Testen achter een firewall
Als u de beschikbaarheid van eindpunten achter firewalls wilt garanderen, schakelt u openbare beschikbaarheidstests in of voert u beschikbaarheidstests uit in niet-verbonden of geen toegangsbeheerobjectscenario's.
Inschakeling van openbare beschikbaarheidstest
Zorg ervoor dat uw interne website een openbare DNS-record (Domain Name System) heeft. Beschikbaarheidstests mislukken als DNS niet kan worden omgezet. Zie Een aangepaste domeinnaam maken voor een interne toepassing voor meer informatie.
Waarschuwing
De IP-adressen die door de service voor beschikbaarheidstests worden gebruikt, worden gedeeld en kunnen uw met firewall beveiligde service-eindpunten beschikbaar maken voor andere tests. Het filteren van IP-adressen alleen beveiligt het verkeer van uw service niet, dus het is raadzaam om extra aangepaste headers toe te voegen om de oorsprong van de webaanvraag te controleren. Zie Servicetags voor virtuele netwerken voor meer informatie.
Verkeer verifiëren
Stel aangepaste headers in standaard beschikbaarheidstests in om verkeer te valideren.
Genereer een token of GUID om verkeer van uw beschikbaarheidstests te identificeren.
Voeg de aangepaste header X-Customer-InstanceId toe met de waarde
ApplicationInsightsAvailability:<GUID generated in step 1>in de sectie Standaardtestgegevens bij het maken of bijwerken van uw beschikbaarheidstests.Zorg ervoor dat uw service controleert of binnenkomend verkeer de header en waarde bevat die in de vorige stappen zijn gedefinieerd.
U kunt het token ook instellen als een queryparameter. Bijvoorbeeld: https://yourtestendpoint/?x-customer-instanceid=applicationinsightsavailability:<your guid>.
Uw firewall configureren om binnenkomende aanvragen van beschikbaarheidstests toe te laten
Notitie
Dit voorbeeld is specifiek voor het gebruik van servicetags voor netwerkbeveiligingsgroepen. Veel Azure-services accepteren servicetags, die elk verschillende configuratiestappen vereisen.
Gebruik servicetags om het inschakelen van Azure-services te vereenvoudigen zonder afzonderlijke IP-adressen te autoriseren of een up-to-date IP-lijst te onderhouden. Pas deze tags toe in Azure Firewall- en netwerkbeveiligingsgroepen, zodat de beschikbaarheidstestservice toegang heeft tot uw eindpunten. De servicetag
ApplicationInsightsAvailabilityis van toepassing op alle beschikbaarheidstests.Als u Azure-netwerkbeveiligingsgroepen gebruikt, gaat u naar de resource van uw netwerkbeveiligingsgroep en selecteert u inkomende beveiligingsregels onder Instellingen. Selecteer vervolgens Toevoegen.
Selecteer vervolgens Servicetag als de bron en selecteer ApplicationInsightsAvailability als de bronservicetag. Gebruik open poorten 80 (http) en 443 (https) voor binnenkomend verkeer van de servicetag.
Als u de toegang wilt beheren wanneer uw eindpunten zich buiten Azure bevinden of wanneer servicetags geen optie zijn, staat u de IP-adressen van onze webtestagents toe. U kunt query's uitvoeren op IP-bereiken met behulp van PowerShell, Azure CLI of een REST-aanroep met de Service Tag-API. Download het JSON-bestand voor een uitgebreide lijst met huidige servicetags en hun IP-gegevens.
Selecteer in de resource van uw netwerkbeveiligingsgroep onder Instellingen de beveiligingsregels voor binnenkomend verkeer. Selecteer vervolgens Toevoegen.
Selecteer vervolgens IP-adressen als bron. Voeg vervolgens uw IP-adressen toe aan een door komma's gescheiden lijst in bron-IP-adres-/CIRD-bereiken.
Niet-verbonden of geen toegangsbeheerscenario's
- Verbinding maken uw Application Insights-resource naar uw interne service-eindpunt met behulp van Azure Private Link.
- Schrijf aangepaste code om uw interne server of eindpunten periodiek te testen. Verzend de resultaten naar Application Insights met behulp van de TrackAvailability() API in het kern-SDK-pakket.
Probleemoplossing
Zie het artikel over probleemoplossing voor meer informatie.