Integrar a aplicação numa rede virtual do Azure
Nota
A partir de 1º de junho de 2024, todos os aplicativos do Serviço de Aplicativo recém-criados terão a opção de gerar um nome de host padrão exclusivo usando a convenção <app-name>-<random-hash>.<region>.azurewebsites.net
de nomenclatura. Os nomes de aplicativos existentes permanecerão inalterados.
Exemplo: myapp-ds27dh7271aah175.westus-01.azurewebsites.net
Para obter mais detalhes, consulte Nome de host padrão exclusivo para recurso do Serviço de Aplicativo.
Este artigo descreve o recurso de integração de rede virtual do Serviço de Aplicativo do Azure e como configurá-lo com aplicativos no Serviço de Aplicativo. Com as redes virtuais do Azure, você pode colocar muitos dos seus recursos do Azure em uma rede não roteável pela Internet. O recurso de integração de rede virtual do Serviço de Aplicativo permite que seus aplicativos acessem recursos em ou por meio de uma rede virtual.
Nota
As informações sobre a integração de rede virtual necessária pelo gateway foram movidas para um novo local.
O Serviço de Aplicativo tem duas variações:
- Os níveis de preços de computação dedicados, que incluem o Basic, Standard, Premium, Premium v2 e Premium v3.
- O Ambiente do Serviço de Aplicativo, que é implantado diretamente em sua rede virtual com infraestrutura de suporte dedicada e está usando os níveis de preços Isolado e Isolado v2.
O recurso de integração de rede virtual é usado nas camadas de preços de computação dedicadas do Serviço de Aplicativo do Azure. Se seu aplicativo estiver em um Ambiente do Serviço de Aplicativo, ele já se integra a uma rede virtual e não exige que você configure o recurso de integração de rede virtual para alcançar recursos na mesma rede virtual. Para obter mais informações sobre todos os recursos de rede, consulte Recursos de rede do Serviço de Aplicativo.
A integração de rede virtual dá ao seu aplicativo acesso a recursos em sua rede virtual, mas não concede acesso privado de entrada ao seu aplicativo a partir da rede virtual. O acesso ao site privado refere-se a tornar um aplicativo acessível somente a partir de uma rede privada, como de dentro de uma rede virtual do Azure. A integração de rede virtual é usada apenas para fazer chamadas de saída do seu aplicativo para a rede virtual. Consulte o ponto de extremidade privado para obter acesso privado de entrada.
O recurso de integração de rede virtual:
- Requer um nível de preço suportado Basic ou Standard, Premium, Premium v2, Premium v3 ou Elastic Premium App Service.
- Suporta TCP e UDP.
- Funciona com aplicativos do Serviço de Aplicativo, aplicativos de função e aplicativos lógicos.
Há algumas coisas que a integração de rede virtual não suporta, como:
- Montagem de uma unidade.
- Ingresso no domínio do Ative Directory do Windows Server.
- NetBIOS.
A integração de rede virtual suporta a conexão a uma rede virtual na mesma região. O uso da integração de rede virtual permite que seu aplicativo acesse:
- Recursos na rede virtual com a qual você está integrado.
- Recursos em redes virtuais com peering à rede virtual na qual a sua aplicação está integrada, incluindo ligações de peering global.
- Recursos em conexões do Azure ExpressRoute.
- Serviços protegidos por ponto de extremidade de serviço.
- Serviços privados habilitados para endpoint.
Ao usar a integração de rede virtual, você pode usar os seguintes recursos de rede do Azure:
- Grupos de segurança de rede (NSGs): você pode bloquear o tráfego de saída com um NSG que você usa em sua sub-rede de integração. As regras de entrada não se aplicam porque você não pode usar a integração de rede virtual para fornecer acesso de entrada ao seu aplicativo.
- Tabelas de rotas (UDRs): Você pode colocar uma tabela de rotas na sub-rede de integração para enviar o tráfego de saída para onde quiser.
- Gateway NAT: Você pode usar o gateway NAT para obter um IP de saída dedicado e reduzir o esgotamento da porta SNAT.
