Integrace aplikace s virtuální sítí Azure
Poznámka:
Od 1. června 2024 budou mít všechny nově vytvořené aplikace App Service možnost vygenerovat jedinečný výchozí název hostitele pomocí zásad <app-name>-<random-hash>.<region>.azurewebsites.net
vytváření názvů . Stávající názvy aplikací zůstanou beze změny.
Příklad: myapp-ds27dh7271aah175.westus-01.azurewebsites.net
Další podrobnosti najdete v tématu Jedinečný výchozí název hostitele pro prostředek služby App Service.
Tento článek popisuje funkci integrace virtuální sítě služby Aplikace Azure Service a informace o tom, jak ji nastavit s aplikacemi ve službě App Service. S virtuálními sítěmi Azure můžete umístit mnoho prostředků Azure do sítě, která není směrovatelná na internet. Funkce integrace virtuální sítě služby App Service umožňuje vašim aplikacím přístup k prostředkům ve virtuální síti nebo prostřednictvím virtuální sítě.
Poznámka:
Informace o integraci virtuální sítě vyžadované bránou se přesunuly do nového umístění.
App Service má dvě varianty:
- Cenové úrovně vyhrazených výpočetních prostředků, mezi které patří Basic, Standard, Premium, Premium v2 a Premium v3.
- Služba App Service Environment, která se nasadí přímo do vaší virtuální sítě s vyhrazenou podpůrnou infrastrukturou a používá cenové úrovně Izolované a izolované verze 2.
Funkce integrace virtuální sítě se používá v cenových úrovních služby Aplikace Azure Service dedicated compute. Pokud je vaše aplikace ve službě App Service Environment, už se integruje s virtuální sítí a nevyžaduje, abyste nakonfigurovali funkci integrace virtuální sítě tak, aby se dostala k prostředkům ve stejné virtuální síti. Další informace o všech síťových funkcích najdete v tématu Síťové funkce služby App Service.
Integrace virtuální sítě dává vaší aplikaci přístup k prostředkům ve virtuální síti, ale neuděluje příchozí privátní přístup k vaší aplikaci z virtuální sítě. Přístup k privátní lokalitě odkazuje na zpřístupnění aplikace pouze z privátní sítě, například z virtuální sítě Azure. Integrace virtuální sítě se používá jenom k odchozím voláním z vaší aplikace do vaší virtuální sítě. Informace o příchozím privátním přístupu najdete v privátním koncovém bodu .
Funkce integrace virtuální sítě:
- Vyžaduje podporovanou cenovou úroveň Basic nebo Standard, Premium, Premium v2, Premium v3 nebo Elastic Premium App Service.
- Podporuje protokol TCP a UDP.
- Funguje s aplikacemi App Service, aplikacemi funkcí a aplikacemi logiky.
Integrace virtuální sítě nepodporuje některé věci, například:
- Montáž jednotky.
- Připojení k doméně služby Active Directory systému Windows Server.
- Rozhraní netbios.
Integrace virtuální sítě podporuje připojení k virtuální síti ve stejné oblasti. Integrace virtuální sítě umožňuje vaší aplikaci přístup:
- Prostředky ve virtuální síti, se kterou jste integrováni.
- Zdroje ve virtuální síti v partnerském vztahu k virtuálním sítím, s nimiž je vaše aplikace integrovaná, včetně připojení globálního peeringu.
- Prostředky napříč připojeními Azure ExpressRoute
- Služby zabezpečené koncovým bodem
- Služby s podporou privátního koncového bodu
Při použití integrace virtuální sítě můžete použít následující síťové funkce Azure:
- Skupiny zabezpečení sítě (NSG): Odchozí provoz můžete blokovat pomocí skupiny zabezpečení sítě, kterou používáte v podsíti integrace. Příchozí pravidla se nevztahují, protože integraci virtuální sítě nemůžete použít k poskytování příchozího přístupu k vaší aplikaci.
- Směrovací tabulky (trasy definované uživatelem):: Směrovací tabulku můžete umístit do podsítě integrace a odesílat odchozí provoz tam, kde chcete.
