Integrowanie aplikacji z siecią wirtualną platformy Azure

W tym artykule opisano funkcję integracji sieci wirtualnej Azure App Service oraz sposób konfigurowania jej za pomocą aplikacji w App Service. Za pomocą sieci wirtualnych platformy Azure można umieścić wiele zasobów platformy Azure w sieci bez routingu internetowego. Funkcja integracji sieci wirtualnej App Service umożliwia aplikacjom dostęp do zasobów w sieci wirtualnej lub za pośrednictwem sieci wirtualnej.

Uwaga

Informacje o integracji sieci wirtualnej wymaganej przez bramę zostały przeniesione do nowej lokalizacji.

App Service ma dwie odmiany:

• Dedykowane warstwy cenowe zasobów obliczeniowych, które obejmują warstwy cenowe Podstawowa, Standardowa, Premium, Premium v2 i Premium v3.
• App Service Environment, który jest wdrażany bezpośrednio w sieci wirtualnej z dedykowaną infrastrukturą pomocniczą i korzysta z warstw cenowych Izolowane i Izolowane w wersji 2.

Funkcja integracji sieci wirtualnej jest używana w Azure App Service dedykowanych warstw cenowych zasobów obliczeniowych. Jeśli aplikacja znajduje się w App Service Environment, jest już zintegrowana z siecią wirtualną i nie wymaga skonfigurowania funkcji integracji sieci wirtualnej w celu uzyskania dostępu do zasobów w tej samej sieci wirtualnej. Aby uzyskać więcej informacji na temat wszystkich funkcji sieciowych, zobacz App Service funkcje sieciowe.

Integracja z siecią wirtualną zapewnia aplikacji dostęp do zasobów w sieci wirtualnej, ale nie udziela przychodzącego dostępu prywatnego do aplikacji z sieci wirtualnej. Dostęp do lokacji prywatnej odnosi się do udostępniania aplikacji tylko z sieci prywatnej, takiej jak z poziomu sieci wirtualnej platformy Azure. Integracja z siecią wirtualną służy tylko do nawiązywania połączeń wychodzących z aplikacji do sieci wirtualnej. Zapoznaj się z prywatnym punktem końcowym , aby uzyskać dostęp prywatny dla ruchu przychodzącego.

Funkcja integracji z siecią wirtualną:

• Wymaga obsługiwanej warstwy cenowej Podstawowa lub Standardowa, Premium, Premium v2, Premium v3 lub Elastic Premium App Service.
• Obsługuje protokoły TCP i UDP.
• Współpracuje z aplikacjami App Service, aplikacjami funkcji i aplikacjami logiki.

Istnieje kilka rzeczy, których integracja z siecią wirtualną nie obsługuje, na przykład:

• Instalowanie dysku.
• Windows Server Active Directory przyłączania do domeny.
• Netbios.

Integracja z siecią wirtualną obsługuje nawiązywanie połączenia z siecią wirtualną w tym samym regionie. Korzystanie z integracji z siecią wirtualną umożliwia aplikacji dostęp do:

• Zasoby w sieci wirtualnej, z którą się integrujesz.
• Zasoby w sieciach wirtualnych za pomocą komunikacji równorzędnej z siecią wirtualną, z która aplikacja jest zintegrowana z uwzględnieniem globalnych połączeń komunikacji równorzędnej.
• Zasoby w ramach połączeń usługi Azure ExpressRoute.
• Usługi zabezpieczone przez punkt końcowy usługi.
• Prywatne usługi z obsługą punktu końcowego.

