Přehled síťové architektury ve službě App Service Environment
Důležité
Tento článek se týká služby App Service Environment v1. App Service Environment verze 1 a v2 se od 31. srpna 2024 vyřadí z provozu. Existuje nová verze služby App Service Environment, která se snadněji používá a běží na výkonnější infrastruktuře. Další informace o nové verzi najdete v úvodu do služby App Service Environment. Pokud aktuálně používáte App Service Environment v1, postupujte podle kroků v tomto článku a proveďte migraci na novou verzi.
Od 31. srpna 2024 se kredity sla (Service Level Agreement) a Service Credits již nevztahují na úlohy služby App Service Environment verze 1 a v2, které jsou nadále v produkčním prostředí, protože jsou vyřazené produkty. Vyřazování hardwaru služby App Service Environment v1 a v2 začalo a to může mít vliv na dostupnost a výkon vašich aplikací a dat.
Migraci do služby App Service Environment v3 musíte dokončit okamžitě nebo se můžou odstranit vaše aplikace a prostředky. Pokusíme se automaticky migrovat všechny zbývající služby App Service Environment v1 a v2 s využitím funkce místní migrace, ale Microsoft po automatické migraci neposkytuje žádné nároky ani záruky týkající se dostupnosti aplikací. Možná budete muset provést ruční konfiguraci pro dokončení migrace a optimalizovat výběr skladové položky plánu služby App Service tak, aby vyhovovala vašim potřebám. Pokud automatická migrace není proveditelná, odstraní se vaše prostředky a přidružená data aplikací. Důrazně vás vyzýváme, abyste se vyhnuli některým z těchto extrémních scénářů.
Pokud potřebujete další čas, můžeme vám nabídnout jednorázovou 30denní lhůtu pro dokončení migrace. Pokud potřebujete další informace a požádat o toto období odkladu, projděte si přehled období odkladu a pak přejděte na web Azure Portal a přejděte do okna Migrace pro každou službu App Service Environment.
Nejaktuálnější informace o vyřazení služby App Service Environment v1/v2 najdete v aktualizaci vyřazení služby App Service Environment v1 a v2.
Prostředí App Service Environment se vždy vytvářejí v podsíti virtuální sítě – aplikace spuštěné ve službě App Service Environment můžou komunikovat s privátními koncovými body umístěnými ve stejné topologii virtuální sítě. Vzhledem k tomu, že zákazníci můžou uzamknout části infrastruktury virtuální sítě, je důležité pochopit typy toků síťové komunikace, ke kterým dochází u služby App Service Environment.
Obecný tok sítě
Když služba App Service Environment (ASE) používá pro aplikace veřejnou virtuální IP adresu (VIP), veškerý příchozí provoz dorazí do této veřejné VIRTUÁLNÍ IP adresy. Tento provoz zahrnuje provoz HTTP a HTTPS pro aplikace a další provoz pro FTP, funkce vzdáleného ladění a operace správy Azure. Úplný seznam konkrétních portů (povinné i volitelné), které jsou k dispozici ve veřejné VIRTUÁLNÍ IP adrese, najdete v článku o řízení příchozího provozu do služby App Service Environment.
App Service Environment také podporuje spouštění aplikací, které jsou vázané jenom na interní adresu virtuální sítě, označované také jako adresa interního nástroje pro vyrovnávání zatížení (interní nástroj pro vyrovnávání zatížení). U provozu ASE, HTTP a HTTPS s povoleným interním nástrojem pro vyrovnávání zatížení pro aplikace a volání vzdáleného ladění dorazí na adresu interního nástroje pro vyrovnávání zatížení. U nejběžnějších konfigurací ILB-ASE se provoz FTP/FTPS dorazí také na adresu interního nástroje pro vyrovnávání zatížení. Provozní tok správy Azure na porty 454/455 ve veřejné VIRTUÁLNÍ IP adrese služby ASE s povoleným interním nástrojem pro vyrovnávání zatížení.
Následující diagram znázorňuje přehled různých příchozích a odchozích síťových toků pro službu App Service Environment, kde jsou aplikace svázané s veřejnou virtuální IP adresou:
Služba App Service Environment může komunikovat s privátními koncovými body zákazníka. Aplikace spuštěné ve službě App Service Environment se například můžou připojit k databázovým serverům běžícím na virtuálních počítačích IaaS ve stejné topologii virtuální sítě.
Důležité
Při pohledu na síťový diagram se další výpočetní prostředky nasazují v jiné podsíti než app Service Environment. Nasazení prostředků ve stejné podsíti se službou ASE zablokuje připojení ze služby ASE k těmto prostředkům (s výjimkou konkrétního směrování uvnitř ASE). Místo toho se nasadí do jiné podsítě (ve stejné virtuální síti). Služba App Service Environment se pak bude moct připojit. Není nutná žádná další konfigurace.
Služba App Service Environment také komunikuje s prostředky Sql DB a Azure Storage, které jsou nezbytné ke správě a provozu služby App Service Environment. Některé prostředky SQL a Storage, se kterými služba App Service Environment komunikuje, jsou umístěné ve stejné oblasti jako App Service Environment, zatímco jiné jsou umístěné ve vzdálených oblastech Azure. V důsledku toho se odchozí připojení k internetu vždy vyžaduje, aby služba App Service Environment fungovala správně.