- NaT Gateway: Pomocí služby NAT Gateway můžete získat vyhrazenou odchozí IP adresu a zmírnit vyčerpání portů SNAT.
Zjistěte , jak povolit integraci virtuální sítě.
Jak funguje integrace virtuální sítě
Aplikace ve službě App Service jsou hostované v rolích pracovního procesu. Integrace virtuální sítě funguje připojením virtuálních rozhraní k rolím pracovního procesu s adresami v delegované podsíti. Použitá virtuální rozhraní nejsou prostředky, ke kterým mají zákazníci přímý přístup. Vzhledem k tomu, že adresa from je ve vaší virtuální síti, má přístup k většině věcí ve virtuální síti nebo prostřednictvím virtuální sítě, jako je virtuální počítač ve vaší virtuální síti.
Pokud je povolená integrace virtuální sítě, vaše aplikace provádí odchozí volání přes vaši virtuální síť. Odchozí adresy, které jsou uvedené na portálu vlastností aplikace, jsou adresy, které vaše aplikace stále používá. Pokud je však odchozí volání na virtuální počítač nebo privátní koncový bod ve virtuální síti integrace nebo partnerské virtuální síti, odchozí adresa je adresa z podsítě integrace. Privátní IP adresa přiřazená instanci se vystavuje prostřednictvím proměnné prostředí WEBSITE_PRIVATE_IP.
Pokud je povolené veškeré směrování provozu, veškerý odchozí provoz se odesílá do vaší virtuální sítě. Pokud není povolené veškeré směrování provozu, do virtuální sítě se odesílají jenom privátní provoz (RFC1918) a koncové body služeb nakonfigurované v podsíti integrace. Odchozí provoz do internetu se směruje přímo z aplikace.
Funkce integrace virtuální sítě podporuje dvě virtuální rozhraní na pracovní proces. Dvě virtuální rozhraní na pracovní proces znamenají dvě integrace virtuální sítě na plán služby App Service. Jinými slovy, plán služby App Service může mít integraci virtuálních sítí s až dvěma podsítěmi a virtuálními sítěmi. Aplikace ve stejném plánu služby App Service můžou používat pouze jednu integraci virtuální sítě do konkrétní podsítě, což znamená, že aplikace může mít v daném okamžiku jenom jednu integraci virtuální sítě.
Požadavky na podsíť
Integrace virtuální sítě závisí na vyhrazené podsíti. Při vytváření podsítě využívá podsíť Azure od začátku pět IP adres. Jedna adresa se používá z podsítě integrace pro každou instanci plánu služby App Service. Pokud škálujete aplikaci na čtyři instance, použijí se čtyři adresy.
Při vertikálním navýšení nebo snížení kapacity velikosti instance se během dokončení operace škálování dočasně zdvojnásobí množství IP adres používaných plánem služby App Service. Nové instance musí být plně funkční před zrušením zřízení existujících instancí. Operace škálování má vliv na skutečnou dostupnou podporovanou instanci pro danou velikost podsítě. Upgrady platforem potřebují bezplatné IP adresy, aby se zajistilo, že upgrady můžou probíhat bez přerušení odchozího provozu. Po dokončení vertikálního navýšení, snížení kapacity nebo dokončení operací může trvat krátkou dobu, než se uvolní IP adresy. Ve výjimečných případech může být tato operace až 12 hodin a pokud rychle vertikálně navýšit nebo snížit kapacitu, potřebujete více IP adres než maximální škálování.
Vzhledem k tomu, že po přiřazení nejde změnit velikost podsítě, použijte podsíť, která je dostatečně velká, aby vyhovovala libovolnému škálování, které může vaše aplikace dosáhnout. Měli byste si také rezervovat IP adresy pro upgrady platformy. Pokud se chcete vyhnout problémům s kapacitou podsítě, doporučujeme přidělit dvě IP adresy plánovaného maximálního škálování. A /26
s 64 adresami pokrývá maximální škálování jednoho víceklientního plánu služby App Service. Při vytváření podsítí na webu Azure Portal při integraci s virtuální sítí se vyžaduje minimální velikost /27
. Pokud podsíť již existuje před integrací přes portál, můžete použít /28
podsíť.
