Megosztás a következőn keresztül:

Átjáróhoz szükséges virtuális hálózati integráció konfigurálása

  • Cikk

Az átjáróhoz szükséges virtuális hálózati integráció támogatja a csatlakozást egy másik régióban lévő virtuális hálózathoz vagy egy klasszikus virtuális hálózathoz. Az átjáróhoz szükséges virtuális hálózati integráció csak Windows-csomagok esetén működik. Javasoljuk, hogy regionális virtuális hálózati integrációt használjon a virtuális hálózatokkal való integrációhoz.

Átjáró által igényelt virtuális hálózati integráció:

  • Lehetővé teszi, hogy egy alkalmazás egyszerre csak egy virtuális hálózathoz csatlakozzon.
  • Legfeljebb öt virtuális hálózat integrálható egy App Service-csomagba.
  • Lehetővé teszi, hogy ugyanazt a virtuális hálózatot több alkalmazás is használja egy App Service-csomagban anélkül, hogy az hatással lenne az App Service-csomag által használható teljes számra. Ha hat alkalmazás használja ugyanazt a virtuális hálózatot ugyanabban az App Service-csomagban, amely egy használt virtuális hálózatnak számít.
  • Az átjáró SLA-ja hatással lehet a teljes SLA-ra.
  • Lehetővé teszi az alkalmazások számára a virtuális hálózat által konfigurált DNS használatát.
  • Az alkalmazáshoz való csatlakozás előtt SSTP pont–hely VPN-sel konfigurált virtuális hálózati útvonalalapú átjáróra van szükség.

Az átjáróhoz szükséges virtuális hálózati integráció nem használható:

  • Az ExpressRoute-hoz csatlakoztatott virtuális hálózattal.
  • Linux-alkalmazásból.
  • Windows-tárolóból.
  • A szolgáltatás végpont által védett erőforrásainak elérése.
  • A hálózat által védett Key Vaultra hivatkozó alkalmazásbeállítások feloldása.
  • Olyan párhuzamos átjáróval, amely támogatja az ExpressRoute-t és a pont–hely, illetve a helyek közötti VPN-eket is.

A regionális virtuális hálózati integráció enyhíti a fent említett korlátozásokat.

Átjáró beállítása az Azure-beli virtuális hálózaton

Átjáró létrehozása:

  1. Hozza létre a VPN-átjárót és az alhálózatot. Válasszon egy útvonalalapú VPN-típust.

  2. Állítsa be a pont–hely címeket. Ha az átjáró nincs az alapszintű termékváltozatban, akkor az IKEV2-t le kell tiltani a pont–hely konfigurációban, és ki kell választani az SSTP-t. A pont–hely címtérnek az RFC 1918 10.0.0.0/8, 172.16.0.0/12 és 192.168.0.0/16 címblokkjában kell lennie.

Ha az átjárót átjáróhoz szükséges virtuális hálózati integrációhoz hozza létre, nem kell tanúsítványt feltöltenie. Az átjáró létrehozása 30 percet is igénybe vehet. Az átjáró létrehozása után az alkalmazás nem integrálható a virtuális hálózattal.

Az átjáróhoz szükséges virtuális hálózati integráció működése

Az átjáró által igényelt virtuális hálózati integráció a pont–hely VPN technológiára épül. A pont–hely VPN-ek korlátozzák az alkalmazást üzemeltető virtuális gép hálózati hozzáférését. Az alkalmazások csak hibrid kapcsolatokon vagy virtuális hálózati integráción keresztül küldhetnek forgalmat az internetre. Ha az alkalmazás konfigurálva van a portállal az átjáró által igényelt virtuális hálózati integráció használatára, a rendszer az Ön nevében egy összetett egyeztetést kezel, amely tanúsítványokat hoz létre és rendel hozzá az átjárón és az alkalmazás oldalán. Ennek az az eredménye, hogy az alkalmazások üzemeltetéséhez használt feldolgozók közvetlenül csatlakozhatnak a kiválasztott virtuális hálózat virtuális hálózati átjárójához.

Az átjáróhoz szükséges virtuális hálózati integráció működését bemutató ábra.

Helyszíni erőforrások elérése

Az alkalmazások helyek közötti kapcsolatokkal rendelkező virtuális hálózatokkal integrálva férhetnek hozzá a helyszíni erőforrásokhoz. Ha átjáróhoz kötött virtuális hálózati integrációt használ, frissítse a helyszíni VPN-átjáró útvonalait a pont–hely címblokkokkal. A helyek közötti VPN első beállításakor a konfigurálásához használt szkripteknek megfelelően kell beállítaniuk az útvonalakat. Ha a helyek közötti VPN létrehozása után adja hozzá a pont–hely címeket, manuálisan kell frissítenie az útvonalakat. Ennek részletei átjárónként eltérőek, és itt nem ismertetjük.

