Sufiks domeny niestandardowej dla środowisk App Service Environment
Środowisko App Service Environment to funkcja usługi aplikacja systemu Azure, która zapewnia w pełni izolowane i dedykowane środowisko do bezpiecznego uruchamiania aplikacji usługi App Service na dużą skalę. Ustawienia DNS dla domyślnego sufiksu domeny środowiska App Service Environment nie ograniczają aplikacji do dostępu tylko do tych nazw. Sufiks domeny niestandardowej to funkcja środowiska App Service Environment wewnętrznego modułu równoważenia obciążenia, która umożliwia używanie własnego sufiksu domeny w celu uzyskania dostępu do aplikacji w środowisku App Service Environment.
Jeśli nie masz środowiska App Service Environment, zobacz How to Create an App Service Environment v3 (Jak utworzyć środowisko App Service Environment w wersji 3).
Uwaga
W tym artykule opisano funkcje, korzyści i przypadki użycia środowiska App Service Environment w wersji 3, które są używane z planami izolowanej wersji 2 usługi App Service.
Sufiks domeny niestandardowej definiuje domenę główną używaną przez środowisko App Service Environment. W publicznej odmianie usługi aplikacja systemu Azure domyślną domeną główną dla wszystkich aplikacji internetowych jest azurewebsites.net. W przypadku środowisk App Service Environment z wewnętrznym modułem równoważenia obciążenia domyślna domena główna jest appserviceenvironment.net. Jednak ponieważ środowisko App Service Environment wewnętrznego modułu równoważenia obciążenia jest wewnętrzne dla sieci wirtualnej klienta, klienci mogą używać domeny głównej oprócz domyślnej, która ma sens do użycia w wewnętrznej sieci wirtualnej firmy. Na przykład hipotetyczna firma Contoso Corporation może używać domyślnej domeny głównej internal.contoso.com dla aplikacji, które mają być rozpoznawalne i dostępne tylko w sieci wirtualnej firmy Contoso. Dostęp do aplikacji w tej sieci wirtualnej można uzyskać, korzystając z APP-NAME.internal.contoso.com.
Sufiks domeny niestandardowej jest przeznaczony dla środowiska App Service Environment. Ta funkcja różni się od niestandardowego powiązania domeny w usłudze App Service. Aby uzyskać więcej informacji na temat niestandardowych powiązań domeny, zobacz Mapuj istniejącą niestandardową nazwę DNS na usługę aplikacja systemu Azure.
Jeśli certyfikat używany dla sufiksu domeny niestandardowej zawiera wpis Alternatywnej nazwy podmiotu (SAN) dla *.scm. DOMENA NIESTANDARDOWA witryna narzędzia SCM jest również osiągalna z witryny APP-NAME.scm.CUSTOM-DOMAIN. Dostęp do polecenia scm można uzyskać tylko za pośrednictwem domeny niestandardowej przy użyciu uwierzytelniania podstawowego. Logowanie jednokrotne jest możliwe tylko w przypadku domyślnej domeny głównej.
W przeciwieństwie do wcześniejszych wersji punkty końcowe FTPS dla usług App Services w środowisku App Service Environment w wersji 3 można uzyskać tylko przy użyciu domyślnego sufiksu domeny.
Połączenie z punktem końcowym sufiksu domeny niestandardowej musi używać wskazania nazwy serwera (SNI) dla połączeń opartych na protokole TLS.
Wymagania wstępne
- Odmiana modułu równoważenia obciążenia środowiska App Service Environment w wersji 3.
- Prawidłowy certyfikat SSL/TLS musi być przechowywany w usłudze Azure Key Vault w usłudze . Format PFX. Aby uzyskać więcej informacji na temat używania certyfikatów z usługą App Service, zobacz Dodawanie certyfikatu TLS/SSL w usłudze aplikacja systemu Azure Service.
- Certyfikat musi być mniejszy niż 20 kb.
Tożsamość zarządzana
Tożsamość zarządzana służy do uwierzytelniania w usłudze Azure Key Vault, w której jest przechowywany certyfikat SSL/TLS. Jeśli obecnie nie masz tożsamości zarządzanej skojarzonej ze środowiskiem App Service Environment, musisz je skonfigurować.