Pomocí připojení podsítě s více plány plánu (MPSJ) můžete ke stejné podsíti připojit několik plánů služby App Service. Všechny plány služby App Service musí být ve stejném předplatném, ale virtuální síť nebo podsíť můžou být v jiném předplatném. Každá instance z každého plánu služby App Service vyžaduje IP adresu z podsítě a k použití MPSJ se vyžaduje minimální velikost /26
podsítě. Pokud se plánujete připojit k mnoha nebo velkým plánům škálování, měli byste naplánovat větší rozsahy podsítí.
Omezení specifická pro kontejnery Windows
Kontejnery Windows používají pro každou instanci plánu služby App Service další IP adresu pro každou aplikaci a vy potřebujete odpovídajícím způsobem velikost podsítě. Pokud máte například 10 instancí plánu služby Windows Container App Service se čtyřmi spuštěnými aplikacemi, potřebujete 50 IP adres a dalších adres pro podporu horizontálního (in/out) škálování.
Ukázkový výpočet:
Pro každou instanci plánu služby App Service potřebujete: 4 aplikace typu Kontejner pro Windows = 4 IP adresy 1 NA instanci plánu služby App Service 4 + 1 = 5 IP adres.
Pro 10 instancí: 5 x 10 = 50 IP adres na plán služby App Service
Vzhledem k tomu, že máte plán služby App Service 1, 1 x 50 = 50 IP adres.
Kromě toho jste omezeni počtem jader dostupných v použité pracovní vrstvě. Každé jádro přidá tři síťové jednotky. Samotný pracovní proces používá jednu jednotku a každé připojení k virtuální síti používá jednu jednotku. Zbývající jednotky je možné použít pro aplikace.
Ukázkový výpočet:
Instance plánu služby App Service se čtyřmi spuštěnými aplikacemi a integrací virtuální sítě Aplikace jsou připojené ke dvěma různým podsítím (připojení virtuální sítě). Tato konfigurace vyžaduje sedm síťových jednotek (1 pracovní proces + 2 připojení + 4 aplikace). Minimální velikost pro spuštění této konfigurace by byla I2v2 (čtyři jádra x 3 jednotky = 12 jednotek).
S I1v2 můžete spouštět maximálně čtyři aplikace pomocí stejného (1) připojení nebo 3 aplikací pomocí 2 připojení.
Oprávnění
Abyste mohli nakonfigurovat integraci virtuální sítě přes Azure Portal, rozhraní příkazového řádku nebo při přímém nastavení virtualNetworkSubnetId
vlastnosti lokality, musíte mít alespoň následující oprávnění řízení přístupu na základě role v podsíti nebo na vyšší úrovni:
Akce | Popis |
---|---|
Microsoft.Network/virtualNetworks/read | Čtení definice virtuální sítě |
Microsoft.Network/virtualNetworks/subnets/read | Čtení definice podsítě virtuální sítě |
Microsoft.Network/virtualNetworks/subnets/join/action | Připojí virtuální síť. |
Pokud je virtuální síť v jiném předplatném než aplikace, musíte zajistit, aby předplatné s virtuální sítí bylo zaregistrované pro Microsoft.Web
poskytovatele prostředků. Poskytovatele můžete explicitně zaregistrovat podle této dokumentace, ale při vytváření první webové aplikace v předplatném se také automaticky zaregistruje.
Trasy
Můžete řídit, jaký provoz prochází integrací virtuální sítě. Při konfiguraci integrace virtuální sítě je potřeba zvážit tři typy směrování. Směrování aplikace definuje, jaký provoz se směruje z vaší aplikace a do virtuální sítě. Směrování konfigurace má vliv na operace, ke kterým dochází před nebo během spuštění aplikace. Příklady jsou nastavení vyžádání image kontejneru a nastavení aplikace s referenčními informacemi ke službě Key Vault. Směrování sítě je schopnost zpracovávat směrování provozu aplikací i konfigurace z vaší virtuální sítě i ven.