A helyszíni BGP-útvonalak nem lesznek automatikusan propagálva az App Service-be. Manuálisan kell propagálja őket a pont–hely konfigurációban a jelen dokumentumban szereplő lépésekkel egyéni útvonalak meghirdetése P2S VPN-ügyfelek számára.

Feljegyzés

Az átjáróhoz szükséges virtuális hálózati integrációs funkció nem integrál egy alkalmazást egy ExpressRoute-átjáróval rendelkező virtuális hálózattal. Még akkor sem működik a virtuális hálózati integráció, ha az ExpressRoute-átjáró egyidejű módban van konfigurálva. Ha ExpressRoute-kapcsolaton keresztül kell hozzáférnie az erőforrásokhoz, használja a regionális virtuális hálózati integrációs funkciót vagy a virtuális hálózaton futó App Service-környezetet.

Társhálózat-létesítés

Ha átjáróhoz szükséges virtuális hálózati integrációt használ társviszony-létesítéssel, konfigurálnia kell még néhány elemet. Társviszony-létesítés konfigurálása az alkalmazással való együttműködéshez:

  1. Adjon hozzá társviszony-létesítési kapcsolatot azon a virtuális hálózaton, amelyhez az alkalmazás csatlakozik. A társviszony-létesítési kapcsolat hozzáadásakor engedélyezze a virtuális hálózati hozzáférés engedélyezését , és válassza a Továbbított forgalom engedélyezése és az Átjáró átvitelének engedélyezése lehetőséget.
  2. Adjon hozzá társviszony-létesítési kapcsolatot azon a virtuális hálózaton, amelyhez csatlakozik. Amikor hozzáadja a társviszony-létesítési kapcsolatot a cél virtuális hálózaton, engedélyezze a virtuális hálózati hozzáférés engedélyezését , és válassza a Továbbított forgalom engedélyezése és a Távoli átjárók engedélyezése lehetőséget.
  3. Nyissa meg az App Service-csomag>hálózati>VNet-integrációját a portálon. Válassza ki azt a virtuális hálózatot, amelyhez az alkalmazás csatlakozik. Az útválasztási szakaszban adja hozzá annak a virtuális hálózatnak a címtartományát, amelyhez az alkalmazás csatlakozik.

Virtuális hálózati integráció kezelése

A virtuális hálózattal való csatlakozás és a kapcsolat bontása alkalmazásszinten történik. Azok a műveletek, amelyek több alkalmazás virtuális hálózati integrációját befolyásolhatják, az App Service csomag szintjén vannak. Az alkalmazás >hálózatkezelési>VNet-integrációs portálján részletes információkat kaphat a virtuális hálózatról. Hasonló információkat az App Service-csomag szintjén láthat az App Service-csomag>hálózatkezelési>VNet-integrációs portálján.

A virtuális hálózati integrációs példány alkalmazásnézetében az egyetlen művelet az alkalmazás leválasztása az aktuálisan csatlakoztatott virtuális hálózatról. Ha le szeretné választani az alkalmazást egy virtuális hálózatról, válassza a Leválasztás lehetőséget. Az alkalmazás újraindul, amikor leválasztja a kapcsolatot egy virtuális hálózatról. A leválasztás nem változtatja meg a virtuális hálózatot. Az alhálózat vagy az átjáró nincs eltávolítva. Ha ezután törölni szeretné a virtuális hálózatot, először bontsa le az alkalmazást a virtuális hálózatról, és törölje a benne lévő erőforrásokat, például az átjárókat.

Az App Service-csomag virtuális hálózati integrációs felhasználói felülete megjeleníti az App Service-csomagban az alkalmazások által használt összes virtuális hálózati integrációt. Az egyes virtuális hálózatok részleteinek megtekintéséhez válassza ki a kívánt virtuális hálózatot. Itt két műveletet hajthat végre az átjáró által igényelt virtuális hálózati integrációhoz:

  • Szinkronizálási hálózat: A szinkronizálási hálózati művelet csak az átjáró által igényelt virtuális hálózati integrációs szolgáltatáshoz használható. A szinkronizálási hálózati művelet végrehajtása biztosítja, hogy a tanúsítványok és a hálózati információk szinkronban legyenek. Ha hozzáadja vagy módosítja a virtuális hálózat DNS-ét, végezzen szinkronizálási hálózati műveletet. Ez a művelet újraindítja a virtuális hálózatot használó alkalmazásokat. Ez a művelet nem fog működni, ha különböző előfizetésekhez tartozó alkalmazást és virtuális hálózatot használ.
  • Útvonalak hozzáadása: Az útvonalak hozzáadása a kimenő forgalmat a virtuális hálózatba irányítja.