Możesz użyć przypisanej przez system tożsamości zarządzanej lub przypisanej przez użytkownika. Aby utworzyć tożsamość zarządzaną przypisaną przez użytkownika, zobacz Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika. Jeśli chcesz użyć tożsamości zarządzanej przypisanej przez system i nie masz jeszcze przypisanej tożsamości zarządzanej do środowiska App Service Environment, środowisko niestandardowego portalu sufiksów domeny przeprowadzi Cię przez proces tworzenia. Alternatywnie możesz przejść do strony Tożsamość środowiska App Service Environment i skonfigurować i przypisać tam tożsamości zarządzane.
Aby włączyć tożsamość zarządzaną przypisaną przez system, ustaw wartość Stan na Włączone.
Aby przypisać tożsamość zarządzaną przypisaną przez użytkownika, wybierz pozycję "Dodaj i znajdź tożsamość zarządzaną, której chcesz użyć.
Po przypisaniu tożsamości zarządzanej do środowiska App Service Environment upewnij się, że tożsamość zarządzana ma wystarczające uprawnienia dla usługi Azure Key Vault. Możesz użyć zasad dostępu do magazynu lub kontroli dostępu opartej na rolach platformy Azure.
Jeśli używasz zasad dostępu do magazynu, tożsamość zarządzana musi mieć co najmniej uprawnienie "Pobierz" wpisy tajne dla magazynu kluczy.
Jeśli zdecydujesz się użyć kontroli dostępu opartej na rolach platformy Azure do zarządzania dostępem do magazynu kluczy, musisz nadać tożsamości zarządzanej co najmniej rolę "Użytkownik wpisów tajnych usługi Key Vault".
Certyfikat
Certyfikat dla sufiksu domeny niestandardowej musi być przechowywany w usłudze Azure Key Vault. Certyfikat musi zostać przekazany w pliku . Format PFX i jest mniejszy niż 20 kb. Certyfikaty w programie . Obecnie format PEM nie jest obsługiwany. Środowisko App Service Environment używa tożsamości zarządzanej wybranej do pobrania certyfikatu. Dostęp do magazynu kluczy można uzyskać publicznie lub za pośrednictwem prywatnego punktu końcowego dostępnego z podsieci wdrożonej przez środowisko App Service Environment. Aby dowiedzieć się, jak skonfigurować prywatny punkt końcowy, zobacz Integrowanie usługi Key Vault z usługą Azure Private Link. W przypadku dostępu publicznego można zabezpieczyć magazyn kluczy, aby akceptował ruch tylko z wychodzących adresów IP środowiska App Service Environment.
Certyfikat musi być certyfikatem wieloznaczny dla wybranej niestandardowej nazwy domeny. Na przykład internal.contoso.com wymaga certyfikatu obejmującego *.internal.contoso.com. Jeśli certyfikat używany przez sufiks domeny niestandardowej zawiera wpis Alternatywnej nazwy podmiotu (SAN) dla polecenia scm, na przykład *.scm.internal.contoso.com, witryna scm jest również dostępna przy użyciu sufiksu domeny niestandardowej.
W przypadku rotacji certyfikatu w usłudze Azure Key Vault środowisko App Service Environment pobiera zmianę w ciągu 24 godzin.
Konfigurowanie niestandardowego sufiksu domeny przy użyciu witryny Azure Portal
- W witrynie Azure Portal przejdź do strony sufiksu domeny niestandardowej dla środowiska App Service Environment.
- Wprowadź niestandardową nazwę domeny.
- Wybierz tożsamość zarządzaną zdefiniowaną dla środowiska App Service Environment. Możesz użyć przypisanej przez system tożsamości zarządzanej lub przypisanej przez użytkownika. Jeśli jeszcze tego nie zrobiono, możesz skonfigurować tożsamość zarządzaną. Tożsamość zarządzaną można skonfigurować bezpośrednio ze strony sufiksu domeny niestandardowej przy użyciu opcji "Dodaj tożsamość" w polu wyboru tożsamości zarządzanej.
- Wybierz certyfikat dla sufiksu domeny niestandardowej.
- Jeśli używasz prywatnego punktu końcowego do uzyskiwania dostępu do magazynu kluczy, nie możesz użyć domyślnego adresu URL certyfikatu magazynu kluczy udostępnianego przez interfejs portalu. Musisz ręcznie wprowadzić adres URL łącza prywatnego i użyć go w formacie https://KEY-VAULT-NAME.privatelink.vaultcore.azure.net/secrets/CERTIFICATE-NAME.