Prostřednictvím možností směrování aplikace nebo konfigurace můžete nakonfigurovat, jaký provoz se odesílá prostřednictvím integrace virtuální sítě. Provoz podléhá směrování sítě pouze v případě, že se odesílá prostřednictvím integrace virtuální sítě.
Směrování přihlášek
Směrování aplikace se vztahuje na provoz odesílaný z vaší aplikace po spuštění. Viz směrování konfigurace provozu během spouštění. Při konfiguraci směrování aplikací můžete buď směrovat veškerý provoz, nebo jenom privátní provoz (označovaný také jako RFC1918 provoz) do vaší virtuální sítě. Toto chování nakonfigurujete prostřednictvím nastavení odchozího internetového provozu. Pokud je směrování odchozího internetového provozu zakázané, vaše aplikace směruje do vaší virtuální sítě jenom privátní provoz. Pokud chcete směrovat veškerý provoz odchozí aplikace do vaší virtuální sítě, ujistěte se, že je povolený odchozí internetový provoz.
- Pouze provoz nakonfigurovaný ve směrování aplikace nebo konfigurace podléhá skupinám zabezpečení sítě a trasám definovaným uživatelem, které se použijí pro vaši podsíť integrace.
- Pokud je povolené směrování odchozího internetového provozu, zdrojová adresa odchozího provozu z vaší aplikace je stále jednou z IP adres uvedených ve vlastnostech vaší aplikace. Pokud směrujete provoz přes bránu firewall nebo bránu NAT, zdrojová IP adresa pochází z této služby.
Zjistěte , jak nakonfigurovat směrování aplikací.
Poznámka:
Odchozí připojení SMTP (port 25) se podporuje pro App Service, když se provoz SMTP směruje přes integraci virtuální sítě. Možnosti podpory se určují nastavením předplatného, ve kterém je virtuální síť nasazená. Pro virtuální sítě nebo podsítě vytvořené před 1. V srpnu 2022 je potřeba zahájit dočasnou změnu konfigurace virtuální sítě nebo podsítě, aby se nastavení synchronizovalo z předplatného. Příkladem může být přidání dočasné podsítě, dočasné přidružení nebo zrušení přidružení skupiny zabezpečení sítě nebo dočasné konfigurace koncového bodu služby. Další informace najdete v tématu Řešení potíží s odchozím připojením SMTP v Azure.
Směrování konfigurace
Pokud používáte integraci virtuální sítě, můžete nakonfigurovat způsob, jakým se spravují části konfiguračního provozu. Ve výchozím nastavení se provoz konfigurace směruje přímo přes veřejnou trasu, ale u zmíněných jednotlivých komponent ho můžete aktivně nakonfigurovat tak, aby se směroval přes integraci virtuální sítě.
Sdílená složka obsahu
Azure Functions ve výchozím nastavení používá sdílenou složku obsahu jako zdroj nasazení při škálování aplikací funkcí v plánu Premium. Musíte nakonfigurovat další nastavení, které zaručuje směrování provozu do této sdílené složky obsahu prostřednictvím integrace virtuální sítě. Další informace najdete v tématu konfigurace směrování sdílení obsahu.
Kromě konfigurace směrování musíte také zajistit, aby všechny brány firewall nebo skupina zabezpečení sítě nakonfigurované pro provoz z podsítě umožňovaly provoz na port 443 a 445.
Vyžádání image kontejneru
Při použití vlastních kontejnerů můžete kontejner přetáhnout přes integraci virtuální sítě. Pokud chcete směrovat přenosy dat kontejneru přes integraci virtuální sítě, musíte zajistit, aby bylo nakonfigurované nastavení směrování. Zjistěte , jak nakonfigurovat směrování vyžádané replikace image.
Zálohování a obnovení
App Service má integrované zálohování/obnovení, ale pokud chcete zálohovat do vlastního účtu úložiště, můžete použít vlastní funkci zálohování/obnovení. Pokud chcete směrovat provoz do účtu úložiště prostřednictvím integrace virtuální sítě, musíte nakonfigurovat nastavení trasy. Zálohování databáze není podporováno prostřednictvím integrace virtuální sítě.
