Detail konfigurasi jaringan untuk Azure App Service Environment untuk Power Apps dengan Azure ExpressRoute

Penting

Artikel ini tentang Lingkungan App Service v1. App Service Environment v1 akan dihentikan pada 31 Agustus 2024. Terdapat versi baru Lingkungan App Service yang lebih mudah digunakan dan berjalan di infrastruktur yang lebih kuat. Untuk mempelajari selengkapnya tentang versi baru, mulai dengan Pengantar Lingkungan App Service. Jika saat ini Anda menggunakan Lingkungan App Service v1, ikuti langkah-langkah dalam artikel ini untuk bermigrasi ke versi baru.

Mulai 29 Januari 2024, Anda tidak dapat lagi membuat sumber daya App Service Environment v1 baru menggunakan salah satu metode yang tersedia termasuk templat ARM/Bicep, Portal Microsoft Azure, Azure CLI, atau REST API. Anda harus bermigrasi ke App Service Environment v3 sebelum 31 Agustus 2024 untuk mencegah penghapusan sumber daya dan kehilangan data.

Pelanggan dapat menghubungkan sirkuit Azure ExpressRoute ke infrastruktur jaringan virtual mereka untuk memperluas jaringan lokal mereka ke Azure. Azure App Service Environment dibuat dalam subnet infrastruktur jaringan virtual. Aplikasi yang berjalan di Azure App Service Environment membuat koneksi aman ke sumber daya back-end yang hanya dapat diakses melalui koneksi ExpressRoute.

Azure App Service Environment dapat dibuat dalam skenario berikut:

• Jaringan virtual Azure Resource Manager.
• Jaringan virtual model penyebaran klasik.
• Jaringan virtual yang menggunakan rentang alamat publik atau ruang alamat RFC1918 (yaitu, alamat pribadi).

Catatan

Meskipun artikel ini mengacu pada aplikasi web, artikel ini juga berlaku untuk aplikasi API dan aplikasi seluler.

Konektivitas jaringan yang diperlukan

Azure App Service Environment memiliki persyaratan konektivitas jaringan yang awalnya mungkin tidak terpenuhi dalam jaringan virtual yang terhubung ke ExpressRoute.

Azure App Service Environment mengharuskan pengaturan konektivitas jaringan berikut agar berfungsi dengan baik:

• Konektivitas jaringan keluar ke titik akhir Azure Storage di seluruh dunia pada port 80 dan port 443. Titik akhir ini terletak di wilayah yang sama dengan Azure App Service Environment dan juga wilayah Azure lainnya. Titik akhir Microsoft Azure Storage memperbaiki berdasarkan domain DNS berikut: table.core.windows.net, blob.core.windows.net, queue.core.windows.net, dan file.core.windows.net.

• Konektivitas jaringan keluar ke layanan Azure Files pada port 445.

• Konektivitas jaringan keluar ke titik akhir Azure SQL Database yang terletak di wilayah yang sama dengan Azure App Service Environment. Titik akhir Microsoft Azure SQL Database diselesaikan di bawah domain database.windows.net, yang memerlukan akses terbuka ke port 1433, 11000-11999, dan 14000-14999. Untuk detail tentang penggunaan port SQL Database V12, lihat Port di luar 1433 untuk ADO.NET 4.5.

• Konektivitas jaringan keluar ke titik akhir bidang manajemen Azure (titik akhir model penerapan klasik Azure dan Azure Resource Manager). Konektivitas ke titik akhir ini mencakup domain management.core.windows.net dan management.azure.com.

• Konektivitas jaringan keluar ke domain ocsp.msocsp.com, mscrl.microsoft.com, dan crl.microsoft.com. Konektivitas ke domain ini diperlukan untuk mendukung fungsionalitas TLS.

• Konfigurasi DNS untuk jaringan virtual harus dapat mengatasi semua titik akhir dan domain yang disebutkan dalam artikel ini. Jika titik akhir tidak dapat diselesaikan, pembuatan Azure App Service Environment gagal. Azure App Service Environment apa pun yang ada ditandai sebagai tidak sehat.

• Akses keluar pada port 53 diperlukan untuk komunikasi dengan server DNS.

• Jika server DNS kustom ada di ujung lain gateway VPN, server DNS harus dapat dijangkau dari subnet yang berisi Azure App Service Environment.