W przypadku korzystania z integracji z siecią wirtualną można użyć następujących funkcji sieciowych platformy Azure:

• Sieciowe grupy zabezpieczeń: możesz zablokować ruch wychodzący z sieciową grupą zabezpieczeń umieszczoną w podsieci integracji. Reguły ruchu przychodzącego nie mają zastosowania, ponieważ nie można używać integracji z siecią wirtualną w celu zapewnienia dostępu przychodzącego do aplikacji.
• Tabele tras (UDR): tabelę tras można umieścić w podsieci integracji, aby wysyłać ruch wychodzący tam, gdzie chcesz.
• Brama translatora adresów sieciowych: możesz użyć bramy translatora adresów sieciowych , aby uzyskać dedykowany adres IP ruchu wychodzącego i ograniczyć wyczerpanie portów SNAT.

Dowiedz się , jak włączyć integrację z siecią wirtualną.

Jak działa integracja z siecią wirtualną

Aplikacje w App Service są hostowane na rolach procesów roboczych. Integracja z siecią wirtualną działa przez instalowanie interfejsów wirtualnych w rolach procesów roboczych z adresami w delegowanej podsieci. Ponieważ adres od znajduje się w sieci wirtualnej, może uzyskać dostęp do większości elementów w sieci wirtualnej lub za pośrednictwem sieci wirtualnej, takiej jak maszyna wirtualna w sieci wirtualnej.

Po włączeniu integracji z siecią wirtualną aplikacja wykonuje wywołania wychodzące za pośrednictwem sieci wirtualnej. Adresy wychodzące wymienione w portalu właściwości aplikacji to adresy nadal używane przez aplikację. Jeśli jednak połączenie wychodzące jest do maszyny wirtualnej lub prywatnego punktu końcowego w sieci wirtualnej integracji lub równorzędnej sieci wirtualnej, adres wychodzący jest adresem z podsieci integracji. Prywatny adres IP przypisany do wystąpienia jest uwidaczniany za pośrednictwem zmiennej środowiskowej WEBSITE_PRIVATE_IP.

Po włączeniu całego routingu ruchu cały ruch wychodzący jest wysyłany do sieci wirtualnej. Jeśli cały routing ruchu nie jest włączony, do sieci wirtualnej jest wysyłany tylko ruch prywatny (RFC1918) i punkty końcowe usługi skonfigurowane w podsieci integracji. Ruch wychodzący do Internetu jest kierowany bezpośrednio z aplikacji.

Funkcja obsługuje dwa interfejsy wirtualne na proces roboczy. Dwa interfejsy wirtualne na proces roboczy oznaczają dwie integracje sieci wirtualnej na plan App Service. Aplikacje w tym samym planie App Service mogą używać tylko jednej z integracji sieci wirtualnej do określonej podsieci. Jeśli potrzebujesz aplikacji, aby połączyć się z większą większa liczba sieci wirtualnych lub więcej podsieci w tej samej sieci wirtualnej, musisz utworzyć inny plan App Service. Używane interfejsy wirtualne nie są zasobami, do których klienci mają bezpośredni dostęp.

Wymagania dotyczące podsieci

Integracja sieci wirtualnej zależy od dedykowanej podsieci. Podczas tworzenia podsieci podsieć platformy Azure używa pięciu adresów IP od początku. Jeden adres jest używany z podsieci integracji dla każdego wystąpienia planu. W przypadku skalowania aplikacji do czterech wystąpień używane są cztery adresy.

W przypadku skalowania w górę lub w dół wymagana przestrzeń adresowa jest podwajana przez krótki czas. Operacja skalowania wpływa na rzeczywiste, dostępne obsługiwane wystąpienia dla danego rozmiaru podsieci. W poniższej tabeli przedstawiono zarówno maksymalne dostępne adresy na blok CIDR, jak i wpływ dostępnych adresów na skalę poziomą.

Rozmiar bloku CIDR	Maksymalne dostępne adresy	Maksymalna skala w poziomie (wystąpienia)*
/28	11	5
/27	27	13
/26	59	29

^*Załóżmy, że w pewnym momencie musisz skalować w górę lub w dół rozmiar lub jednostkę SKU.

