Sdílet prostřednictvím

Podrobnosti konfigurace sítě pro App Service Environment pro Power Apps s Azure ExpressRoute

  • Článek

Důležité

Tento článek se týká služby App Service Environment v1. App Service Environment verze 1 a v2 se od 31. srpna 2024 vyřadí z provozu. Existuje nová verze služby App Service Environment, která se snadněji používá a běží na výkonnější infrastruktuře. Další informace o nové verzi najdete v úvodu do služby App Service Environment. Pokud aktuálně používáte App Service Environment v1, postupujte podle kroků v tomto článku a proveďte migraci na novou verzi.

Od 31. srpna 2024 se kredity sla (Service Level Agreement) a Service Credits již nevztahují na úlohy služby App Service Environment verze 1 a v2, které jsou nadále v produkčním prostředí, protože jsou vyřazené produkty. Vyřazování hardwaru služby App Service Environment v1 a v2 začalo a to může mít vliv na dostupnost a výkon vašich aplikací a dat.

Migraci do služby App Service Environment v3 musíte dokončit okamžitě nebo se můžou odstranit vaše aplikace a prostředky. Pokusíme se automaticky migrovat všechny zbývající služby App Service Environment v1 a v2 s využitím funkce místní migrace, ale Microsoft po automatické migraci neposkytuje žádné nároky ani záruky týkající se dostupnosti aplikací. Možná budete muset provést ruční konfiguraci pro dokončení migrace a optimalizovat výběr skladové položky plánu služby App Service tak, aby vyhovovala vašim potřebám. Pokud automatická migrace není proveditelná, odstraní se vaše prostředky a přidružená data aplikací. Důrazně vás vyzýváme, abyste se vyhnuli některým z těchto extrémních scénářů.

Pokud potřebujete další čas, můžeme vám nabídnout jednorázovou 30denní lhůtu pro dokončení migrace. Pokud potřebujete další informace a požádat o toto období odkladu, projděte si přehled období odkladu a pak přejděte na web Azure Portal a přejděte do okna Migrace pro každou službu App Service Environment.

Nejaktuálnější informace o vyřazení služby App Service Environment v1/v2 najdete v aktualizaci vyřazení služby App Service Environment v1 a v2.

Zákazníci můžou připojit okruh Azure ExpressRoute ke své infrastruktuře virtuální sítě, aby rozšířili místní síť do Azure. Služba App Service Environment se vytvoří v podsíti infrastruktury virtuální sítě . Aplikace, které běží ve službě App Service Environment, navazují zabezpečená připojení k back-endovým prostředkům, které jsou přístupné jenom přes připojení ExpressRoute.

App Service Environment je možné vytvořit v těchto scénářích:

  • Virtuální sítě Azure Resource Manageru
  • Virtuální sítě modelu nasazení Classic
  • Virtuální sítě, které používají rozsahy veřejných adres nebo RFC1918 adresních prostorů (to znamená privátní adresy).

Poznámka:

I když se tento článek týká webových aplikací, platí také pro aplikace API a mobilní aplikace.

Požadované síťové připojení

Služba App Service Environment má požadavky na připojení k síti, které nemusí být zpočátku splněné ve virtuální síti připojené k ExpressRoute.

Služba App Service Environment vyžaduje, aby správně fungovalo následující nastavení síťového připojení:

  • Odchozí síťové připojení ke koncovým bodům služby Azure Storage po celém světě na portu 80 i portu 443. Tyto koncové body se nacházejí ve stejné oblasti jako App Service Environment a také v dalších oblastech Azure. Koncové body služby Azure Storage se přeloží v následujících doménách DNS: table.core.windows.net, blob.core.windows.net, queue.core.windows.net a file.core.windows.net.

  • Odchozí síťové připojení ke službě Azure Files na portu 445

  • Odchozí síťové připojení ke koncovým bodům služby Azure SQL Database, které jsou umístěné ve stejné oblasti jako App Service Environment. Koncové body služby SQL Database se přeloží v rámci domény database.windows.net, která vyžaduje otevřený přístup k portům 1433, 11000–11999 a 14000–14999. Podrobnosti o využití portů SQL Database V12 najdete v tématu Porty nad rámec 1433 pro ADO.NET 4.5.

  • Odchozí síťové připojení ke koncovým bodům roviny správy Azure (model nasazení Azure Classic i koncové body Azure Resource Manageru). Připojení k těmto koncovým bodům zahrnuje management.core.windows.net a management.azure.com domény.

  • Odchozí síťové připojení k doménám ocsp.msocsp.com, mscrl.microsoft.com a crl.microsoft.com. K podpoře funkcí PROTOKOLU TLS je potřeba připojení k těmto doménám.

