Udostępnij za pośrednictwem

Integrowanie aplikacji z usługą Azure Virtual Network

  • Artykuł

Uwaga

Od 1 czerwca 2024 r. nowo utworzone aplikacje usługi App Service mogą wygenerować unikatową domyślną nazwę hosta, która używa konwencji nazewnictwa <app-name>-<random-hash>.<region>.azurewebsites.net. Na przykład: myapp-ds27dh7271aah175.westus-01.azurewebsites.net. Istniejące nazwy aplikacji pozostają niezmienione.

Aby uzyskać więcej informacji, zobacz wpis w blogu dotyczący tworzenia aplikacji internetowej z unikatową domyślną nazwą hosta.

W tym artykule opisano funkcję integracji sieci wirtualnej usługi Azure App Service oraz sposób, jak ją skonfigurować za pomocą aplikacji w usłudze App Service. Za pomocą sieci wirtualnych platformy Azure można umieścić wiele zasobów platformy Azure w sieci nieinternetowej. Funkcja integracji sieci wirtualnej usługi App Service umożliwia aplikacjom uzyskiwanie dostępu do zasobów w sieci wirtualnej lub za pośrednictwem sieci wirtualnej.

Uwaga

Informacje o wymaganej przez bramę integracji z siecią wirtualną zostały przeniesione do nowej lokalizacji.

Usługa App Service ma dwie odmiany:

  • Dedykowane warstwy cenowe dla obliczeń, które obejmują warstwy Podstawowa, Standardowa, Premium, Premium v2 i Premium v3.
  • Środowisko usługi App Service, które jest wdrażane bezpośrednio w sieci wirtualnej z dedykowaną infrastrukturą pomocniczą i korzysta z planu cenowego Izolowanego w wersji 2.

Funkcja integracji sieci wirtualnej jest używana w dedykowanych warstwach cenowych usługi Azure App Service. Jeśli aplikacja znajduje się w środowisku App Service Environment, jest już zintegrowana z siecią wirtualną i nie wymaga skonfigurowania funkcji integracji sieci wirtualnej w celu uzyskania dostępu do zasobów w tej samej sieci wirtualnej. Aby uzyskać więcej informacji na temat wszystkich funkcji sieciowych, zobacz Funkcje sieciowe usługi App Service.

Integracja z siecią wirtualną zapewnia aplikacji dostęp do zasobów w sieci wirtualnej, ale nie udziela przychodzącego dostępu prywatnego do aplikacji z sieci wirtualnej. Dostęp do prywatnej witryny odnosi się do udostępniania aplikacji tylko z prywatnej sieci, takiej jak z wirtualnej sieci platformy Azure. Integracja z siecią wirtualną służy tylko do nawiązywania połączeń wychodzących z aplikacji do sieci wirtualnej. Odwołaj się do prywatnego punktu końcowego dla przychodzącego dostępu prywatnego.

Funkcja integracji sieci wirtualnej:

  • Wymaga warstwy cenowej Podstawowa, Standardowa, Premium, Premium v2, Premium v3 lub Elastic Premium App Service.
  • Obsługuje protokoły TCP i UDP.
  • Współpracuje z aplikacjami usługi App Service, aplikacjami funkcji i aplikacjami logiki.

Istnieje kilka rzeczy, których integracja z siecią wirtualną nie obsługuje, na przykład:

  • Instalowanie dysku.
  • Przyłączania do domeny usługi Active Directory systemu Windows Server.
  • Netbios.

Integracja sieci wirtualnej obsługuje nawiązywanie połączenia z siecią wirtualną w tym samym regionie. Korzystanie z integracji z siecią wirtualną umożliwia aplikacji dostęp do:

  • Zasoby w sieci wirtualnej, z którą się integrujesz.
  • Zasoby w sieciach wirtualnych połączonych przez peering z siecią wirtualną, z którą aplikacja jest zintegrowana, uwzględniając globalne połączenia peeringowe.
  • Zasoby w ramach połączeń usługi Azure ExpressRoute.
  • Usługi zabezpieczone przez punkt końcowy serwisu.
  • Prywatne usługi z obsługą punktów końcowych.

