Registrierungsadapter | Azure Key Vault-gesicherte Registrierungsschlüssel für sichere Konfiguration |
| Speicherflexibilität | • Azure Files mit Key Vault-Integration • UNC-Pfade und Netzwerkfreigabezugriff Laufwerkzuordnung per Skript • Lokaler temporärer Speicher (2 GB, nicht persistent) |
| Verwaltete Identität | • Vom System zugewiesene und vom Benutzer zugewiesene Identitäten auf Planebene • Schlüssellose Authentifizierung für Azure-Ressourcen |
| Operative Effizienz | Plattformverwaltetes Lastenausgleich, Patchen und Skalieren: • Horizontale automatische Skalierung (alle Instanzen) • Vertikaler Maßstab (nur Pv4/Pmv4) |
| Remotedesktopprotokoll | • Just-in-Time-RDP über Azure Bastion (erfordert virtuelles Netzwerk) • Zugriff auf Protokolle, Ereignisanzeige und IIS-Manager |
| Sicherheit und Authentifizierung | • TLS und benutzerdefinierte Domänen mit Zertifikatbindung • App-Dienstauthentifizierung mit Microsoft Entra ID |
| Laufzeitunterstützung | • Vorinstalliert: .NET Framework 3.5, 4.8 und .NET 8 • Benutzerdefinierte Laufzeiten über Installationsskripts |
| CI/CD-Integration | GitHub Actions, Azure DevOps, Zip-Deploy, Package-Deploy, Run-from-Package |
Konfigurationsoptionen
Eine verwaltete Instanz stellt die Konfiguration auf der Plan-Ebene durch:
Konfigurationsskripts (Installation): Hochladen gezippter PowerShell-Skripts in Azure Storage (Zugriff über verwaltete Identität). Skripts werden beim Start für die dauerhafte Konfiguration ausgeführt.
- RDP-Sitzungsänderungen sind vorübergehend und gehen nach dem Neustart oder der Plattformwartung verloren.
- Skriptausführungsprotokolle werden in App Service-Konsolenprotokollen angezeigt und können auf Azure Monitor gestreamt werden.
Windows-Registrierungsadapter: Definieren Sie Registrierungsschlüssel auf Planebene mit geheimen Werten, die in Azure Key Vault gespeichert sind.
Speichereinbindung: Zuordnung von Speicher mithilfe von benutzerdefinierten Laufwerkbuchstaben mit Azure Files oder benutzerdefinierten UNC-Pfaden. Der lokale Speicher ist auch verfügbar, aber beschränkt auf 2 GB und wird nach dem Neustart nicht beibehalten.
RDP-Zugriff: Just-in-Time-Remotedesktop über Azure Bastion (erfordert virtuelle Netzwerkintegration).
Protokollierung und Problembehandlung
- Protokolle für verwaltete Instanzen werden auf App Service-Planebene und nicht auf App-Ebene erstellt.
- Speichereinbindungs- und Registrierungsadapterereignisse werden in App Service-Plattformprotokollen erfasst. Diese Protokolle können über Logstream gestreamt oder in Azure Monitor integriert werden.
- Konfigurationsskriptprotokolle (Installation) sind in App Service-Konsolenprotokollen und in der Instanz verfügbar (z. B. C:\InstallScripts<scriptName>\Install.log). Verwenden Sie Logstream oder Azure Monitor für den zentralisierten Zugriff.
- RDP-Zugriff erfordert Azure Bastion und die Integration des virtuellen Netzwerks. IIS-Manager und Ereignisanzeige werden für die Diagnose empfohlen.
Auswählen der richtigen Hostingoption
Verwenden Sie bei Bedarf verwaltete Instanzen:
Legacy-Windows-Kompatibilität
- COM-Komponenten, Registrierungsänderungen und MSI-Installationsprogramme
- IIS-Manager-Zugriff und RDP für die Diagnose
- Netzwerkfreigaben über UNC-Pfade oder Laufwerkzuordnung
Migration mit minimaler Umgestaltung
- „Heben und Verbessern“ für ältere .NET Framework-Apps
- Schrittweise Modernisierung ohne vollständige Umschreibungen
- Netzwerkisolation auf Planebene für Complianceanforderungen
Windows-spezifische Anpassung
- PowerShell-Installationsskripts für die Startkonfiguration
- Windows-Features wie MSMQ oder Serverrollen
- Benutzerdefinierte Nicht-Microsoft-Komponenten im GAC
Verwenden Sie standard App Service bei Bedarf:
Moderne, cloudeigene Entwicklung
- Unterstützung für mehrsprachige Apps (Python, Node.js, Java, PHP usw.)
- Linux- oder containerisierte Workloads
- Plattformverwaltete Infrastruktur ohne Betriebssystemanpassung
- Umfassendere Laufzeit- und Frameworkoptionen
Verwenden Sie App Service Environment (ASE), wenn Sie es benötigen.
Unternehmensweite Isolation
- Vollständig isolierte, dedizierte Infrastruktur
- Bereitstellungen, die mehr als 100 Anwendungen unterstützen
- Umfassende Netzkontrolle an der Grenze
Aktuelle Einschränkungen (Vorschau)
| Einschränkung | Einzelheiten |
|---|---|
| Plattform | • Nur Windows (keine Linux/Container) • In ASE nicht verfügbar |
| SKUs | Nur Pv4 und Pmv4 |
| Regions | Ostasien, West-Zentral-USA, Nordeuropa, Ost-USA, Australien |
| Authentifizierung | Nur Entra-ID und verwaltete Identität (keine Domänenbeitritt/NTLM/Kerberos) |
| Arbeitsauslastungen | Nur Web-Apps (keine WebJobs, TCP/NetPipes) |
| Configuration | Persistente Änderungen erfordern Skripts (RDP ist nur für Diagnosezwecke) |
Bewährte Methoden
- Verwenden Sie Konfigurationsskripts (Installationsskripts) für die dauerhafte Konfiguration.
- Zentralisieren Sie geheime Schlüssel mithilfe von Key Vault.
- Validierung des Protokollierungssetups in Vorschauumgebungen.
- Testen Sie die Konfigurationsskripts im Staging, bevor sie in die Produktion überführt werden.
- Richten Sie Netzwerkregeln an Abhängigkeitsinventaren aus.
- Überwachen sie mit Microsoft Defender für Cloud für die Bedrohungserkennung.