Nastavení aplikace využívající reference ke službě Key Vault
Nastavení aplikace využívající reference ke službě Key Vault se pokusí získat tajné kódy přes veřejnou trasu. Pokud služba Key Vault blokuje veřejný provoz a aplikace používá integraci virtuální sítě, provede se pokus o získání tajných kódů prostřednictvím integrace virtuální sítě.
Poznámka:
- Konfigurace certifikátů SSL/TLS z privátních trezorů klíčů se v současné době nepodporuje.
- Protokoly služby App Service do privátních účtů úložiště se v současné době nepodporují. Doporučujeme použít protokolování diagnostiky a povolit důvěryhodné služby pro účet úložiště.
Nastavení aplikace směrování
Služba App Service má stávající nastavení aplikace pro konfiguraci směrování aplikací a konfigurace. Pokud existují obě vlastnosti webu, přepíší nastavení aplikace. Vlastnosti webu mají výhodu auditování pomocí služby Azure Policy a ověřované v době konfigurace. Doporučujeme použít vlastnosti webu.
Ke konfiguraci směrování aplikací můžete stále použít stávající WEBSITE_VNET_ROUTE_ALL
nastavení aplikace.
Pro některé možnosti směrování konfigurace existují také nastavení aplikace. Tato nastavení aplikace jsou pojmenovaná WEBSITE_CONTENTOVERVNET
a WEBSITE_PULL_IMAGE_OVER_VNET
.
Směrování sítě
Směrovací tabulky můžete použít ke směrování odchozího provozu z aplikace bez omezení. Mezi běžné cíle patří zařízení brány firewall nebo brány. Můžete také použít skupinu zabezpečení sítě (NSG) k blokování odchozího provozu do prostředků ve vaší virtuální síti nebo internetu. Skupina zabezpečení sítě, kterou použijete pro vaši podsíť integrace, je platná bez ohledu na všechny směrovací tabulky použité na vaši podsíť integrace.
Směrovací tabulky a skupiny zabezpečení sítě se vztahují pouze na provoz směrovaný přes integraci virtuální sítě. Podrobnosti najdete v tématu Směrování a konfigurace aplikací. Trasy se nevztahují na odpovědi z příchozích požadavků aplikace a příchozích pravidel ve skupině zabezpečení sítě se na vaši aplikaci nevztahují. Integrace virtuální sítě má vliv jenom na odchozí provoz z vaší aplikace. Pokud chcete řídit příchozí provoz do vaší aplikace, použijte funkci omezení přístupu nebo privátní koncové body.
Při konfiguraci skupin zabezpečení sítě nebo směrovacích tabulek, které platí pro odchozí provoz, je nutné zvážit závislosti aplikace. Mezi závislosti aplikací patří koncové body, které vaše aplikace potřebuje během běhu. Kromě rozhraní API a služeb, které aplikace volá, můžou být tyto koncové body také odvozené koncové body, jako je seznam odvolaných certifikátů (CRL), kontrolují koncové body a koncový bod identity/ověřování, například Microsoft Entra ID. Pokud ve službě App Service používáte průběžné nasazování, může být také potřeba povolit koncové body v závislosti na typu a jazyce.
Průběžné nasazování Linuxu
Konkrétně pro průběžné nasazování Linuxu musíte povolit oryx-cdn.microsoft.io:443
. Pro Python navíc musíte povolit files.pythonhosted.org
, pypi.org
.
Kontroly stavu
Azure k kontrolám stavu sítě používá port UDP 30 000. Pokud tento provoz zablokujete, nebude to mít přímý vliv na vaši aplikaci, ale bude obtížnější podpora Azure detekovat a řešit problémy související se sítí.
Privátní porty
Funkce privátních portů služby App Service používá porty 20 000 až 30 000 na tcp i UDP ke směrování provozu mezi instancemi přes integrovanou síť. Uvedený rozsah portů musí být otevřený pro příchozí i odchozí provoz.