W przypadku korzystania z integracji z siecią wirtualną można użyć następujących funkcji sieciowych platformy Azure:

  • Sieciowe grupy zabezpieczeń: możesz zablokować ruch wychodzący z sieciową grupą zabezpieczeń używaną w podsieci integracji. Reguły ruchu przychodzącego nie mają zastosowania, ponieważ nie można używać integracji sieci wirtualnej w celu zapewnienia dostępu przychodzącego do aplikacji.
  • Tabele tras (UDR): tabelę tras można umieścić w podsieci integracji, aby wysyłać ruch wychodzący, w którym chcesz.
  • Brama translatora adresów sieciowych: brama translatora adresów sieciowych umożliwia uzyskanie dedykowanego adresu IP wychodzącego i ograniczenie wyczerpania portów SNAT.

Dowiedz się , jak włączyć integrację sieci wirtualnej.

Jak działa integracja sieci wirtualnej

Aplikacje w usłudze App Service są hostowane na rolach procesów roboczych. Integracja sieci wirtualnej działa przez instalowanie interfejsów wirtualnych w rolach procesów roboczych z adresami w delegowanej podsieci. Używane interfejsy wirtualne nie są zasobami, do których klienci mają bezpośredni dostęp. Ponieważ adres źródłowy znajduje się w sieci wirtualnej, może uzyskać dostęp do większości elementów w sieci wirtualnej lub za jej pośrednictwem, tak jak maszyna wirtualna w sieci wirtualnej.

Diagram przedstawiający sposób działania integracji sieci wirtualnej.

Po włączeniu integracji z siecią wirtualną aplikacja wykonuje wywołania wychodzące za pośrednictwem sieci wirtualnej. Adresy wychodzące wymienione w portalu właściwości aplikacji to adresy nadal używane przez aplikację. Jeśli jednak połączenie wychodzące jest do maszyny wirtualnej lub prywatnego punktu końcowego w sieci wirtualnej integracji lub równorzędnej sieci wirtualnej, adres wychodzący jest adresem z podsieci integracji. Prywatny adres IP przypisany do wystąpienia jest uwidaczniany za pośrednictwem zmiennej środowiskowej WEBSITE_PRIVATE_IP.

Po włączeniu całego routingu ruchu cały ruch wychodzący jest wysyłany do sieci wirtualnej. Jeśli cały routing ruchu nie jest włączony, do sieci wirtualnej wysyłany jest tylko ruch prywatny (RFC1918) oraz punkty końcowe usług, które są skonfigurowane w ramach podsieci integracji. Ruch wychodzący do Internetu jest kierowany bezpośrednio z aplikacji.

Funkcja integracji sieci wirtualnej obsługuje dwa interfejsy wirtualne na jednego pracownika. Dwa interfejsy wirtualne na pracownika oznaczają dwie integracje sieci wirtualnej na plan App Service. Innymi słowy, plan usługi App Service może mieć integrację sieci wirtualnej z maksymalnie dwiema podsieciami/sieciami wirtualnymi. Aplikacje w tym samym planie usługi App Service mogą używać tylko jednej integracji sieci wirtualnej z określoną podsiecią, co oznacza, że aplikacja może mieć tylko jedną integrację sieci wirtualnej w danym momencie.

Wymagania dotyczące podsieci

Integracja sieci wirtualnej zależy od dedykowanej podsieci. Podczas tworzenia podsieci podsieć platformy Azure od samego początku zużywa pięć adresów IP. Jeden adres z podsieci integracji jest używany dla każdej instancji planu App Service. Jeśli przeskalujesz aplikację do czterech wystąpień, używane są cztery adresy.

