Zugreifen auf eine App in Azure Spring Apps in einem virtuellen Netzwerk

Hinweis

Azure Spring Apps ist der neue Name für den Azure Spring Cloud-Dienst. Obwohl der Dienst umbenannt wurde, wird der alte Name noch an einigen Stellen verwendet, solange wir Ressourcen wie Screenshots, Videos und Diagramme aktualisieren.

Dieser Artikel gilt für: ✔️ Basic/Standard ✔️ Enterprise

In diesem Artikel wird erläutert, wie Sie in einem privaten Netzwerk auf einen Endpunkt für Ihre Anwendung zugreifen.

Wenn Sie einer Anwendung in einer Azure Spring Apps-Dienstinstanz, die in Ihrem virtuellen Netzwerk bereitgestellt wird, einen Endpunkt zuweisen, verwendet der Endpunkt einen privaten vollqualifizierten Domänennamen (FQDN). Die Domäne ist nur im privaten Netzwerk zugänglich. Apps und Dienste verwenden den Anwendungsendpunkt. Dazu gehört Testendpunkt, der im Abschnitt Anzeigen von Apps und Bereitstellungen von Einrichten einer Stagingumgebung in Azure Spring Apps beschrieben wird. Protokollstreaming, das unter Streamen von Azure Spring Apps-App-Protokollen in Echtzeit beschrieben wird, funktioniert auch nur innerhalb des privaten Netzwerks.

Die folgenden beiden Optionen stehen zur Verfügung, um den von Ihnen zugewiesenen Endpunkt barrierefrei zu machen:

• Erstellen Sie Ihre eigene private Domain Name Service (DNS)-Zone, und verknüpfen Sie sie mit Azure Spring Apps. Diese Methode wird dringend empfohlen, da Azure Spring Apps die DNS-Zone automatisch mit Ihrem virtuellen Netzwerk verknüpft und den DNS-Eintrag für den Endpunkt Ihrer Anwendung verwaltet.

• Erstellen Sie Ihre eigene private DNS-Zone, und verwalten Sie die virtuellen Netzwerklinks und DNS-Einträge manuell, und befolgen Sie die Anweisungen zum Suchen der LB-IP-Adresse Ihrer Azure Spring Apps-Dienstinstanz.

Voraussetzungen

• Ein Azure-Abonnement. Wenn Sie kein Abonnement besitzen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.
• (Optional) Azure CLI Version 2.45.0 oder höher.
• Eine vorhandene Anwendung in einer Azure Spring Apps-Dienstinstanz, die in einem virtuellen Netzwerk bereitgestellt ist. Weitere Informationen finden Sie unter Bereitstellen von Azure Spring Apps in einem virtuellen Netzwerk.

Erstellen einer privaten DNS-Zone

Azure portal

Erstellen Sie mithilfe der folgenden Schritte eine private DNS-Zone für eine Anwendung im privaten Netzwerk:

1. Öffnen Sie das Azure-Portal. Suchen Sie mithilfe des Suchfelds nach Private DNS-Zonen. Wählen Sie Private DNS-Zonen in den Suchergebnissen aus.

2. Wählen Sie auf der Seite Private DNS-Zonen die Option Hinzufügen aus.

3. Füllen Sie das Formular auf der Seite Private DNS-Zone erstellen aus. Geben Sie für Name private.azuremicroservices.io ein.

4. Klicken Sie auf Überprüfen + erstellen.

5. Klicken Sie auf Erstellen.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl, um die privates DNS-Zone zu erstellen:

az network private-dns zone create \
    --resource-group $RESOURCE_GROUP \
    --name private.azuremicroservices.io

Die Erstellung der Zone kann einige Minuten dauern.

Konfigurieren Ihrer privaten DNS-Zone zum automatischen Verwalten von Endpunkten

Nachdem Sie eine private DNS-Zone erstellt haben, können Sie Azure Spring Apps verwenden, um Ihre privaten DNS-Zonen zu verwalten. Dieser Ansatz vereinfacht die Verwaltung von virtuellen Netzwerkverbindungen und DNS-Einträgen. Er ist besonders nützlich in Umgebungen mit mehreren Instanzen innerhalb eines einzelnen virtuellen Netzwerks oder in Umgebungen, in denen Peerings virtueller Netzwerke verwendet werden. Azure Spring Apps automatisiert die Verwaltung von virtuellen Netzwerklinks und das dynamische Hinzufügen oder Entfernen von DNS-„A“-Einträgen, wenn Endpunkte zugewiesen oder nicht zugewiesen werden.