Ponieważ rozmiar podsieci nie może zostać zmieniony po przypisaniu, użyj podsieci, która jest wystarczająco duża, aby obsłużyć dowolną skalę, jaką może osiągnąć aplikacja. Aby uniknąć problemów z pojemnością podsieci, użyj adresu /26 z 64 adresami. Podczas tworzenia podsieci w Azure Portal w ramach integracji z siecią wirtualną wymagany jest minimalny rozmiar /27. Jeśli podsieć już istnieje przed zintegrowaniem za pośrednictwem portalu, możesz użyć podsieci /28.

Uwaga

Kontenery systemu Windows używają dodatkowego adresu IP dla każdej aplikacji dla każdego wystąpienia planu App Service i należy odpowiednio rozmiaru podsieci. Jeśli na przykład masz 10 wystąpień kontenera systemu Windows App Service planu z uruchomionymi 4 aplikacjami, potrzebujesz 50 adresów IP i dodatkowych adresów w celu obsługi skali poziomej (w górę/w dół).

Jeśli chcesz, aby aplikacje w planie dotarły do sieci wirtualnej, z którą już korzystają aplikacje w innym planie, wybierz inną podsieć niż ta, z której korzysta wcześniej istniejąca integracja sieci wirtualnej.

Uprawnienia

Musisz mieć co najmniej następujące uprawnienia kontroli dostępu opartej na rolach w podsieci lub na wyższym poziomie, aby skonfigurować integrację sieci wirtualnej za pomocą Azure Portal, interfejsu wiersza polecenia lub podczas bezpośredniego ustawiania virtualNetworkSubnetId właściwości lokacji:

Akcja	Opis
Microsoft.Network/virtualNetworks/read	Odczytywanie definicji sieci wirtualnej
Microsoft.Network/virtualNetworks/subnets/read	Odczytywanie definicji podsieci sieci wirtualnej
Microsoft.Network/virtualNetworks/subnets/join/action	Dołącza do sieci wirtualnej

Jeśli sieć wirtualna znajduje się w innej subskrypcji niż aplikacja, musisz upewnić się, że subskrypcja z siecią wirtualną jest zarejestrowana dla dostawcy Microsoft.Web zasobów. Możesz jawnie zarejestrować dostawcę, postępując zgodnie z tą dokumentacją, ale jest on automatycznie rejestrowany podczas tworzenia pierwszej aplikacji internetowej w subskrypcji.

Trasy

Możesz kontrolować ruch przechodzący przez integrację z siecią wirtualną. Podczas konfigurowania integracji z siecią wirtualną należy wziąć pod uwagę trzy typy routingu. Routing aplikacji definiuje ruch kierowany z aplikacji i do sieci wirtualnej. Routing konfiguracji wpływa na operacje, które mają miejsce przed uruchomieniem aplikacji lub podczas uruchamiania aplikacji. Przykładami są ustawienia ściągania obrazu kontenera i aplikacji z odwołaniem Key Vault. Routing sieciowy to możliwość obsługi ruchu zarówno aplikacji, jak i konfiguracji kierowanego z sieci wirtualnej i wychodzącej.

Za pomocą opcji routingu aplikacji lub routingu konfiguracji można skonfigurować ruch wysyłany za pośrednictwem integracji z siecią wirtualną. Ruch podlega routingowi sieciowemu tylko wtedy, gdy jest wysyłany za pośrednictwem integracji z siecią wirtualną.

Routing aplikacji

Routing aplikacji ma zastosowanie do ruchu wysyłanego z aplikacji po jej uruchomieniu. Zobacz routing konfiguracji dla ruchu podczas uruchamiania. Podczas konfigurowania routingu aplikacji można kierować cały ruch lub tylko ruch prywatny (znany również jako ruch RFC1918 ) do sieci wirtualnej. To zachowanie można skonfigurować za pomocą ustawienia Route All (Wszystkie trasy ). Jeśli opcja Route All jest wyłączona, aplikacja kieruje tylko ruch prywatny do sieci wirtualnej. Jeśli chcesz kierować cały ruch aplikacji wychodzącej do sieci wirtualnej, upewnij się, że opcja Route All jest włączona.