Saiba como habilitar a integração de rede virtual.
Como funciona a integração de rede virtual
Os aplicativos no Serviço de Aplicativo são hospedados em funções de trabalho. A integração de rede virtual funciona montando interfaces virtuais para as funções de trabalho com endereços na sub-rede delegada. As interfaces virtuais usadas não são recursos aos quais os clientes têm acesso direto. Como o endereço from está em sua rede virtual, ele pode acessar a maioria das coisas em ou através de sua rede virtual como faria uma VM em sua rede virtual.
Quando a integração de rede virtual está habilitada, seu aplicativo faz chamadas de saída por meio de sua rede virtual. Os endereços de saída listados no portal de propriedades do aplicativo são os endereços ainda usados pelo seu aplicativo. No entanto, se sua chamada de saída for para uma máquina virtual ou ponto de extremidade privado na rede virtual de integração ou rede virtual emparelhada, o endereço de saída será um endereço da sub-rede de integração. O IP privado atribuído a uma instância é exposto por meio da variável de ambiente, WEBSITE_PRIVATE_IP.
Quando todo o roteamento de tráfego está habilitado, todo o tráfego de saída é enviado para sua rede virtual. Se todo o roteamento de tráfego não estiver habilitado, somente o tráfego privado (RFC1918) e os pontos de extremidade de serviço configurados na sub-rede de integração serão enviados para a rede virtual. O tráfego de saída para a Internet é encaminhado diretamente do aplicativo.
O recurso de integração de rede virtual suporta duas interfaces virtuais por trabalhador. Duas interfaces virtuais por trabalhador significam duas integrações de rede virtual por plano do Serviço de Aplicativo. Em outras palavras, um plano do Serviço de Aplicativo pode ter integrações de rede virtual com até duas sub-redes/redes virtuais. Os aplicativos no mesmo plano do Serviço de Aplicativo só podem usar uma das integrações de rede virtual para uma sub-rede específica, o que significa que um aplicativo só pode ter uma única integração de rede virtual em um determinado momento.
Requisitos de sub-rede
A integração de rede virtual depende de uma sub-rede dedicada. Quando você cria uma sub-rede, a sub-rede do Azure consome cinco IPs desde o início. Um endereço é usado da sub-rede de integração para cada instância do plano do Serviço de Aplicativo. Se você dimensionar seu aplicativo para quatro instâncias, quatro endereços serão usados.
Quando você aumenta ou diminui o tamanho da instância, a quantidade de endereços IP usados pelo plano do Serviço de Aplicativo é temporariamente dobrada enquanto a operação de dimensionamento é concluída. As novas instâncias precisam estar totalmente operacionais antes que as instâncias existentes sejam desprovisionadas. A operação de dimensionamento afeta as instâncias reais com suporte disponíveis para um determinado tamanho de sub-rede. As atualizações de plataforma precisam de endereços IP gratuitos para garantir que as atualizações possam acontecer sem interrupções no tráfego de saída. Finalmente, após o aumento de escala, a redução ou a conclusão das operações, pode haver um curto período de tempo antes que os endereços IP sejam liberados. Em casos raros, essa operação pode durar até 12 horas e, se você aumentar ou aumentar ou diminuir rapidamente, precisará de mais IPs do que a escala máxima.
Como o tamanho da sub-rede não pode ser alterado após a atribuição, use uma sub-rede grande o suficiente para acomodar qualquer escala que seu aplicativo possa alcançar. Você também deve reservar endereços IP para atualizações de plataforma. Para evitar problemas com a capacidade da sub-rede, recomendamos a alocação do dobro dos IPs da escala máxima planejada. A /26
com 64 endereços cobre a escala máxima de um único plano do Serviço de Aplicativo multilocatário. Quando você está criando sub-redes no portal do Azure como parte da integração com a rede virtual, é necessário um tamanho mínimo de /27
. Se a sub-rede já existir antes da integração através do portal, você pode usar uma /28
sub-rede.