W przypadku skalowania w górę/w dół w rozmiarze wystąpienia ilość adresów IP używanych przez plan usługi App Service jest tymczasowo podwojona podczas wykonywania operacji skalowania. Nowe wystąpienia muszą być w pełni funkcjonalne, zanim istniejące wystąpienia zostaną wyłączone. Operacja skalowania wpływa na rzeczywiste, obsługiwane wystąpienia dla danego rozmiaru podsieci. Uaktualnienia platformy wymagają bezpłatnych adresów IP, aby zapewnić, że uaktualnienia mogą wystąpić bez przerw w ruchu wychodzącym. Na koniec po zakończeniu skalowania w górę, w dół lub w operacjach może upłynąć krótki okres czasu przed wydaniem adresów IP. W rzadkich przypadkach ta operacja może wynosić do 12 godzin, a w przypadku szybkiego skalowania w poziomie lub w górę/w dół potrzebna jest większa liczba adresów IP niż maksymalna skala.

Ponieważ nie można zmienić rozmiaru podsieci po przypisaniu, użyj podsieci, która jest wystarczająco duża, aby pomieścić każdą skalę, jaką może osiągnąć Twoja aplikacja. Należy również zarezerwować adresy IP dla uaktualnień platformy. Aby uniknąć problemów z pojemnością podsieci, zalecamy przydzielenie liczby adresów IP dwukrotnie większej niż planowana maksymalna skala. Element z /26 64 adresami obsługuje maksymalną skalę pojedynczego wielodostępnego planu App Service. Podczas tworzenia podsieci w witrynie Azure Portal w ramach integracji z siecią wirtualną wymagany jest minimalny rozmiar /27 . Jeśli podsieć już istnieje przed zintegrowaniem za pośrednictwem portalu, możesz użyć podsieci /28 .

Dzięki funkcji łączenia wielu planów w podsieci (MPSJ) można łączyć wiele planów usługi App Service w tę samą podsieć. Wszystkie plany usługi App Service muszą znajdować się w tej samej subskrypcji, ale sieć wirtualna/podsieć mogą znajdować się w innej subskrypcji. Każde wystąpienie z każdego planu usługi App Service wymaga adresu IP z podsieci, a aby używać MPSJ, konieczny jest minimalny rozmiar podsieci /26. Jeśli planujesz dołączyć do wielu i/lub dużych projektów, powinieneś zaplanować obsługę większych zakresów podsieci.

Limity specyficzne dla kontenerów systemu Windows

Kontenery systemu Windows używają dodatkowego adresu IP dla każdej aplikacji dla każdego wystąpienia planu usługi App Service i należy odpowiednio rozmiesić podsieć. Jeśli na przykład masz 10 wystąpień planu usługi App Service kontenera Windows z czterema uruchomionymi aplikacjami, potrzebujesz 50 adresów IP oraz dodatkowych adresów, aby obsłużyć skalowanie poziome.

Przykładowe obliczenie:

Dla każdego wystąpienia planu usługi App Service potrzebne są: 4 aplikacje kontenera systemu Windows = 4 adresy IP 1 adres IP na wystąpienie planu usługi App Service 4 + 1 = 5 adresów IP

W przypadku 10 wystąpień: 5 x 10 = 50 adresów IP na plan usługi App Service

Ponieważ masz 1 plan usługi App Service, 1 x 50 = 50 adresów IP.

Ponadto liczba rdzeni dostępnych w używanej warstwie procesu roboczego jest ograniczona. Każdy rdzeń dodaje trzy jednostki sieciowe. Sam proces roboczy używa jednej jednostki, a każde połączenie sieci wirtualnej używa jednej jednostki. Pozostałe jednostki mogą być używane dla aplikacji.

Przykładowe obliczenie:

Wystąpienie planu usługi App Service z czterema uruchomionymi aplikacjami i korzystaniem z integracji z siecią wirtualną. Aplikacje są połączone z dwiema różnymi podsieciami (połączenia sieci wirtualnej). Ta konfiguracja wymaga siedmiu jednostek sieciowych (1 proces roboczy + 2 połączenia + 4 aplikacje). Minimalny rozmiar uruchamiania tej konfiguracji to I2v2 (cztery rdzenie x 3 jednostki = 12 jednostek).