Hinweis

Azure Spring Apps verwaltet Endpunkte, die vor dem Hinzufügen der privaten DNS-Zone zugewiesen wurden, nicht automatisch. Um die DNS-Eintragsverwaltung für diese Endpunkte zu aktivieren, heben Sie die Zuweisung auf, und weisen Sie die Endpunkte dann erneut zu.

Erteilen der Berechtigung für die private DNS-Zone

Azure portal

Gehen Sie zum Erteilen von Berechtigungen wie folgt vor:

1. Wählen Sie die von Ihnen erstellte private DNS-Zonenressource aus, z. B. private.azuremicroservices.io.

2. Wählen Sie Zugriffssteuerung (IAM) und anschließend Hinzufügen>Rollenzuweisung hinzufügen aus.

   

3. Weisen Sie dem Azure Spring Apps-Ressourcenanbieter die Rolle Private DNS Zone Contributor zu. Weitere Informationen finden Sie unter Weisen Sie Azure-Rollen über das Azure-Portal zu.

   Hinweis

   Sollten Sie den Azure Spring Apps-Ressourcenanbieter nicht finden, suchen Sie nach Azure Spring Cloud-Ressourcenanbieter.

   

Azure-Befehlszeilenschnittstelle

Führen Sie zum Erteilen von Berechtigungen die folgenden Schritte aus:

export PRIVATE_DNS_ZONE_RESOURCE_ID=$(az network private-dns zone show \
    --resource-group $RESOURCE_GROUP \
    --name $PRIVATE_DNS_ZONE_NAME \
    --query "id" \
    --output tsv)

az role assignment create \
    --role "Private DNS Zone Contributor" \
    --scope ${PRIVATE_DNS_ZONE_RESOURCE_ID} \
    --assignee e8de9221-a19c-4c81-b814-fd37c6caf9d2

Das Argument „--assignee“ stellt den Dienstprinzipal dar, den Azure Spring Apps für die Interaktion mit der privaten DNS-Zone der Kundschaft verwendet.

Verknüpfen der privaten DNS-Zone mit Azure Spring Apps

Verwenden Sie die Azure CLI, um die private DNS-Zone mit Ihrer Azure Spring Apps-Dienstinstanz zu verknüpfen. In diesem Schritt müssen Sie Ihre Ressourcengruppe, den Namen der Azure Spring Apps-Instanz und die Ressourcen-ID der privaten DNS-Zone angeben.

Verwenden Sie den folgenden Befehl, um die private DNS-Zone mit Azure Spring Apps zu konfigurieren. Mit dieser Konfiguration kann Azure Spring Apps automatisch eine virtuelle Netzwerkverbindung in der privaten DNS-Zone erstellen und das Hinzufügen oder Entfernen von DNS-„A“-Einträgen verwalten, wenn Endpunkte zugewiesen oder nicht zugewiesen werden.

az spring private-dns-zone add \
    --resource-group $RESOURCE_GROUP \
    --service $AZURE_SPRING_APPS_INSTANCE_NAME \
    --zone-id $PRIVATE_DNS_ZONE_RESOURCE_ID

Wenn Sie die Verknüpfung Ihrer Azure Spring Apps-Instanz aus der privaten DNS-Zone aufheben und die automatische Verwaltung von DNS-Einträgen beenden möchten, können Sie die Konfiguration bereinigen. Verwenden Sie den folgenden Befehl, um die private DNS-Zone zu bereinigen, die mit Azure Spring Apps konfiguriert ist:

az spring private-dns-zone clean \
    --resource-group $RESOURCE_GROUP \
    --service $AZURE_SPRING_APPS_INSTANCE_NAME

Manuelles Konfigurieren Ihrer privaten DNS-Zone

Wenn Sie lieber die vollständige Kontrolle über Ihre private DNS-Zone haben möchten, erfahren Sie in den folgenden Abschnitten, wie Sie sie manuell konfigurieren.

