Sufixo de domínio personalizado para ambientes do Serviço de Aplicativo
Um Ambiente do Serviço de Aplicativo é um recurso do Serviço de Aplicativo do Azure que fornece um ambiente totalmente isolado e dedicado para executar aplicativos do Serviço de Aplicativo com segurança em alta escala. As configurações de DNS para o sufixo de domínio padrão do Ambiente do Serviço de Aplicativo não restringem seus aplicativos a serem acessíveis apenas por esses nomes. O sufixo de domínio personalizado é uma funcionalidade do Ambiente do Serviço de Aplicações de balanceador de carga interno (ILB) que lhe permite utilizar o seu próprio sufixo de domínio para aceder às aplicações no seu Ambiente do Serviço de Aplicações.
Se você não tiver um Ambiente do Serviço de Aplicativo, consulte Como criar um Ambiente do Serviço de Aplicativo v3.
Nota
Este artigo aborda os recursos, benefícios e casos de uso do Ambiente do Serviço de Aplicativo v3, que é usado com os planos Isolados do Serviço de Aplicativo v2.
O sufixo de domínio personalizado define um domínio raiz usado pelo Ambiente do Serviço de Aplicativo. Na variação pública do Serviço de Aplicativo do Azure, o domínio raiz padrão para todos os aplicativos Web é azurewebsites.net. Para ambientes ILB App Service, o domínio raiz padrão é appserviceenvironment.net. No entanto, como um ambiente do ILB App Service é interno à rede virtual de um cliente, os clientes podem usar um domínio raiz além do padrão que faz sentido para uso na rede virtual interna de uma empresa. Por exemplo, uma hipotética Contoso Corporation pode usar um domínio raiz padrão de internal.contoso.com para aplicativos que se destinam a ser resolvidos e acessíveis apenas na rede virtual da Contoso. Um aplicativo nessa rede virtual pode ser acessado acessando APP-NAME.internal.contoso.com.
O sufixo de domínio personalizado é para o Ambiente do Serviço de Aplicativo. Esse recurso é diferente de uma associação de domínio personalizada em um Serviço de Aplicativo. Para obter mais informações sobre associações de domínio personalizadas, consulte Mapear um nome DNS personalizado existente para o Serviço de Aplicativo do Azure.
Se o certificado usado para o sufixo de domínio personalizado contiver uma entrada SAN (Nome Alternativo da Entidade) para *.scm. CUSTOM-DOMAIN, o site scm também pode ser acessado a partir de APP-NAME.scm.CUSTOM-DOMAIN. Você só pode acessar o scm sobre o domínio personalizado usando a autenticação básica. O logon único só é possível com o domínio raiz padrão.
Ao contrário das versões anteriores, os pontos de extremidade FTPS para os Serviços de Aplicativo no Ambiente do Serviço de Aplicativo v3 só podem ser acessados usando o sufixo de domínio padrão.
A conexão com o ponto de extremidade de sufixo de domínio personalizado precisa usar a Indicação de Nome de Servidor (SNI) para conexões baseadas em TLS.
Pré-requisitos
- Variação ILB do Ambiente do Serviço de Aplicativo v3.
- O certificado SSL/TLS válido deve ser armazenado em um Cofre de Chaves do Azure em . Formato PFX. Para obter mais informações sobre como usar certificados com o Serviço de Aplicativo, consulte Adicionar um certificado TLS/SSL no Serviço de Aplicativo do Azure.
- O certificado deve ter menos de 20 kb.
Identidade gerida
Uma identidade gerenciada é usada para autenticar no Cofre da Chave do Azure onde o certificado SSL/TLS está armazenado. Se você não tiver uma identidade gerenciada associada ao seu Ambiente do Serviço de Aplicativo, precisará configurar uma.
Você pode usar uma identidade gerenciada atribuída ao sistema ou ao usuário. Para criar uma identidade gerenciada atribuída ao usuário, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário. Se você quiser usar uma identidade gerenciada atribuída ao sistema e ainda não tiver uma atribuída ao seu Ambiente do Serviço de Aplicativo, a experiência do portal de sufixo de domínio personalizado o guiará pelo processo de criação. Como alternativa, você pode ir para a página Identidade do seu Ambiente do Serviço de Aplicativo e configurar e atribuir suas identidades gerenciadas lá.
Para habilitar uma identidade gerenciada atribuída ao sistema, defina o Status como Ativado.
Para atribuir uma identidade gerenciada atribuída ao usuário, selecione "Adicionar e localizar a identidade gerenciada que você deseja usar.
Depois de atribuir a identidade gerenciada ao seu Ambiente do Serviço de Aplicativo, verifique se a identidade gerenciada tem permissões suficientes para o Cofre da Chave do Azure. Você pode usar uma política de acesso ao cofre ou um controle de acesso baseado em função do Azure.
Se você usar uma política de acesso ao cofre, a identidade gerenciada precisará, no mínimo, da permissão "Obter" segredos para o cofre de chaves.
Se você optar por usar o controle de acesso baseado em função do Azure para gerenciar o acesso ao seu cofre de chaves, precisará dar à sua identidade gerenciada, no mínimo, a função "Usuário de Segredos do Cofre de Chaves".
Certificado
O certificado para sufixo de domínio personalizado deve ser armazenado em um Cofre de Chaves do Azure. O certificado deve ser carregado em . PFX e ser menor que 20 kb. Certificados em . O formato PEM não é suportado no momento. O Ambiente do Serviço de Aplicativo usa a identidade gerenciada selecionada para obter o certificado.