Za pomocą protokołu I1v2 można uruchamiać maksymalnie cztery aplikacje przy użyciu tego samego połączenia (1) lub 3 aplikacji przy użyciu 2 połączeń.

Uprawnienia

Musisz mieć co najmniej następujące uprawnienia kontroli dostępu opartej na rolach w podsieci lub na wyższym szczeblu, aby skonfigurować integrację sieci wirtualnej za pośrednictwem portalu Azure, wiersza polecenia CLI lub podczas bezpośredniego ustawiania virtualNetworkSubnetId właściwości lokacji:

Akcja opis
Microsoft.Network/virtualNetworks/odczyt (read) Odczytywanie definicji sieci wirtualnej
Microsoft.Network/virtualNetworks/subnets/read Odczytywanie definicji podsieci sieci wirtualnej
Microsoft.Network/virtualNetworks/subnets/zapisywanie Deleguj podsieć. Wymagane tylko wtedy, gdy podsieć nie została delegowana lub nie została jeszcze użyta do integracji z siecią wirtualną
Microsoft.Network/virtualNetworks/subnets/join/action Dołącza do sieci wirtualnej

Jeśli sieć wirtualna znajduje się w innej subskrypcji niż aplikacja, musisz upewnić się, że subskrypcja z siecią wirtualną jest zarejestrowana dla Microsoft.Web dostawcy zasobów. Możesz jawnie zarejestrować dostawcę , postępując zgodnie z tą dokumentacją, ale także automatycznie rejestruje się podczas tworzenia pierwszej aplikacji internetowej w ramach subskrypcji.

Trasy

Możesz kontrolować ruch przechodzący przez integrację z siecią wirtualną. Podczas konfigurowania integracji z siecią wirtualną należy wziąć pod uwagę trzy typy routingu. Routing aplikacji definiuje ruch kierowany z aplikacji i do sieci wirtualnej. Routowanie konfiguracji wpływa na operacje wykonywane przed lub podczas uruchamiania aplikacji. Przykładami są pobranie obrazu kontenera i ustawienia aplikacji z odniesieniem do usługi Key Vault. Routing sieciowy to zdolność zarządzania tym, jak ruch aplikacji i konfiguracji jest kierowany z sieci wirtualnej na zewnątrz.

Za pomocą opcji routingu aplikacji lub routingu konfiguracji można skonfigurować ruch wysyłany za pośrednictwem integracji z siecią wirtualną. Ruch podlega routingowi sieciowemu tylko wtedy, gdy jest wysyłany za pośrednictwem integracji z siecią wirtualną.

Marszruta zgłoszenia

Routing aplikacji ma zastosowanie do ruchu wysyłanego z aplikacji po jego uruchomieniu. Zobacz konfigurację routingu dla ruchu podczas uruchamiania. Podczas konfigurowania routingu aplikacji można kierować cały ruch lub tylko ruch prywatny (znany również jako ruch RFC1918 ) do sieci wirtualnej. Zachowanie to można skonfigurować za pomocą ustawienia ruchu wychodzącego w internecie. Jeśli routing ruchu wychodzącego z Internetu jest wyłączony, aplikacja kieruje tylko ruch prywatny do sieci wirtualnej. Jeśli chcesz kierować cały ruch aplikacji wychodzącej do sieci wirtualnej, upewnij się, że wychodzący ruch internetowy jest włączony.

  • Tylko ruch skonfigurowany w routingu aplikacyjnym lub konfiguracyjnym podlega sieciowym grupom zabezpieczeń i trasom zdefiniowanym przez użytkownika, które są stosowane w podsieci integracyjnej.
  • Po włączeniu routingu ruchu wychodzącego z Internetu adres źródłowy dla ruchu wychodzącego z aplikacji jest nadal jednym z adresów IP wymienionych we właściwościach aplikacji. Jeśli kierujesz ruch przez zaporę lub bramę NAT, źródłowy adres IP pochodzi z tej usługi.

Dowiedz się , jak skonfigurować routing aplikacji.