• Tylko ruch skonfigurowany w routingu aplikacji lub konfiguracji podlega sieciowym grupom zabezpieczeń i trasom zdefiniowanym przez użytkownika, które są stosowane do podsieci integracji.
• Po włączeniu opcji Route All adres źródłowy dla wychodzącego ruchu publicznego z aplikacji jest nadal jednym z adresów IP wymienionych we właściwościach aplikacji. Jeśli ruch jest kierowany przez zaporę lub bramę translatora adresów sieciowych, źródłowy adres IP pochodzi z tej usługi.

Dowiedz się , jak skonfigurować routing aplikacji.

Uwaga

Łączność wychodząca SMTP (port 25) jest obsługiwana w przypadku App Service, gdy ruch SMTP jest kierowany przez integrację z siecią wirtualną. Możliwość obsługi jest określana przez ustawienie w subskrypcji, w której wdrożono sieć wirtualną. W przypadku sieci wirtualnych/podsieci utworzonych przed 1. W sierpniu 2022 r. należy zainicjować tymczasową zmianę konfiguracji w sieci wirtualnej/podsieci, aby ustawienie było synchronizowane z subskrypcji. Przykładem może być dodanie tymczasowej podsieci, skojarzenie/rozłączenie sieciowej grupy zabezpieczeń tymczasowo lub tymczasowe skonfigurowanie punktu końcowego usługi. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z łącznością wychodzącą SMTP na platformie Azure.

Routing konfiguracji

W przypadku korzystania z integracji z siecią wirtualną można skonfigurować sposób zarządzania częściami ruchu konfiguracji. Domyślnie ruch konfiguracyjny przechodzi bezpośrednio przez trasę publiczną, ale dla wymienionych poszczególnych składników można aktywnie skonfigurować go do kierowania za pośrednictwem integracji z siecią wirtualną.

Udział zawartości

Udostępnianie własnego magazynu zawartości w często używanych funkcjach, w których udział zawartości jest konfigurowany jako część aplikacji usługi Functions.

Aby kierować ruch współużytkowania zawartości przez integrację z siecią wirtualną, należy upewnić się, że ustawienie routingu jest skonfigurowane. Dowiedz się , jak skonfigurować routing udziału zawartości.

Oprócz konfigurowania routingu należy również upewnić się, że każda zapora lub sieciowa grupa zabezpieczeń skonfigurowana na ruch z podsieci zezwala na ruch do portu 443 i 445.

Ściąganie obrazu kontenera

W przypadku korzystania z kontenerów niestandardowych można ściągnąć kontener za pośrednictwem integracji z siecią wirtualną. Aby kierować ruch ściągnięcia kontenera przez integrację z siecią wirtualną, należy upewnić się, że ustawienie routingu jest skonfigurowane. Dowiedz się , jak skonfigurować routing ściągania obrazów.

Ustawienia aplikacji korzystające z odwołań Key Vault

Ustawienia aplikacji korzystające z odwołań Key Vault próbują uzyskać wpisy tajne na trasie publicznej. Jeśli Key Vault blokuje ruch publiczny, a aplikacja korzysta z integracji z siecią wirtualną, podjęto próbę uzyskania wpisów tajnych za pośrednictwem integracji z siecią wirtualną.

Uwaga

• Tworzenie kopii zapasowej/przywracanie do prywatnych kont magazynu nie jest obecnie obsługiwane.
• Konfigurowanie certyfikatów SSL/TLS z prywatnych magazynów kluczy nie jest obecnie obsługiwane.
• App Service dzienniki do prywatnych kont magazynu nie są obecnie obsługiwane. Zalecamy używanie rejestrowania diagnostycznego i zezwalania na zaufane usługi dla konta magazynu.

