Aangepast domeinachtervoegsel voor App Service-omgevingen
Een App Service Environment is een Azure-app Service-functie die een volledig geïsoleerde en toegewezen omgeving biedt voor het veilig uitvoeren van App Service-apps op grote schaal. De DNS-instellingen voor het standaarddomeinachtervoegsel van uw App Service Environment beperken uw apps niet tot alleen toegankelijk zijn voor deze namen. Aangepast domeinachtervoegsel is een functie van App Service Environment voor de interne load balancer (ILB) waarmee je je eigen domeinachtervoegsel kunt gebruiken voor toegang tot de apps in je App Service Environment.
Als u geen App Service Environment hebt, raadpleegt u Een App Service Environment v3 maken.
Notitie
In dit artikel worden de functies, voordelen en gebruiksvoorbeelden van App Service Environment v3 beschreven, die worden gebruikt met App Service Isolated v2-abonnementen.
Het achtervoegsel van het aangepaste domein definieert een hoofddomein dat wordt gebruikt door de App Service Environment. In de openbare variatie van Azure-app Service wordt het standaardhoofddomein voor alle web-apps azurewebsites.net. Voor ILB App Service Environments is het standaardhoofddomein appserviceenvironment.net. Omdat een ILB App Service Environment echter intern is voor het virtuele netwerk van een klant, kunnen klanten een hoofddomein gebruiken naast de standaarddomein dat zinvol is voor gebruik binnen het interne virtuele netwerk van een bedrijf. Een hypothetische Contoso Corporation kan bijvoorbeeld een standaardhoofddomein van internal.contoso.com gebruiken voor apps die alleen kunnen worden omgezet en toegankelijk zijn binnen het virtuele netwerk van Contoso. Een app in dit virtuele netwerk kan worden bereikt door toegang te krijgen tot APP-NAME.internal.contoso.com.
Het achtervoegsel van het aangepaste domein is voor de App Service-omgeving. Deze functie verschilt van een aangepaste domeinbinding in een App Service. Zie Een bestaande aangepaste DNS-naam toewijzen aan Azure-app Service voor meer informatie over aangepaste domeinbindingen.
Als het certificaat dat wordt gebruikt voor het achtervoegsel van het aangepaste domein een SAN-vermelding (Subject Alternate Name) voor *.scm bevat. CUSTOM-DOMAIN, de scm-site is ook bereikbaar via APP-NAME.scm.CUSTOM-DOMAIN. U hebt alleen toegang tot scm via aangepast domein met behulp van basisverificatie. Eenmalige aanmelding is alleen mogelijk met het standaardhoofddomein.
In tegenstelling tot eerdere versies kunnen de FTPS-eindpunten voor uw App Services in uw App Service Environment v3 alleen worden bereikt met behulp van het standaarddomeinachtervoegsel.
De verbinding met het eindpunt voor het aangepaste domeinachtervoegsel moet SNI (Server Name Indication) gebruiken voor TLS-verbindingen.
Vereisten
- ILB-variatie van App Service Environment v3.
- Geldig SSL/TLS-certificaat moet worden opgeslagen in een Azure Key Vault in . PFX-indeling. Zie Een TLS/SSL-certificaat toevoegen in Azure-app Service voor meer informatie over het gebruik van certificaten met App Service.
- Het certificaat moet kleiner zijn dan 20 kB.
Beheerde identiteit
Een beheerde identiteit wordt gebruikt om te verifiëren bij de Azure Key Vault waar het SSL/TLS-certificaat wordt opgeslagen. Als u momenteel geen beheerde identiteit hebt die is gekoppeld aan uw App Service Environment, moet u er een configureren.
U kunt een door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit gebruiken. Zie Door de gebruiker toegewezen beheerde identiteiten beheren om een door de gebruiker toegewezen beheerde identiteiten te maken. Als u een door het systeem toegewezen beheerde identiteit wilt gebruiken en nog geen identiteit hebt toegewezen aan uw App Service Environment, begeleidt de portal voor aangepast domeinachtervoegsel u bij het maken. U kunt ook naar de pagina Identiteit voor uw App Service-omgeving gaan en daar uw beheerde identiteiten configureren en toewijzen.
Als u een door het systeem toegewezen beheerde identiteit wilt inschakelen, stelt u de status in op Aan.
Als u een door de gebruiker toegewezen beheerde identiteit wilt toewijzen, selecteert u Toevoegen en zoeken naar de beheerde identiteit die u wilt gebruiken.
Zodra u de beheerde identiteit aan uw App Service-omgeving hebt toegewezen, moet u ervoor zorgen dat de beheerde identiteit voldoende machtigingen heeft voor de Azure Key Vault. U kunt een toegangsbeleid voor een kluis of op rollen gebaseerd toegangsbeheer van Azure gebruiken.
Als u een toegangsbeleid voor een kluis gebruikt, heeft de beheerde identiteit minimaal de machtiging Geheimen ophalen voor de sleutelkluis nodig.
Als u ervoor kiest om op rollen gebaseerd toegangsbeheer van Azure te gebruiken om de toegang tot uw sleutelkluis te beheren, moet u uw beheerde identiteit minimaal de rol Key Vault Secrets User geven.