Uwaga

Łączność wychodząca SMTP (port 25) jest obsługiwana w przypadku usługi App Service, gdy ruch SMTP jest kierowany przez integrację sieci wirtualnej. Obsługiwalność jest określana przez ustawienia w subskrypcji, gdzie wdrażana jest sieć wirtualna. W przypadku sieci wirtualnych/podsieci utworzonych przed 1. W sierpniu 2022 r. należy zainicjować tymczasową zmianę konfiguracji w sieci wirtualnej/podsieci, aby ustawienie było synchronizowane z subskrypcji. Przykładem może być dodanie tymczasowej podsieci, tymczasowe skojarzenie/rozkojarzenie sieciowej grupy zabezpieczeń lub tymczasowe skonfigurowanie punktu końcowego usługi. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z łącznością wychodzącą SMTP na platformie Azure.

Konfiguracja routingu

W przypadku korzystania z integracji z siecią wirtualną można skonfigurować sposób zarządzania częściami ruchu konfiguracyjnego. Domyślnie ruch konfiguracyjny przechodzi bezpośrednio przez trasę publiczną, ale dla wymienionych poszczególnych składników można aktywnie skonfigurować go do kierowania za pośrednictwem integracji sieci wirtualnej.

Udział zawartości

Domyślnie usługa Azure Functions używa udostępnionej zawartości jako źródła wdrożenia podczas skalowania aplikacji funkcji w planie Premium. Należy skonfigurować dodatkowe ustawienie w celu zagwarantowania, że ruch jest kierowany do tego udziału zawartości za pośrednictwem integracji z siecią wirtualną. Aby uzyskać więcej informacji, zobacz jak skonfigurować trasowanie udostępniania zawartości.

Oprócz konfigurowania routingu należy również upewnić się, że każda zapora lub grupa zabezpieczeń sieci skonfigurowana dla ruchu z podsieci zezwala na ruch do portu 443 i 445.

Ściąganie obrazu kontenera

W przypadku korzystania z kontenerów niestandardowych można ściągnąć kontener za pośrednictwem integracji z siecią wirtualną. Aby skierować ruch pobierania kontenerów przez integrację z siecią wirtualną, należy upewnić się, że ustawienia routingu są skonfigurowane. Dowiedz się , jak skonfigurować routing pobierania obrazów.

Tworzenie/przywracanie kopii zapasowych

Usługa App Service ma wbudowaną kopię zapasową/przywracanie, ale jeśli chcesz utworzyć kopię zapasową na własnym koncie usługi magazynowej, możesz użyć niestandardowej funkcji tworzenia/przywracania kopii zapasowej. Jeśli chcesz kierować ruch do konta magazynu za pośrednictwem integracji z siecią wirtualną, musisz skonfigurować ustawienie trasy. Tworzenie kopii zapasowej bazy danych nie jest obsługiwane za pośrednictwem integracji z siecią wirtualną.

Ustawienia aplikacji korzystające z odwołań do Key Vault

Ustawienia aplikacji korzystające z odwołań usługi Key Vault próbują uzyskać tajemnice przez publiczną trasę. Jeśli usługa Key Vault blokuje ruch publiczny, a aplikacja korzysta z integracji z siecią wirtualną, podejmuje się próbę uzyskania tajemnic za pośrednictwem integracji z siecią wirtualną.

Uwaga

  • Konfigurowanie certyfikatów SSL/TLS z prywatnych magazynów kluczy nie jest obecnie obsługiwane.

Ustawienia aplikacji routingu

Usługa App Service ma istniejące ustawienia aplikacji do konfigurowania routingu aplikacji i konfiguracji. Właściwości witryny zastępują ustawienia aplikacji, jeśli oba te ustawienia istnieją. Właściwości witryny mają zaletę możliwości audytowania za pomocą Azure Policy i weryfikowania w momencie konfiguracji. Zalecamy, abyś używał właściwości witryny.

Nadal możesz użyć istniejącego WEBSITE_VNET_ROUTE_ALL ustawienia aplikacji, aby skonfigurować routing aplikacji.

