Aangepaste configuratie-instellingen voor App Service Environment-omgevingen
Overzicht
Omdat App Service Environment-omgevingen per klant geïsoleerd zijn, zijn er bepaalde configuratie-instellingen die uitsluitend op App Service Environment-omgevingen kunnen worden toegepast. In dit artikel vindt u een beschrijving van de specifieke aanpassingen die beschikbaar zijn voor App Service-omgevingen.
Notitie
In dit artikel worden de functies, voordelen en gebruiksvoorbeelden van App Service Environment v3 beschreven, die worden gebruikt met App Service Isolated v2-abonnementen.
Als u geen App Service Environment hebt, raadpleegt u Een App Service Environment v3 maken.
U kunt App Service Environment-aanpassingen opslaan met behulp van een matrix in het nieuwe kenmerk clusterSettings. Dit kenmerk is te vinden in de woordenlijst 'Eigenschappen' van de Azure Resource Manager-entiteit hostingEnvironments.
Het volgende verkorte Resource Manager-sjablooncodefragment bevat het kenmerk clusterSettings:
"resources": [
{
"apiVersion": "2021-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"properties": {
"clusterSettings": [
{
"name": "nameOfCustomSetting",
"value": "valueOfCustomSetting"
}
],
"internalLoadBalancingMode": ...,
etc...
}
}
Het kenmerk clusterSettings kan worden opgenomen in een Resource Manager-sjabloon om de App Service Environment-omgeving bij te werken.
Een App Service Environment-omgeving bijwerken met behulp van Azure Resource Explorer
U kunt de App Service Environment-omgeving ook bijwerken met behulp van Azure Resource Explorer.
- Ga in Resource Explorer naar het knooppunt voor de App Service Environment (abonnementen>{uw subscription}>resourceGroups>{uw resourcegroep}>providers>Microsoft.Web>hostingEnvironments). Klik vervolgens op de specifieke App Service Environment-omgeving die u wilt bijwerken.
- Klik in het rechterdeelvenster op Read/Write (Lezen/Schrijven) in de bovenste werkbalk om interactieve bewerkingen in Resource Explorer toe te staan.
- Klik op de blauwe knop Edit (Bewerken) zodat de Resource Manager-sjabloon kan worden bewerkt.
- Schuif omlaag naar het einde van het rechterdeelvenster. Het kenmerk clusterSettings staat helemaal onderaan, waar u de waarde ervan kunt invoeren of bijwerken.
- Typ (of kopieer en plak) de matrix van de gewenste configuratiewaarden in het kenmerk clusterSettings.
- Klik op de groene knop PUT bovenin het rechterdeelvenster om de wijziging door te voeren in de App Service Environment-omgeving.
U dient de wijziging echter in, de wijziging is niet onmiddellijk en het kan maximaal 24 uur duren voordat de wijziging volledig van kracht wordt. Sommige instellingen hebben specifieke details over de tijd en impact van het configureren van de specifieke instelling.
Interne versleuteling inschakelen
De App Service Environment fungeert als een zwarte doossysteem waarin u de interne onderdelen of de communicatie binnen het systeem niet kunt zien. Voor een hogere doorvoer is versleuteling niet standaard ingeschakeld tussen interne onderdelen. Het systeem is beveiligd omdat het verkeer niet toegankelijk is om te worden bewaakt of geopend. Als u echter een nalevingsvereiste hebt waarvoor volledige versleuteling van het gegevenspad van begin tot eind is vereist, is er een manier om versleuteling van het volledige gegevenspad met een clusterSetting in te schakelen.
"clusterSettings": [
{
"name": "InternalEncryption",
"value": "true"
}
],
Als u InternalEncryption instelt op true, wordt intern netwerkverkeer in uw App Service Environment tussen de front-ends en werkrollen versleuteld, wordt het paginabestand versleuteld en worden ook de werkschijven versleuteld. Nadat de InternalEncryption clusterSetting is ingeschakeld, kan dit gevolgen hebben voor de prestaties van uw systeem. Wanneer u de wijziging aanbrengt om InternalEncryption in te schakelen, heeft uw App Service-omgeving een instabiele status totdat de wijziging volledig is doorgegeven. Het kan enkele uren duren voordat de wijziging is doorgevoerd, afhankelijk van het aantal exemplaren in uw App Service Environment. We raden u ten zeerste aan InternalEncryption niet in te schakelen in een App Service-omgeving terwijl deze in gebruik is. Als u InternalEncryption moet inschakelen voor een actief gebruikte App Service Environment, raden we u ten zeerste aan om verkeer om te leiden naar een back-upomgeving totdat de bewerking is voltooid.
TLS 1.0 en TLS 1.1 uitschakelen
Als u TLS-instellingen voor afzonderlijke apps wilt beheren, kunt u gebruikmaken van de richtlijnen in de documentatie voor TLS-instellingen afdwingen.
Als u al het binnenkomende TLS 1.0- en TLS 1.1-verkeer voor alle apps in een App Service-omgeving wilt uitschakelen, kunt u de volgende clusterSettings-vermelding instellen:
"clusterSettings": [
{
"name": "DisableTls1.0",
"value": "1"
}
],
De naam van de instelling geeft 1.0 aan, maar wanneer deze vermelding is geconfigureerd, wordt zowel TLS 1.0 als 1.1 TLS uitgeschakeld.
Volgorde van TLS-suite met coderingsmethoden wijzigen
App Service Environment biedt ondersteuning voor het wijzigen van het coderingspakket van de standaardinstelling. De standaardset met coderingen is dezelfde set die wordt gebruikt in de App Service voor meerdere tenants. Het wijzigen van de coderingssuite is alleen mogelijk met App Service Environment, de aanbieding met één tenant, niet de aanbieding voor meerdere tenants, omdat het wijzigen ervan van invloed is op de volledige App Service-implementatie. Er zijn twee coderingssuites vereist voor een App Service Environment: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 en TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Daarnaast moet u de volgende coderingssuites opnemen, die vereist zijn voor TLS 1.3: TLS_AES_256_GCM_SHA384 en TLS_AES_128_GCM_SHA256.
Als u uw App Service-omgeving wilt configureren voor gebruik van alleen de coderingen die hiervoor nodig zijn, wijzigt u de clusterSettings , zoals wordt weergegeven in het volgende voorbeeld. Zorg ervoor dat de TLS 1.3-coderingen aan het begin van de lijst zijn opgenomen.
"clusterSettings": [
{
"name": "FrontEndSSLCipherSuiteOrder",
"value": "TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
}
],
Waarschuwing
Als er onjuiste waarden voor de suite met coderingsmethoden worden ingesteld en deze niet worden begrepen in SChannel, is er wellicht geen TLS-communicatie met de server meer mogelijk. In dat geval moet u de vermelding FrontEndSSLCipherSuiteOrder uit clusterSettings verwijderen en de bijgewerkte Resource Manager-sjabloon opnieuw indienen om de standaardinstellingen voor de suite met coderingsmethoden terug te zetten. Gebruik deze functionaliteit voorzichtig.
Aan de slag
De website met Azure Quick Start Resource Manager-sjablonen bevat een sjabloon met de basisdefinitie voor het maken van een App Service Environment-omgeving.