Routing sieciowy

Tabele tras umożliwiają kierowanie ruchu wychodzącego z aplikacji bez ograniczeń. Typowe miejsca docelowe mogą obejmować urządzenia zapory lub bramy. Możesz również użyć sieciowej grupy zabezpieczeń , aby zablokować ruch wychodzący do zasobów w sieci wirtualnej lub w Internecie. Sieciowa grupa zabezpieczeń, która jest stosowana do podsieci integracji, działa niezależnie od wszystkich tabel tras zastosowanych do podsieci integracji.

Tabele tras i sieciowe grupy zabezpieczeń dotyczą tylko ruchu kierowanego przez integrację z siecią wirtualną. Aby uzyskać szczegółowe informacje, zobacz routing aplikacji i routing konfiguracji . Trasy nie mają zastosowania do odpowiedzi z przychodzących żądań aplikacji i reguł ruchu przychodzącego w sieciowej grupie zabezpieczeń nie mają zastosowania do aplikacji. Integracja sieci wirtualnej wpływa tylko na ruch wychodzący z aplikacji. Aby kontrolować ruch przychodzący do aplikacji, użyj funkcji ograniczeń dostępu lub prywatnych punktów końcowych.

Podczas konfigurowania sieciowych grup zabezpieczeń lub tabel tras, które mają zastosowanie do ruchu wychodzącego, należy wziąć pod uwagę zależności aplikacji. Zależności aplikacji obejmują punkty końcowe wymagane przez aplikację podczas wykonywania. Oprócz interfejsów API i usług wywoływanych przez aplikację te punkty końcowe mogą być również punktami końcowymi pochodnymi, takimi jak lista odwołania certyfikatów (CRL), sprawdzanie punktów końcowych i punktów końcowych tożsamości/uwierzytelniania, na przykład w usłudze Azure Active Directory. Jeśli używasz ciągłego wdrażania w App Service, może być również konieczne zezwolenie na punkty końcowe w zależności od typu i języka. W szczególności w przypadku ciągłego wdrażania systemu Linux należy zezwolić na oryx-cdn.microsoft.io:443usługę .

Jeśli chcesz kierować ruch wychodzący lokalnie, możesz użyć tabeli tras do wysyłania ruchu wychodzącego do bramy usługi Azure ExpressRoute. Jeśli kierujesz ruch do bramy, ustaw trasy w sieci zewnętrznej, aby wysyłać odpowiedzi z powrotem. Trasy protokołu BGP (Border Gateway Protocol) wpływają również na ruch aplikacji. Jeśli masz trasy protokołu BGP z bramy usługi ExpressRoute, na ruch wychodzący aplikacji ma wpływ. Podobnie jak trasy zdefiniowane przez użytkownika, trasy protokołu BGP wpływają na ruch zgodnie z ustawieniem zakresu routingu.

Punkty końcowe usługi

Integracja z siecią wirtualną umożliwia dostęp do usług platformy Azure, które są zabezpieczone za pomocą punktów końcowych usługi. Aby uzyskać dostęp do usługi zabezpieczonej przez punkt końcowy usługi, wykonaj następujące kroki:

1. Skonfiguruj integrację sieci wirtualnej z aplikacją internetową, aby nawiązać połączenie z określoną podsiecią na potrzeby integracji.
2. Przejdź do usługi docelowej i skonfiguruj punkty końcowe usługi względem podsieci integracji.