Ustawienia aplikacji są również dostępne dla niektórych opcji konfiguracji routingu. Te ustawienia aplikacji mają nazwy WEBSITE_CONTENTOVERVNET i WEBSITE_PULL_IMAGE_OVER_VNET.

Trasowanie sieciowe

Tabele tras umożliwiają kierowanie ruchu wychodzącego z aplikacji bez ograniczeń. Typowe miejsca docelowe mogą obejmować urządzenia zapory lub bramy. Możesz również użyć sieciowej grupy zabezpieczeń do blokowania ruchu wychodzącego do zasobów w sieci wirtualnej lub w Internecie. Sieciowa grupa zabezpieczeń, którą stosujesz do podsieci integracji, ma zastosowanie bez względu na to, czy użyte zostały jakiekolwiek tabele tras.

Tabele tras i sieciowe grupy zabezpieczeń mają zastosowanie tylko do ruchu kierowanego przez integrację sieci wirtualnej. Aby uzyskać szczegółowe informacje, zobacz trasowanie aplikacji i trasowanie konfiguracji. Trasy nie mają zastosowania do odpowiedzi z przychodzących żądań aplikacji i reguł ruchu przychodzącego w sieciowej grupie zabezpieczeń nie mają zastosowania do aplikacji. Integracja z siecią wirtualną wpływa tylko na ruch wychodzący z aplikacji. Aby kontrolować ruch przychodzący do aplikacji, użyj funkcji ograniczeń dostępu lub prywatnych punktów końcowych.

Podczas konfigurowania sieciowych grup zabezpieczeń lub tabel tras, które mają zastosowanie do ruchu wychodzącego, należy wziąć pod uwagę zależności aplikacji. Zależności aplikacji obejmują punkty końcowe, których aplikacja potrzebuje podczas wykonywania. Oprócz interfejsów API i usług wywoływanych przez aplikację, te punkty końcowe mogą również obejmować pochodne punkty końcowe, takie jak punkty końcowe sprawdzania listy odwołania certyfikatów (CRL) oraz punkt końcowy tożsamości/uwierzytelniania, na przykład Identyfikator Microsoft Entra. Jeśli używasz ciągłego wdrażania w usłudze App Service, może być również konieczne zezwolenie na punkty końcowe w zależności od typu i języka.

Ciągłe wdrażanie systemu Linux

W szczególności w przypadku ciągłego wdrażania systemu Linux należy zezwolić na usługę oryx-cdn.microsoft.io:443. W przypadku języka Python należy dodatkowo zezwolić na files.pythonhosted.org, pypi.org.

Kontrole kondycji

Platforma Azure używa portu UDP 30 000 do przeprowadzania kontroli kondycji sieci. Jeśli zablokujesz ten ruch, nie wpłynie to bezpośrednio na aplikację, ale będzie trudniej pomoc techniczna platformy Azure wykrywać i rozwiązywać problemy związane z siecią.

Porty prywatne

Funkcja portów prywatnych usługi App Service używa portów od 20 000 do 30 000 zarówno w protokole TCP, jak i UDP, aby kierować ruch między wystąpieniami za pośrednictwem zintegrowanej sieci. Wymieniony zakres portów musi być otwarty zarówno dla ruchu przychodzącego, jak i wychodzącego.

Ruch lokalny

Jeśli chcesz kierować ruch wychodzący lokalnie, możesz użyć tabeli tras do wysyłania ruchu wychodzącego do bramy usługi Azure ExpressRoute. Jeśli kierujesz ruch do bramy, ustaw trasy w sieci zewnętrznej, aby wysyłać odpowiedzi z powrotem. Trasy protokołu BGP (Border Gateway Protocol) wpływają również na ruch aplikacji. Jeśli masz trasy protokołu BGP z bramy, takiej jak ExpressRoute, ma to wpływ na ruch wychodzący aplikacji. Podobnie jak trasy zdefiniowane przez użytkownika, trasy protokołu BGP wpływają na ruch zgodnie z ustawieniem zakresu routingu.