Místní provoz
Pokud chcete směrovat odchozí provoz místně, můžete pomocí směrovací tabulky odesílat odchozí provoz do brány Azure ExpressRoute. Pokud směrujete provoz do brány, nastavte trasy v externí síti, aby se všechny odpovědi odeslaly zpět. Trasy protokolu BGP (Border Gateway Protocol) také ovlivňují provoz vaší aplikace. Pokud máte trasy protokolu BGP z brány ExpressRoute, ovlivní to odchozí provoz vaší aplikace. Podobně jako trasy definované uživatelem ovlivňují trasy protokolu BGP provoz podle nastavení rozsahu směrování.
Koncové body služby
Integrace virtuální sítě umožňuje spojit se se službami Azure, které jsou zabezpečené pomocí koncových bodů služby. Pokud chcete získat přístup ke službě zabezpečené koncovým bodem služby, postupujte takto:
- Nakonfigurujte integraci virtuální sítě s webovou aplikací tak, aby se připojila ke konkrétní podsíti pro integraci.
- Přejděte do cílové služby a nakonfigurujte koncové body služby pro podsíť integrace.
Privátní koncové body
Pokud chcete volat privátní koncové body, ujistěte se, že se vyhledávání DNS přeloží na privátní koncový bod. Toto chování můžete vynutit jedním z následujících způsobů:
- Integrace s privátními zónami Azure DNS Pokud vaše virtuální síť nemá vlastní server DNS, integrace se provede automaticky, když jsou zóny propojeny s virtuální sítí.
- Spravujte privátní koncový bod na serveru DNS používaném vaší aplikací. Pokud chcete konfiguraci spravovat, musíte znát IP adresu privátního koncového bodu. Pak nasměrujte koncový bod, ke kterému se pokoušíte připojit pomocí záznamu A.
- Nakonfigurujte vlastní server DNS tak, aby předával privátní zóny Azure DNS.
Privátní zóny Azure DNS
Jakmile se vaše aplikace integruje s vaší virtuální sítí, použije stejný server DNS, se kterým je vaše virtuální síť nakonfigurovaná. Pokud není zadán žádný vlastní DNS, použije výchozí DNS Azure a všechny privátní zóny propojené s virtuální sítí.
Omezení
Integrace virtuální sítě má určitá omezení:
- Tato funkce je k dispozici ve všech nasazeních služby App Service v Premium v2 a Premium v3. Je také k dispozici na úrovni Basic a Standard, ale pouze z novějších nasazení služby App Service. Pokud používáte starší nasazení, můžete tuto funkci použít jenom z plánu služby App Service úrovně Premium v2. Pokud chcete mít jistotu, že tuto funkci můžete použít v plánu Basic nebo Standard App Service, vytvořte aplikaci v plánu služby App Service premium v3. Tyto plány se podporují jenom v našich nejnovějších nasazeních. Pokud chcete po vytvoření plánu vertikálně snížit kapacitu, můžete ji snížit.
- Tato funkce není dostupná pro aplikace izolovaného plánu ve službě App Service Environment.
- Nemůžete se spojit s prostředky napříč připojeními peeringu s klasickými virtuálními sítěmi.
- Tato funkce vyžaduje nepoužitou podsíť, která je blok IPv4
/28
nebo větší ve virtuální síti Azure Resource Manageru. MPSJ vyžaduje/26
blok nebo větší. - Aplikace i virtuální síť musí být ve stejné oblasti.
- Virtuální síť integrace nemůže mít definované adresní prostory IPv6.
- Podsíť integrace nemůže mít povolené zásady koncového bodu služby.
- Nemůžete odstranit virtuální síť s integrovanou aplikací. Před odstraněním virtuální sítě odeberte integraci.
- Pro každý plán služby App Service nemůžete mít více než dvě integrace virtuálních sítí. Stejnou integraci virtuální sítě může používat více aplikací ve stejném plánu služby App Service.
- Předplatné aplikace nebo plánu nemůžete změnit, pokud existuje aplikace, která používá integraci virtuální sítě.
