Поделиться через

Настраиваемые параметры конфигурации для сред службы приложений

  • Статья

Обзор

Поскольку среды службы приложений изолированы для одного клиента, существуют определенные параметры конфигурации, которые можно применить только для сред службы приложений. В этой статье описываются различные настройки, доступные для сред службы приложений.

Примечание.

В этой статье рассматриваются функции, преимущества и варианты использования среды службы приложений версии 3, которые используются с планами службы приложений (Изолированный (версия 2)»).

Сведения о том, как создать среду службы приложений, см. в статье Создание среды службы приложений версии 3.

Настройки среды службы приложений можно сохранить с помощью массива в новом атрибуте clusterSettings . Этот атрибут можно найти в словаре "Свойства" сущности hostingEnvironments Azure Resource Manager.

В следующем сокращенном фрагменте шаблона Resource Manager показан атрибут clusterSettings .

"resources": [
{
    "apiVersion": "2021-03-01",
    "type": "Microsoft.Web/hostingEnvironments",
    "name": ...,
    "location": ...,
    "properties": {
        "clusterSettings": [
            {
                "name": "nameOfCustomSetting",
                "value": "valueOfCustomSetting"
            }
        ],
        "internalLoadBalancingMode": ...,
        etc...
    }
}

Атрибут clusterSettings можно включить в шаблон Resource Manager для обновления среды службы приложений.

Обновление среды службы приложений с помощью обозревателя ресурсов Azure

Среду службы приложений можно также обновлять с помощью обозревателя ресурсов Azure.

  1. В Обозревателе ресурсов перейдите к узлу для Среды службы приложений (subscriptions>{ваша подписка}>resourceGroups>{ваша группа ресурсов}>providers>Microsoft.Web>hostingEnvironments). Затем щелкните ту среду службы приложений, которую хотите обновить.
  2. В области справа, в верхней панели инструментов щелкните Чтение/запись , чтобы разрешить интерактивное редактирование в обозревателе ресурсов.
  3. Нажмите синюю кнопку Изменить , чтобы сделать шаблон Resource Manager доступным для редактирования.
  4. Прокрутите область справа вниз. В самом низу области находится атрибут clusterSettings. Здесь можно ввести или обновить его значение.
  5. Введите (или скопируйте и вставьте) массив значений параметров конфигурации в атрибут clusterSettings .
  6. Нажмите зеленую кнопку РАЗМЕСТИТЬ в верхней части области справа, чтобы зафиксировать изменение среды службы приложений.

Однако вы отправляете изменения, это изменение не немедленно, и это может занять до 24 часов, чтобы изменения в полной мере вступают в силу. Некоторые параметры содержат конкретные сведения о времени и влиянии настройки конкретного параметра.

Включение внутреннего шифрования

Среда службы приложений работает по принципу "черного ящика", т. е. в ней не отображаются внутренние компоненты или обмен данными в системе. Чтобы обеспечить более высокую пропускную способность, по умолчанию шифрование между внутренними компонентами отключено. Система защищена за счет того, что трафик недоступен для отслеживания или доступа. Если у вас есть требования к соответствию, предусматривающие полное шифрование пути данных из точки в точку, вы можете обеспечить шифрование всего пути данных с помощью параметра clusterSetting.

"clusterSettings": [
    {
        "name": "InternalEncryption",
        "value": "true"
    }
],

Присвоив параметру InternalEncryption значение true, вы обеспечите шифрование внутреннего сетевого трафика в Среде службы приложений между внешними интерфейсами и рабочими ролями, шифрование файла подкачки, а также шифрование рабочих дисков. Включение InternalEncryption в качестве clusterSetting может повлиять на производительность системы. Когда вы внесете изменения, чтобы включить InternalEncryption, Среда службы приложений будет пребывать в нестабильном состоянии, пока изменения не распространятся полностью. Полное распространение изменений может занять несколько часов в зависимости от количества экземпляров в Среде службы приложений. Мы настоятельно рекомендуем не включать параметр InternalEncryption в Среде службы приложений, пока она используется. Если вам нужно включить InternalEncryption для активно используемой Среды службы приложений, мы настоятельно рекомендуем перенаправлять трафик в резервную среду до завершения операции.

Отключение TLS 1.0 и TLS 1.1

Если вы хотите управлять параметрами TLS для отдельных приложений, следуйте рекомендациям, предоставленным с документацией о принудительном применении версий TLS.

Чтобы запретить весь входящий трафик TLS 1.0 и TLS 1.1 для всех приложений в Среде службы приложений, укажите следующую запись clusterSettings:

"clusterSettings": [
    {
        "name": "DisableTls1.0",
        "value": "1"
    }
],

В параметрах указана версия 1.0, но при настройке отключаются TLS 1.0 и TLS 1.1.

Порядок изменения комплекта шифров TLS

Среда службы приложений поддерживает изменение набора шифров по умолчанию. Набор шифров по умолчанию совпадает с набором, используемым в мультитенантном Служба приложений. Изменение набора шифров возможно только с помощью Среда службы приложений, однотенантного предложения, а не мультитенантного предложения, поскольку изменение влияет на все развертывание Служба приложений. Существует два набора шифров, необходимые для Среда службы приложений: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 и TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Кроме того, необходимо включить следующие наборы шифров, необходимые для TLS 1.3: TLS_AES_256_GCM_SHA384 и TLS_AES_128_GCM_SHA256.

Чтобы настроить Среда службы приложений использовать только необходимые шифры, измените кластерSettings, как показано в следующем примере. Убедитесь, что шифры TLS 1.3 включены в начало списка.

"clusterSettings": [
    {
        "name": "FrontEndSSLCipherSuiteOrder",
        "value": "TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
    }
],

Предупреждение

Если для набора шрифтов указаны недопустимые значения, шифров (которые не распознаются в SChannel), подключение к серверу по протоколу TLS может быть разорвано. В этом случае необходимо удалить запись FrontEndSSLCipherSuiteOrder из clusterSettings и отправить обновленный шаблон Resource Manager, чтобы восстановить параметры комплекта шифров по умолчанию. Используйте эту возможность с осторожностью.

Начало работы

На сайте шаблонов быстрого запуска Azure Resource Manager есть шаблон с базовым определением для создания среды службы приложений.