- Wybierz pozycję "Zapisz" w górnej części strony. Aby wyświetlić najnowsze aktualizacje konfiguracji, odśwież stronę.
- Skonfigurowanie niestandardowej konfiguracji sufiksu domeny trwa kilka minut. Sprawdź stan, wybierając pozycję "Odśwież" w górnej części strony. Baner zostanie zaktualizowany o najnowszy postęp. Po zakończeniu baner będzie określać, że skonfigurowano sufiks domeny niestandardowej.
Konfigurowanie niestandardowego sufiksu domeny przy użyciu usługi Azure Resource Manager
Aby skonfigurować sufiks domeny niestandardowej dla środowiska App Service Environment przy użyciu szablonu usługi Azure Resource Manager, należy uwzględnić poniższe właściwości. Upewnij się, że spełniasz wymagania wstępne i że tożsamość zarządzana i certyfikat są dostępne i masz odpowiednie uprawnienia dla usługi Azure Key Vault. Jeśli używasz prywatnego punktu końcowego do uzyskiwania dostępu do magazynu kluczy, nie możesz użyć domyślnego adresu URL certyfikatu magazynu kluczy. Musisz użyć adresu URL łącza prywatnego, który ma format https://KEY-VAULT-NAME.privatelink.vaultcore.azure.net/secrets/CERTIFICATE-NAME.
Należy skonfigurować tożsamość zarządzaną i upewnić się, że istnieje przed przypisaniem jej w szablonie. Aby uzyskać więcej informacji na temat tożsamości zarządzanych, zobacz Omówienie tożsamości zarządzanej.
Używanie tożsamości zarządzanej przypisanej przez użytkownika
"resources": [
{
"apiVersion": "2022-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/asev3-cdns-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ase-cdns-managed-identity"
}
},
"properties": {
"customDnsSuffixConfiguration": {
"dnsSuffix": "antares-test.net",
"certificateUrl": "https://kv-sample-key-vault.vault.azure.net/secrets/wildcard-antares-test-net",
"keyVaultReferenceIdentity": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/asev3-cdns-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ase-cdns-managed-identity"
},
"internalLoadBalancingMode": "Web, Publishing",
etc...
}
}
Używanie tożsamości zarządzanej przypisanej przez system
"resources": [
{
"apiVersion": "2022-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"identity": {
"type": "SystemAssigned"
}
"properties": {
"customDnsSuffixConfiguration": {
"dnsSuffix": "antares-test.net",
"certificateUrl": "https://kv-sample-key-vault.vault.azure.net/secrets/wildcard-antares-test-net",
"keyVaultReferenceIdentity": "systemassigned"
},
"internalLoadBalancingMode": "Web, Publishing",
etc...
}
}
Konfigurowanie niestandardowego sufiksu domeny za pomocą Eksploratora zasobów platformy Azure
Alternatywnie możesz zaktualizować istniejące środowisko App Service Environment modułu równoważenia obciążenia przy użyciu eksploratora zasobów platformy Azure.
- W Eksploratorze zasobów przejdź do węzła środowiska App Service Environment (subskrypcje{twoja subskrypcja>}>grupy zasobów{grupa zasobów>}>dostawcy>Microsoft.Web>hostingEnvironments). Następnie wybierz określone środowisko App Service Environment, które chcesz zaktualizować.
- Wybierz pozycję Odczyt/Zapis na górnym pasku narzędzi, aby zezwolić na interaktywną edycję w Eksploratorze zasobów.
- Wybierz przycisk Edytuj, aby edytować szablon usługi Resource Manager.
- Przewiń okienko po prawej stronie w dół. Atrybut customDnsSuffixConfiguration znajduje się u dołu.
- Wprowadź wartości dnsSuffix, certificateUrl i keyVaultReferenceIdentity.
- Przejdź do atrybutu tożsamości i wprowadź szczegóły skojarzone z używaną tożsamością zarządzaną.
- Wybierz przycisk PUT u góry, aby zatwierdzić zmianę w środowisku App Service Environment.
- Stan provisioningState w obszarze customDnsSuffixConfiguration zawiera stan aktualizacji konfiguracji.