Přístup k místním prostředkům
Není nutná žádná další konfigurace, aby se funkce integrace virtuální sítě dostala přes vaši virtuální síť k místním prostředkům. Stačí připojit virtuální síť k místním prostředkům pomocí ExpressRoute nebo vpn typu site-to-site.
Peering
Pokud používáte partnerský vztah s integrací virtuální sítě, nemusíte provádět žádnou další konfiguraci.
Správa integrace virtuální sítě
Připojení a odpojení virtuální sítě je na úrovni aplikace. Operace, které můžou ovlivnit integraci virtuální sítě napříč více aplikacemi, jsou na úrovni plánu služby App Service. Na portálu pro integraci virtuální sítě aplikací >>můžete získat podrobnosti o virtuální síti. Podobné informace najdete na úrovni plánu služby App Service na portálu pro integraci virtuální sítě s>plánem>služby App Service.
V zobrazení aplikace instance integrace virtuální sítě můžete aplikaci odpojit od virtuální sítě a nakonfigurovat směrování aplikací. Pokud chcete aplikaci odpojit od virtuální sítě, vyberte Odpojit. Aplikace se restartuje, když se odpojíte od virtuální sítě. Odpojení nezmění vaši virtuální síť. Podsíť se neodebere. Pokud pak chcete odstranit virtuální síť, nejprve odpojte aplikaci od virtuální sítě.
Privátní IP adresa přiřazená instanci je vystavena prostřednictvím proměnné prostředí WEBSITE_PRIVATE_IP. Uživatelské rozhraní konzoly Kudu také zobrazuje seznam proměnných prostředí dostupných pro webovou aplikaci. Tato IP adresa je přiřazena z rozsahu adres integrované podsítě. Tuto IP adresu používá webová aplikace k připojení k prostředkům prostřednictvím virtuální sítě Azure.
Poznámka:
Hodnota WEBSITE_PRIVATE_IP je vázána na změnu. Bude to ale IP adresa v rozsahu adres podsítě integrace, takže budete muset povolit přístup z celého rozsahu adres.
Podrobnosti o cenách
Funkce integrace virtuální sítě nemá žádné další poplatky za použití nad rámec poplatků za cenovou úroveň plánu služby App Service.
Řešení problému
Tato funkce se dá snadno nastavit, ale to neznamená, že vaše zkušenost je bez problémů. Pokud narazíte na problémy s přístupem k požadovanému koncovému bodu, můžete v závislosti na tom, co pozorujete, provést různé kroky. Další informace najdete v průvodci odstraňováním potíží s integrací virtuální sítě.
Poznámka:
- Integrace virtuální sítě není podporovaná pro scénáře Docker Compose ve službě App Service.
- Omezení přístupu se nevztahují na provoz procházející privátním koncovým bodem.
Odstranění plánu služby App Service nebo aplikace před odpojením integrace sítě
Pokud jste nejprve odstranili aplikaci nebo plán služby App Service bez odpojení integrace virtuální sítě, nemůžete ve virtuální síti nebo podsíti použité k integraci s odstraněným prostředkem provádět žádné operace aktualizace nebo odstranění. Delegování podsítě Microsoft.Web/serverFarms zůstane přiřazené k vaší podsíti a zabrání operacím aktualizace a odstranění.
Abyste mohli znovu aktualizovat nebo odstranit podsíť nebo virtuální síť, musíte znovu vytvořit integraci virtuální sítě a pak ji odpojit:
- Znovu vytvořte plán služby App Service a aplikaci (je povinné použít stejný název webové aplikace jako předtím).
- Přejděte do sítě v aplikaci na webu Azure Portal a nakonfigurujte integraci virtuální sítě.
- Po nakonfigurování integrace virtuální sítě vyberte tlačítko Odpojit.
- Odstraňte plán služby App Service nebo aplikaci.
- Aktualizace nebo odstranění podsítě nebo virtuální sítě
Pokud po provedení těchto kroků stále dochází k problémům s integrací virtuální sítě, obraťte se na podpora Microsoftu.