Suchen der IP-Adresse für Ihre Anwendung

Azure portal

Führen Sie die folgenden Schritte aus, um die IP-Adresse für Ihre Anwendung zu finden:

1. Wechseln Sie zur Seite Netzwerk des Azure Spring Apps-Diensts.

2. Wählen Sie die Registerkarte VNet-Injektion aus.

3. Suchen Sie im Abschnitt Allgemeine Informationen nach Endpunkt, und kopieren Sie den Wert der IP-Adresse. Im folgenden Screenshot wird die IP-Adresse „10.0.1.6“ verwendet:

   

Azure-Befehlszeilenschnittstelle

Führen Sie die folgenden Schritte aus, um die lokale Umgebung zu initialisieren und die IP-Adresse für Ihre Anwendung zu finden.

1. Verwenden Sie die folgenden Befehle, um verschiedene Umgebungsvariablen zu definieren. Ersetzen Sie die Platzhalter durch Ihre tatsächlichen Werte.

   export SUBSCRIPTION='<subscription-ID>'
   export RESOURCE_GROUP='<resource-group-name>'
   export AZURE_SPRING_APPS_INSTANCE_NAME='<Azure-Spring-Apps-instance-name>'
   export VIRTUAL_NETWORK_NAME='<Azure-Spring-Apps-virtual-network-name>'
   export APP_NAME='<application-name>'
   

2. Verwenden Sie folgenden Befehl, um sich bei der Azure-CLI anzumelden und Ihr aktives Abonnement auszuwählen:

   az login
   az account set --subscription ${SUBSCRIPTION}
   

3. Verwenden Sie die folgenden Befehle, um die IP-Adresse für Ihre Anwendung zu finden.

   export SERVICE_RUNTIME_RG=$(az spring show \
       --resource-group $RESOURCE_GROUP \
       --name $AZURE_SPRING_APPS_INSTANCE_NAME \
       --query "properties.networkProfile.serviceRuntimeNetworkResourceGroup" \
       --output tsv)
   export IP_ADDRESS=$(az network lb frontend-ip list \
       --lb-name kubernetes-internal \
       --resource-group $SERVICE_RUNTIME_RG \
       --query "[0].privateIPAddress" \
       --output tsv)
   echo $IP_ADDRESS
   

Hinzufügen eines DNS für die IP-Adresse

Wenn Sie über eine eigene DNS-Lösung für Ihr virtuelles Netzwerk verfügen, z. B. Active Directory-Domänencontroller, Infoblox oder eine andere Lösung, müssen Sie die Domäne *.private.azuremicroservices.io auf die IP-Adresse verweisen. Verwenden Sie andernfalls die folgenden Anweisungen, um eine private Azure-DNS-Zone in Ihrem Abonnement zu erstellen, um den privaten FQDN in seine IP-Adresse zu übersetzen/aufzulösen.

Hinweis

Wenn Ihre Microsoft Azure-Instanz von 21Vianet betrieben wird, müssen Sie private.azuremicroservices.io in diesem Artikel durch private.microservices.azure.cn ersetzen. Weitere Informationen finden Sie im Abschnitt Überprüfen von Endpunkten in Azure im Azure China-Entwicklerhandbuch.

Erstellen eines DNS-Eintrags

Sie müssen einen Eintrag vom Typ „A“ in der privaten DNS-Zone erstellen.

Azure portal

Führen Sie die folgenden Schritte aus, um die private DNS-Zone zum Übersetzen/Auflösen von DNS zu verwenden:

1. Wählen Sie die von Ihnen erstellte private DNS-Zonenressource aus, z. B. private.azuremicroservices.io.

2. Wählen Sie Ressourceneintragssatz.

3. Geben Sie unter Datensatzgruppe hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Name	Geben Sie * ein.
   Typ	Wählen Sie A aus.
   TTL	Geben Sie 1 ein.
   TTL-Einheit	Wählen Sie Stunden aus.
   IP-Adresse	Geben Sie die IP-Adresse ein. Der folgende Screenshot verwendet die IP-Adresse 10.1.0.7.