Punkty końcowe usługi

Integracja z siecią wirtualną umożliwia dostęp do usług platformy Azure, które są zabezpieczone za pomocą punktów końcowych usługi. Aby uzyskać dostęp do usługi zabezpieczonej za pomocą punktu końcowego, wykonaj następujące kroki:

  1. Skonfiguruj integrację sieci wirtualnej z aplikacją internetową, aby nawiązać połączenie z określoną podsiecią na potrzeby integracji.
  2. Przejdź do usługi docelowej i skonfiguruj punkty końcowe usługi w podsieci integracji.

Prywatne punkty końcowe

Jeśli chcesz wykonywać wywołania prywatnych punktów końcowych, upewnij się, że wyszukiwania DNS są rozpoznawane jako prywatny punkt końcowy. To zachowanie można wymusić na jeden z następujących sposobów:

  • Integracja ze strefami prywatnymi usługi Azure DNS. Gdy sieć wirtualna nie ma niestandardowego serwera DNS, integracja odbywa się automatycznie, gdy strefy są połączone z siecią wirtualną.
  • Zarządzaj prywatnym punktem końcowym na serwerze DNS używanym przez aplikację. Aby zarządzać konfiguracją, musisz znać prywatny adres IP punktu końcowego. Następnie wskaż punkt końcowy, który próbujesz osiągnąć, na ten adres, używając rekordu A.
  • Skonfiguruj własny serwer DNS, aby przekazywać zapytania do prywatnych stref usługi Azure DNS.

Strefy prywatne w usłudze Azure DNS

Po zintegrowaniu aplikacji z siecią wirtualną używa tego samego serwera DNS, z którego skonfigurowano sieć wirtualną. Jeśli nie określono niestandardowego systemu DNS, używa domyślnego systemu DNS platformy Azure i wszystkich stref prywatnych połączonych z siecią wirtualną.

Ograniczenia

Istnieją pewne ograniczenia dotyczące korzystania z integracji z siecią wirtualną:

  • Ta funkcja wymaga nieużywanej podsieci, która jest blokiem IPv4 /28 lub większym w sieci wirtualnej usługi Azure Resource Manager. Program MPSJ wymaga bloku /26 lub większego.
  • Aplikacja i sieć wirtualna muszą być w tym samym regionie.
  • Sieć wirtualna integracji nie może mieć zdefiniowanych przestrzeni adresowych IPv6.
  • Podsieć integracji nie może mieć włączonych zasad dotyczących punktu końcowego usługi.
  • Nie można usunąć sieci wirtualnej ze zintegrowaną aplikacją. Usuń integrację przed usunięciem sieci wirtualnej.
  • Nie można mieć więcej niż dwóch integracji sieci wirtualnych w ramach planu usługi App Service. Wiele aplikacji w tym samym planie usługi App Service może korzystać z tej samej integracji sieci wirtualnej.
  • Nie można zmienić subskrypcji aplikacji ani planu, gdy istnieje aplikacja korzystająca z integracji z siecią wirtualną.
  • Przechowywanie dzienników usługi App Service na prywatnych kontach magazynu nie jest obecnie obsługiwane. Zalecamy używanie rejestrowania dzienników diagnostycznych i zezwalanie na zaufane usługi dla konta magazynowego.

Dostęp do zasobów lokalnych

Aby funkcja integracji sieci wirtualnej była dostępna za pośrednictwem sieci wirtualnej do zasobów lokalnych, nie jest wymagana żadna dodatkowa konfiguracja. Wystarczy połączyć sieć wirtualną z zasobami lokalnymi przy użyciu usługi ExpressRoute lub sieci VPN typu lokacja-lokacja.

Komunikacja równorzędna

Jeśli używasz peeringu z integracją z siecią wirtualną, nie musisz przeprowadzać dodatkowej konfiguracji.