Certificaat
Het certificaat voor het achtervoegsel van een aangepast domein moet worden opgeslagen in een Azure Key Vault. Het certificaat moet worden geüpload in . PFX-indeling en kleiner zijn dan 20 kB. Certificaten in . PEM-indeling wordt momenteel niet ondersteund. App Service Environment gebruikt de beheerde identiteit die u hebt geselecteerd om het certificaat op te halen.
Uw certificaat moet een jokertekencertificaat zijn voor de geselecteerde aangepaste domeinnaam. Internal.contoso.com hebt bijvoorbeeld een certificaat nodig voor *.internal.contoso.com. Als het certificaat dat wordt gebruikt door het achtervoegsel van het aangepaste domein een SAN-vermelding (Subject Alternate Name) voor scm bevat, bijvoorbeeld *.scm.internal.contoso.com, is de scm-site ook beschikbaar met behulp van het achtervoegsel van het aangepaste domein.
Als u uw certificaat roteert in Azure Key Vault, wordt de wijziging binnen 24 uur door de App Service-omgeving opgehaald.
Netwerktoegang tot Key Vault
De sleutelkluis kan openbaar worden geopend of via een privé-eindpunt dat toegankelijk is vanuit het subnet waarnaar de App Service Environment is geïmplementeerd. Zie Key Vault integreren met Azure Private Link voor meer informatie over het configureren van een privé-eindpunt. Als u openbare toegang gebruikt, kunt u uw sleutelkluis beveiligen om alleen verkeer van het uitgaande IP-adres van de App Service-omgeving te accepteren. De App Service Environment gebruikt het uitgaande IP-adres van het platform als bronadres bij toegang tot de sleutelkluis. U vindt het IP-adres op de pagina IP-adressen in Azure Portal.
Azure Portal gebruiken om het achtervoegsel voor aangepaste domeinen te configureren
- Navigeer vanuit Azure Portal naar de pagina aangepast domeinachtervoegsel voor uw App Service-omgeving.
- Voer de naam van uw aangepaste domein in.
- Selecteer de beheerde identiteit die u definieert voor uw App Service-omgeving. U kunt een door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit gebruiken. U kunt uw beheerde identiteit configureren als u dit nog niet hebt gedaan. U kunt de beheerde identiteit rechtstreeks configureren vanaf de pagina voor het achtervoegsel van het aangepaste domein met behulp van de optie Identiteit toevoegen in het selectievak voor beheerde identiteiten.
- Selecteer het certificaat voor het achtervoegsel van het aangepaste domein.
- Als u een privé-eindpunt gebruikt voor toegang tot de sleutelkluis, omdat netwerktoegang is beperkt tot het privé-eindpunt, kunt u de portalinterface niet gebruiken om het certificaat te selecteren. U moet de certificaat-URL handmatig invoeren.
- Selecteer Opslaan boven aan de pagina. Als u de meest recente configuratie-updates wilt zien, vernieuwt u de pagina.
- Het duurt enkele minuten voordat de configuratie van het aangepaste domeinachtervoegsel is ingesteld. Controleer de status door 'Vernieuwen' boven aan de pagina te selecteren. De banner wordt bijgewerkt met de nieuwste voortgang. Zodra de banner is voltooid, wordt aangegeven dat het achtervoegsel van het aangepaste domein is geconfigureerd.
Azure Resource Manager gebruiken om het achtervoegsel van een aangepast domein te configureren
Als u een aangepast domeinachtervoegsel wilt configureren voor uw App Service Environment met behulp van een Azure Resource Manager-sjabloon, moet u de onderstaande eigenschappen opnemen. Zorg ervoor dat u voldoet aan de vereisten en dat uw beheerde identiteit en certificaat toegankelijk zijn en beschikken over de juiste machtigingen voor de Azure Key Vault.
U moet de beheerde identiteit configureren en ervoor zorgen dat deze bestaat voordat u deze toewijst in uw sjabloon. Zie het overzicht van beheerde identiteiten voor meer informatie over beheerde identiteiten.
Een door de gebruiker toegewezen beheerde identiteit gebruiken
"resources": [
{
"apiVersion": "2022-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/asev3-cdns-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ase-cdns-managed-identity"
}
},
"properties": {
"customDnsSuffixConfiguration": {
"dnsSuffix": "antares-test.net",
"certificateUrl": "https://kv-sample-key-vault.vault.azure.net/secrets/wildcard-antares-test-net",
"keyVaultReferenceIdentity": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/asev3-cdns-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ase-cdns-managed-identity"
},
"internalLoadBalancingMode": "Web, Publishing",
etc...
}
}
Een door het systeem toegewezen beheerde identiteit gebruiken
"resources": [
{
"apiVersion": "2022-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"identity": {
"type": "SystemAssigned"
}
"properties": {
"customDnsSuffixConfiguration": {
"dnsSuffix": "antares-test.net",
"certificateUrl": "https://kv-sample-key-vault.vault.azure.net/secrets/wildcard-antares-test-net",
"keyVaultReferenceIdentity": "systemassigned"
},
"internalLoadBalancingMode": "Web, Publishing",
etc...