A példányhoz rendelt privát IP-cím a WEBSITE_PRIVATE_IP környezeti változón keresztül érhető el. A Kudu konzol felhasználói felülete a webalkalmazás számára elérhető környezeti változók listáját is megjeleníti. Ez az IP-cím a virtuális hálózati átjárón konfigurált pont–hely címkészlet címtartományából származik. Ezt az IP-címet a webalkalmazás fogja használni az erőforrásokhoz való csatlakozáshoz az Azure-beli virtuális hálózaton keresztül.

Feljegyzés

A WEBSITE_PRIVATE_IP értéke változhat. Ez azonban egy IP-cím lesz a pont–hely címtartomány címtartományán belül, ezért engedélyeznie kell a hozzáférést a teljes címtartományból.

Átjáró által igényelt virtuális hálózati integrációs útválasztás

A virtuális hálózatban definiált útvonalak segítségével irányíthatja a forgalmat a virtuális hálózatba az alkalmazásból. Ha több kimenő forgalmat szeretne küldeni a virtuális hálózatba, adja hozzá ezeket a címblokkokat. Ez a képesség csak az átjáróhoz szükséges virtuális hálózati integrációval működik. Az útvonaltáblák nem befolyásolják az alkalmazás forgalmát az átjáró által igényelt virtuális hálózati integráció használatakor.

Átjáróhoz szükséges virtuális hálózati integrációs tanúsítványok

Ha engedélyezve van az átjáróhoz szükséges virtuális hálózati integráció, tanúsítványcserére van szükség a kapcsolat biztonságának biztosításához. A tanúsítványokkal együtt a DNS-konfiguráció, az útvonalak és más hasonló dolgok, amelyek a hálózatot írják le.

Ha a tanúsítványok vagy a hálózati információk módosulnak, válassza a Hálózat szinkronizálása lehetőséget. Ha a Szinkronizálási hálózat lehetőséget választja, rövid megszakadást okoz az alkalmazás és a virtuális hálózat közötti kapcsolatban. Az alkalmazás nem indul újra, de a kapcsolat megszakadása miatt előfordulhat, hogy a webhely nem működik megfelelően.

Tanúsítvány megújítása

Az átjáróhoz szükséges virtuális hálózati integráció által használt tanúsítvány élettartama 8 év. Ha az átjáróhoz szükséges virtuális hálózati integrációval rendelkező alkalmazások hosszabb ideig élnek, meg kell újítania a tanúsítványt. Az Azure Portal virtuális hálózatok integrációs oldalának felkeresésével ellenőrizheti, hogy lejárt-e a tanúsítványa, vagy kevesebb mint 6 hónap van a lejáratig.

Az átjáróhoz közeli lejárathoz szükséges virtuális hálózati integrációs tanúsítványt bemutató képernyőkép.

Megújíthatja a tanúsítványt, ha a portál közel lejárati vagy lejárt tanúsítványt jelenít meg. A tanúsítvány megújításához le kell választania és újra kell csatlakoztatnia a virtuális hálózatot. Az újracsatlakozás rövid kimaradáshoz vezet az alkalmazás és a virtuális hálózat közötti kapcsolatban. Az alkalmazás nem indul újra, de a kapcsolat megszakadása miatt előfordulhat, hogy a webhely nem működik megfelelően.

Díjszabás részletei

Az átjáróhoz szükséges virtuális hálózati integrációs funkció használatához három díj kapcsolódik:

  • App Service-csomag tarifacsomag díjai: Az alkalmazásoknak Alapszintű, Standard, Prémium, Prémium v2 vagy Prémium v3 App Service-csomagban kell lenniük. Ezekről a költségekről további információt az App Service díjszabásában talál.
  • Adatátviteli költségek: Az adatforgalom díjköteles akkor is, ha a virtuális hálózat ugyanabban az adatközpontban található. Ezeket a díjakat az adatátvitel díjszabásának részletei ismertetik.
  • VPN-átjáró költségei: A pont–hely VPN-hez szükséges virtuális hálózati átjáró költsége van. További információkért lásd a VPN Gateway díjszabását.

Hibaelhárítás

Sok minden megakadályozhatja, hogy az alkalmazás elérjen egy adott gazdagépet és portot. Legtöbbször ez a következő dolgok egyike:

  • A tűzfal útban van. Ha tűzfallal rendelkezik, akkor a TCP időtúllépését kell megadnia. Ebben az esetben a TCP időtúllépése 21 másodperc. A tcpping eszközzel tesztelje a kapcsolatot. A TCP-időtúllépéseket a tűzfalakon kívül sok dolog okozhatja, de kezdjen ott.
  • A DNS nem érhető el. A DNS-időtúllépés DNS-kiszolgálónként 3 másodperc. Ha két DNS-kiszolgálóval rendelkezik, az időtúllépés 6 másodperc. A nameresolver használatával ellenőrizze, hogy működik-e a DNS. Az nslookup nem használható, mert ez nem azt a DNS-t használja, amellyel a virtuális hálózat konfigurálva van. Ha nem érhető el, előfordulhat, hogy tűzfal vagy NSG blokkolja a DNS-hozzáférését, vagy leállhat.