Com a associação de sub-rede de vários planos (MPSJ), você pode associar vários planos do Serviço de Aplicativo à mesma sub-rede. Todos os planos do Serviço de Aplicativo devem estar na mesma assinatura, mas a rede/sub-rede virtual pode estar em uma assinatura diferente. Cada instância de cada plano do Serviço de Aplicativo requer um endereço IP da sub-rede e, para usar o MPSJ, é necessário um tamanho mínimo de /26
sub-rede. Se você planeja participar de muitos e/ou planos de grande escala, você deve planejar intervalos de sub-rede maiores.
Importante
Devido a um bug conhecido, o MPSJ falhará se vários sites forem criados e tentarem se integrar com a rede virtual ao mesmo tempo. Uma correção será implantada em breve. Enquanto isso, você pode contornar o problema com um dos seguintes métodos:
- Se você criar sites manualmente, crie e integre os sites um a um.
- Se você criar sites programaticamente, por exemplo, usando modelos Terraform ou ARM, adicione um elemento dependsOn a cada site em seus modelos para depender da criação do site anterior para todos, exceto o primeiro site no modelo. Isso cria um atraso entre a criação do site e a integração de rede virtual para cada site e, portanto, não é bloqueado pelo bug conhecido. Para obter mais informações, consulte Definir a ordem de implantação de recursos em modelos ARM.
Limites específicos dos Contêineres do Windows
Os Contêineres do Windows usam um endereço IP extra por aplicativo para cada instância do plano do Serviço de Aplicativo e você precisa dimensionar a sub-rede de acordo. Se você tiver, por exemplo, 10 instâncias do plano do Serviço de Aplicativo de Contêiner do Windows com quatro aplicativos em execução, precisará de 50 endereços IP e endereços extras para dar suporte à escala horizontal (entrada/saída).
Cálculo da amostra:
Para cada instância do plano do Serviço de Aplicativo, você precisa: 4 aplicativos de contêiner do Windows = 4 endereços IP 1 endereço IP por instância do plano do Serviço de Aplicativo 4 + 1 = 5 endereços IP
Para 10 instâncias: 5 x 10 = 50 endereços IP por plano do Serviço de Aplicativo
Como você tem 1 plano do Serviço de Aplicativo, 1 x 50 = 50 endereços IP.
Além disso, você está limitado pelo número de núcleos disponíveis na camada de trabalho usada. Cada núcleo adiciona três unidades de rede. O próprio trabalhador usa uma unidade e cada conexão de rede virtual usa uma unidade. As unidades restantes podem ser usadas para aplicativos.
Cálculo da amostra:
Instância do plano do Serviço de Aplicativo com quatro aplicativos em execução e usando a integração de rede virtual. Os aplicativos são conectados a duas sub-redes diferentes (conexões de rede virtual). Esta configuração requer sete unidades de rede (1 trabalhador + 2 conexões + 4 aplicativos). O tamanho mínimo para executar esta configuração seria I2v2 (quatro núcleos x 3 unidades = 12 unidades).
Com I1v2, você pode executar um máximo de quatro aplicativos usando a mesma (1) conexão ou 3 aplicativos usando 2 conexões.
Permissões
Você deve ter pelo menos as seguintes permissões de controle de acesso baseado em função na sub-rede ou em um nível superior para configurar a integração de rede virtual por meio do portal do Azure, CLI ou ao definir a virtualNetworkSubnetId
propriedade do site diretamente:
Ação | Descrição |
---|---|
Microsoft.Network/virtualNetworks/ler | Leia a definição de rede virtual |
Microsoft.Network/virtualNetworks/sub-redes/leitura | Ler uma definição de sub-rede de rede virtual |
Microsoft.Network/virtualNetworks/subnets/join/action | Junta-se a uma rede virtual |
Se a rede virtual estiver em uma assinatura diferente do aplicativo, você deverá garantir que a assinatura com a rede virtual esteja registrada para o provedor de Microsoft.Web
recursos. Você pode registrar explicitamente o provedor seguindo esta documentação, mas ele também se registra automaticamente ao criar o primeiro aplicativo Web em uma assinatura.