}
}
Azure Resource Explorer gebruiken om het achtervoegsel van een aangepast domein te configureren
U kunt ook uw bestaande ILB App Service Environment bijwerken met behulp van Azure Resource Explorer.
- Ga in Resource Explorer naar het knooppunt voor de App Service Environment (abonnementen>{uw subscription}>resourceGroups>{uw resourcegroep}>providers>Microsoft.Web>hostingEnvironments). Selecteer vervolgens de specifieke App Service-omgeving die u wilt bijwerken.
- Selecteer Lezen/schrijven in de bovenste werkbalk om interactief bewerken in Resource Explorer toe te staan.
- Selecteer de knop Bewerken om de Resource Manager-sjabloon te bewerken.
- Schuif omlaag naar het einde van het rechterdeelvenster. Het kenmerk customDnsSuffixConfiguration bevindt zich onderaan.
- Voer uw waarden in voor dnsSuffix, certificateUrl en keyVaultReferenceIdentity.
- Navigeer naar het identiteitskenmerk en voer de details in die zijn gekoppeld aan de beheerde identiteit die u gebruikt.
- Selecteer de knop PUT bovenaan om de wijziging door te voeren in de App Service-omgeving.
- De provisioningState onder customDnsSuffixConfiguration biedt een status voor de configuratie-update.
DNS-configuratie
Als u toegang wilt krijgen tot uw apps in uw App Service-omgeving met behulp van uw aangepaste domeinachtervoegsel, moet u uw eigen DNS-server configureren of DNS configureren in een privé-DNS-zone van Azure voor uw aangepaste domein.
Als u uw eigen DNS-server wilt gebruiken, voegt u de volgende records toe:
- Maak een zone voor uw aangepaste domein.
- Maak een A-record in die zone die * verwijst naar het binnenkomende IP-adres dat wordt gebruikt door uw App Service Environment.
- Maak een A-record in die zone die verwijst naar het binnenkomende IP-adres dat wordt gebruikt door uw App Service Environment.
- Maak eventueel een zone voor scm-subdomein met een * A-record die verwijst naar het binnenkomende IP-adres dat wordt gebruikt door uw App Service-omgeving
DNS configureren in privézones van Azure DNS:
- Maak een azure DNS-privézone met de naam voor uw aangepaste domein. In het volgende voorbeeld wordt het aangepaste domein internal.contoso.com.
- Maak een A-record in die zone die * verwijst naar het binnenkomende IP-adres dat wordt gebruikt door uw App Service Environment.
- Maak een A-record in die zone die verwijst naar het binnenkomende IP-adres dat wordt gebruikt door uw App Service Environment.
- Koppel uw Azure DNS-privézone aan het virtuele netwerk van uw App Service Environment.
- Maak eventueel een A-record in die zone die *.scm verwijst naar het binnenkomende IP-adres dat wordt gebruikt door uw App Service Environment.
Zie Een App Service Environment gebruiken voor meer informatie over het configureren van DNS voor uw domein.
Notitie
Naast het configureren van DNS voor uw aangepaste domeinachtervoegsel, moet u ook OVERWEGEN DNS te configureren voor het standaarddomeinachtervoegsel om ervoor te zorgen dat alle App Service-functies werken zoals verwacht.
Toegang tot uw apps
Nadat u het achtervoegsel van het aangepaste domein en DNS voor uw App Service Environment hebt geconfigureerd, kunt u naar de pagina Aangepaste domeinen gaan voor een van uw App Service-apps in uw App Service-omgeving en de toevoeging van het toegewezen aangepaste domein voor de app bevestigen.
Apps in de ILB App Service Environment kunnen veilig worden geopend via HTTPS door naar het aangepaste domein dat u hebt geconfigureerd of het standaarddomein appserviceenvironment.net zoals in de vorige installatiekopieën. De mogelijkheid om toegang te krijgen tot uw apps met behulp van het standaard-App Service Environment-domein en uw aangepaste domein is een unieke functie die alleen wordt ondersteund in App Service Environment v3.
Net als apps die worden uitgevoerd in de openbare multitenant-service, kunt u echter ook aangepaste hostnamen configureren voor afzonderlijke apps en vervolgens unieke SNI TLS/SSL-certificaatbindingen configureren voor afzonderlijke apps.
Probleemoplossing
Het App Service-platform controleert periodiek of uw App Service Environment toegang heeft tot uw sleutelkluis en of uw certificaat geldig is. Als uw machtigingen of netwerkinstellingen voor uw beheerde identiteit, sleutelkluis of App Service Environment niet juist of recent zijn gewijzigd, kunt u geen aangepast domeinachtervoegsel configureren. Er wordt een foutbericht weergegeven dat lijkt op het voorbeeld dat in de schermopname wordt weergegeven. Controleer de vereisten om ervoor te zorgen dat u de benodigde machtigingen hebt geconfigureerd. U ziet ook een vergelijkbaar foutbericht als het App Service-platform detecteert dat uw certificaat is gedegradeerd of verlopen.