Delen via


Hybride verbindingen in Azure App Service

Hybride Verbinding maken ionen is zowel een service in Azure als een functie in Azure-app Service. Als een service heeft het gebruik en de mogelijkheden buiten die worden gebruikt in App Service. Zie Azure Relay Hybrid Verbinding maken ions voor meer informatie over hybride Verbinding maken ions en hun gebruik buiten App Service.

Binnen App Service kunnen hybride Verbinding maken ions worden gebruikt voor toegang tot toepassingsbronnen in elk netwerk dat uitgaande aanroepen naar Azure via poort 443 kan uitvoeren. Hybride Verbinding maken ionen bieden toegang vanuit uw app tot een TCP-eindpunt en maken geen nieuwe manier mogelijk om toegang te krijgen tot uw app. Zoals in App Service wordt gebruikt, correleert elke hybride Verbinding maken ion met één COMBINATIE van TCP-host en -poort. Met deze functie kunnen uw apps toegang krijgen tot resources in elk besturingssysteem, mits het een TCP-eindpunt is. De functie Hybride Verbinding maken ions weet of geeft niet uit wat het toepassingsprotocol is of wat u opent. Het biedt gewoon netwerktoegang.

Hoe het werkt

Voor hybride Verbinding maken moet een relayagent worden geïmplementeerd waar het zowel het gewenste eindpunt als Azure kan bereiken. De Relay-agent, Hybride Verbindingsbeheer (HCM), roept Azure Relay aan via poort 443. Vanaf de website van de web-app maakt de App Service-infrastructuur ook namens uw toepassing verbinding met Azure Relay. Via de gekoppelde verbindingen heeft uw app toegang tot het gewenste eindpunt. De verbinding maakt gebruik van TLS 1.2 voor SAS-sleutels (Security and Shared Access Signature) voor verificatie en autorisatie.

Diagram of Hybrid Connection high-level flow.

Wanneer uw app een DNS-aanvraag indient die overeenkomt met een geconfigureerd hybride Verbinding maken ion-eindpunt, wordt het uitgaande TCP-verkeer omgeleid via de hybride Verbinding maken ion.

Notitie

Dit betekent dat u altijd een DNS-naam moet gebruiken voor uw hybride Verbinding maken ion. Sommige clientsoftware voert geen DNS-zoekopdracht uit als het eindpunt in plaats daarvan een IP-adres gebruikt.

Voordelen van hybride Verbinding maken ion voor App Service

Er zijn veel voordelen voor de mogelijkheden voor hybride Verbinding maken, waaronder:

  • Apps hebben veilig toegang tot on-premises systemen en services.
  • Voor de functie is geen eindpunt vereist dat toegankelijk is voor internet.
  • Het is snel en eenvoudig in te stellen. Er zijn geen gateways vereist.
  • Elke hybride Verbinding maken ion komt overeen met één combinatie van host:poort, handig voor beveiliging.
  • Normaal gesproken zijn er geen firewallgaten vereist. De verbindingen zijn allemaal uitgaand via standaardwebpoorten.
  • Omdat de functie netwerkniveau is, is deze agnostisch voor de taal die wordt gebruikt door uw app en de technologie die door het eindpunt wordt gebruikt.
  • Het kan worden gebruikt om toegang te bieden in meerdere netwerken vanuit één app.
  • Ondersteund in GA voor Windows-apps en Linux-apps. Het wordt niet ondersteund voor aangepaste Windows-containers.

Dingen die u niet kunt doen met hybride Verbinding maken ions

Dit zijn de volgende dingen die u niet kunt doen met hybride Verbinding maken:

  • Koppel een station.
  • Gebruik UDP.
  • Krijg toegang tot TCP-services die gebruikmaken van dynamische poorten, zoals de passieve FTP-modus of de uitgebreide passieve modus.
  • Ondersteuning voor LDAP, omdat hiervoor UDP kan worden vereist.
  • Ondersteuning voor Active Directory, omdat u geen domein kunt toevoegen aan een App Service-werkrol.

Hybride Verbinding maken ionen toevoegen en maken in uw app

Als u een hybride Verbinding maken wilt maken, gaat u naar Azure Portal en selecteert u uw app. Selecteer Netwerken>configureren van uw hybride Verbinding maken ion-eindpunten. Hier ziet u de hybride Verbinding maken ionen die zijn geconfigureerd voor uw app.

Screenshot of Hybrid Connection list.

