Beheeradressen voor App Service Environment
Belangrijk
Dit artikel gaat over App Service Environment v2 die wordt gebruikt met geïsoleerde App Service-plannen. App Service Environment v2 wordt op 31 augustus 2024 buiten gebruik gesteld. Er is een nieuwe versie van App Service Environment die eenvoudiger te gebruiken is en wordt uitgevoerd op een krachtigere infrastructuur. Voor meer informatie over de nieuwe versie begint u met de inleiding tot de App Service-omgeving. Als u momenteel App Service Environment v2 gebruikt, volgt u de stappen in dit artikel om te migreren naar de nieuwe versie.
Vanaf 29 januari 2024 kunt u vanaf 29 januari 2024 geen nieuwe App Service Environment v2-resources meer maken met behulp van een van de beschikbare methoden, waaronder ARM/Bicep-sjablonen, Azure Portal, Azure CLI of REST API. U moet vóór 31 augustus 2024 migreren naar App Service Environment v3 om te voorkomen dat resources worden verwijderd en gegevens verloren gaan.
Vereisten
Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.
Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.
Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.
Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.
Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.
Samenvatting
De App Service Environment (ASE) is één tenantimplementatie van de Azure-app Service die wordt uitgevoerd in uw Virtuele Azure-netwerk. Hoewel de ASE wel wordt uitgevoerd in uw virtuele netwerk, moet deze nog steeds toegankelijk zijn vanaf een aantal toegewezen IP-adressen die door de Azure-app Service worden gebruikt om de service te beheren. In het geval van een ASE gaat het beheerverkeer via het door de gebruiker beheerde netwerk. Als dit verkeer wordt geblokkeerd of verkeerd wordt omgeleid, wordt de ASE onderbroken. Lees de overwegingen voor netwerken en de App Service-omgeving voor meer informatie over de ASE-netwerkafhankelijkheden. Voor algemene informatie over de ASE kunt u beginnen met Inleiding tot de App Service Environment.
Alle AS's hebben een openbaar VIP waarmee beheerverkeer binnenkomt. Het binnenkomende beheerverkeer van deze adressen komt van naar poort 454 en 455 op het openbare VIP van uw ASE. Dit document bevat de App Service-bronadressen voor beheerverkeer naar de ASE. Deze adressen bevinden zich ook in de IP-servicetag met de naam AppServiceManagement.
De adressen in de AppServiceManagement-servicetag kunnen worden geconfigureerd in een routetabel om asymmetrische routeringsproblemen met het beheerverkeer te voorkomen. Indien mogelijk moet u de servicetag gebruiken in plaats van de afzonderlijke adressen. Routes reageren op verkeer op IP-niveau en hebben geen kennis van verkeersrichting of dat het verkeer deel uitmaakt van een TCP-antwoordbericht. Als het antwoordadres voor een TCP-aanvraag anders is dan het adres waarnaar deze is verzonden, hebt u een asymmetrisch routeringsprobleem. Om asymmetrische routeringsproblemen met uw ASE-beheerverkeer te voorkomen, moet u ervoor zorgen dat antwoorden worden teruggestuurd vanaf hetzelfde adres waarnaar ze zijn verzonden. Lees Uw ASE configureren met geforceerde tunneling voor meer informatie over het configureren van uw ASE voor gebruik in een omgeving waarin uitgaand verkeer on-premises wordt verzonden.
Lijst met beheeradressen
Als u de IP-adressen voor de beheeradressen wilt zien, downloadt u de servicetagverwijzing voor uw regio om de meest recente lijst met adressen op te halen. De App Service Environment-beheeradressen worden vermeld in de AppServiceManagement-servicetag.
| Regio | Naslaginformatie over servicetags |
|---|---|
| Alle openbare regio's | Azure IP-bereiken en servicetags - Openbare cloud |
| Microsoft Azure Government | Azure IP-bereiken en servicetags - Cloud van de Amerikaanse overheid |
| Microsoft Azure beheerd door 21Vianet | Azure IP-bereiken en servicetags - Cloud voor China |
Een netwerkbeveiligingsgroep configureren
Met netwerkbeveiligingsgroepen hoeft u zich geen zorgen te maken over de afzonderlijke adressen of het onderhouden van uw eigen configuratie. Er is een IP-servicetag met de naam AppServiceManagement die up-to-date blijft met alle adressen. Als u deze IP-servicetag in uw NSG wilt gebruiken, gaat u naar de portal, opent u de gebruikersinterface van netwerkbeveiligingsgroepen en selecteert u inkomende beveiligingsregels. Als u een bestaande regel voor het binnenkomende beheerverkeer hebt, bewerkt u deze. Als deze NSG niet is gemaakt met uw ASE of als deze allemaal nieuw is, selecteert u Toevoegen. Selecteer servicetag in de vervolgkeuzelijst Bron. Selecteer AppServiceManagement onder de tag Bronservice. Stel de bronpoortbereiken in op *, Doel op Any, Doelpoortbereiken op 454-455, Protocol op TCP en Actie om toe te staan. Als u de regel maakt, moet u de prioriteit instellen.
Een routetabel configureren
De beheeradressen kunnen in een routetabel worden geplaatst met een volgende hop van internet om ervoor te zorgen dat al het binnenkomende beheerverkeer via hetzelfde pad terug kan gaan. Deze routes zijn nodig bij het configureren van geforceerde tunneling. Gebruik indien mogelijk de AppServiceManagement-servicetag in plaats van de afzonderlijke adressen. Als u de routetabel wilt maken, kunt u de portal, PowerShell of Azure CLI gebruiken. Hieronder ziet u de opdrachten voor het maken van een routetabel met behulp van Azure CLI vanuit een PowerShell-prompt.
$sub = "subscription ID"
$rg = "resource group name"
$rt = "route table name"
$location = "azure location"
az network route-table route create --subscription $sub -g $rg --route-table-name $rt -n 'AppServiceManagement' --address-prefix 'AppServiceManagement' --next-hop-type 'Internet'
Nadat de routetabel is gemaakt, moet u deze instellen op uw ASE-subnet.
Uw beheeradressen ophalen uit de API
U kunt de beheeradressen weergeven die overeenkomen met uw ASE met de volgende API-aanroep.
get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01
De API retourneert een JSON-document dat alle binnenkomende adressen voor uw ASE bevat. De lijst met adressen bevat de beheeradressen, het VIP dat wordt gebruikt door uw ASE en het ADRESbereik van het ASE-subnet zelf.
Als u de API wilt aanroepen met de armclient , gebruikt u de volgende opdrachten, maar vervangt u de abonnements-id, resourcegroep en ASE-naam.
armclient login
armclient get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01