Pengaturan konfigurasi Kustom untuk App Service Environment
Gambaran Umum
Karena Lingkungan Layanan Aplikasi diisolasi untuk satu pelanggan, ada pengaturan konfigurasi tertentu yang dapat diterapkan secara eksklusif ke Lingkungan Layanan Aplikasi. Artikel ini mendokumentasikan berbagai penyesuaian khusus yang tersedia untuk App Service Environment.
Catatan
Artikel ini mencakup fitur, manfaat, dan kasus penggunaan Lingkungan App Service v3, yang digunakan dengan paket App Service Isolated v2.
Jika Anda tidak memiliki Lingkungan Layanan Aplikasi, lihat Cara Membuat Lingkungan Layanan Aplikasi v3.
Anda dapat menyimpan penyesuaian App Service Environment dengan menggunakan array di atribut clusterSettings baru. Atribut ini ditemukan dalam kamus "Properti" dari entitas Azure Resource Manager hostingEnvironments.
Cuplikan kerangka Resource Manager yang disingkat berikut menunjukkan atribut clusterSettings:
"resources": [
{
"apiVersion": "2021-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"properties": {
"clusterSettings": [
{
"name": "nameOfCustomSetting",
"value": "valueOfCustomSetting"
}
],
"internalLoadBalancingMode": ...,
etc...
}
}
Atribut clusterSettings dapat disertakan dalam template Resource Manager untuk memperbarui App Service Environment.
Gunakan Azure Resource Explorer untuk memperbarui App Service Environment
Atau, Anda dapat memperbarui App Service Environment dengan menggunakan Azure Resource Explorer.
- Di Penjelajah Sumber Daya, buka simpul untuk Lingkungan Azure App Service (langganan>{langganan Anda}>resourceGroups>{Grup Sumber Daya Anda}>penyedia>Microsoft.Web>Lingkungan hosting). Kemudian klik App Service Environment tertentu yang ingin Anda perbarui.
- Di panel kanan, klik Baca/Tulis di bilah alat atas untuk mengizinkan pengeditan interaktif di Resource Explorer.
- Klik tombol Edit berwarna biru untuk membuat templat Resource Manager dapat diedit.
- Gulir ke bagian bawah panel kanan. Atribut clusterSettings berada di bagian paling bawah, tempat Anda dapat memasukkan atau memperbarui nilainya.
- Ketik (atau salin dan tempel) larik nilai konfigurasi yang Anda inginkan di atribut clusterSettings.
- Klik tombol PUT berwarna hijau yang terletak di bagian atas panel kanan untuk melakukan perubahan ke App Service Environment.
Namun Anda mengirimkan perubahan, perubahan tidak segera dan dapat memakan waktu hingga 24 jam agar perubahan diterapkan sepenuhnya. Beberapa pengaturan memiliki detail khusus tentang waktu dan dampak mengonfigurasi pengaturan tertentu.
Mengaktifkan enkripsi internal
App Service Environment beroperasi sebagai sistem kotak hitam di mana Anda tidak dapat melihat komponen internal atau komunikasi di dalam sistem. Untuk mengaktifkan throughput yang lebih tinggi, enkripsi tidak diaktifkan secara default antar komponen internal. Sistem tersebut aman karena lalu lintas tidak dapat diakses untuk dipantau atau diakses. Jika Anda memiliki persyaratan kepatuhan yang memerlukan enkripsi lengkap jalur data secara menyeluruh, ada cara untuk mengaktifkan enkripsi jalur data lengkap dengan clusterSetting.
"clusterSettings": [
{
"name": "InternalEncryption",
"value": "true"
}
],
Menyetel Enkripsi Internal ke true mengenkripsi lalu lintas jaringan internal di Lingkungan Layanan Aplikasi Anda antara ujung depan dan pekerja, mengenkripsi file halaman dan juga mengenkripsi disk pekerja. Setelah InternalEncryption clusterSetting diaktifkan, dapat berdampak pada performa sistem Anda. Saat Anda membuat perubahan untuk mengaktifkan Enkripsi Internal, Lingkungan Layanan Aplikasi Anda akan berada dalam status tidak stabil hingga perubahan diterapkan sepenuhnya. Penyebaran lengkap perubahan dapat memakan waktu beberapa jam untuk diselesaikan, tergantung pada berapa banyak contoh yang Anda miliki di Lingkungan Layanan Aplikasi Anda. Kami sangat menyarankan Anda untuk tidak mengaktifkan Enkripsi Internal di Lingkungan Layanan Aplikasi saat sedang digunakan. Jika Anda perlu mengaktifkan Enkripsi Internal di Lingkungan Layanan Aplikasi yang digunakan secara aktif, kami sangat menyarankan Anda mengalihkan lalu lintas ke lingkungan cadangan hingga operasi selesai.
Menonaktifkan TLS 1.0 dan TLS 1.1
Jika Anda ingin mengelola pengaturan TLS berdasarkan aplikasi demi aplikasi, Anda dapat menggunakan panduan yang diberikan bersama dokumentasi Berlakukan pengaturan TLS.
Jika Anda ingin menonaktifkan semua lalu lintas TLS 1.0 dan TLS 1.1 masuk untuk semua aplikasi di Lingkungan Layanan Aplikasi, Anda dapat menyetel entri clusterSettings berikut:
"clusterSettings": [
{
"name": "DisableTls1.0",
"value": "1"
}
],
Nama pengaturan mengatakan 1.0 tetapi ketika dikonfigurasi, itu menonaktifkan TLS 1.0 dan TLS 1.1.
Mengubah pesanan cipher suite TLS
Lingkungan Layanan Aplikasi mendukung pengubahan rangkaian sandi dari default. Set cipher default adalah set yang sama yang digunakan dalam layanan multi-penyewa. Mengubah cipher suite memengaruhi seluruh penerapan Layanan Aplikasi sehingga ini hanya mungkin dilakukan di Lingkungan Layanan Aplikasi penyewa tunggal. Ada dua suite sandi yang diperlukan untuk Lingkungan Layanan Aplikasi; TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, dan TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Jika Anda ingin mengoperasikan Lingkungan Layanan Aplikasi Anda dengan rangkaian cipher suite terkuat dan paling minimal, maka gunakan hanya dua cipher yang diperlukan. Untuk mengonfigurasi Lingkungan Layanan Aplikasi agar hanya menggunakan sandi yang diperlukan, ubah clusterSettings seperti yang ditunjukkan di bawah ini.
"clusterSettings": [
{
"name": "FrontEndSSLCipherSuiteOrder",
"value": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
}
],
Peringatan
Jika salah menetapkan nilai untuk suite cipher yang tidak dapat dipahami SChannel, semua komunikasi TLS ke server Anda mungkin berhenti berfungsi. Dalam kasus seperti itu, Anda harus menghapus entri FrontEndSSLCipherSuiteOrder dari clusterSettings dan mengirimkan templat Resource Manager yang diperbarui untuk kembali ke pengaturan suite cipher default. Harap gunakan fungsi ini dengan hati-hati.
Memulai
Situs template Azure Quickstart Resource Manager menyertakan templat dengan definisi dasar untuk membuat App Service Environment.