Belső Load Balancer App Service-környezet létrehozása és használata

  • Cikk

Fontos

Ez a cikk az App Service Environment v2-ről szól, amelyet izolált App Service-csomagokkal használnak. Az App Service Environment v2 2-et 2024. augusztus 31-én kivonjuk. Az App Service Environment új verziója egyszerűbben használható és hatékonyabb infrastruktúrán futtatható. Az új verzióról az App Service-környezet bemutatása című cikkből tudhat meg többet. Ha jelenleg az App Service Environment 2-es verzióját használja, kövesse az ebben a cikkben ismertetett lépéseket az új verzióra való migráláshoz.

2024. január 29-étől már nem hozhat létre új App Service Environment v2-erőforrásokat az elérhető módszerek , például ARM/Bicep-sablonok, Azure Portal, Azure CLI vagy REST API használatával. 2024. augusztus 31-ig át kell telepítenie az App Service Environment v3-ra az erőforrás törlésének és adatvesztésének megakadályozása érdekében.

A Azure-alkalmazás szolgáltatáskörnyezet a Azure-alkalmazás szolgáltatás üzembe helyezése egy Azure-beli virtuális hálózat (VNet) alhálózatán. Az App Service Environment (ASE) üzembe helyezésének két módja van:

  • Egy virtuális IP-cím vagy külső IP-cím, azaz külső ASE használatával.
  • Egy virtuális IP-cím vagy belső IP-cím, azaz ILB ASE használatával, amelyet azért neveznek így, mert a belső végpont egy belső terheléselosztó (ILB).

Ebből a cikkből megtudhatja, hogyan hozhat létre egy ILB ASE környezetet. Az ASE áttekintését az App Service Environmentet bemutató témakör tartalmazza. A külső A Standard kiadás létrehozásáról a [Külső A létrehozása Standard kiadás][MakeExternalA Standard kiadás] című témakörben olvashat.

Áttekintés

Az ASE környezetet közvetlenül az internethez csatlakozó végponttal vagy a virtuális hálózatán belüli IP-címmel is telepítheti. Ahhoz, hogy egy IP-címet hozzárendeljen egy virtuális hálózati címhez, az ASE környezetet ILB terheléskiegyenlítővel kell üzembe helyezni. Az A Standard kiadás ILB-vel való üzembe helyezésekor meg kell adnia az A Standard kiadás nevét. Az A Standard kiadás neve az A Standard kiadás alkalmazásainak tartományi utótagjában használatos. Az ILB A tartomány utótagja Standard kiadás A <Standard kiadás name.appserviceenvironment.net>. Az ILB ASE-ben létrehozott alkalmazások nem kerülnek be a nyilvános DNS-be.

Az ILB A korábbi verzióiban Standard kiadás meg kellett adnia egy tartomány utótagját és egy alapértelmezett tanúsítványt a HTTPS-kapcsolatokhoz. A tartomány utótagja már nem lesz összegyűjtve az ILB A Standard kiadás létrehozásakor, és az alapértelmezett tanúsítványt sem gyűjti a rendszer. Az ILB A Standard kiadás létrehozásakor az alapértelmezett tanúsítványt a Microsoft biztosítja, és a böngésző megbízhatónak minősíti. Továbbra is beállíthatja az egyéni tartományneveket az ASE alkalmazásaiban, és beállíthatja a tanúsítványokat ezekhez az egyéni tartománynevekhez.

ILB A Standard kiadás a következőket teheti:

  • Az intranetes alkalmazásokat biztonságosan üzemeltetheti a felhőben, amelyeket helyek közötti vagy ExpressRoute-on keresztül érhet el.
  • Alkalmazások védelme WAF-eszközzel
  • A nyilvános DNS-kiszolgálókon nem szereplő alkalmazásokat üzemeltethet a felhőben.
  • Internettől elzárt háttéralkalmazásokat hozhat létre, amelyekkel az előtéri alkalmazások biztonságosan integrálódhatnak.

Letiltott funkciók

Néhány dolog, amit nem tehet meg ILB ASE használata esetén:

  • IP-alapú TLS/SSL-kötést használjon.
  • IP-címek hozzárendelése az egyes alkalmazásokhoz.
  • Tanúsítvány vásárlása és használata egy alkalmazáshoz az Azure Portalon keresztül. A tanúsítványokat közvetlenül hitelesítésszolgáltatótól szerezheti be, és azokat használhatja az alkalmazásaihoz. Az Azure Portalon keresztül nem szerezheti be őket.