Vzhledem k tomu, že je služba App Service Environment nasazená v podsíti, je možné skupiny zabezpečení sítě použít k řízení příchozího provozu do podsítě. Podrobnosti o tom, jak řídit příchozí provoz do služby App Service Environment, najdete v následujícím článku.
Podrobnosti o povolení odchozího připojení k internetu ze služby App Service Environment najdete v následujícím článku o práci s ExpressRoute. Stejný přístup popsaný v článku platí při práci s připojením typu Site-to-Site a použitím vynuceného tunelování.
Odchozí síťové adresy
Když služba App Service Environment provádí odchozí volání, je IP adresa vždy přidružená k odchozím voláním. Konkrétní IP adresa závisí na tom, jestli se volaný koncový bod nachází v topologii virtuální sítě nebo mimo topologii virtuální sítě.
Pokud se volá koncový bod mimo topologii virtuální sítě, pak odchozí adresa (označovaná také jako odchozí adresa NAT) je veřejná VIRTUÁLNÍ IP adresa služby App Service Environment. Tuto adresu najdete v uživatelském rozhraní portálu pro app Service Environment v části Vlastnosti.
Tuto adresu je možné určit také pro služby ASE, které mají pouze veřejnou VIRTUÁLNÍ IP adresu, vytvořením aplikace ve službě App Service Environment a následným provedením příkazu nslookup na adrese aplikace. Výsledná IP adresa je jak veřejná VIRTUÁLNÍ IP adresa, tak odchozí adresa NAT služby App Service Environment.
Pokud se volá koncový bod uvnitř topologie virtuální sítě, odchozí adresa volající aplikace je interní IP adresa jednotlivých výpočetních prostředků, na kterých je aplikace spuštěná. Neexistuje však trvalé mapování interních IP adres virtuální sítě na aplikace. Aplikace se můžou pohybovat mezi různými výpočetními prostředky a fond dostupných výpočetních prostředků ve službě App Service Environment se může měnit kvůli operacím škálování.
Vzhledem k tomu, že se prostředí App Service Environment vždy nachází v podsíti, zaručujete, že interní IP adresa výpočetního prostředku, na kterém běží aplikace, bude vždy v rozsahu CIDR podsítě. V důsledku toho se k zabezpečení přístupu k jiným koncovým bodům ve virtuální síti používají jemně odstupňované seznamy ACL nebo skupiny zabezpečení sítě, musí mít rozsah podsítí obsahující službu App Service Environment udělený přístup.
Následující diagram ukazuje tyto koncepty podrobněji:
V předchozím diagramu:
- Vzhledem k tomu, že veřejná VIRTUÁLNÍ IP adresa služby App Service Environment je 192.23.1.2, jedná se o odchozí IP adresu použitou při volání do koncových bodů internetu.
- Rozsah CIDR obsahující podsítě pro app Service Environment je 10.0.1.0/26. Ostatní koncové body ve stejné infrastruktuře virtuální sítě uvidí volání z aplikací, které pocházejí někam v rámci tohoto rozsahu adres.
Volání mezi službami App Service Environment
Složitější scénář může nastat, pokud ve stejné virtuální síti nasadíte více prostředí App Service Environment a provedete odchozí volání z jedné služby App Service Environment do jiné služby App Service Environment. Tyto typy volání mezi službami App Service Environment budou také považovány za volání internetu.
Následující diagram znázorňuje příklad vrstvené architektury s aplikacemi v jedné službě App Service Environment (například webové aplikace "Front door") volající aplikace ve druhém prostředí App Service Environment (například interní back-endové aplikace API, které nemají být přístupné z internetu).
V příkladu výše má služba App Service Environment "ASE One" odchozí IP adresu 192.23.1.2. Pokud aplikace spuštěná v této službě App Service Environment provede odchozí volání aplikace spuštěné ve druhé službě App Service Environment ("ASE Two") umístěné ve stejné virtuální síti, bude odchozí volání považováno za volání "Internet". V důsledku toho se síťový provoz přicházející do druhé služby App Service Environment zobrazí jako pocházející z verze 192.23.1.2 (to znamená ne rozsah adres podsítě prvního služby App Service Environment).
I když se volání mezi různými prostředími App Service Environment považují za "internetová" volání, když se obě prostředí App Service Environment nacházejí ve stejné oblasti Azure, síťový provoz zůstane v místní síti Azure a nebude fyzicky přetékat přes veřejný internet. V důsledku toho můžete použít skupinu zabezpečení sítě v podsíti druhé služby App Service Environment, abyste povolili pouze příchozí volání z prvního prostředí App Service Environment (jehož odchozí IP adresa je 192.23.1.2), čímž zajistíte zabezpečenou komunikaci mezi službami App Service Environment.
Další odkazy a informace
Podrobnosti o příchozích portech používaných službou App Service Environment a používání skupin zabezpečení sítě k řízení příchozího provozu najdete tady.
Podrobnosti o používání tras definovaných uživatelem k udělení odchozího přístupu k internetu do služby App Service Environment najdete v tomto článku.