Бөлісу құралы:


Суффикс личного домена для Среды службы приложений

Среда службы приложений — это компонент службы приложений Azure, предоставляющий полностью изолированную и выделенную среду для безопасного выполнения приложений службы приложений в большом масштабе. Параметры DNS для суффикса домена по умолчанию вашей Среды службы приложений не ограничивают получение доступа к приложениям только по этим именам. Суффикс личного домена — это функция Среды службы приложений внутренней подсистемы балансировки нагрузки (ILB), которая позволяет использовать собственный суффикс домена для доступа к приложениям в Среде службы приложений.

Сведения о том, как создать среду службы приложений, см. в статье Создание среды службы приложений версии 3.

Примечание.

В этой статье рассматриваются функции, преимущества и варианты использования среды службы приложений версии 3, которые используются с планами службы приложений (Изолированный (версия 2)»).

Суффикс личного домена определяет корневой домен, используемый Среда службы приложений. В общедоступной версии службы приложений Azure корневой домен по умолчанию для всех веб-приложений — azurewebsites.net. Для Среды службы приложений ILB корневой домен по умолчанию — appserviceenvironment.net. Однако, так как Среда службы приложений ILB является внутренней для виртуальной сети клиента, клиенты могут использовать корневой домен в дополнение к домену по умолчанию, который имеет смысл использовать во внутренней виртуальной сети компании. Например, гипотетическая корпорация Contoso может использовать корневой домен по умолчанию internal.contoso.com для приложений, предназначенных только для разрешения и доступа в виртуальной сети Contoso. Приложение в этой виртуальной сети может быть достигнуто путем доступа к APP-NAME.internal.contoso.com.

Суффикс личного домена предназначен для Среды службы приложений. Эта функция отличается от привязки личного домена в Службе приложений. Дополнительные сведения о привязке личных доменов см. в разделе Сопоставление существующего настраиваемого DNS-имени со Службой приложений Azure.

Если сертификат, используемый для суффикса личного домена, содержит запись альтернативного имени субъекта (SAN) для *.scm. ПОЛЬЗОВАТЕЛЬСКИЙ ДОМЕН, сайт SCM также доступен из APP-NAME.scm.CUSTOM-DOMAIN. Доступ к scm можно получить только через личный домен с помощью базовой проверки подлинности. Единый вход возможен только с корневым доменом по умолчанию.

В отличие от предыдущих версий, конечные точки FTPS для Служба приложений в Среда службы приложений версии 3 можно достичь только суффиксом домена по умолчанию.

Подключение к конечной точке суффикса личного домена должно использовать указание имени сервера (SNI) для подключений на основе TLS.

Необходимые компоненты

  • Вариант ILB Среды службы приложений версии 3.
  • Допустимый сертификат SSL/TLS должен храниться в Azure Key Vault. Формат PFX. Дополнительные сведения об использовании сертификатов со Службой приложений см. в разделе Добавление TLS/SSL-сертификата в Службу приложений Azure.
  • Сертификат должен быть меньше 20 кб.

Управляемое удостоверение

Управляемое удостоверение используется для проверки подлинности в Azure Key Vault, где хранится сертификат SSL/TLS. Если у вас нет управляемого удостоверения, связанного с Среда службы приложений, необходимо настроить его.

Используйте удостоверение, назначаемое системой или пользователем. Сведения о создании удостоверения, назначаемого пользователем, см. в статье Администрирование управляемых удостоверений, назначаемых пользователем. Если вы хотите использовать управляемое удостоверение, назначаемое системой и еще не назначаемое Среда службы приложений, интерфейс портала суффикса личного домена поможет вам выполнить процесс создания. Кроме того, вы можете перейти на страницу Удостоверение Среды службы приложений, чтобы настроить и назначить управляемые удостоверения.

Чтобы включить управляемое удостоверение, назначаемое системой, задайте для свойства "Состояние" значение "Вкл".

Снимок экрана: пример управляемого удостоверения, назначаемого системой, для Среды службы приложений.

Чтобы назначить управляемое удостоверение, назначаемое пользователем, выберите "Добавить и найти управляемое удостоверение, которое вы хотите использовать.

Снимок экрана: пример управляемого удостоверения, назначаемого пользователем, для Среды службы приложений.

Назначив управляемое удостоверение Среде службы приложений, убедитесь в том, что у него достаточно разрешений для Azure Key Vault. Вы можете использовать политику доступа к хранилищу или управление доступом на основе ролей Azure.

Если вы используете политику доступа к хранилищу, управляемое удостоверение должно иметь минимальное разрешение "Получить" секреты для хранилища ключей.

Снимок экрана: пример политики доступа к хранилищу ключей для управляемого удостоверения.

Если вы решили использовать управление доступом на основе ролей Azure для управления доступом к хранилищу ключей, необходимо предоставить управляемое удостоверение как минимум роли "Пользователь секретов Key Vault".

