Definições de configuração personalizadas para ambientes do Serviço de Aplicativo
Descrição geral
Como os Ambientes do Serviço de Aplicativo são isolados para um único cliente, há determinadas definições de configuração que podem ser aplicadas exclusivamente aos Ambientes do Serviço de Aplicativo. Este artigo documenta as várias personalizações específicas disponíveis para Ambientes do Serviço de Aplicativo.
Nota
Este artigo aborda os recursos, benefícios e casos de uso do Ambiente do Serviço de Aplicativo v3, que é usado com os planos Isolados do Serviço de Aplicativo v2.
Se você não tiver um Ambiente do Serviço de Aplicativo, consulte Como criar um Ambiente do Serviço de Aplicativo v3.
Você pode armazenar personalizações do Ambiente do Serviço de Aplicativo usando uma matriz no novo atributo clusterSettings . Esse atributo é encontrado no dicionário "Propriedades" da entidade hostingEnvironments Azure Resource Manager.
O seguinte trecho de modelo abreviado do Resource Manager mostra o atributo clusterSettings :
"resources": [
{
"apiVersion": "2021-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"properties": {
"clusterSettings": [
{
"name": "nameOfCustomSetting",
"value": "valueOfCustomSetting"
}
],
"internalLoadBalancingMode": ...,
etc...
}
}
O atributo clusterSettings pode ser incluído em um modelo do Gerenciador de Recursos para atualizar o Ambiente do Serviço de Aplicativo.
Usar o Gerenciador de Recursos do Azure para atualizar um Ambiente do Serviço de Aplicativo
Como alternativa, você pode atualizar o Ambiente do Serviço de Aplicativo usando o Gerenciador de Recursos do Azure.
- No Gerenciador de Recursos, vá para o nó do Ambiente do Serviço de Aplicativo (subscriptions>{your Subscription}>resourceGroups>{your Resource Group}>providers>Microsoft.Web>hostingEnvironments). Em seguida, clique no Ambiente do Serviço de Aplicativo específico que você deseja atualizar.
- No painel direito, clique em Leitura/Gravação na barra de ferramentas superior para permitir a edição interativa no Gerenciador de Recursos.
- Clique no botão azul Editar para tornar o modelo do Gerenciador de Recursos editável.
- Desloque-se para a parte inferior do painel direito. O atributo clusterSettings está na parte inferior, onde você pode inserir ou atualizar seu valor.
- Digite (ou copie e cole) a matriz de valores de configuração desejada no atributo clusterSettings .
- Clique no botão PUT verde localizado na parte superior do painel direito para confirmar a alteração no Ambiente do Serviço de Aplicativo.
Seja qual for o envio da alteração, a alteração não é imediata e pode demorar até 24 horas para que a alteração entre plenamente em vigor. Algumas configurações têm detalhes específicos sobre o tempo e o impacto da configuração específica.
Ativar encriptação interna
O Ambiente do Serviço de Aplicativo opera como um sistema de caixa preta onde você não pode ver os componentes internos ou a comunicação dentro do sistema. Para habilitar uma taxa de transferência mais alta, a criptografia não é habilitada por padrão entre componentes internos. O sistema é seguro, pois o tráfego é inacessível para ser monitorado ou acessado. Se você tiver um requisito de conformidade que exija criptografia completa do caminho de dados de ponta a ponta, há uma maneira de habilitar a criptografia do caminho de dados completo com um clusterSetting.
"clusterSettings": [
{
"name": "InternalEncryption",
"value": "true"
}
],
Definir InternalEncryption como true criptografa o tráfego de rede interno em seu Ambiente do Serviço de Aplicativo entre os front-ends e os trabalhadores, criptografa o arquivo de paginação e também criptografa os discos de trabalho. Depois que o clusterSetting InternalEncryption estiver habilitado, poderá haver um impacto no desempenho do sistema. Quando você fizer a alteração para habilitar InternalEncryption, seu Ambiente do Serviço de Aplicativo estará em um estado instável até que a alteração seja totalmente propagada. A propagação completa da alteração pode levar algumas horas para ser concluída, dependendo de quantas instâncias você tem em seu Ambiente do Serviço de Aplicativo. É altamente recomendável que você não habilite o InternalEncryption em um Ambiente do Serviço de Aplicativo enquanto ele estiver em uso. Se você precisar habilitar o InternalEncryption em um Ambiente do Serviço de Aplicativo usado ativamente, é altamente recomendável desviar o tráfego para um ambiente de backup até que a operação seja concluída.
Desativar o TLS 1.0 e o TLS 1.1
Se você quiser gerenciar as configurações de TLS em uma base de aplicativo por aplicativo, use as orientações fornecidas com a documentação Impor configurações de TLS.
Se quiser desabilitar todo o tráfego TLS 1.0 e TLS 1.1 de entrada para todos os aplicativos em um Ambiente do Serviço de Aplicativo, você pode definir a seguinte entrada clusterSettings :
"clusterSettings": [
{
"name": "DisableTls1.0",
"value": "1"
}
],
O nome da configuração diz 1.0, mas quando configurada, ela desativa o TLS 1.0 e o TLS 1.1.
Alterar a ordem do conjunto de cifras TLS
O Ambiente do Serviço de Aplicativo oferece suporte à alteração do conjunto de codificação do padrão. O conjunto padrão de cifras é o mesmo conjunto usado no serviço multilocatário. A alteração dos pacotes de codificação afeta toda uma implantação do Serviço de Aplicativo, tornando isso possível apenas no Ambiente do Serviço de Aplicativo de locatário único. Há dois pacotes de codificação necessários para um Ambiente do Serviço de Aplicativo; TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Se você deseja operar seu Ambiente do Serviço de Aplicativo com o conjunto mais forte e mínimo de pacotes de codificação, use apenas as duas cifras necessárias. Para configurar seu Ambiente do Serviço de Aplicativo para usar apenas as cifras necessárias, modifique as clusterSettings conforme mostrado abaixo.
"clusterSettings": [
{
"name": "FrontEndSSLCipherSuiteOrder",
"value": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
}
],
Aviso
Se forem definidos valores incorretos para o conjunto de codificação que o SChannel não consegue entender, toda a comunicação TLS com o servidor pode parar de funcionar. Nesse caso, você precisará remover a entrada FrontEndSSLCipherSuiteOrder do clusterSettings e enviar o modelo atualizado do Gerenciador de Recursos para reverter para as configurações padrão do conjunto de codificação. Por favor, use esta funcionalidade com cuidado.
Começar agora
O site de modelo do Azure Quickstart Resource Manager inclui um modelo com a definição base para criar um Ambiente do Serviço de Aplicativo.