   

4. Wählen Sie OK aus.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl, um den „A“-Eintrag in Ihrer DNS-Zone zu erstellen:

az network private-dns record-set a add-record \
    --resource-group $RESOURCE_GROUP \
    --zone-name private.azuremicroservices.io \
    --record-set-name '*' \
    --ipv4-address $IP_ADDRESS

Verknüpfen der privaten DNS-Zone mit einem virtuellen Netzwerk

Um die private DNS-Zone mit dem virtuellen Netzwerk zu verknüpfen, müssen Sie eine virtuelle Netzwerkverknüpfung erstellen.

Azure portal

Führen Sie die folgenden Schritte aus, um die private DNS-Zone, die Sie erstellt haben, mit dem virtuellen Netzwerk, das Ihren Azure Spring Apps-Dienst enthält, zu verknüpfen.

1. Wählen Sie die von Ihnen erstellte private DNS-Zonenressource aus, z. B. private.azuremicroservices.io.

2. Wählen Sie Virtuelle Netzwerkverbindungen und dann Hinzufügen aus.

3. Geben Sie unter Verknüpfungsname den Namen azure-spring-apps-dns-link ein.

4. Wählen Sie für Virtuelles Netzwerk das virtuelle Netzwerk aus, das Sie zuvor erstellt haben.

   

5. Wählen Sie OK aus.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl, um die private DNS-Zone, die Sie erstellt haben, mit dem virtuellen Netzwerk, das Ihren Azure Spring Apps-Dienst enthält, zu verknüpfen:

az network private-dns link vnet create \
    --resource-group $RESOURCE_GROUP \
    --name azure-spring-apps-dns-link \
    --zone-name private.azuremicroservices.io \
    --virtual-network $VIRTUAL_NETWORK_NAME \
    --registration-enabled false

Zuweisen eines privaten FQDNs für Ihre Anwendung

Nachdem Sie Ihre private DNS-Zone konfiguriert und Azure Spring Apps in einem virtuellen Netzwerk bereitgestellt haben, können Sie ihrer Anwendung einen privaten FQDN zuweisen. Weitere Informationen finden Sie unter Bereitstellen von Azure Spring Apps in einem virtuellen Netzwerk.

Azure portal

Führen Sie die folgenden Schritte aus, um einen privaten FQDN zuzuweisen:

1. Wählen Sie die Azure Spring Apps-Dienstinstanz aus, die in Ihrem virtuellen Netzwerk bereitgestellt wurde, und öffnen Sie die Registerkarte Apps.

2. Wählen Sie die Anwendung aus, um die Seite Übersicht zu öffnen.

3. Wählen Sie Endpunkt zuweisen aus, um Ihrer Anwendung einen privaten FQDN zuzuweisen. Das Zuweisen eines FQDN kann einige Minuten dauern.

   

4. Der zugewiesene private FQDN (mit der Bezeichnung URL) ist jetzt verfügbar. Sie können auf die URL nur innerhalb des privaten Netzwerks zugreifen, nicht im Internet.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl, um Ihrer Anwendung einen Endpunkt zuzuweisen:

az spring app update \
    --resource-group $RESOURCE_GROUP \
    --name $APP_NAME \
    --service $AZURE_SPRING_APPS_INSTANCE_NAME \
    --assign-endpoint true

Zugreifen auf den privaten FQDN der Anwendung

Nach der Zuweisung können Sie auf den privaten FQDN der Anwendung im privaten Netzwerk zugreifen. Beispielsweise können Sie einen Jumpboxcomputer im gleichen virtuellen Netzwerk oder in einem virtuellen Netzwerk mit Peering erstellen. Auf diesem Jumpboxcomputer oder virtuellen Computer können Sie dann auf den privaten FQDN zugreifen.

Bereinigen von Ressourcen

Falls Sie mit weiteren Artikeln fortfahren möchten, sollten Sie die Ressourcen nicht bereinigen. Wenn Sie die Ressourcengruppen nicht mehr benötigen, löschen Sie sie. Dadurch werden die Ressourcen in der Ressourcengruppe gelöscht. Verwenden Sie den folgenden Befehl, um die Ressourcengruppe mithilfe der Azure CLI zu löschen:

az group delete --name $RESOURCE_GROUP

Nächste Schritte

• Verfügbarmachen von Anwendungen mit End-to-End-TLS in einem virtuellen Netzwerk
• Problembehandlung für Azure Spring Apps in virtuellen Netzwerken
• Kundenzuständigkeiten für die Ausführung von Azure Spring Apps in einem virtuellen Netzwerk