Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управляемый экземпляр в службе приложений Azure (предварительная версия) — это вариант размещения в рамках плана для веб-приложений Windows, которым требуется настройка операционной системы (ОС), необязательное частное подключение и безопасная интеграция с ресурсами Azure. Он предназначен для устаревших рабочих нагрузок или нагрузок, зависящих от инфраструктуры (Component Object Model (COM), реестр, установщик Microsoft/Windows Installer (MSI)), при этом сохраняя управление исправлениями, масштабированием, диагностикой и идентификацией в службе приложений.
Это важно
Управляемый экземпляр доступен в предварительной версии, доступен для веб-приложений Windows в некоторых регионах и ограничен планами ценообразования Pv4 и Pmv4. Больше регионов впереди. Linux и контейнеры не поддерживаются.
Ключевые возможности
В следующей таблице приведены основные возможности, которые предлагает Управляемый экземпляр:
| Категория | Capability |
|---|---|
| Сетевая изоляция | Интеграция виртуальной сети на уровне плана (необязательно, можно добавить после создания): • Частные конечные точки и настраиваемая маршрутизация • Поддержка групп безопасности сети (NSG), шлюзов NAT и таблиц маршрутов • Частный сервер доменных имен (DNS) для разрешения внутренних имен |
| Изоляция вычислений | • Изоляция в контексте плана с полным контролем над границами сети • Выделенные вычисления для прогнозируемой производительности |
| Поддержка пользовательских компонентов | Скрипты установки PowerShell для: • COM-компоненты • Реестр и постоянные значения реестра • Конфигурация сервера IIS (Internet Information Services) и ACL • Установщики MSI • Компоненты и службы Windows, отличные от Майкрософт • Установка глобального кэша сборок (GAC) • Функции Windows (клиент MSMQ, роли сервера) • Пользовательские фреймворки (патчинг, управляемый клиентом) |
| Адаптеры реестра | Ключи реестра, поддерживаемые Azure Key Vault, для безопасной конфигурации |
| Гибкость хранилища | • Файлы Azure с интеграцией Key Vault • UNC-пути и доступ к сетевым ресурсам • Скриптовое сопоставление дисков • Локальное временное хранилище (2 ГБ, не постоянное) |
| Манажируемая идентичность | • Удостоверения, назначенные системой, и удостоверения, назначенные пользователем, на уровне плана • Аутентификация без ключей к ресурсам Azure |
| Операционная эффективность | Балансировка нагрузки, исправление и масштабирование управляемой платформой: • Горизонтальное автомасштабирование (все экземпляры) • Вертикальное масштабирование (только Pv4/Pmv4) |
| Протокол удаленного рабочего стола | • Доступ RDP по требованию через Azure Bastion (требуется виртуальная сеть) • Доступ к журналам, средству просмотра событий и диспетчеру IIS |
| Безопасность и проверка подлинности | • TLS и настраиваемые домены с привязкой сертификата • Проверка подлинности службы приложений с помощью идентификатора Microsoft Entra |
| Поддержка среды выполнения | • Предустановлено: .NET Framework 3.5, 4.8 и .NET 8 • Настраиваемые среды выполнения с использованием скриптов установки |
| Интеграция CI/CD | GitHub Actions, Azure DevOps, zip deploy (зип деплой), package deploy (пэкэдж деплой), run-from-package (ран-фром-пэкэдж) |
Параметры конфигурации
Управляемый экземпляр предоставляет конфигурацию уровня плана с помощью:
Скрипты конфигурации (установка): загрузка заархивированных скриптов PowerShell в хранилище Azure (доступ к которым осуществляется с помощью управляемого удостоверения). Скрипты выполняются при запуске для постоянной конфигурации.
- Изменения сеанса RDP являются временными и потеряны после перезапуска или обслуживания платформы.
- Журналы выполнения скриптов отображаются в журналах консоли службы приложений и могут передаваться в Azure Monitor.
Адаптеры реестра Windows: ключи реестра определяются на уровне плана, а значения секретов хранятся в Azure Key Vault.
Монтирование хранилища: Привязка хранилища с использованием пользовательских букв дисков с помощью Azure Files или путей UNC. Локальное хранилище также доступно, но ограничено 2 ГБ и не сохраняется после перезапуска.
Доступ RDP: Удаленный рабочий стол "Just-in-time" через Azure Bastion (требуется интеграция с виртуальной сетью).
Ведение журнала и устранение неполадок
- Журналы управляемого экземпляра создаются на уровне плана службы приложений, а не на уровне самого приложения.
- События подключения хранилища и адаптера реестра фиксируются в журналах платформы службы приложений. Эти журналы можно передавать через Logstream или интегрировать с Azure Monitor.
- Журналы скриптов конфигурации (установки) доступны в журналах консоли App Service и на экземпляре (например, C:\InstallScripts<scriptName>\Install.log). Используйте Logstream или Azure Monitor для централизованного доступа.
- Для доступа к RDP требуется интеграция Бастиона Azure и виртуальной сети. Диспетчер IIS и средство просмотра событий рекомендуется для диагностики.
Выбор подходящего варианта размещения
Используйте управляемый экземпляр при необходимости:
Совместимость с устаревшими версиями Windows
- КОМ компоненты, изменения реестра и установщики MSI
- Доступ к диспетчеру IIS и RDP для диагностики
- Сетевые ресурсы с помощью путей UNC или сопоставления дисков
Миграция с минимальным рефакторингом
- "Лифт и улучшение" для устаревших приложений .NET Framework
- Постепенная модернизация без полного переписывания
- Сетевая изоляция на уровне плана для требований соответствия
Настройка, специфичная для Windows
- Скрипты установки PowerShell для конфигурации запуска
- Функции Windows, такие как MSMQ или роли сервера
- Пользовательские компоненты, не относящиеся к Майкрософт, в GAC
Используйте стандартную службу приложений при необходимости:
Современная, облачная разработка
- Поддержка многоязычных приложений (Python, Node.js, Java, PHP и т. д.)
- Рабочие нагрузки Linux или контейнерные нагрузки
- Управляемая платформой инфраструктура без настройки ОС
- Более широкие параметры среды выполнения и платформы
При необходимости используйте среду службы приложений (ASE):
Изоляция на уровне предприятия
- Полностью изолированная выделенная инфраструктура
- Развертывания, поддерживающие 100+ приложений
- Полное управление границами сети
Текущие ограничения (предварительная версия)
| Limitation | Сведения |
|---|---|
| Platform | • Только Windows (без Linux или контейнеров) • Недоступно в ASE |
| Номера SKU | Только Pv4 и Pmv4 |
| Regions | Восточная Азия, Западная часть США, Северная Европа, Восточная ЧАСТЬ США, Восточная Австралия |
| Аутентификация | Только Entra ID и управляемое удостоверение (без присоединения к домену/NTLM/Kerberos) |
| Рабочие нагрузки | Только веб-приложения (без веб-заданий, TCP/NetPipes) |
| Configuration | Для постоянных изменений требуются скрипты (RDP — это только диагностика) |
Лучшие практики
- Используйте скрипты конфигурации (установки скриптов) для постоянной конфигурации.
- Централизация секретов с помощью Key Vault.
- Проверьте настройку ведения журнала в предварительных версиях сред.
- Тестируйте конфигурационные скрипты (установка) в предварительной среде перед развертыванием в рабочей среде.
- Выравнивайте правила сети с инвентаризацией зависимостей.
- Мониторинг с помощью Microsoft Defender для облака для обнаружения угроз.