Rotas
Você pode controlar o tráfego que passa pela integração de rede virtual. Há três tipos de roteamento a serem considerados ao configurar a integração de rede virtual. O roteamento de aplicativos define qual tráfego é roteado do seu aplicativo para a rede virtual. O roteamento de configuração afeta as operações que acontecem antes ou durante a inicialização do seu aplicativo. Exemplos são a extração de imagem de contêiner e as configurações do aplicativo com referência do Cofre da Chave. Roteamento de rede é a capacidade de lidar com como o tráfego de aplicativo e configuração é roteado de sua rede virtual e para fora.
Por meio de opções de roteamento de aplicativo ou roteamento de configuração, você pode configurar qual tráfego é enviado por meio da integração de rede virtual. O tráfego só está sujeito ao roteamento de rede se enviado através da integração de rede virtual.
Roteamento de aplicativos
O roteamento de aplicativos se aplica ao tráfego enviado do seu aplicativo depois que ele é iniciado. Consulte o roteamento de configuração para o tráfego durante a inicialização. Ao configurar o roteamento de aplicativos, você pode rotear todo o tráfego ou apenas o tráfego privado (também conhecido como tráfego RFC1918 ) para sua rede virtual. Você define esse comportamento por meio da configuração de tráfego de saída da Internet. Se o roteamento de tráfego de saída da Internet estiver desativado, seu aplicativo encaminhará apenas o tráfego privado para sua rede virtual. Se pretender encaminhar todo o tráfego da aplicação de saída para a sua rede virtual, certifique-se de que o tráfego de saída da Internet está ativado.
- Somente o tráfego configurado no roteamento de aplicativo ou configuração está sujeito aos NSGs e UDRs aplicados à sua sub-rede de integração.
- Quando o roteamento de tráfego de saída da Internet está habilitado, o endereço de origem do tráfego de saída do aplicativo ainda é um dos endereços IP listados nas propriedades do aplicativo. Se encaminhar o seu tráfego através de uma firewall ou de um gateway NAT, o endereço IP de origem tem origem neste serviço.
Saiba como configurar o roteamento de aplicativos.
Nota
A conectividade SMTP de saída (porta 25) é suportada pelo Serviço de Aplicativo quando o tráfego SMTP é roteado por meio da integração de rede virtual. A capacidade de suporte é determinada por uma configuração na assinatura em que a rede virtual é implantada. Para redes/sub-redes virtuais criadas antes de 1. Agosto de 2022 você precisa iniciar uma alteração de configuração temporária na rede/sub-rede virtual para que a configuração seja sincronizada a partir da assinatura. Um exemplo poderia ser adicionar uma sub-rede temporária, associar/dissociar um NSG temporariamente ou configurar um ponto de extremidade de serviço temporariamente. Para obter mais informações, consulte Solucionar problemas de conectividade SMTP de saída no Azure.
Roteamento de configuração
Ao usar a integração de rede virtual, você pode configurar como partes do tráfego de configuração são gerenciadas. Por padrão, o tráfego de configuração passa diretamente pela rota pública, mas para os componentes individuais mencionados, você pode configurá-lo ativamente para ser roteado por meio da integração de rede virtual.
Partilha de conteúdos
Por padrão, o Azure Functions usa um compartilhamento de conteúdo como a fonte de implantação ao dimensionar aplicativos de função em um plano Premium. Você deve definir uma configuração extra para garantir que o tráfego seja roteado para esse compartilhamento de conteúdo por meio da integração de rede virtual. Para obter mais informações, consulte como configurar o roteamento de compartilhamento de conteúdo.
Além de configurar o roteamento, você também deve garantir que qualquer firewall ou Grupo de Segurança de Rede configurado no tráfego da sub-rede permita o tráfego para as portas 443 e 445.
Pull de imagem de contêiner
Ao usar contêineres personalizados, você pode puxar o contêiner pela integração de rede virtual. Para rotear o tráfego de recebimento de contêiner por meio da integração de rede virtual, você deve garantir que a configuração de roteamento esteja configurada. Saiba como configurar o roteamento de pull de imagem.