Prywatne punkty końcowe

Jeśli chcesz wykonywać wywołania prywatnych punktów końcowych, upewnij się, że wyszukiwania DNS rozpoznają prywatny punkt końcowy. To zachowanie można wymusić na jeden z następujących sposobów:

• Integracja ze strefami prywatnymi usługi Azure DNS. Gdy sieć wirtualna nie ma niestandardowego serwera DNS, integracja jest wykonywana automatycznie, gdy strefy są połączone z siecią wirtualną.
• Zarządzaj prywatnym punktem końcowym na serwerze DNS używanym przez aplikację. Aby zarządzać konfiguracją, musisz znać prywatny adres IP punktu końcowego. Następnie wskaż punkt końcowy, do którego próbujesz dotrzeć do tego adresu, używając rekordu A.
• Skonfiguruj własny serwer DNS, aby przekazywać dalej do stref prywatnych usługi Azure DNS.

Prywatne strefy usługi Azure DNS

Po zintegrowaniu aplikacji z siecią wirtualną używa tego samego serwera DNS, z którego skonfigurowano sieć wirtualną. Jeśli nie określono niestandardowego systemu DNS, używa domyślnego systemu DNS platformy Azure i wszelkich stref prywatnych połączonych z siecią wirtualną.

Ograniczenia

Istnieją pewne ograniczenia dotyczące korzystania z integracji z siecią wirtualną:

• Ta funkcja jest dostępna we wszystkich wdrożeniach App Service w warstwie Premium w wersji 2 i Premium w wersji 3. Jest ona również dostępna w warstwie Podstawowa i Standardowa, ale tylko z nowszych App Service wdrożeń. Jeśli korzystasz ze starszego wdrożenia, możesz użyć tej funkcji tylko z planu premium w wersji 2 App Service. Jeśli chcesz upewnić się, że możesz użyć tej funkcji w planie podstawowa lub Standardowa App Service, utwórz aplikację w planie App Service Premium w wersji 3. Te plany są obsługiwane tylko w naszych najnowszych wdrożeniach. Możesz skalować w dół, jeśli chcesz po utworzeniu planu.
• Nie można używać tej funkcji przez aplikacje planu izolowanego, które znajdują się w App Service Environment.
• Nie można uzyskać dostępu do zasobów między połączeniami komunikacji równorzędnej z klasycznymi sieciami wirtualnymi.
• Ta funkcja wymaga nieużywanej podsieci, która jest blokiem IPv4 /28 lub większym w sieci wirtualnej platformy Azure Resource Manager.
• Aplikacja i sieć wirtualna muszą znajdować się w tym samym regionie.
• Sieć wirtualna integracji nie może mieć zdefiniowanych przestrzeni adresowych IPv6.
• Podsieć integracji nie może mieć włączonych zasad punktu końcowego usługi .
• Podsieć integracji może być używana tylko przez jeden plan App Service.
• Nie można usunąć sieci wirtualnej ze zintegrowaną aplikacją. Usuń integrację przed usunięciem sieci wirtualnej.
• Nie można mieć więcej niż dwóch integracji sieci wirtualnej na plan App Service. Wiele aplikacji w tym samym planie App Service może korzystać z tej samej integracji z siecią wirtualną.
• Nie można zmienić subskrypcji aplikacji ani planu, gdy istnieje aplikacja korzystająca z integracji z siecią wirtualną.

Uzyskiwanie dostępu do zasobów lokalnych

Do uzyskania dostępu przez sieć wirtualną do zasobów lokalnych nie jest wymagana dodatkowa konfiguracja funkcji integracji sieci wirtualnej. Wystarczy połączyć sieć wirtualną z zasobami lokalnymi przy użyciu usługi ExpressRoute lub sieci VPN typu lokacja-lokacja.

Komunikacja równorzędna

Jeśli używasz komunikacji równorzędnej z integracją z siecią wirtualną, nie musisz wykonywać żadnych dodatkowych czynności konfiguracyjnych.