ILB ASE létrehozása

ILB A Standard kiadás létrehozásához lásd: A Standard kiadás létrehozása Azure Resource Manager-sablonnal.

Feljegyzés

Az App Service-környezet neve legfeljebb 36 karakter lehet.

Alkalmazás létrehozása az ILB ASE környezetben

Az ILB ASE környezetben a sima ASE környezettel megegyező módon hozhat létre alkalmazást.

  1. Az Azure Portalon válassza az Erőforrás>webalkalmazás> létrehozása lehetőséget.

  2. Adja meg az alkalmazás nevét.

  3. Válassza ki az előfizetést.

  4. Válasszon ki vagy hozzon létre egy erőforráscsoportot.

  5. Válassza ki a közzétételt, a futtatókörnyezeti vermet és az operációs rendszert.

  6. Válassza ki azt a helyet, ahol a hely egy meglévő ILB A Standard kiadás.

  7. Válassza ki vagy hozzon létre egy App Service-csomagot.

  8. Válassza a Véleményezés és létrehozás lehetőséget, majd válassza a Létrehozás lehetőséget, ha elkészült.

WebJobs-feladatok, a Functions és az ILB ASE

Az ILB ASE támogatja a Functionst és a WebJobs-feladatokat is, de ahhoz, hogy a portál is működjön velük, rendelkeznie kell hálózati hozzáféréssel egy SCM helyhez. Ez azt jelenti, hogy a böngészőnek olyan gazdagépen kell lennie, amely csatlakozik a virtuális hálózathoz, vagy azon belül van. Ha az ILB ASE olyan tartománynévvel rendelkezik, amelynek nem appserviceenvironment.net a végződése, akkor először be kell állítania a böngészőt, hogy megbízzon az SCM-hely által használt HTTPS-tanúsítványban.

DNS-konfiguráció

Külső A Standard kiadás használatakor az A Standard kiadás-ben készült alkalmazások regisztrálva lesznek az Azure DNS-ben. A külső A Standard kiadás nem tartalmaz további lépéseket, hogy az alkalmazások nyilvánosan elérhetők legyenek. Az ILB ASE-ben Önnek kell kezelnie a saját DNS-ét. Ezt a saját DNS-kiszolgálón vagy az Azure DNS privát zónáiban teheti meg.

A DNS konfigurálása saját DNS-kiszolgálón az ILB A-vel Standard kiadás:

  1. zóna létrehozása az <A Standard kiadás name.appserviceenvironment.net> számára
  2. hozzon létre egy A rekordot a zónában, amely *-ra mutat az ILB IP-címére
  3. hozzon létre egy A rekordot abban a zónában, amely @-ra mutat az ILB IP-címére
  4. zóna létrehozása az A Standard kiadás name.appserviceenvironment.net> nevű scm-ben <
  5. hozzon létre egy A rekordot az scm zónában, amely * az ILB IP-címre mutat

A DNS konfigurálása az Azure DNS privát zónáiban:

  1. Hozzon létre egy A Standard kiadás name.appserviceenvironment.net> nevű <Azure DNS-privát zónát
  2. hozzon létre egy A rekordot a zónában, amely *-ra mutat az ILB IP-címére
  3. hozzon létre egy A rekordot abban a zónában, amely @-ra mutat az ILB IP-címére
  4. hozzon létre egy A rekordot abban a zónában, amely a *.scm értéket az ILB IP-címére mutatja

Az A Standard kiadás alapértelmezett tartomány utótagjának DNS-beállításai nem korlátozzák az alkalmazásokat, hogy csak ezek a nevek legyenek elérhetők. Egyéni tartománynevet anélkül állíthat be, hogy az ILB A Standard kiadás az alkalmazásait érvényesíti. Ha ezután létre szeretne hozni egy contoso.net nevű zónát, ezt megteheti, és az ILB IP-címére irányíthatja. Az egyéni tartománynév alkalmazáskérésekhez működik, de nem az scm-webhelyen. Az scm-webhely csak az appname.scm> webhelyen <érhető el.<asename.appserviceenvironment.net>.

