Адреса управления среды службы приложений

  • Статья

Важно!

Эта статья о Среде службы приложений версии 2, которая используется с планами Службы приложений (ценовая категория "Изолированный") Поддержка среды службы приложений версии 2 будет прекращена 31 августа 2024 года. Имеется новая версия среды службы приложений, которая проще в использовании и которая работает на более мощной инфраструктуре. Чтобы узнать больше о новой версии, начните с изучения статьи Введение в Среду службы приложений. Если вы используете Среду службы приложений версии 2, выполните действия, описанные в этой статье, чтобы перейти на новую версию.

С 29 января 2024 г. вы больше не можете создавать новые ресурсы Среда службы приложений версии 2 с помощью любого из доступных методов, включая шаблоны ARM/Bicep, портал Azure, Azure CLI или REST API. Необходимо выполнить миграцию в Среда службы приложений версии 3 до 31 августа 2024 г., чтобы предотвратить удаление ресурсов и потерю данных.

Необходимые компоненты

  • Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Bash в Azure Cloud Shell.

  • Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

    • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

    • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

    • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

Итоги

Среда службы приложений (ASE) — это однотенантное развертывание службы приложение Azure, которая выполняется в виртуальная сеть Azure. Хотя ASE выполняется в виртуальной сети, он по-прежнему должен быть доступен из нескольких выделенных IP-адресов, используемых службой приложение Azure для управления службой. При использовании ASE трафик управления проходит через контролируемую пользователем сеть. Если этот трафик блокируется или неправильно маршрутизируется, работа ASE приостанавливается. Подробные сведения о зависимостях сетей ASE см. в статье Рекомендации по работе с сетями в Среде службы приложений. Для получения общей информации об ASE можно начать со статьи Общие сведения о средах службы приложений.

Каждая среда ASE имеет общедоступный виртуальный IP-адрес, на который поступает трафик управления. Входящий трафик управления с этих адресов на поступает на порты 454 и 455 для общедоступного виртуального IP-адреса ASE. В этом документе перечислены адреса источников службы приложений, передающих трафик управления в среду ASE. Эти адреса указаны также в теге службы протокола IP с именем AppServiceManagement.

Адреса в теге службы AppServiceManagement можно настроить в таблице маршрутов, чтобы избежать асимметричных проблем маршрутизации с трафиком управления. По возможности следует использовать тег службы вместо отдельных адресов. Маршруты действуют на уровне IP-адресов и не имеют осведомленности о направлении трафика или что трафик является частью сообщения ОТВЕТА TCP. Если адрес ответа на TCP-запрос отличается от адреса, на который он был отправлен, возникает проблема с асимметричной маршрутизацией. Чтобы избежать проблем с асимметричной маршрутизацией для трафика управления ASE, необходимо обеспечить возврат ответов с того адреса, на который был отправлен запрос. Дополнительные сведения о настройке ASE для работы в среде, в которой исходящий трафик отправляется в локальной среде, см. в статье Настройка ASE с принудительной туннелированием.

Список адресов управления

Если вам нужно просмотреть IP-адреса для адресов управления, скачайте ссылку на тег службы для вашего региона, чтобы получить самый актуальный список адресов. Адреса управления Среда службы приложений перечислены в теге службы AppServiceManagement.

Регион Справочник по тегу службы
Все общедоступные регионы Диапазоны IP-адресов и теги служб Azure — общедоступное облако
Microsoft Azure для государственных организаций Диапазоны IP-адресов Azure и теги служб — облако US Government
Microsoft Azure под управлением 21Vianet Диапазоны IP-адресов Azure и теги служб — облако для Китая

Настройка группы безопасности сети

При использовании групп безопасности сети не нужно беспокоиться об отдельных адресах или обслуживании собственной конфигурации. Существует тег службы протокола IP с именем AppServiceManagement, который всегда содержит актуальный список адресов. Чтобы применить этот тег службы протокола IP в группе безопасности сети, перейдите на портал, откройте пользовательский интерфейс групп безопасности сети и выберите правила безопасности для входящего трафика. Если у вас есть готовое правило для входящего трафика управления, измените его. Если эта группа безопасности сети не была создана с использованием ASE или если она совсем новая, выберите Добавить. В раскрывающемся списке источника выберите Тег службы. В разделе тега службы источника выберите AppServiceManagement. Укажите для диапазонов портов источника значение *, для назначения — Любые, для диапазонов портов назначения — 454–455, для протокола — TCP, а для действия — Разрешить. При создании правила необходимо задать приоритет.

creating an NSG with the service tag

Настройка таблицы маршрутов

Адреса управления можно поместить в таблицу маршрутов с типом следующего прыжка "Интернет", чтобы обеспечить возможность возвращения всего входящего трафика управления по тому же пути. Эти маршруты необходимы при настройке принудительного туннелирования. По возможности используйте тег службы AppServiceManagement вместо отдельных адресов. Создать таблицу маршрутов можно с помощью портала, PowerShell или Azure CLI. Ниже приведены команды, позволяющие создать таблицу маршрутов с помощью Azure CLI из командной строки PowerShell.

$sub = "subscription ID"
$rg = "resource group name"
$rt = "route table name"
$location = "azure location"

az network route-table route create --subscription $sub -g $rg --route-table-name $rt  -n 'AppServiceManagement' --address-prefix 'AppServiceManagement' --next-hop-type 'Internet'

Создав свою таблицу маршрутов, необходимо задать ее для подсети ASE.

Получение адресов управления из API

С помощью вызова API системы можно получить список адресов управления, которые соответствуют ASE.

get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01

API возвращает документ JSON, который включает все адреса входящего трафика для среды ASE. Список адресов включает адреса управления, виртуальный IP-адрес, используемый ASE и диапазон адресов подсети ASE.

Для вызова API с помощью armclient используйте приведенные ниже команды, но укажите свои идентификатор подписки, группу ресурсов и имя среды ASE.

armclient login
armclient get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01