Cópia de segurança/restauro
O Serviço de Aplicativo tem backup/restauração integrado, mas se você quiser fazer backup em sua própria conta de armazenamento, poderá usar o recurso de backup/restauração personalizado. Se desejar rotear o tráfego para a conta de armazenamento por meio da integração de rede virtual, você deverá definir a configuração de rota. O backup de banco de dados não é suportado pela integração de rede virtual.
Configurações do aplicativo usando referências do Cofre da Chave
As configurações do aplicativo usando referências do Cofre da Chave tentam obter segredos pela rota pública. Se o Cofre da Chave estiver bloqueando o tráfego público e o aplicativo estiver usando a integração de rede virtual, será feita uma tentativa de obter os segredos por meio da integração de rede virtual.
Nota
- No momento, não há suporte para a configuração de certificados SSL/TLS a partir de cofres de chaves privados.
- Atualmente, não há suporte para Logs do Serviço de Aplicativo em contas de armazenamento privadas. Recomendamos usar o Log de Diagnóstico e permitir Serviços Confiáveis para a conta de armazenamento.
Configurações do aplicativo de roteamento
O Serviço de Aplicativo tem configurações de aplicativo existentes para configurar o roteamento de aplicativo e configuração. As propriedades do site substituem as configurações do aplicativo, se ambas existirem. As propriedades do site têm a vantagem de serem auditáveis com a Política do Azure e validadas no momento da configuração. Recomendamos que você use as propriedades do site.
Você ainda pode usar a configuração do aplicativo existente WEBSITE_VNET_ROUTE_ALL
para configurar o roteamento do aplicativo.
As configurações do aplicativo também existem para algumas opções de roteamento de configuração. Essas configurações do aplicativo são nomeadas WEBSITE_CONTENTOVERVNET
e WEBSITE_PULL_IMAGE_OVER_VNET
.
Encaminhamento de rede
Você pode usar tabelas de rotas para rotear o tráfego de saída do seu aplicativo sem restrições. Destinos comuns podem incluir dispositivos de firewall ou gateways. Você também pode usar um NSG (grupo de segurança de rede) para bloquear o tráfego de saída para recursos em sua rede virtual ou na Internet. Um NSG que você aplica à sua sub-rede de integração está em vigor independentemente de quaisquer tabelas de rotas aplicadas à sua sub-rede de integração.
As tabelas de rotas e os grupos de segurança de rede aplicam-se apenas ao tráfego roteado através da integração de rede virtual. Consulte Roteamento de aplicativos e roteamento de configuração para obter detalhes. As rotas não se aplicam a respostas de solicitações de aplicativos de entrada e as regras de entrada em um NSG não se aplicam ao seu aplicativo. A integração de rede virtual afeta apenas o tráfego de saída do seu aplicativo. Para controlar o tráfego de entrada para seu aplicativo, use o recurso de restrições de acesso ou pontos de extremidade privados.
Ao configurar grupos de segurança de rede ou tabelas de rotas que se aplicam ao tráfego de saída, você deve considerar as dependências do aplicativo. As dependências do aplicativo incluem pontos de extremidade de que seu aplicativo precisa durante o tempo de execução. Além de APIs e serviços que o aplicativo está chamando, esses pontos de extremidade também podem ser pontos de extremidade derivados, como pontos de extremidade de verificação de lista de revogação de certificados (CRL) e ponto de extremidade de identidade/autenticação, por exemplo, Microsoft Entra ID. Se você estiver usando a implantação contínua no Serviço de Aplicativo, também precisará permitir pontos de extremidade, dependendo do tipo e do idioma. Especificamente para implantação contínua do Linux, você precisa permitir oryx-cdn.microsoft.io:443
o . Para Python você também precisa permitir files.pythonhosted.org
, pypi.org
.
O Azure usa a porta UDP 30.000 para fazer verificações de integridade da rede. Se você bloquear esse tráfego, isso não afetará diretamente seu aplicativo, mas será mais difícil para o suporte do Azure detetar e solucionar problemas relacionados à rede.