Снимок экрана: пример управления доступом к хранилищу ключей на основе ролей для управляемого удостоверения.

Сертификат

Сертификат для суффикса личного домена должен храниться в Azure Key Vault. Сертификат должен быть отправлен в . Формат PFX и размер меньше 20 кб. Сертификаты в . В настоящее время формат PEM не поддерживается. Среда службы приложений использует управляемое удостоверение, выбранное для получения сертификата.

Сертификат должен быть сертификатом-шаблоном для выбранного личного доменного имени. Например, internal.contoso.com потребуется сертификат, охватывающий *.internal.contoso.com. Если сертификат, используемый суффиксом личного домена, содержит запись альтернативного имени субъекта (SAN), например *.scm.internal.contoso.com, сайт scm также доступен с помощью суффикса личного домена.

При смене сертификата в Azure Key Vault Среда службы приложений выбирает изменение в течение 24 часов.

Сетевой доступ к Key Vault

Хранилище ключей можно получить общедоступным доступом или через частную конечную точку, доступную из подсети, в которую развертывается Среда службы приложений. Сведения о настройке частной конечной точки см. в статье "Интеграция Key Vault с Приватный канал Azure". Если вы используете общедоступный доступ, вы можете защитить хранилище ключей только для приема трафика из исходящего IP-адреса Среда службы приложений. Среда службы приложений использует исходящий IP-адрес платформы в качестве исходного адреса при доступе к хранилищу ключей. IP-адрес можно найти на странице IP-адресов в портал Azure.

Снимок экрана: страница IP-адресов в портал Azure.

Использование портала Azure для настройки суффикса личного домена

  1. На портале Azure перейдите на страницу Суффикс личного домена для Среды службы приложений.
  2. введите имя личного домена.
  3. Выберите управляемое удостоверение, определяющее для Среда службы приложений. Используйте удостоверение, назначаемое системой или пользователем. Вы можете настроить управляемое удостоверение, если это еще не сделано. Управляемое удостоверение можно настроить непосредственно на странице суффикса личного домена с помощью параметра "Добавить удостоверение" в поле выбора управляемого удостоверения. Снимок экрана: область настройки для выбора и изменения управляемого удостоверения Среды службы приложений.
  4. Выберите сертификат для суффикса личного домена.
    1. Если вы используете частную конечную точку для доступа к хранилищу ключей, так как сетевой доступ ограничен частной конечной точкой, вы не можете использовать интерфейс портала для выбора сертификата. Необходимо вручную ввести URL-адрес сертификата.
  5. Щелкните "Сохранить" в верхней части страницы. Чтобы просмотреть последние обновления конфигурации, обновите страницу. Снимок экрана: общий вид интерфейса портала для настройки суффикса личного домена.
  6. Чтобы настроить конфигурацию суффикса личного домена, потребуется несколько минут. Проверьте состояние, нажав кнопку "Обновить" в верхней части страницы. Баннер обновляется с помощью последнего хода выполнения. После завершения процесса на баннере будет указано, что суффикс личного домена настроен. Снимок экрана: пример страницы с сообщением об успешной настройке суффикса личного домена.

Настройка суффикса личного домена с помощью Azure Resource Manager

Чтобы настроить суффикс личного домена для Среда службы приложений с помощью шаблона Azure Resource Manager, необходимо включить следующие свойства. Убедитесь, что выполнены предварительные требования, и что управляемое удостоверение и сертификат доступны и имеют соответствующие разрешения для Azure Key Vault.

Необходимо настроить управляемое удостоверение и убедиться, что он существует перед назначением его в шаблоне. Дополнительные сведения об управляемых удостоверениях см. в статье Что такое управляемые удостоверения для ресурсов Azure?

Использование управляемого удостоверения, назначаемого пользователем

"resources": [
{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/hostingEnvironments",
    "name": ...,
    "location": ...,
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/asev3-cdns-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ase-cdns-managed-identity"
        }
    },
    "properties": {
        "customDnsSuffixConfiguration": {
            "dnsSuffix": "antares-test.net",
            "certificateUrl": "https://kv-sample-key-vault.vault.azure.net/secrets/wildcard-antares-test-net",
            "keyVaultReferenceIdentity": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/asev3-cdns-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ase-cdns-managed-identity"
        },
        "internalLoadBalancingMode": "Web, Publishing",
        etc...
    }
}

Использование управляемого удостоверения, назначаемого системой

"resources": [
{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/hostingEnvironments",
    "name": ...,
    "location": ...,
    "identity": {
        "type": "SystemAssigned"
    }
    "properties": {
        "customDnsSuffixConfiguration": {
            "dnsSuffix": "antares-test.net",
            "certificateUrl": "https://kv-sample-key-vault.vault.azure.net/secrets/wildcard-antares-test-net",
            "keyVaultReferenceIdentity": "systemassigned"
        },
        "internalLoadBalancingMode": "Web, Publishing",
        etc...
    }
}

Настройка суффикса личного домена с помощью обозревателя ресурсов Azure

Среду службы приложений ILB можно также обновлять с помощью обозревателя ресурсов Azure.