Als u een nieuwe hybride Verbinding maken wilt toevoegen, selecteert u [+] Hybride verbinding toevoegen. U ziet een lijst met de hybride Verbinding maken ionen die u al hebt gemaakt. Als u een of meer van deze items aan uw app wilt toevoegen, selecteert u de gewenste app en selecteert u vervolgens Hybride Verbinding maken ion toevoegen.

Screenshot of Hybrid Connection portal.

Als u een nieuwe hybride Verbinding maken wilt maken, selecteert u Nieuwe hybride verbinding maken. Geef het volgende op:

  • Naam van hybride Verbinding maken ion.
  • Hostnaam van eindpunt.
  • Eindpuntpoort.
  • Service Bus-naamruimte die u wilt gebruiken.

Screenshot of Create new hybrid connection dialog box.

Elke hybride Verbinding maken ion is gekoppeld aan een Service Bus-naamruimte en elke Service Bus-naamruimte bevindt zich in een Azure-regio. Het is belangrijk om een Service Bus-naamruimte te gebruiken in dezelfde regio als uw app, om netwerklatentie te voorkomen.

Als u uw hybride Verbinding maken ion uit uw app wilt verwijderen, klikt u er met de rechtermuisknop op en selecteert u Verbinding verbreken.

Wanneer een hybride Verbinding maken ion wordt toegevoegd aan uw app, kunt u er eenvoudig details over zien door deze te selecteren.

Screenshot of Hybrid connections details.

Een hybride Verbinding maken maken in Azure Relay Portal

Naast de portalervaring vanuit uw app kunt u hybride Verbinding maken ies maken vanuit de Azure Relay-portal. Voor een hybride Verbinding maken ion die door App Service moet worden gebruikt, moet het volgende:

  • Clientautorisatie vereisen.
  • Een metagegevensitem en benoemd eindpunt hebben dat een combinatie van host:poort als waarde bevat.

Hybride Verbinding maken ions en App Service-abonnementen

App Service Hybrid Verbinding maken ions zijn alleen beschikbaar in Basic-, Standard-, Premium- en Geïsoleerde prijs-SKU's. Hybride Verbinding maken ionen zijn niet beschikbaar voor functie-apps in verbruiksabonnementen. Er zijn limieten gekoppeld aan het prijsplan.

Prijsoverzicht Aantal hybride Verbinding maken ionen dat in het plan kan worden gebruikt
Basis 5 per abonnement
Standaard 25 per abonnement
Premium (v1-v3) 220 per app
Geïsoleerd (v1-v2) 220 per app

In de gebruikersinterface van het App Service-plan ziet u hoeveel hybride Verbinding maken ionen worden gebruikt en door welke apps.

Screenshot of App Service plan properties.

Selecteer de hybride Verbinding maken ion om details weer te geven. U kunt alle informatie zien die u in de app-weergave hebt gezien. U kunt ook zien hoeveel andere apps in hetzelfde abonnement gebruikmaken van die hybride Verbinding maken ion.

Er is een limiet voor het aantal hybride Verbinding maken ion-eindpunten dat kan worden gebruikt in een App Service-plan. Elke hybride Verbinding maken ion die wordt gebruikt, kan echter worden gebruikt voor elk willekeurig aantal apps in dat plan. Eén hybride Verbinding maken ion die wordt gebruikt in vijf afzonderlijke apps in een App Service-plan telt bijvoorbeeld als één hybride Verbinding maken ion.

Prijzen

Naast dat er een SKU-vereiste voor een App Service-plan is, zijn er extra kosten verbonden aan het gebruik van hybride Verbinding maken ions. Er worden kosten in rekening gebracht voor elke listener die wordt gebruikt door een hybride Verbinding maken ion. De listener is de Hybride Verbindingsbeheer. Als u vijf hybrid Verbinding maken ions hebt die worden ondersteund door twee Hybride Verbindingsbeheer s, zou dat 10 listeners zijn. Zie Service Bus-prijzen voor meer informatie.

Hybride Verbindingsbeheer

Voor de functie Hybride Verbinding maken ions is een relayagent in het netwerk vereist die als host fungeert voor uw eindpunt voor hybride Verbinding maken ion. Deze Relay-agent wordt de Hybrid Verbindingsbeheer (HCM) genoemd. Als u HCM wilt downloaden, selecteert u netwerken>configureren voor uw hybride Verbinding maken ion-eindpunten vanuit uw app in Azure Portal.

Dit hulpprogramma wordt uitgevoerd op Windows Server 2012 en hoger. De HCM wordt uitgevoerd als een service en verbindt uitgaande verbindingen met Azure Relay op poort 443.

