Detalhes de configuração de rede para o Ambiente do Serviço de Aplicativo para Power Apps com o Azure ExpressRoute

Importante

Este artigo é sobre o Ambiente do Serviço de Aplicativo v1. O Ambiente do Serviço de Aplicativo v1 será desativado em 31 de agosto de 2024. Há uma nova versão do Ambiente do Serviço de Aplicativo que é mais fácil de usar e é executada em uma infraestrutura mais poderosa. Para saber mais sobre a nova versão, comece com a Introdução ao Ambiente do Serviço de Aplicativo. Se você estiver usando o Ambiente do Serviço de Aplicativo v1, siga as etapas neste artigo para migrar para a nova versão.

A partir de 29 de janeiro de 2024, você não poderá mais criar novos recursos do Ambiente do Serviço de Aplicativo v1 usando qualquer um dos métodos disponíveis, incluindo modelos ARM/Bicep, Portal do Azure, CLI do Azure ou API REST. Você deve migrar para o Ambiente do Serviço de Aplicativo v3 antes de 31 de agosto de 2024 para evitar a exclusão de recursos e a perda de dados.

Os clientes podem conectar um circuito de Rota Expressa do Azure à infraestrutura de rede virtual para estender sua rede local para o Azure. O Ambiente do Serviço de Aplicativo é criado em uma sub-rede da infraestrutura de rede virtual. Os aplicativos executados no Ambiente do Serviço de Aplicativo estabelecem conexões seguras com recursos de back-end acessíveis somente pela conexão de Rota Expressa.

O Ambiente do Serviço de Aplicativo pode ser criado nestes cenários:

• Redes virtuais do Azure Resource Manager.
• Modelo clássico de implantação de redes virtuais.
• Redes virtuais que usam intervalos de endereços públicos ou espaços de endereços RFC1918 (ou seja, endereços privados).

Nota

Embora este artigo se refira a aplicações Web, também se aplica a aplicações API e aplicações móveis.

Conectividade de rede necessária

O Ambiente do Serviço de Aplicativo tem requisitos de conectividade de rede que, inicialmente, podem não ser atendidos em uma rede virtual conectada à Rota Expressa.

O Ambiente do Serviço de Aplicativo requer as seguintes configurações de conectividade de rede para funcionar corretamente:

• Conectividade de rede de saída para pontos de extremidade de Armazenamento do Azure em todo o mundo na porta 80 e na porta 443. Esses pontos de extremidade estão localizados na mesma região que o Ambiente do Serviço de Aplicativo e também em outras regiões do Azure. Os pontos de extremidade do Armazenamento do Azure são resolvidos nos seguintes domínios DNS: table.core.windows.net, blob.core.windows.net, queue.core.windows.net e file.core.windows.net.

• Conectividade de rede de saída para o serviço Arquivos do Azure na porta 445.

• Conectividade de rede de saída para pontos de extremidade do Banco de Dados SQL do Azure localizados na mesma região do Ambiente do Serviço de Aplicativo. Os pontos de extremidade do Banco de dados SQL são resolvidos sob o domínio database.windows.net, que requer acesso aberto às portas 1433, 11000-11999 e 14000-14999. Para obter detalhes sobre o uso da porta do Banco de Dados SQL V12, consulte Portas além da 1433 para ADO.NET 4.5.

• Conectividade de rede de saída para os pontos de extremidade do plano de gerenciamento do Azure (modelo de implantação clássico do Azure e pontos de extremidade do Azure Resource Manager). A conectividade com esses pontos de extremidade inclui os domínios management.core.windows.net e management.azure.com.

• Conectividade de rede de saída para os domínios ocsp.msocsp.com, mscrl.microsoft.com e crl.microsoft.com. A conectividade com esses domínios é necessária para oferecer suporte à funcionalidade TLS.

• A configuração de DNS para a rede virtual deve ser capaz de resolver todos os pontos de extremidade e domínios mencionados neste artigo. Se os pontos de extremidade não puderem ser resolvidos, a criação do Ambiente do Serviço de Aplicativo falhará. Qualquer Ambiente do Serviço de Aplicativo existente é marcado como não íntegro.

• O acesso de saída na porta 53 é necessário para a comunicação com servidores DNS.

• Se existir um servidor DNS personalizado na outra extremidade de um gateway VPN, o servidor DNS deve estar acessível a partir da sub-rede que contém o Ambiente do Serviço de Aplicativo.

