Egyéni konfigurációs beállítások App Service-környezetekhez
Áttekintés
Mivel az App Service-környezetek egyetlen ügyfélhez vannak elkülönítve, bizonyos konfigurációs beállítások kizárólag az App Service-környezetekre alkalmazhatók. Ez a cikk az App Service-környezetekhez elérhető különböző testreszabásokat ismerteti.
Feljegyzés
Ez a cikk az App Service Izolált v2-csomagokkal használt App Service Environment v3 funkcióit, előnyeit és használati eseteit ismerteti.
Ha nem rendelkezik App Service-környezettel, olvassa el az App Service-környezet létrehozása 3.
Az App Service Environment testreszabásait egy tömb használatával tárolhatja az új fürtben Gépház attribútumban. Ez az attribútum a hostingEnvironments Azure Resource Manager entitás "Tulajdonságok" szótárában található.
A következő rövidített Resource Manager-sablonrészlet a fürt Gépház attribútumot jeleníti meg:
"resources": [
{
"apiVersion": "2021-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"properties": {
"clusterSettings": [
{
"name": "nameOfCustomSetting",
"value": "valueOfCustomSetting"
}
],
"internalLoadBalancingMode": ...,
etc...
}
}
A fürt Gépház attribútum szerepelhet egy Resource Manager-sablonban az App Service-környezet frissítéséhez.
App Service-környezet frissítése az Azure Resource Explorerrel
Másik lehetőségként frissítheti az App Service-környezetet az Azure Resource Explorer használatával.
- A Resource Explorerben nyissa meg az App Service-környezet csomópontját (előfizetések>{előfizetés}>resourceGroups>{saját erőforráscsoport}>szolgáltatók>Microsoft.Web>hostingEnvironments). Ezután kattintson a frissíteni kívánt App Service-környezetre.
- A jobb oldali panelen kattintson az Olvasás/Írás gombra a felső eszköztáron az interaktív szerkesztés engedélyezéséhez az Erőforrás-kezelőben.
- Kattintson a kék Szerkesztés gombra a Resource Manager-sablon szerkeszthetővé alakításához.
- Görgessen a jobb oldali panel aljára. A fürt Gépház attribútum a legalsó helyen található, ahol megadhatja vagy frissítheti az értékét.
- Írja be (vagy másolja és illessze be) a fürtben használni kívánt konfigurációs értékek tömbét Gépház attribútumot.
- A jobb oldali panel tetején található zöld PUT gombra kattintva véglegesítse a módosítást az App Service-környezetben.
A módosítás elküldése azonban nem azonnali, és akár 24 óráig is eltarthat, amíg a módosítás teljes mértékben érvénybe lép. Egyes beállítások konkrét adatokat adnak az adott beállítás konfigurálásának idejéről és hatásáról.
Belső titkosítás engedélyezése
Az App Service Environment fekete dobozos rendszerként működik, ahol nem látja a belső összetevőket vagy a rendszeren belüli kommunikációt. A nagyobb átviteli sebesség engedélyezéséhez a titkosítás alapértelmezés szerint nincs engedélyezve a belső összetevők között. A rendszer biztonságos, mivel a forgalom nem érhető el a monitorozáshoz vagy a hozzáféréshez. Ha azonban olyan megfelelőségi követelménye van, amely az adatelérési út teljes titkosítását igényli a végpontok között, van mód a teljes adatútvonal titkosításának engedélyezésére a clusterSetting használatával.
"clusterSettings": [
{
"name": "InternalEncryption",
"value": "true"
}
],
Az InternalEncryption igaz értékre állítása titkosítja az App Service-környezet belső hálózati forgalmát az előtér és a feldolgozó között, titkosítja a lapfájlt, és titkosítja a feldolgozó lemezeket is. Az InternalEncryption clusterSetting engedélyezése után hatással lehet a rendszer teljesítményére. Az InternalEncryption engedélyezésének módosításakor az App Service-környezet instabil állapotban lesz, amíg a módosítás teljes propagálása meg nem történik. A módosítás teljes propagálása eltarthat néhány óráig attól függően, hogy hány példánya van az App Service-környezetben. Javasoljuk, hogy használat közben ne engedélyezze az InternalEncryption szolgáltatást app service-környezetben. Ha engedélyeznie kell az InternalEncryption szolgáltatást egy aktívan használt App Service-környezetben, javasoljuk, hogy a művelet befejezéséig irányozza át a forgalmat egy biztonsági mentési környezetbe.
A TLS 1.0 és a TLS 1.1 letiltása
Ha alkalmazásonként szeretné kezelni a TLS-beállításokat egy alkalmazáson, használhatja a TLS-beállítások kényszerítésére vonatkozó dokumentációban található útmutatást.
Ha le szeretné tiltani az App Service-környezetben lévő összes alkalmazás bejövő TLS 1.0- és TLS 1.1-forgalmát, a következő fürtöt állíthatja be Gépház bejegyzést:
"clusterSettings": [
{
"name": "DisableTls1.0",
"value": "1"
}
],
A beállítás neve 1.0, de konfigurálva letiltja a TLS 1.0-t és a TLS 1.1-et is.
A TLS-titkosítócsomagok sorrendjének módosítása
Az App Service-környezet támogatja a titkosítási csomag alapértelmezettről való módosítását. Az alapértelmezett titkosítási csoport ugyanaz, mint a több-bérlős szolgáltatásban. A titkosítócsomagok módosítása egy teljes App Service-üzembe helyezést érint, így ez csak az egybérlős App Service-környezetben lehetséges. Az App Service-környezethez két titkosítási csomag szükséges; TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 és TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Ha az App Service-környezetet a legerősebb és legkisebb titkosítási csomagokkal szeretné működtetni, használja csak a két szükséges titkosítást. Ha úgy szeretné konfigurálni az App Service-környezetet, hogy csak a szükséges titkosításokat használja, módosítsa a fürtöt Gépház az alább látható módon.
"clusterSettings": [
{
"name": "FrontEndSSLCipherSuiteOrder",
"value": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
}
],
Figyelmeztetés
Ha helytelen értékek vannak beállítva az SChannel által nem érthető titkosítási csomaghoz, a kiszolgáló felé irányuló összes TLS-kommunikáció működése leállhat. Ilyen esetben el kell távolítania a FrontEndSSLCipherSuiteOrder bejegyzést a fürtből Gépház és be kell küldenie a frissített Resource Manager-sablont, hogy visszatérjen az alapértelmezett titkosítási csomag beállításaihoz. Körültekintően használja ezt a funkciót.
Első lépések
Az Azure Quickstart Resource Manager-sablonwebhely tartalmaz egy sablont, amely alapdefinícióval rendelkezik egy App Service-környezet létrehozásához.