Quando quiser rotear o tráfego de saída local, você pode usar uma tabela de rotas para enviar tráfego de saída para seu gateway de Rota Expressa do Azure. Se você rotear o tráfego para um gateway, defina rotas na rede externa para enviar as respostas de volta. As rotas BGP (Border Gateway Protocol) também afetam o tráfego do aplicativo. Se você tiver rotas BGP de algo como um gateway de Rota Expressa, o tráfego de saída do aplicativo será afetado. Semelhante às rotas definidas pelo usuário, as rotas BGP afetam o tráfego de acordo com sua configuração de escopo de roteamento.
Pontos finais de serviço
A integração de rede virtual permite que você acesse os serviços do Azure que são protegidos com pontos de extremidade de serviço. Para acessar um serviço protegido por ponto de extremidade, siga estas etapas:
- Configure a integração de rede virtual com seu aplicativo Web para se conectar a uma sub-rede específica para integração.
- Vá para o serviço de destino e configure os pontos de extremidade de serviço na sub-rede de integração.
Pontos finais privados
Se você quiser fazer chamadas para pontos de extremidade privados, certifique-se de que suas pesquisas de DNS sejam resolvidas para o ponto de extremidade privado. Você pode impor esse comportamento de uma das seguintes maneiras:
- Integre com zonas privadas de DNS do Azure. Quando sua rede virtual não tem um servidor DNS personalizado, a integração é feita automaticamente quando as zonas são vinculadas à rede virtual.
- Gerencie o ponto de extremidade privado no servidor DNS usado pelo seu aplicativo. Para gerenciar a configuração, você deve saber o endereço IP do ponto de extremidade privado. Em seguida, aponte o ponto de extremidade que você está tentando alcançar para esse endereço usando um registro A.
- Configure seu próprio servidor DNS para encaminhar para zonas privadas do DNS do Azure.
Zonas privadas do DNS do Azure
Depois que seu aplicativo se integra à sua rede virtual, ele usa o mesmo servidor DNS com o qual sua rede virtual está configurada. Se nenhum DNS personalizado for especificado, ele usará o DNS padrão do Azure e quaisquer zonas privadas vinculadas à rede virtual.
Limitações
Existem algumas limitações com o uso da integração de rede virtual:
- O recurso está disponível em todas as implantações do Serviço de Aplicativo no Premium v2 e Premium v3. Ele também está disponível nas camadas Básico e Padrão, mas apenas em implantações mais recentes do Serviço de Aplicativo. Se você estiver em uma implantação mais antiga, só poderá usar o recurso de um plano do Serviço de Aplicativo Premium v2. Se você quiser ter certeza de que pode usar o recurso em um plano do Serviço de Aplicativo Básico ou Padrão, crie seu aplicativo em um plano do Serviço de Aplicativo Premium v3. Esses planos só são suportados em nossas implantações mais recentes. Você pode reduzir se quiser depois que o plano for criado.
- O recurso não está disponível para aplicativos de plano isolados em um ambiente do Serviço de Aplicativo.
- Não é possível acessar recursos entre conexões de emparelhamento com redes virtuais clássicas.
- O recurso requer uma sub-rede não utilizada que seja um bloco IPv4
/28
ou maior em uma rede virtual do Azure Resource Manager. O MPSJ requer um/26
bloco ou maior. - A aplicação e a rede virtual têm de estar na mesma região.
- A rede virtual de integração não pode ter espaços de endereço IPv6 definidos.
- A sub-rede de integração não pode ter políticas de ponto de extremidade de serviço habilitadas.
- Não é possível excluir uma rede virtual com um aplicativo integrado. Remova a integração antes de excluir a rede virtual.
- Não é possível ter mais de duas integrações de rede virtual por plano do Serviço de Aplicativo. Vários aplicativos no mesmo plano do Serviço de Aplicativo podem usar a mesma integração de rede virtual.