Konfiguracja DNS
Aby uzyskać dostęp do aplikacji w środowisku App Service Environment przy użyciu niestandardowego sufiksu domeny, należy skonfigurować własny serwer DNS lub skonfigurować usługę DNS w prywatnej strefie DNS platformy Azure dla domeny niestandardowej.
Jeśli chcesz użyć własnego serwera DNS, dodaj następujące rekordy:
- Utwórz strefę dla domeny niestandardowej.
- Utwórz rekord A w tej strefie, który wskazuje * na przychodzący adres IP używany przez środowisko App Service Environment.
- Utwórz rekord A w tej strefie, który wskazuje znak @ na przychodzący adres IP używany przez środowisko App Service Environment.
- Opcjonalnie utwórz strefę dla poddomeny scm z rekordem * rekordem wskazującym przychodzący adres IP używany przez środowisko App Service Environment
Aby skonfigurować usługę DNS w strefach prywatnych usługi Azure DNS:
- Utwórz strefę prywatną usługi Azure DNS o nazwie dla domeny niestandardowej. W poniższym przykładzie domena niestandardowa jest internal.contoso.com.
- Utwórz rekord A w tej strefie, który wskazuje * na przychodzący adres IP używany przez środowisko App Service Environment.
- Utwórz rekord A w tej strefie, który wskazuje znak @ na przychodzący adres IP używany przez środowisko App Service Environment.
- Połącz strefę prywatną usługi Azure DNS z siecią wirtualną środowiska App Service Environment.
- Opcjonalnie utwórz rekord A w tej strefie, który wskazuje *.scm na przychodzący adres IP używany przez środowisko App Service Environment.
Aby uzyskać więcej informacji na temat konfigurowania systemu DNS dla domeny, zobacz Use an App Service Environment (Korzystanie ze środowiska App Service Environment).
Uwaga
Oprócz konfigurowania systemu DNS dla niestandardowego sufiksu domeny należy również rozważyć skonfigurowanie systemu DNS dla domyślnego sufiksu domeny, aby upewnić się, że wszystkie funkcje usługi App Service działają zgodnie z oczekiwaniami.
Uzyskiwanie dostępu do aplikacji
Po skonfigurowaniu sufiksu domeny niestandardowej i systemu DNS dla środowiska App Service Environment możesz przejść do strony Domeny niestandardowe dla jednej z aplikacji usługi App Service w środowisku App Service Environment i potwierdzić dodanie przypisanej domeny niestandardowej dla aplikacji.
Dostęp do aplikacji w środowisku App Service Environment wewnętrznym modułu równoważenia obciążenia można uzyskać bezpiecznie za pośrednictwem protokołu HTTPS, przechodząc do skonfigurowanej domeny niestandardowej lub domyślnej appserviceenvironment.net domeny, tak jak na poprzedniej ilustracji. Możliwość uzyskiwania dostępu do aplikacji przy użyciu domyślnej domeny środowiska App Service Environment i domeny niestandardowej jest unikatową funkcją obsługiwaną tylko w środowisku App Service Environment w wersji 3.
Jednak podobnie jak aplikacje działające w publicznej usłudze wielodostępne, można również skonfigurować niestandardowe nazwy hostów dla poszczególnych aplikacji, a następnie skonfigurować unikatowe powiązania certyfikatów TLS/SSL SNI dla poszczególnych aplikacji.
Rozwiązywanie problemów
Platforma usługi App Service okresowo sprawdza, czy środowisko App Service Environment może uzyskać dostęp do magazynu kluczy i czy certyfikat jest prawidłowy. Jeśli twoje uprawnienia lub ustawienia sieci dla tożsamości zarządzanej, magazynu kluczy lub środowiska App Service Environment nie zostały odpowiednio ustawione lub ostatnio zmienione, nie można skonfigurować niestandardowego sufiksu domeny. Zostanie wyświetlony błąd podobny do przykładu pokazanego na zrzucie ekranu. Zapoznaj się z wymaganiami wstępnymi, aby upewnić się, że skonfigurowano wymagane uprawnienia. Zostanie również wyświetlony podobny komunikat o błędzie, jeśli platforma usługi App Service wykryje, że certyfikat jest obniżony lub wygasł.