• O caminho de rede de saída não pode percorrer proxies corporativos internos e não pode ser encapsulado no local. Essas ações alteram o endereço NAT efetivo do tráfego de rede de saída do Ambiente do Serviço de Aplicativo. As alterações no endereço NAT do tráfego de rede de saída do Ambiente do Serviço de Aplicativo causam falhas de conectividade em muitos dos pontos de extremidade. A criação do Ambiente do Serviço de Aplicativo falha. Qualquer Ambiente do Serviço de Aplicativo existente é marcado como não íntegro.

• O acesso à rede de entrada às portas necessárias para o Ambiente do Serviço de Aplicativo deve ser permitido. Para obter detalhes, consulte Como controlar o tráfego de entrada para o Ambiente do Serviço de Aplicativo.

Para cumprir os requisitos de DNS, certifique-se de que uma infraestrutura DNS válida está configurada e mantida para a rede virtual. Se a configuração de DNS for alterada após a criação do Ambiente do Serviço de Aplicativo, os desenvolvedores poderão forçar o Ambiente do Serviço de Aplicativo a escolher a nova configuração de DNS. Você pode disparar uma reinicialização de ambiente sem interrupção usando o ícone Reiniciar em Gerenciamento do Ambiente do Serviço de Aplicativo no portal do Azure. A reinicialização faz com que o ambiente pegue a nova configuração de DNS.

Para atender aos requisitos de acesso à rede de entrada, configure um NSG (grupo de segurança de rede) na sub-rede do Ambiente do Serviço de Aplicativo. O NSG permite o acesso necessário para controlar o tráfego de entrada no Ambiente do Serviço de Aplicativo.

Conectividade de rede de saída

Por padrão, um circuito de Rota Expressa recém-criado anuncia uma rota padrão que permite conectividade de saída com a Internet. O Ambiente do Serviço de Aplicativo pode usar essa configuração para se conectar a outros pontos de extremidade do Azure.

Uma configuração comum do cliente é definir sua própria rota padrão (0.0.0.0/0), que força o tráfego de saída da Internet a fluir localmente. Esse fluxo de tráfego invariavelmente quebra o Ambiente do Serviço de Aplicativo. O tráfego de saída é bloqueado no local ou NAT'd para um conjunto irreconhecível de endereços que não funcionam mais com vários pontos de extremidade do Azure.

A solução é definir uma (ou mais) rotas definidas pelo usuário (UDRs) na sub-rede que contém o Ambiente do Serviço de Aplicativo. Um UDR define rotas específicas da sub-rede que são honradas em vez da rota padrão.

Se possível, use a seguinte configuração:

• A configuração do ExpressRoute anuncia 0.0.0.0/0. Por padrão, a força de configuração encapsula todo o tráfego de saída no local.
• O UDR aplicado à sub-rede que contém o Ambiente do Serviço de Aplicativo define 0.0.0.0/0 com um tipo de Internet de salto seguinte. Um exemplo dessa configuração é descrito posteriormente neste artigo.

O efeito combinado dessa configuração é que o UDR no nível da sub-rede tem precedência sobre o túnel de força da Rota Expressa. O acesso de saída à Internet a partir do Ambiente do Serviço de Aplicativo é garantido.

Importante

As rotas definidas em um UDR devem ser específicas o suficiente para ter precedência sobre quaisquer rotas anunciadas pela configuração de Rota Expressa. O exemplo descrito na próxima seção usa o amplo intervalo de endereços 0.0.0.0/0. Esse intervalo pode ser acidentalmente substituído por anúncios de rota que usam intervalos de endereços mais específicos.

O Ambiente do Serviço de Aplicativo não é compatível com configurações de Rota Expressa que anunciam rotas do caminho de emparelhamento público para o caminho de emparelhamento privado. As configurações de Rota Expressa que têm emparelhamento público configurado recebem anúncios de rota da Microsoft para um grande conjunto de intervalos de endereços IP do Microsoft Azure. Se esses intervalos de endereços forem anunciados de forma cruzada no caminho de emparelhamento privado, todos os pacotes de rede de saída da sub-rede Ambiente do Serviço de Aplicativo serão encapsulados à infraestrutura de rede local do cliente. Atualmente, esse fluxo de rede não é compatível com o Ambiente do Serviço de Aplicativo. Uma solução é parar as rotas de publicidade cruzada do caminho de emparelhamento público para o caminho de emparelhamento privado.