- Não é possível alterar a assinatura de um aplicativo ou plano enquanto houver um aplicativo que esteja usando a integração de rede virtual.
Aceder a recursos no local
Nenhuma configuração extra é necessária para que o recurso de integração de rede virtual alcance através de sua rede virtual para recursos locais. Basta conectar sua rede virtual a recursos locais usando a Rota Expressa ou uma VPN site a site.
Peering
Se você usar emparelhamento com integração de rede virtual, não precisará fazer mais nenhuma configuração.
Gerencie a integração de rede virtual
Conectar e desconectar com uma rede virtual está em um nível de aplicativo. As operações que podem afetar a integração de rede virtual entre vários aplicativos estão no nível do plano do Serviço de Aplicativo. A partir do portal de integração do aplicativo >Networking>VNet, você pode obter detalhes sobre sua rede virtual. Você pode ver informações semelhantes no nível do plano do Serviço de Aplicativo no portal de integração de>rede VNet do plano>do Serviço de Aplicativo.
Na visualização do aplicativo de sua instância de integração de rede virtual, você pode desconectar seu aplicativo da rede virtual e configurar o roteamento de aplicativos. Para desconectar seu aplicativo de uma rede virtual, selecione Desconectar. Seu aplicativo é reiniciado quando você se desconecta de uma rede virtual. A desconexão não altera sua rede virtual. A sub-rede não é removida. Se você quiser excluir sua rede virtual, primeiro desconecte seu aplicativo da rede virtual.
O IP privado atribuído à instância é exposto por meio da variável de ambiente WEBSITE_PRIVATE_IP. A interface do usuário do console Kudu também mostra a lista de variáveis de ambiente disponíveis para o aplicativo Web. Este IP é atribuído a partir do intervalo de endereços da sub-rede integrada. Esse IP é usado pelo aplicativo Web para se conectar aos recursos por meio da rede virtual do Azure.
Nota
O valor do WEBSITE_PRIVATE_IP está fadado a mudar. No entanto, será um IP dentro do intervalo de endereços da sub-rede de integração, portanto, você precisará permitir o acesso de todo o intervalo de endereços.
Detalhes dos preços
O recurso de integração de rede virtual não tem nenhum custo extra para uso além das taxas de nível de preço do plano do Serviço de Aplicativo.
Resolução de Problemas
O recurso é fácil de configurar, mas isso não significa que sua experiência esteja livre de problemas. Se você encontrar problemas para acessar o endpoint desejado, há várias etapas que você pode tomar, dependendo do que você está observando. Para obter mais informações, consulte o guia de solução de problemas de integração de rede virtual.
Nota
- A integração de rede virtual não é suportada para cenários de composição do Docker no Serviço de Aplicativo.
- As restrições de acesso não se aplicam ao tráfego proveniente de um ponto de extremidade privado.
Excluindo o plano ou aplicativo do Serviço de Aplicativo antes de desconectar a integração de rede
Se você excluiu o aplicativo ou o plano do Serviço de Aplicativo sem desconectar a integração de rede virtual primeiro, não poderá fazer nenhuma operação de atualização/exclusão na rede virtual ou sub-rede usada para a integração com o recurso excluído. Uma delegação de sub-rede 'Microsoft.Web/serverFarms' permanece atribuída à sua sub-rede e impede as operações de atualização e exclusão.
Para fazer a atualização/exclusão da sub-rede ou rede virtual novamente, você precisa recriar a integração de rede virtual e, em seguida, desconectá-la:
- Recrie o plano e o aplicativo do Serviço de Aplicativo (é obrigatório usar exatamente o mesmo nome do aplicativo Web que antes).
- Navegue até Rede no aplicativo no portal do Azure e configure a integração de rede virtual.
- Depois que a integração de rede virtual estiver configurada, selecione o botão 'Desconectar'.
- Exclua o plano ou aplicativo do Serviço de Aplicativo.
- Atualizar/excluir a sub-rede ou rede virtual.
Se continuar a ter problemas com a integração de rede virtual depois de seguir estes passos, contacte o Suporte da Microsoft.