Zarządzanie integracją sieci wirtualnej

Łączenie i rozłączanie z siecią wirtualną jest na poziomie aplikacji. Operacje, które mogą mieć wpływ na integrację sieci wirtualnej w wielu aplikacjach, są na poziomie planu usługi App Service. Z portalu aplikacji Networking do integracji VNet możesz uzyskać szczegółowe informacje na temat swojej sieci wirtualnej. Podobne informacje można wyświetlić na poziomie planu usługi App Service w portalu sieci>integracji sieci wirtualnej>.

W widoku aplikacji w wystąpieniu integracji sieci wirtualnej możesz odłączyć swoją aplikację od sieci wirtualnej oraz skonfigurować trasowanie aplikacji. Aby odłączyć aplikację od sieci wirtualnej, wybierz pozycję Rozłącz. Aplikacja zostanie ponownie uruchomiona po rozłączeniu się z siecią wirtualną. Rozłączanie nie zmienia sieci wirtualnej. Podsieć nie jest usuwana. Jeśli chcesz usunąć sieć wirtualną, najpierw odłącz aplikację od sieci wirtualnej.

Prywatny adres IP przypisany do wystąpienia jest uwidaczniany za pośrednictwem zmiennej środowiskowej WEBSITE_PRIVATE_IP. Interfejs użytkownika konsoli Kudu pokazuje również listę zmiennych środowiskowych dostępnych dla aplikacji internetowej. Ten adres IP jest przypisywany z zakresu adresów zintegrowanej podsieci. Ten adres IP jest używany przez aplikację internetową do łączenia się z zasobami za pośrednictwem sieci wirtualnej platformy Azure.

Uwaga

Wartość WEBSITE_PRIVATE_IP jest podatna na zmianę. Jednak będzie to adres IP w zakresie adresów podsieci integracji, więc musisz zezwolić na dostęp z całego zakresu adresów.

Szczegóły cennika

Funkcja integracji sieci wirtualnej nie ma dodatkowych opłat za korzystanie poza opłatami za warstwę cenową planu usługi App Service.

Rozwiązywanie problemów

Ta funkcja jest łatwa do skonfigurowania, ale nie oznacza to, że Twoje doświadczenie będzie pozbawione problemów. Jeśli wystąpią problemy z uzyskiwaniem dostępu do żądanego punktu końcowego, możesz wykonać różne kroki w zależności od obserwowanych elementów. Aby uzyskać więcej informacji, zobacz Przewodnik rozwiązywania problemów z integracją sieci wirtualnej.

Uwaga

  • Integracja sieci wirtualnej nie jest obsługiwana w scenariuszach narzędzia Docker Compose w usłudze App Service.
  • Ograniczenia dostępu nie mają zastosowania do ruchu przechodzącego przez prywatny punkt końcowy.

Usuwanie planu usługi App Service lub aplikacji przed odłączeniem integracji z siecią

Jeśli aplikacja lub plan usługi App Service zostały usunięte bez uprzedniego rozłączenia integracji z siecią wirtualną, nie można wykonać żadnych operacji aktualizacji/usuwania w sieci wirtualnej lub podsieci, która została użyta do integracji z usuniętym zasobem. Delegacja podsieci "Microsoft.Web/serverFarms" jest nadal przypisana do podsieci, co uniemożliwia aktualizację i usuwanie.

Aby ponownie zaktualizować/usunąć podsieć lub sieć wirtualną, należy ponownie utworzyć integrację sieci wirtualnej, a następnie rozłączyć ją:

  1. Utwórz ponownie plan usługi App Service i aplikację (należy używać dokładnie tej samej nazwy aplikacji internetowej co poprzednio).
  2. Przejdź do obszaru Sieć w aplikacji w witrynie Azure Portal i skonfiguruj integrację sieci wirtualnej.
  3. Po skonfigurowaniu integracji z siecią wirtualną wybierz przycisk "Rozłącz".
  4. Usuń plan usługi App Service lub aplikację.
  5. Zaktualizuj/usuń podsieć lub sieć wirtualną.

Jeśli po wykonaniu tych kroków nadal występują problemy z integracją sieci wirtualnej, skontaktuj się z pomoc techniczna firmy Microsoft.