  1. В Обозревателе ресурсов перейдите к узлу для Среды службы приложений (subscriptions>{ваша подписка}>resourceGroups>{ваша группа ресурсов}>providers>Microsoft.Web>hostingEnvironments). Затем выберите ту Среду службы приложений, которую хотите обновить.
  2. В верхней панели инструментов щелкните Чтение/запись, чтобы разрешить интерактивное редактирование в обозревателе ресурсов.
  3. Нажмите кнопку Изменить, чтобы сделать шаблон Resource Manager доступным для редактирования.
  4. Прокрутите область справа вниз. Атрибут customDnsSuffixConfiguration находится внизу.
  5. Введите значения атрибутов dnsSuffix, certificateUrl и keyVaultReferenceIdentity.
  6. Перейдите к атрибуту identity и введите сведения, связанные с используемым управляемым удостоверением.
  7. Нажмите кнопку PUT вверху, чтобы зафиксировать изменение в Среда службы приложений.
  8. ПодготовкаState в customDnsSuffixConfiguration предоставляет состояние обновления конфигурации.

DNS configuration (Настройка DNS)

Чтобы получить доступ к приложениям в Среда службы приложений суффикс личного домена, необходимо настроить собственный DNS-сервер или настроить DNS в частной зоне DNS Azure для личного домена.

Если нужно использовать собственный DNS-сервер, необходимо добавить следующие записи:

  1. Создайте зону для личного домена.
  2. Создайте в этой зоне запись A, которая указывает * на входящий IP-адрес, используемый вашей ASE.
  3. Создайте в этой зоне запись A, которая указывает @ на входящий IP-адрес, используемый вашей ASE.
  4. При необходимости создайте зону для поддомена scm с записью *A, указывающей на входящий IP-адрес, используемый Среда службы приложений

Чтобы настроить DNS в частных зонах Azure DNS, выполните следующие действия:

  1. Создайте частную зону Azure DNS с именем личного домена. В следующем примере личный домен internal.contoso.com.
  2. Создайте в этой зоне запись A, которая указывает * на входящий IP-адрес, используемый вашей ASE.
  3. Создайте в этой зоне запись A, которая указывает @ на входящий IP-адрес, используемый вашей ASE. Снимок экрана: пример конфигурации DNS для суффикса личного домена.
  4. Свяжите частную зону Azure DNS с виртуальной сетью Среды службы приложений. Снимок экрана: пример связи с виртуальной сетью для частной зоны DNS.
  5. При необходимости создайте запись A в этой зоне, которая указывает *.scm на входящий IP-адрес, используемый Среда службы приложений.

Дополнительные сведения о настройке DNS для домена см. в статье Использование Среды службы приложений.

Примечание.

Помимо настройки DNS для суффикса личного домена, следует также рассмотреть возможность настройки DNS для суффикса домена по умолчанию, чтобы обеспечить все функции Служба приложений функций должным образом.

Доступ к приложениям

После настройки суффикса личного домена и DNS для Среды службы приложений можно перейти на страницу Личные домены для одного из приложений Службы приложений в Среде службы приложений и подтвердить добавление назначенного личного домена для приложения.

Снимок экрана: пример личного домена для приложения, созданного функцией суффикса личного домена для Среды службы приложений.

Доступ к приложениям в Среде службы приложений ILB можно безопасно получать по протоколу HTTPS, переходя в настроенный личный домен или домен по умолчанию appserviceenvironment.net, как на предыдущем изображении. Доступ к приложениям с помощью домена Среды службы приложений по умолчанию и личного домена является уникальной возможностью, которая поддерживается только в Среде службы приложений версии 3.

Однако так же, как и приложения, работающие в общедоступной мультитенантной службе, можно также настроить пользовательские имена узлов для отдельных приложений, а затем настроить уникальные привязки SSL-сертификата SNI для отдельных приложений.

Устранение неполадок

Платформа Служба приложений периодически проверяет, может ли Среда службы приложений получить доступ к хранилищу ключей и если сертификат действителен. Если разрешения или параметры сети для управляемого удостоверения, хранилища ключей или Среда службы приложений не заданы соответствующим образом или недавно изменены, вы не сможете настроить суффикс личного домена. Вы получите ошибку, аналогичную примеру, показанном на снимке экрана. Проверьте предварительные требования, чтобы убедиться, что настроены необходимые разрешения. Вы также увидите аналогичное сообщение об ошибке, если платформа Служба приложений обнаруживает, что сертификат ухудшается или истек.

Снимок экрана: пример сообщения об ошибке для суффикса личного домена.

Следующие шаги