• Jalur jaringan keluar tidak dapat melakukan perjalanan melalui proksi perusahaan internal dan tidak dapat disalurkan paksa secara lokal. Tindakan ini mengubah alamat NAT yang efektif dari lalu lintas jaringan keluar dari Azure App Service Environment. Perubahan pada alamat NAT lalu lintas jaringan keluar Azure App Service Environment menyebabkan kegagalan konektivitas ke banyak titik akhir. Pembuatan Azure App Service Environment gagal. Azure App Service Environment apa pun yang ada ditandai sebagai tidak sehat.

• Akses jaringan masuk ke port yang diperlukan untuk Azure App Service Environment harus diizinkan. Untuk detailnya, lihat Cara mengontrol lalu lintas masuk ke Azure App Service Environment.

Untuk memenuhi persyaratan DNS, pastikan infrastruktur DNS yang valid dikonfigurasi dan dikelola untuk jaringan virtual. Jika konfigurasi DNS diubah setelah pembuatan Azure App Service Environment, pengembang dapat memaksa Azure App Service Environment untuk mengambil konfigurasi DNS baru. Anda dapat memicu reboot lingkungan bergulir dengan menggunakan ikon Mulai Ulang di bawah manajemen Azure App Service Environment di portal Microsoft Azure. Reboot menyebabkan lingkungan mengambil konfigurasi DNS baru.

Untuk memenuhi persyaratan akses jaringan masuk, konfigurasikan grup keamanan jaringan (NSG) pada subnet Azure App Service Environment. NSG memungkinkan akses yang diperlukan untuk mengontrol lalu lintas masuk ke Azure App Service Environment.

Konektivitas jaringan keluar

Secara default, sirkuit ExpressRoute yang baru dibuat mengiklankan rute default yang memungkinkan konektivitas internet keluar. Azure App Service Environment dapat menggunakan konfigurasi ini untuk menyambungkan ke titik akhir Azure lainnya.

Konfigurasi pelanggan umum adalah menentukan rute default mereka sendiri (0.0.0.0/0), yang memaksa lalu lintas internet keluar untuk mengalir secara lokal. Arus lalu lintas ini selalu merusak Azure App Service Environment. Lalu lintas keluar diblokir secara lokal atau NAT ke sekumpulan alamat yang tidak dapat dikenali yang tidak lagi berfungsi dengan berbagai titik akhir Azure.

Solusinya adalah menentukan satu (atau beberapa) rute yang ditentukan pengguna (UDR) pada subnet yang berisi Azure App Service Environment. UDR mendefinisikan rute khusus subnet yang diutamakan, bukan rute default.

Jika memungkinkan, gunakan konfigurasi berikut:

• Konfigurasi ExpressRoute mengiklankan 0.0.0.0/0. Secara default, kekuatan konfigurasi menyalurkan semua lalu lintas keluar secara lokal.
• UDR yang diterapkan ke subnet yang berisi Azure App Service Environment mendefinisikan 0.0.0.0/0 dengan jenis internet hop berikutnya. Contoh konfigurasi ini dijelaskan nanti di artikel ini.

Efek gabungan dari konfigurasi ini adalah bahwa UDR tingkat subnet lebih diutamakan daripada penerowongan paksa ExpressRoute. Akses internet keluar dari Azure App Service Environment dijamin.

Penting

Rute yang ditentukan dalam UDR harus cukup spesifik untuk diutamakan atas rute apa pun yang ditampilkan oleh konfigurasi ExpressRoute. Contoh yang dijelaskan di bagian berikutnya menggunakan rentang alamat 0.0.0.0/0 yang luas. Rentang ini dapat secara tidak disengaja dihapus oleh iklan rute yang menggunakan rentang alamat yang lebih spesifik.

Azure App Service Environment tidak didukung dengan konfigurasi ExpressRoute yang mengiklankan rute dari jalur peering publik ke jalur peering privat. Konfigurasi ExpressRoute yang memiliki peering publik dikonfigurasi menerima iklan rute dari Microsoft untuk sekumpulan besar rentang alamat IP Microsoft Azure. Jika rentang alamat ditampilkan secara silang di jalur peering pribadi, semua paket jaringan keluar dari subjaringan Azure App Service Environment akan dirutekan ke infrastruktur jaringan lokal pelanggan. Aliran jaringan ini saat ini tidak didukung dengan Azure App Service Environment. Salah satu solusi atas masalah ini adalah menghentikan rute lintas tampilan dari jalur peering publik ke jalur peering privat.

Untuk informasi latar belakang tentang rute yang ditentukan pengguna, lihat Perutean lalu lintas jaringan virtual.