Nadat u HCM hebt geïnstalleerd, kunt u Hybrid Verbinding maken ionManagerUi.exe uitvoeren om de gebruikersinterface voor het hulpprogramma te gebruiken. Dit bestand bevindt zich in de installatiemap hybride Verbindingsbeheer. In Windows 10 kunt u ook gewoon zoeken naar de gebruikersinterface van hybride Verbindingsbeheer in uw zoekvak.

Screenshot of Hybrid Connection Manager.

Wanneer u de HCM-gebruikersinterface start, ziet u eerst een tabel met alle hybride Verbinding maken ionen die zijn geconfigureerd met dit exemplaar van de HCM. Als u wijzigingen wilt aanbrengen, moet u zich eerst verifiëren bij Azure.

Een of meer hybride Verbinding maken ies toevoegen aan uw HCM:

  1. Start de HCM-gebruikersinterface.

  2. Selecteer Een nieuwe hybride Verbinding maken ion toevoegen. Screenshot of Configure New Hybrid Connections.

  3. Meld u aan met uw Azure-account om uw hybride Verbinding maken-abonnementen beschikbaar te maken. De HCM blijft uw Azure-account buiten deze stap gebruiken.

  4. Kies een abonnement.

  5. Selecteer de hybride Verbinding maken ions die u door de HCM wilt doorgeven. Screenshot of Hybrid Connections.

  6. Selecteer Opslaan.

U ziet nu de hybride Verbinding maken die u hebt toegevoegd. U kunt ook de geconfigureerde hybride Verbinding maken ion selecteren om details te bekijken.

Screenshot of Hybrid Connection Details.

Voor de ondersteuning van de hybride Verbinding maken ions waarmee deze is geconfigureerd, is voor HCM het volgende vereist:

  • TCP-toegang tot Azure via poort 443.
  • TCP-toegang tot het eindpunt voor hybride Verbinding maken ion.
  • De mogelijkheid om DNS-look-ups uit te voeren op de eindpunthost en de Service Bus-naamruimte. Met andere woorden, de hostnaam in de Azure Relay-verbinding moet kunnen worden omgezet vanaf de computer die als host fungeert voor de HCM.

Notitie

Azure Relay is afhankelijk van Web Sockets voor connectiviteit. Deze mogelijkheid is alleen beschikbaar op Windows Server 2012 of hoger. Daarom wordt HCM niet ondersteund op iets eerder dan Windows Server 2012.

Redundantie

Elke HCM kan meerdere hybride Verbinding maken ionen ondersteunen. Bovendien kan elke hybride Verbinding maken ion worden ondersteund door meerdere HCM's. Het standaardgedrag is om verkeer te routeren over de geconfigureerde HCM's voor een bepaald eindpunt. Als u hoge beschikbaarheid wilt op uw hybride Verbinding maken ions van uw netwerk, voert u meerdere HCM's uit op afzonderlijke machines. Het loaddistributie-algoritme dat door de Relay-service wordt gebruikt om verkeer naar de HCM's te distribueren, is een willekeurige toewijzing.

Handmatig een hybride Verbinding maken toevoegen

Als u wilt dat iemand buiten uw abonnement een HCM-exemplaar host voor een bepaalde hybride Verbinding maken ion, deelt u de gateway verbindingsreeks voor de hybride Verbinding maken ion met hen. U ziet de gateway-verbindingsreeks in de eigenschappen van hybride Verbinding maken ion in Azure Portal. Als u deze tekenreeks wilt gebruiken, selecteert u Handmatig invoeren in de HCM en plakt u de gateway verbindingsreeks.

Manually add a Hybrid Connection.

Upgraden

Er zijn periodieke updates voor de hybride Verbindingsbeheer om problemen op te lossen of verbeteringen te bieden. Wanneer er upgrades worden uitgebracht, wordt er een pop-up weergegeven in de gebruikersinterface van HCM. Als u de upgrade toepast, worden de wijzigingen toegepast en wordt de HCM opnieuw opgestart.

Een hybride Verbinding maken toevoegen aan uw app via een programma

Er is Azure CLI-ondersteuning voor hybride Verbinding maken ionen. De geboden opdrachten werken zowel op het niveau van de app als het App Service-plan. De opdrachten op app-niveau zijn:

az webapp hybrid-connection

Group
    az webapp hybrid-connection : Methods that list, add and remove hybrid-connections from webapps.
        This command group is in preview. It may be changed/removed in a future release.
Commands:
    add    : Add a hybrid-connection to a webapp.
    list   : List the hybrid-connections on a webapp.
    remove : Remove a hybrid-connection from a webapp.