A zóna neve .<Az asename.appserviceenvironment.net> globálisan egyedi. 2019 májusa előtt az ügyfelek meg tudták adni az ILB A Standard kiadás tartomány utótagját. Ha .contoso.com szeretne használni a tartomány utótagja számára, ezt megteheti, és ez magában foglalja az scm-webhelyet is. Ezzel a modellel kapcsolatban voltak kihívások, többek között a következők: az alapértelmezett TLS/SSL-tanúsítvány kezelése, az egyszeri bejelentkezés hiánya az scm-webhelyen, valamint a helyettesítő tanúsítvány használatának követelménye. Az ILB A Standard kiadás alapértelmezett tanúsítványfrissítési folyamat szintén zavaró volt, és az alkalmazás újraindítását okozta. A problémák megoldásához az ILB A Standard kiadás viselkedése az A Standard kiadás neve és egy Microsoft-tulajdonú utótag alapján tartomány utótag használatára módosult. Az ILB A Standard kiadás viselkedésének módosítása csak a 2019 májusa után végrehajtott ILB A Standard kiadás érinti. A meglévő ILB A Standard kiadás-nak továbbra is kezelnie kell az A Standard kiadás alapértelmezett tanúsítványát és DNS-konfigurációját.

Közzététel ILB ASE környezetben

Minden létrehozott alkalmazásnak két végpontja van. Az ILB A Standard kiadás alkalmazásnévvel> rendelkezik.<<ILB A Standard kiadás Tartomány> és <alkalmazásnév.scm>.<ILB A Standard kiadás tartomány>.

Az SCM helynév a Kudu konzolhoz irányítja, az Azure Portal Speciális portál részére. A Kudu konzol a környezeti változók megtekintését, a lemez vizsgálatát, a konzol használatát és még sok más funkciót kínál. További információ: Kudu konzol az Azure App Service-ben.

A GitHubhoz és az Azure DevOpshoz hasonló internetes alapú CI-rendszerek akkor is működnek az ILB ASE környezettel, ha a buildügynök elérhető az internetről, és ugyanazon a hálózaton található, mint az ILB ASE. Tehát az Azure DevOps esetében, ha a buildügynök ugyanazon a VNET-en lett létrehozva, mint az ILB ASE (lehet más alhálózat), képes lesz lekérni a kódot az Azure DevOps-gitről és telepíteni az ILB ASE-re. Ha nem szeretne létrehozni saját buildügynököt, egy lekérési modellt használó CI-rendszert kell használnia helyette, például a Dropboxot.

Az ILB ASE alkalmazásainak közzétételi végpontjai az ILB ASE létrehozásakor megadott tartományt használják. Ez a tartomány az alkalmazás közzétételi profilján és az alkalmazás portálpanelén jelenik meg (Áttekintés>Alapvető szolgáltatások és Tulajdonságok). Ha rendelkezik ILB A Standard kiadás az A Standard kiadás name.appserviceenvironment.net tartomány utótaggal <és egy mytest nevű alkalmazással, használja a mytestet.<>A Standard kiadás name.appserviceenvironment.net> FTP-hez és mytest.scm.contoso.net MSDeploy-telepítéshez.

ILB A Standard kiadás konfigurálása WAF-eszközzel

A webalkalmazási tűzfalat (WAF) kombinálhatja az ILB A Standard kiadás segítségével csak az internetre használni kívánt alkalmazásokat teheti elérhetővé, a többit pedig csak a virtuális hálózatról érheti el. Így többek között biztonságos, többrétegű alkalmazásokat hozhat létre.

Az ILB ASE WAF eszközhöz való konfigurálásáról további információkat a webalkalmazás-tűzfal és az App Service Environment konfigurálását ismertető cikk tartalmaz. Ez a cikk leírja, hogyan használhatja együtt a Barracuda virtuális berendezést az ASE környezettel. Másik lehetőségként az Azure Application Gateway is használható. Az Application Gateway az alapvető OWASP-szabályokat használja a mögötte elhelyezett alkalmazások biztonságossá tételére. Az Application Gatewayről további információt az Azure webalkalmazási tűzfal bevezető cikke tartalmaz.

2019 májusa előtt készült ILB A Standard kiadás

A 2019 májusa előtt készült ILB A Standard kiadás megkövetelte a tartomány utótagjának beállítását az A Standard kiadás létrehozása során. Azt is megkövetelték, hogy töltsön fel egy alapértelmezett tanúsítványt, amely az adott tartomány utótagján alapult. Egy régebbi ILB A esetén Standard kiadás nem lehet egyszeri bejelentkezést végezni a Kudu-konzolon az abban az ILB A-ben lévő alkalmazásokkal Standard kiadás. Ha a DNS-t egy régebbi ILB A Standard kiadás konfigurálja, be kell állítania az A helyettesítő karaktert egy olyan zónában, amely megfelel a tartomány utótagjának. Az egyéni tartomány utótaggal rendelkező ILB A Standard kiadás létrehozásához vagy módosításához 2019 előtt Azure Resource Manager-sablonokat és API-verziót kell használnia. A legutóbbi támogatási API-verzió a .2018-11-01

Első lépések