Untuk mempelajari cara membuat dan mengonfigurasi rute yang ditentukan pengguna, lihat Merutekan lalu lintas jaringan dengan tabel rute dengan menggunakan PowerShell.

Konfigurasi UDR

Bagian ini menampilkan contoh konfigurasi UDR untuk Azure App Service Environment.

Prasyarat

• Pasang Azure PowerShell dari halaman Unduhan Azure. Pilih unduhan dengan tanggal Juni 2015 atau yang lebih baru. Di bawah Alat baris perintah>Windows PowerShell, pilih Pasang untuk memasang cmdlet PowerShell terbaru.

• Buat subnet unik untuk penggunaan eksklusif oleh Azure App Service Environment. Subnet unik memastikan bahwa UDR yang diterapkan pada subnet membuka lalu lintas keluar hanya untuk Azure App Service Environment.

Penting

Hanya terapkan Azure App Service Environment setelah Anda menyelesaikan langkah-langkah konfigurasi. Langkah-langkah memastikan konektivitas jaringan keluar tersedia sebelum Anda mencoba menerapkan Azure App Service Environment.

Langkah 1: Membuat tabel rute

Buat tabel rute bernama DirectInternetRouteTable di wilayah Azure AS Barat, seperti yang diperlihatkan dalam cuplikan ini:

New-AzureRouteTable -Name 'DirectInternetRouteTable' -Location uswest

Langkah 2: Membuat rute dalam tabel

Tambahkan rute ke tabel rute untuk mengaktifkan akses internet keluar.

Konfigurasikan akses keluar ke internet. Tentukan rute untuk 0.0.0.0/0 seperti yang ditunjukkan dalam cuplikan ini:

Get-AzureRouteTable -Name 'DirectInternetRouteTable' | Set-AzureRoute -RouteName 'Direct Internet Range 0' -AddressPrefix 0.0.0.0/0 -NextHopType Internet

0.0.0.0/0 adalah rentang alamat yang luas. Rentang ini ditimpa oleh rentang alamat yang diiklankan oleh ExpressRoute yang lebih spesifik. UDR dengan rute 0.0.0.0/0 harus digunakan bersamaan dengan konfigurasi ExpressRoute yang hanya mengiklankan 0.0.0.0/0.

Sebagai alternatif, unduh daftar komprehensif rentang CIDR saat ini yang digunakan oleh Azure. File XML untuk semua rentang alamat IP Azure tersedia dari Pusat Unduhan Microsoft.

Catatan

Rentang alamat IP Azure berubah dari waktu ke waktu. Rute yang ditentukan pengguna memerlukan pembaruan manual berkala agar tetap sinkron.

Satu UDR memiliki batas atas default 100 rute. Anda perlu "meringkas" rentang alamat IP Azure agar pas dalam batas 100 rute. Rute yang ditentukan UDR harus lebih spesifik daripada rute yang diiklankan oleh koneksi ExpressRoute Anda.

Langkah 3: Mengaitkan tabel rute ke subnet

Kaitkan tabel rute ke subnet tempat Anda ingin menggunakan Azure App Service Environment. Perintah ini mengaitkan tabel DirectInternetRouteTable ke subnet ASESubnet yang akan berisi Azure App Service Environment.

Set-AzureSubnetRouteTable -VirtualNetworkName 'YourVirtualNetworkNameHere' -SubnetName 'ASESubnet' -RouteTableName 'DirectInternetRouteTable'

Langkah 4: Menguji dan mengonfirmasi rute

Setelah tabel rute terikat ke subnet, uji dan konfirmasi rute.

Terapkan komputer virtual ke subnet dan konfirmasikan kondisi ini:

• Lalu lintas keluar ke titik akhir Azure dan non-Azure yang dijelaskan dalam artikel ini tidak mengalir ke sirkuit ExpressRoute. Jika lalu lintas keluar dari subjaringan di terowongan paksa lokal, pembuatan Azure App Service Environment selalu gagal.
• Pencarian DNS untuk titik akhir yang dijelaskan dalam artikel ini semuanya diatasi dengan benar.

Setelah Anda menyelesaikan langkah-langkah konfigurasi dan mengonfirmasi rute, hapus komputer virtual. Subnet harus "kosong" saat Azure App Service Environment dibuat.

Sekarang Anda siap untuk menggunakan Azure App Service Environment!

Langkah berikutnya

Untuk memulai Lingkungan Layanan Aplikasi untuk Power Apps, lihat Pengantar Lingkungan Layanan Aplikasi.