Met de opdrachten van het App Service-plan kunt u instellen welke sleutel een bepaalde hybride verbinding gebruikt. Er zijn twee sleutels ingesteld op elke hybride Verbinding maken ion, een primaire en een secundaire sleutel. U kunt ervoor kiezen om de primaire of secundaire sleutel te gebruiken met de onderstaande opdrachten. Met deze optie kunt u schakelen tussen sleutels wanneer u uw sleutels periodiek opnieuw wilt genereren.

az appservice hybrid-connection --help

Group
    az appservice hybrid-connection : A method that sets the key a hybrid-connection uses.
        This command group is in preview. It may be changed/removed in a future release.
Commands:
    set-key : Set the key that all apps in an appservice plan use to connect to the hybrid-
                connections in that appservice plan.

Uw hybride Verbinding maken ions beveiligen

Een bestaande hybride Verbinding maken ion kan worden toegevoegd aan andere App Service-web-apps door elke gebruiker met voldoende machtigingen voor de onderliggende Azure Service Bus Relay. Dit betekent dat als u wilt voorkomen dat anderen dezelfde Hybride Verbinding maken ion opnieuw gebruiken (bijvoorbeeld wanneer de doelresource een service is die geen andere beveiligingsmaatregelen heeft om onbevoegde toegang te voorkomen), moet u de toegang tot Azure Service Bus Relay vergrendelen.

Iedereen met Reader toegang tot de Relay kan de hybride Verbinding maken ion zien wanneer deze wordt toegevoegd aan de web-app in Azure Portal, maar ze kunnen deze niet toevoegen omdat ze niet beschikken over de machtigingen om de verbindingsreeks op te halen die wordt gebruikt om de relayverbinding tot stand te brengen. Als u de hybride Verbinding maken wilt toevoegen, moet deze beschikken over de listKeys machtiging (Microsoft.Relay/namespaces/hybridConnections/authorizationRules/listKeys/action). Met Contributor de rol of een andere rol die deze machtiging voor Relay bevat, kunnen gebruikers de hybride Verbinding maken ion gebruiken en deze toevoegen aan hun eigen web-apps.

Uw hybride Verbinding maken ions beheren

Als u de eindpunthost of poort voor een hybride Verbinding maken wilt wijzigen, volgt u de volgende stappen:

  1. Verwijder de hybride Verbinding maken ion uit de hybride Verbindingsbeheer op de lokale computer door de verbinding te selecteren en linksboven in het venster Details van hybride Verbinding maken ion verwijderen te selecteren.
  2. Verbreek de verbinding met de hybride Verbinding maken van uw App Service door te navigeren naar hybride Verbinding maken ies op de pagina App Service-netwerken.
  3. Navigeer naar relay voor het eindpunt dat u moet bijwerken en selecteer Hybride Verbinding maken ies onder Entiteiten in het navigatiemenu aan de linkerkant.
  4. Selecteer de hybride Verbinding maken die u wilt bijwerken en selecteer Eigenschappen onder Instellingen in het navigatiemenu aan de linkerkant.
  5. Breng uw wijzigingen aan en druk bovenaan op Wijzigingen opslaan.
  6. Ga terug naar de instellingen voor hybride Verbinding maken ions voor uw App Service en voeg de Hybride Verbinding maken ion opnieuw toe. Zorg ervoor dat het eindpunt is bijgewerkt zoals bedoeld. Als u de hybride Verbinding maken niet in de lijst ziet, vernieuwt u deze in 5-10 minuten.
  7. Ga terug naar de hybride Verbindingsbeheer op de lokale computer en voeg de verbinding opnieuw toe.

Problemen oplossen

De status 'Verbinding maken ed' betekent dat ten minste één HCM is geconfigureerd met die Hybride Verbinding maken ion en Azure kan bereiken. Als de status voor uw hybride Verbinding maken niet Verbinding maken, is uw hybride Verbinding maken ion niet geconfigureerd op een HCM die toegang heeft tot Azure. Wanneer uw HCM Niet Verbinding maken weergegeven, moet u het volgende controleren:

  • Heeft uw host uitgaande toegang tot Azure op poort 443? U kunt testen vanaf uw HCM-host met behulp van de PowerShell-opdracht Test-Net Verbinding maken ion Destination -P Port

  • Heeft uw HCM mogelijk een slechte status? Start de lokale service 'Azure Hybrid Verbindingsbeheer Service' opnieuw op.