Zarządzanie integracją z siecią wirtualną

Łączenie i rozłączanie z siecią wirtualną odbywa się na poziomie aplikacji. Operacje, które mogą mieć wpływ na integrację sieci wirtualnej w wielu aplikacjach, są na poziomie planu App Service. W portaluintegracjisieci wirtualnej sieci> wirtualnej aplikacji > możesz uzyskać szczegółowe informacje na temat sieci wirtualnej. Podobne informacje można wyświetlić na poziomie planu App Service w portaluintegracji sieciwirtualnej sieci wirtualnej>App Service App Service>.

W widoku aplikacji wystąpienia integracji sieci wirtualnej możesz odłączyć aplikację od sieci wirtualnej i skonfigurować routing aplikacji. Aby odłączyć aplikację od sieci wirtualnej, wybierz pozycję Rozłącz. Aplikacja zostanie uruchomiona ponownie po rozłączeniu z siecią wirtualną. Rozłączanie nie zmienia sieci wirtualnej. Podsieć nie jest usuwana. Jeśli chcesz usunąć sieć wirtualną, najpierw odłącz aplikację od sieci wirtualnej.

Prywatny adres IP przypisany do wystąpienia jest udostępniany za pośrednictwem zmiennej środowiskowej WEBSITE_PRIVATE_IP. Interfejs użytkownika konsoli Kudu pokazuje również listę zmiennych środowiskowych dostępnych dla aplikacji internetowej. Ten adres IP jest przypisywany z zakresu adresów zintegrowanej podsieci. Ten adres IP jest używany przez aplikację internetową do łączenia się z zasobami za pośrednictwem sieci wirtualnej platformy Azure.

Uwaga

Wartość WEBSITE_PRIVATE_IP jest powiązana ze zmianą. Jednak będzie to adres IP w zakresie adresów podsieci integracji, więc musisz zezwolić na dostęp z całego zakresu adresów.

Szczegóły cennika

Funkcja integracji sieci wirtualnej nie ma dodatkowych opłat za korzystanie poza opłatami za warstwę cenową planu App Service.

Rozwiązywanie problemów

Ta funkcja jest łatwa do skonfigurowania, ale nie oznacza to, że środowisko jest bezpłatne. Jeśli wystąpią problemy z uzyskaniem dostępu do żądanego punktu końcowego, możesz wykonać różne kroki w zależności od obserwowanych elementów. Aby uzyskać więcej informacji, zobacz Przewodnik rozwiązywania problemów z integracją z siecią wirtualną.

Uwaga

• Integracja z siecią wirtualną nie jest obsługiwana w scenariuszach platformy Docker Compose w App Service.
• Ograniczenia dostępu nie mają zastosowania do ruchu przychodzącego przez prywatny punkt końcowy.

Usuwanie planu App Service lub aplikacji przed odłączeniem integracji z siecią

W przypadku usunięcia aplikacji lub planu App Service bez uprzedniego rozłączenia integracji z siecią wirtualną nie można wykonać żadnych operacji aktualizacji/usuwania w sieci wirtualnej lub podsieci użytej do integracji z usuniętym zasobem. Delegowanie podsieci "Microsoft.Web/serverFarms" pozostaje przypisane do podsieci i uniemożliwia operacje aktualizacji/usuwania.

Aby ponownie zaktualizować/usunąć podsieć lub sieć wirtualną, należy ponownie utworzyć integrację z siecią wirtualną, a następnie rozłączyć ją:

1. Utwórz ponownie plan App Service i aplikację (jest to obowiązkowe, aby używać dokładnie tej samej nazwy aplikacji internetowej co poprzednio).
2. Przejdź do pozycji Sieć w aplikacji w Azure Portal i skonfiguruj integrację sieci wirtualnej.
3. Po skonfigurowaniu integracji sieci wirtualnej wybierz przycisk "Rozłącz".
4. Usuń plan App Service lub aplikację.
5. Zaktualizuj/usuń podsieć lub sieć wirtualną.

Jeśli nadal występują problemy z integracją sieci wirtualnej po wykonaniu tych kroków, skontaktuj się z pomoc techniczna firmy Microsoft.