  • Konfigurace DNS pro virtuální síť musí být schopná přeložit všechny koncové body a domény uvedené v tomto článku. Pokud se koncové body nedají vyřešit, vytvoření služby App Service Environment se nezdaří. Všechny existující služby App Service Environment se označí jako poškozené.

  • Pro komunikaci se servery DNS se vyžaduje odchozí přístup na portu 53.

  • Pokud na druhém konci brány VPN existuje vlastní server DNS, musí být server DNS dostupný z podsítě, která obsahuje službu App Service Environment.

  • Odchozí síťová cesta nemůže procházet interními podnikovými proxy servery a není možné vynutit tunelování místně. Tyto akce mění efektivní adresu překladu adres (NAT) odchozího síťového provozu ze služby App Service Environment. Změny adresy NAT odchozího síťového provozu ve službě App Service Environment způsobují selhání připojení k mnoha koncovým bodům. Vytvoření služby App Service Environment se nezdaří. Všechny existující služby App Service Environment se označí jako poškozené.

  • Příchozí síťový přístup k požadovaným portům pro službu App Service Environment musí být povolený. Podrobnosti najdete v tématu Řízení příchozího provozu do služby App Service Environment.

Pokud chcete splnit požadavky DNS, ujistěte se, že je pro virtuální síť nakonfigurovaná a udržovaná platná infrastruktura DNS. Pokud se konfigurace DNS po vytvoření služby App Service Environment změní, můžou vývojáři vynutit, aby služba App Service Environment vyzvedá novou konfiguraci DNS. Restartování průběžného prostředí můžete aktivovat pomocí ikony Restartovat v části Správa služby App Service Environment na webu Azure Portal. Restartování způsobí, že prostředí vyzvedne novou konfiguraci DNS.

Pokud chcete splnit požadavky na příchozí přístup k síti, nakonfigurujte skupinu zabezpečení sítě (NSG) v podsíti služby App Service Environment. Skupina zabezpečení sítě umožňuje požadovaný přístup k řízení příchozího provozu do služby App Service Environment.

Odchozí síťové připojení

Nově vytvořený okruh ExpressRoute ve výchozím nastavení inzeruje výchozí trasu, která umožňuje odchozí připojení k internetu. App Service Environment může tuto konfiguraci použít k připojení k jiným koncovým bodům Azure.

Běžnou konfigurací zákazníka je definovat vlastní výchozí trasu (0.0.0.0/0), která vynutí tok odchozího internetového provozu do místního prostředí. Tento tok provozu vždy přeruší službu App Service Environment. Odchozí provoz je buď blokovaný místně, nebo překlad adres (NAT) do nerozpoznané sady adres, které už nefungují s různými koncovými body Azure.

Řešením je definovat jednu (nebo více) tras definovaných uživatelem v podsíti, která obsahuje službu App Service Environment. Trasa definovaná uživatelem definuje trasy specifické pro podsíť, které se dodržují místo výchozí trasy.

Pokud je to možné, použijte následující konfiguraci:

  • Konfigurace ExpressRoute inzeruje 0.0.0.0/0. Ve výchozím nastavení konfigurace vynucuje tunelování veškerého odchozího provozu místně.
  • Trasy definované uživatelem použité u podsítě, která obsahuje službu App Service Environment, definuje 0.0.0.0/0 s typem dalšího segmentu směrování internetu. Příklad této konfigurace je popsán dále v tomto článku.

Kombinovaný účinek této konfigurace spočívá v tom, že UDR na úrovni podsítě má přednost před vynuceným tunelováním ExpressRoute. Zaručuje se odchozí přístup k internetu ze služby App Service Environment.

Důležité

Trasy definované v trasách definované uživatelem musí být dostatečně specifické, aby měly přednost před všemi trasami inzerovanými konfigurací ExpressRoute. Příklad popsaný v další části používá široký rozsah adres 0.0.0.0/0. Tento rozsah může být omylem přepsán inzerováním tras, které používají konkrétnější rozsahy adres.

Služba App Service Environment se nepodporuje s konfiguracemi ExpressRoute, které křížově inzerují trasy z cesty partnerského vztahu Microsoftu k privátní cestě partnerského vztahu. Konfigurace ExpressRoute s nakonfigurovaným partnerským vztahem Microsoftu přijímají inzerování tras od Microsoftu pro velkou sadu rozsahů IP adres Microsoft Azure. Pokud se tyto rozsahy adres křížově inzerují na cestě privátního partnerského vztahu, všechny odchozí síťové pakety z podsítě služby App Service Environment se vynutí tunelování do místní síťové infrastruktury zákazníka. Tento tok sítě se v současné době nepodporuje ve službě App Service Environment. Jedním z řešení je zastavení tras křížové reklamy z cesty partnerského vztahu Microsoftu k cestě privátního partnerského vztahu.