  • Hebt u conflicterende software geïnstalleerd? Hybride Verbindingsbeheer kan niet naast Biztalk Hybrid Verbindingsbeheer of Service Bus voor Windows Server bestaan. Wanneer u de HCM installeert, moeten alle versies van deze pakketten eerst worden verwijderd.

  • Hebt u een firewall tussen uw HCM-host en Azure? Zo ja, dan moet u uitgaande toegang toestaan tot zowel de SERVICE Bus-eindpunt-URL ALS de Service Bus-gateways die uw hybride Verbinding maken ion gebruiken.

    • U vindt de Service Bus-eindpunt-URL in de gebruikersinterface van hybride Verbindingsbeheer.

    Screenshot of Hybrid Connection Service Bus endpoint.

    • De Service Bus-gateways zijn de resources die de aanvraag accepteren in de hybride Verbinding maken ion en deze doorgeven via Azure Relay. U moet alle 128 gateways toestaan. De gateways hebben de indeling G#-prod-[stamp]-sb.servicebus.windows.net waarbij '#' een getal is tussen 0 en 127 en 'stempel' de naam is van het exemplaar in uw Azure-datacenter waar uw Service Bus-eindpunt bestaat.
      • Als u een jokerteken kunt gebruiken, kunt u de acceptatielijst *.servicebus.windows.net toestaan.

      • Als u geen jokerteken kunt gebruiken, moet u alle 128 gateways toestaan.

        U vindt de stempel met nslookup op de URL van het Service Bus-eindpunt.

        Screenshot of terminal showing where to find the stamp name for the Service Bus.

        In dit voorbeeld is de stempel 'sn3-010'. Als u de Service Bus-gateways wilt toestaan, hebt u de volgende vermeldingen nodig:

        G0-prod-sn3-010-sb.servicebus.windows.net
        G1-prod-sn3-010-sb.servicebus.windows.net
        G2-prod-sn3-010-sb.servicebus.windows.net
        G3-prod-sn3-010-sb.servicebus.windows.net
        ...
        G126-prod-sn3-010-sb.servicebus.windows.net
        G127-prod-sn3-010-sb.servicebus.windows.net

Als uw status aangeeft Verbinding maken ed, maar uw app uw eindpunt niet kan bereiken, doet u het volgende:

  • Zorg ervoor dat u een DNS-naam gebruikt in uw hybride Verbinding maken ion. Als u een IP-adres gebruikt, gebeurt de vereiste DNS-zoekactie voor de client mogelijk niet. Als de client die wordt uitgevoerd in uw web-app geen DNS-zoekactie uitvoert, werkt de hybride Verbinding maken ion niet.
  • Controleer of de DNS-naam die wordt gebruikt in uw hybride Verbinding maken ion, kan worden omgezet vanuit de HCM-host. Controleer de oplossing met behulp van nslookup EndpointDNSname waarbij EndpointDNSname een exacte overeenkomst is met wat wordt gebruikt in de definitie van hybride Verbinding maken ion.
  • Test de toegang van uw HCM-host naar uw eindpunt met behulp van de PowerShell-opdracht Test-Net Verbinding maken ion EndpointDNSname -P Port Als u het eindpunt niet kunt bereiken vanaf uw HCM-host, controleert u de firewalls tussen de twee hosts, inclusief hostfirewalls op de doelhost.
  • Als u App Service op Linux gebruikt, moet u ervoor zorgen dat u 'localhost' niet gebruikt als uw eindpunthost. Gebruik in plaats daarvan de computernaam als u een verbinding probeert te maken met een resource op uw lokale computer.

In App Service kan het tcpping-opdrachtregelprogramma worden aangeroepen vanuit de Kudu-console (Advanced Tools). Met dit hulpprogramma kunt u zien of u toegang hebt tot een TCP-eindpunt, maar u wordt niet verteld of u toegang hebt tot een eindpunt voor hybride Verbinding maken ion. Wanneer u het hulpprogramma in de console gebruikt voor een eindpunt voor hybride Verbinding maken ion, bevestigt u alleen dat er een combinatie van host:poort wordt gebruikt.

Als u een opdrachtregelclient voor uw eindpunt hebt, kunt u de connectiviteit testen vanuit de app-console. U kunt bijvoorbeeld de toegang tot webservereindpunten testen met behulp van curl.