Ha ezek az elemek nem válaszolnak a problémákra, először keresse meg a következőket:

  • A pont–hely címtartomány az RFC 1918-tartományokban (10.0.0.0-10.255.255.255 / 172.16.16.1 0.0-172.31.255.255 / 192.168.0.0-192.168.255.255)?
  • Megjelenik az átjáró a portálon? Ha az átjáró le van állítva, hozza vissza.
  • A tanúsítványok szinkronizáltként jelennek meg, vagy azt gyanítja, hogy a hálózati konfiguráció megváltozott? Ha a tanúsítványok nincsenek szinkronizálva, vagy azt gyanítja, hogy a virtuális hálózat konfigurációjában olyan módosítás történt, amelyet nem szinkronizáltak az ASP-kkel, válassza a Hálózat szinkronizálása lehetőséget.
  • Ha VPN-en halad át, a helyszíni átjáró úgy van konfigurálva, hogy a forgalmat visszairányíthassa az Azure-ba? Ha elérheti a végpontokat a virtuális hálózaton, de nem a helyszínen, ellenőrizze az útvonalakat.
  • Olyan párhuzamos átjárót próbál használni, amely támogatja a pont–hely és az ExpressRoute használatát? Az egyidejű átjárók nem támogatottak a virtuális hálózati integrációban.

A hálózatkezelési problémák hibakeresése kihívást jelent, mert nem látja, mi blokkolja az adott gazdagép:port kombinációhoz való hozzáférést. Néhány ok:

  • Van egy tűzfal a gazdagépen, amely megakadályozza az alkalmazásport elérését a pont–hely IP-tartományból. Az alhálózatok keresztezéséhez gyakran van szükség nyilvános hozzáférésre.
  • A cél gazdagép leállt.
  • Az alkalmazás leállt.
  • Rossz IP-címet vagy gazdagépnevet kapott.
  • Az alkalmazás a várttól eltérő porton figyel. A folyamatazonosítót egyeztetheti a figyelési porttal a végpontgazda "netstat -aon" használatával.
  • A hálózati biztonsági csoportok úgy vannak konfigurálva, hogy megakadályozzák az alkalmazás gazdagépéhez és portjához való hozzáférést a pont–hely IP-tartományból.

Nem tudja, hogy az alkalmazás valójában milyen címet használ. A pont–hely címtartomány bármely címe lehet, ezért engedélyeznie kell a hozzáférést a teljes címtartományból.

További hibakeresési lépések többek között:

  • Csatlakozzon egy virtuális géphez a virtuális hálózaton, és próbálja meg elérni az erőforrás-gazdagépet:portot onnan. A TCP-hozzáférés teszteléséhez használja a Test-NetConnection PowerShell-parancsot. A szintaxis a következő:
Test-NetConnection hostname [optional: -Port]
  • Hozzon létre egy alkalmazást egy virtuális gépen, és tcpping használatával tesztelje az adott gazdagéphez és porthoz való hozzáférést a konzolról az alkalmazásból.

Helyszíni erőforrások

Ha az alkalmazás nem tud helyszíni erőforrást elérni, ellenőrizze, hogy el tudja-e érni az erőforrást a virtuális hálózatról. A Test-NetConnection PowerShell paranccsal ellenőrizze a TCP-hozzáférést. Ha a virtuális gép nem éri el a helyszíni erőforrást, előfordulhat, hogy a VPN- vagy az ExpressRoute-kapcsolat nincs megfelelően konfigurálva.

Ha a virtuális hálózat által üzemeltetett virtuális gép eléri a helyszíni rendszert, de az alkalmazás nem, az ok valószínűleg az alábbi okok egyike:

  • Az útvonalak nincsenek konfigurálva az alhálózattal vagy a pont–hely címtartományokkal a helyszíni átjáróban.
  • A hálózati biztonsági csoportok blokkolják a pont–hely IP-tartomány elérését.
  • A helyszíni tűzfalak blokkolják a pont–hely IP-tartományból érkező forgalmat.
  • Nem RFC 1918-címet próbál elérni a regionális virtuális hálózati integrációs funkcióval.

További információkért tekintse meg a virtuális hálózatok integrációjával kapcsolatos hibaelhárítási útmutatót.