Adresy zarządzania środowiska App Service Environment
Ważne
Ten artykuł dotyczy środowiska App Service Environment w wersji 2, który jest używany z planami izolowanej usługi App Service. Środowisko App Service Environment w wersji 2 zostanie wycofane 31 sierpnia 2024 r. Jest dostępna nowa wersja środowiska App Service Environment, która jest łatwiejsza do użycia i działa w bardziej wydajnej infrastrukturze. Aby dowiedzieć się więcej o nowej wersji, zacznij od wprowadzenia do środowiska App Service Environment. Jeśli obecnie używasz środowiska App Service Environment w wersji 2, wykonaj kroki opisane w tym artykule , aby przeprowadzić migrację do nowej wersji.
Od 29 stycznia 2024 r. nie można już tworzyć nowych zasobów środowiska App Service Environment w wersji 2 przy użyciu dowolnej z dostępnych metod, w tym szablonów usługi ARM/Bicep, witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST. Aby zapobiec usunięciu zasobów i utracie danych, musisz przeprowadzić migrację do środowiska App Service Environment w wersji 3 przed 31 sierpnia 2024 r.
Wymagania wstępne
Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.
Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.
Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.
Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.
Podsumowanie
Środowisko App Service Environment (ASE) to pojedyncze wdrożenie dzierżawy usługi aplikacja systemu Azure, która działa w usłudze Azure Virtual Network. Środowisko ASE działa w sieci wirtualnej, ale musi być nadal dostępne z wielu dedykowanych adresów IP używanych przez usługę aplikacja systemu Azure do zarządzania usługą. W przypadku środowiska ASE ruch zarządzania przechodzi przez sieć kontrolowaną przez użytkownika. Jeśli ten ruch zostanie zablokowany lub nieprawidłowo przekierowany, usługa ASE zostanie zawieszona. Aby uzyskać szczegółowe informacje na temat zależności sieci środowiska ASE, przeczytaj Zagadnienia dotyczące sieci i środowisko App Service Environment. Aby uzyskać ogólne informacje na temat środowiska ASE, możesz rozpocząć od wprowadzenia do środowiska App Service Environment.
Wszystkie środowiska ASE mają publiczny adres VIP, do którego wchodzi ruch zarządzania. Ruch przychodzący zarządzania z tych adresów pochodzi z portów 454 i 455 na publicznym adresie VIP środowiska ASE. Ten dokument zawiera listę adresów źródłowych usługi App Service dla ruchu zarządzania do środowiska ASE. Te adresy znajdują się również w tagu usługi IP o nazwie AppServiceManagement.
Adresy w tagu usługi AppServiceManagement można skonfigurować w tabeli tras, aby uniknąć problemów z routingiem asymetrycznym z ruchem zarządzania. Jeśli to możliwe, należy użyć tagu usługi zamiast poszczególnych adresów. Trasy działają na ruchu na poziomie adresu IP i nie mają świadomości kierunku ruchu lub że ruch jest częścią komunikatu odpowiedzi TCP. Jeśli adres odpowiedzi dla żądania TCP jest inny niż adres, do którego został wysłany, występuje problem z routingiem asymetrycznym. Aby uniknąć problemów z routingiem asymetrycznym w ruchu zarządzania środowiska ASE, należy upewnić się, że odpowiedzi są wysyłane z tego samego adresu, do którego zostały wysłane. Aby uzyskać szczegółowe informacje na temat konfigurowania środowiska ASE do działania w środowisku, w którym ruch wychodzący jest wysyłany lokalnie, przeczytaj Konfigurowanie środowiska ASE przy użyciu wymuszonego tunelowania.
Lista adresów zarządzania
Jeśli musisz zobaczyć adresy IP dla adresów zarządzania, pobierz odwołanie do tagu usługi dla regionu, aby uzyskać najbardziej aktualną listę adresów. Adresy zarządzania środowiska App Service Environment są wymienione w tagu usługi AppServiceManagement.
| Region (Region) | Dokumentacja tagów usługi |
|---|---|
| Wszystkie regiony publiczne | Zakresy adresów IP platformy Azure i tagi usługi —chmura publiczna |
| Microsoft Azure Government | Zakresy adresów IP platformy Azure i tagi usługi — chmura administracji USA |
| Platforma Microsoft Azure obsługiwana przez firmę 21Vianet | Zakresy adresów IP platformy Azure i tagi usługi — chmura w Chinach |
Konfigurowanie sieciowej grupy zabezpieczeń
W przypadku sieciowych grup zabezpieczeń nie trzeba martwić się o poszczególne adresy ani konserwować własnej konfiguracji. Istnieje tag usługi IP o nazwie AppServiceManagement, który jest na bieżąco ze wszystkimi adresami. Aby użyć tego tagu usługi IP w sieciowej grupie zabezpieczeń, przejdź do portalu, otwórz interfejs użytkownika sieciowych grup zabezpieczeń i wybierz pozycję Reguły zabezpieczeń dla ruchu przychodzącego. Jeśli masz już istniejącą regułę dla ruchu przychodzącego zarządzania, edytuj ją. Jeśli ta sieciowa grupa zabezpieczeń nie została utworzona przy użyciu środowiska ASE lub jeśli jest to wszystko nowe, wybierz pozycję Dodaj. Na liście rozwijanej Źródło wybierz pozycję Tag usługi. W obszarze Tag usługi źródłowej wybierz pozycję AppServiceManagement. Ustaw zakresy portów źródłowych na *, Destination na Any, Destination port ranges na 454-455, Protocol to TCP, and Action to Allow (Zezwalaj). Jeśli tworzysz regułę, musisz ustawić priorytet.
Konfigurowanie tabeli tras
Adresy zarządzania można umieścić w tabeli tras z następnym przeskokiem internetu, aby upewnić się, że cały ruch zarządzania przychodzącego może wrócić przez tę samą ścieżkę. Te trasy są potrzebne podczas konfigurowania wymuszonego tunelowania. Jeśli to możliwe, użyj tagu usługi AppServiceManagement zamiast poszczególnych adresów. Aby utworzyć tabelę tras, możesz użyć portalu, programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Poniżej przedstawiono polecenia tworzenia tabeli tras przy użyciu interfejsu wiersza polecenia platformy Azure z poziomu wiersza polecenia programu PowerShell.
$sub = "subscription ID"
$rg = "resource group name"
$rt = "route table name"
$location = "azure location"
az network route-table route create --subscription $sub -g $rg --route-table-name $rt -n 'AppServiceManagement' --address-prefix 'AppServiceManagement' --next-hop-type 'Internet'
Po utworzeniu tabeli tras należy ustawić ją w podsieci środowiska ASE.
Pobieranie adresów zarządzania z interfejsu API
Możesz wyświetlić listę adresów zarządzania pasujących do środowiska ASE przy użyciu następującego wywołania interfejsu API.
get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01
Interfejs API zwraca dokument JSON zawierający wszystkie adresy przychodzące dla środowiska ASE. Lista adresów zawiera adresy zarządzania, adresy VIP używane przez środowiska ASE i sam zakres adresów podsieci środowiska ASE.
Aby wywołać interfejs API z klientem armclient , użyj następujących poleceń, ale zastąp identyfikator subskrypcji, grupą zasobów i nazwą środowiska ASE.
armclient login
armclient get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01