Para obter informações básicas sobre rotas definidas pelo usuário, consulte Roteamento de tráfego de rede virtual.

Para saber como criar e configurar rotas definidas pelo usuário, consulte Rotear tráfego de rede com uma tabela de rotas usando o PowerShell.

Configuração UDR

Esta seção mostra um exemplo de configuração UDR para o Ambiente do Serviço de Aplicativo.

Pré-requisitos

• Instale o Azure PowerShell a partir da página Downloads do Azure. Escolha um download com data de junho de 2015 ou posterior. Em Ferramentas>de linha de comando do Windows PowerShell, selecione Instalar para instalar os cmdlets mais recentes do PowerShell.

• Crie uma sub-rede exclusiva para uso exclusivo pelo Ambiente do Serviço de Aplicativo. A sub-rede exclusiva garante que os UDRs aplicados à sub-rede abram o tráfego de saída apenas para o Ambiente do Serviço de Aplicativo.

Importante

Implante o Ambiente do Serviço de Aplicativo somente depois de concluir as etapas de configuração. As etapas garantem que a conectividade de rede de saída esteja disponível antes de tentar implantar o Ambiente do Serviço de Aplicativo.

Etapa 1: Criar uma tabela de rotas

Crie uma tabela de rotas chamada DirectInternetRouteTable na região Oeste do Azure dos EUA, conforme mostrado neste trecho:

New-AzureRouteTable -Name 'DirectInternetRouteTable' -Location uswest

Etapa 2: Criar rotas na tabela

Adicione rotas à tabela de rotas para habilitar o acesso de saída à Internet.

Configure o acesso de saída à Internet. Defina uma rota para 0.0.0.0/0 como mostrado neste trecho:

Get-AzureRouteTable -Name 'DirectInternetRouteTable' | Set-AzureRoute -RouteName 'Direct Internet Range 0' -AddressPrefix 0.0.0.0/0 -NextHopType Internet

0.0.0.0/0 é um amplo intervalo de endereços. O intervalo é substituído por intervalos de endereços anunciados pela Rota Expressa que são mais específicos. Um UDR com uma rota 0.0.0.0/0 deve ser usado em conjunto com uma configuração de Rota Expressa que anuncia apenas 0.0.0.0/0.

Como alternativa, baixe uma lista atual e abrangente de intervalos CIDR em uso pelo Azure. O arquivo XML para todos os intervalos de endereços IP do Azure está disponível no Centro de Download da Microsoft.

Nota

Os intervalos de endereços IP do Azure mudam ao longo do tempo. As rotas definidas pelo usuário precisam de atualizações manuais periódicas para se manterem sincronizadas.

Um único UDR tem um limite superior padrão de 100 rotas. Você precisa "resumir" os intervalos de endereços IP do Azure para caber dentro do limite de 100 rotas. As rotas definidas pelo UDR precisam ser mais específicas do que as rotas anunciadas pela sua conexão de Rota Expressa.

Etapa 3: Associar a tabela à sub-rede

Associe a tabela de rotas à sub-rede onde você pretende implantar o Ambiente do Serviço de Aplicativo. Este comando associa a tabela DirectInternetRouteTable à sub-rede ASESubnet que conterá o Ambiente do Serviço de Aplicativo.

Set-AzureSubnetRouteTable -VirtualNetworkName 'YourVirtualNetworkNameHere' -SubnetName 'ASESubnet' -RouteTableName 'DirectInternetRouteTable'

Passo 4: Teste e confirme o percurso

Depois que a tabela de rotas estiver vinculada à sub-rede, teste e confirme a rota.

Implante uma máquina virtual na sub-rede e confirme estas condições:

• O tráfego de saída para os pontos de extremidade do Azure e não do Azure descritos neste artigo não flui pelo circuito da Rota Expressa. Se o tráfego de saída da sub-rede for encapsulado no local, a criação do Ambiente do Serviço de Aplicativo sempre falhará.
• As pesquisas de DNS para os pontos de extremidade descritos neste artigo são resolvidas corretamente.

Depois de concluir as etapas de configuração e confirmar a rota, exclua a máquina virtual. A sub-rede precisa estar "vazia" quando o Ambiente do Serviço de Aplicativo é criado.

Agora você está pronto para implantar o Ambiente do Serviço de Aplicativo!

Próximos passos

Para começar a usar o Ambiente do Serviço de Aplicativo para Power Apps, consulte Introdução ao Ambiente do Serviço de Aplicativo.