Základní informace o trasách definovaných uživatelem najdete v tématu Směrování provozu virtuální sítě.

Informace o vytváření a konfiguraci tras definovaných uživatelem najdete v tématu Směrování síťového provozu pomocí směrovací tabulky pomocí PowerShellu.

Konfigurace trasy definované uživatelem

Tato část ukazuje ukázkovou konfiguraci trasy definované uživatelem pro App Service Environment.

Požadavky

  • Nainstalujte Azure PowerShell ze stránky stažené soubory Azure. Zvolte stažení s datem června 2015 nebo novějším. V části Nástroje>příkazového řádku windows PowerShell vyberte Nainstalovat a nainstalujte nejnovější rutiny PowerShellu.

  • Vytvořte jedinečnou podsíť pro výhradní použití službou App Service Environment. Jedinečná podsíť zajišťuje, aby trasy definované uživatelem použité u podsítě otevíraly odchozí provoz jenom pro službu App Service Environment.

Důležité

Nasaďte službu App Service Environment pouze po dokončení kroků konfigurace. Před pokusem o nasazení služby App Service Environment se ujistěte, že je dostupné odchozí síťové připojení.

Krok 1: Vytvoření směrovací tabulky

Vytvořte směrovací tabulku s názvem DirectInternetRouteTable v oblasti Azure USA – západ, jak je znázorněno v tomto fragmentu kódu:

New-AzureRouteTable -Name 'DirectInternetRouteTable' -Location uswest

Krok 2: Vytvoření tras v tabulce

Přidejte trasy do směrovací tabulky a povolte odchozí přístup k internetu.

Nakonfigurujte odchozí přístup k internetu. Definujte trasu pro verzi 0.0.0.0/0, jak je znázorněno v tomto fragmentu kódu:

Get-AzureRouteTable -Name 'DirectInternetRouteTable' | Set-AzureRoute -RouteName 'Direct Internet Range 0' -AddressPrefix 0.0.0.0/0 -NextHopType Internet

0.0.0.0/0 je široký rozsah adres. Rozsah se přepíše podle rozsahů adres inzerovaných službou ExpressRoute, které jsou konkrétnější. Trasa definovaná uživatelem s trasou 0.0.0.0/0 by se měla používat ve spojení s konfigurací ExpressRoute, která inzeruje pouze trasu 0.0.0.0/0.

Jako alternativu si stáhněte aktuální komplexní seznam rozsahů CIDR, které azure používá. Soubor XML pro všechny rozsahy IP adres Azure je k dispozici na webu Microsoft Download Center.

Poznámka:

Rozsahy IP adres Azure se v průběhu času mění. Trasy definované uživatelem potřebují pravidelné ruční aktualizace, aby se synchronizovaly.

Jedna trasa definovaná uživatelem má výchozí horní limit 100 tras. Abyste se mohli přizpůsobit limitu 100 tras, musíte "sumarizovat" rozsahy IP adres Azure. Trasy definované uživatelem musí být konkrétnější než trasy inzerované vaším připojením ExpressRoute.

Krok 3: Přidružení tabulky k podsíti

Přidružte směrovací tabulku k podsíti, ve které chcete nasadit službu App Service Environment. Tento příkaz přidruží tabulku DirectInternetRouteTable k podsíti ASESubnet , která bude obsahovat službu App Service Environment.

Set-AzureSubnetRouteTable -VirtualNetworkName 'YourVirtualNetworkNameHere' -SubnetName 'ASESubnet' -RouteTableName 'DirectInternetRouteTable'

Krok 4: Otestování a potvrzení trasy

Jakmile je směrovací tabulka svázaná s podsítí, otestujte a potvrďte trasu.

Nasaďte virtuální počítač do podsítě a potvrďte tyto podmínky:

  • Odchozí provoz do koncových bodů Azure a jiných než Azure popsaných v tomto článku neprotéká okruhEm ExpressRoute. Pokud odchozí provoz z podsítě vynutí tunelové propojení v místním prostředí, vytváření služby App Service Environment vždy selže.
  • Vyhledávání DNS pro koncové body popsané v tomto článku se správně přeloží.

Po dokončení kroků konfigurace a potvrzení trasy odstraňte virtuální počítač. Po vytvoření služby App Service Environment musí být podsíť prázdná.

Teď jste připraveni nasadit službu App Service Environment!

Další kroky

Pokud chcete začít pracovat se službou App Service Environment pro Power Apps, přečtěte si téma Úvod do služby App Service Environment.