Seu certificado deve ser um certificado curinga para o nome de domínio personalizado selecionado. Por exemplo, internal.contoso.com precisaria de um certificado que abrangesse *.internal.contoso.com. Se o certificado usado pelo sufixo de domínio personalizado contiver uma entrada SAN (Nome Alternativo da Entidade) para scm, por exemplo *.scm.internal.contoso.com, o site do scm também estará disponível usando o sufixo de domínio personalizado.
Se você girar seu certificado no Cofre de Chaves do Azure, o Ambiente do Serviço de Aplicativo receberá a alteração em 24 horas.
Acesso de rede ao Cofre da Chave
O cofre de chaves pode ser acessado publicamente ou por meio de um ponto de extremidade privado acessível a partir da sub-rede na qual o Ambiente do Serviço de Aplicativo está implantado. Para saber como configurar um ponto de extremidade privado, consulte Integrar o Cofre da Chave com o Azure Private Link. Se você usar o acesso público, poderá proteger seu cofre de chaves para aceitar apenas o tráfego do endereço IP de saída do Ambiente do Serviço de Aplicativo. O Ambiente do Serviço de Aplicativo usa o endereço IP de saída da plataforma como o endereço de origem ao acessar o cofre de chaves. Você pode encontrar o endereço IP na página Endereços IP no portal do Azure.
Usar o portal do Azure para configurar o sufixo de domínio personalizado
- No portal do Azure, navegue até a página Sufixo de domínio personalizado para seu Ambiente do Serviço de Aplicativo.
- Introduza o seu nome de domínio personalizado.
- Selecione a identidade gerenciada que você define para seu Ambiente do Serviço de Aplicativo. Você pode usar uma identidade gerenciada atribuída ao sistema ou ao usuário. Você pode configurar sua identidade gerenciada se ainda não tiver feito isso. Você pode configurar a identidade gerenciada diretamente da página de sufixo de domínio personalizado usando a opção "Adicionar identidade" na caixa de seleção de identidade gerenciada.
- Selecione o certificado para o sufixo de domínio personalizado.
- Se você usar um ponto de extremidade privado para acessar o cofre de chaves, já que o acesso à rede é restrito ao ponto de extremidade privado, não poderá usar a interface do portal para selecionar o certificado. Você deve inserir manualmente a URL do certificado.
- Selecione "Salvar" na parte superior da página. Para ver as atualizações de configuração mais recentes, atualize a página.
- Leva alguns minutos para que a configuração do sufixo de domínio personalizado seja definida. Verifique o status selecionando "Atualizar" na parte superior da página. O banner é atualizado com o progresso mais recente. Uma vez concluído, o banner indicará que o sufixo de domínio personalizado está configurado.
Usar o Azure Resource Manager para configurar o sufixo de domínio personalizado
Para configurar um sufixo de domínio personalizado para seu Ambiente do Serviço de Aplicativo usando um modelo do Azure Resource Manager, você precisa incluir as propriedades abaixo. Certifique-se de atender aos pré-requisitos e de que sua identidade gerenciada e seu certificado estejam acessíveis e tenham as permissões apropriadas para o Cofre da Chave do Azure.
Você precisa configurar a identidade gerenciada e garantir que ela exista antes de atribuí-la ao seu modelo. Para obter mais informações sobre identidades gerenciadas, consulte a visão geral da identidade gerenciada.
Usar uma identidade gerenciada atribuída ao usuário
"resources": [
{
"apiVersion": "2022-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/asev3-cdns-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ase-cdns-managed-identity"
}
},
"properties": {
"customDnsSuffixConfiguration": {
"dnsSuffix": "antares-test.net",
"certificateUrl": "https://kv-sample-key-vault.vault.azure.net/secrets/wildcard-antares-test-net",
"keyVaultReferenceIdentity": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/asev3-cdns-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ase-cdns-managed-identity"
},
"internalLoadBalancingMode": "Web, Publishing",
etc...
}
}
Usar uma identidade gerenciada atribuída ao sistema
"resources": [
{
"apiVersion": "2022-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"identity": {
"type": "SystemAssigned"
}
"properties": {
"customDnsSuffixConfiguration": {
"dnsSuffix": "antares-test.net",
"certificateUrl": "https://kv-sample-key-vault.vault.azure.net/secrets/wildcard-antares-test-net",
"keyVaultReferenceIdentity": "systemassigned"
},
"internalLoadBalancingMode": "Web, Publishing",
etc...
}
}
Usar o Gerenciador de Recursos do Azure para configurar o sufixo de domínio personalizado
Como alternativa, você pode atualizar seu Ambiente do Serviço de Aplicativo ILB existente usando o Gerenciador de Recursos do Azure.
- No Gerenciador de Recursos, vá para o nó do Ambiente do Serviço de Aplicativo (subscriptions>{your Subscription}>resourceGroups>{your Resource Group}>providers>Microsoft.Web>hostingEnvironments). Em seguida, selecione o Ambiente do Serviço de Aplicativo específico que você deseja atualizar.
- Selecione Leitura/Gravação na barra de ferramentas superior para permitir a edição interativa no Gerenciador de Recursos.
- Selecione o botão Editar para tornar o modelo do Gerenciador de Recursos editável.
- Desloque-se para a parte inferior do painel direito. O atributo customDnsSuffixConfiguration está na parte inferior.
- Insira seus valores para dnsSuffix, certificateUrl e keyVaultReferenceIdentity.
- Navegue até o atributo identity e insira os detalhes associados à identidade gerenciada que você está usando.
- Selecione o botão PUT na parte superior para confirmar a alteração no Ambiente do Serviço de Aplicativo.
- O provisioningState em customDnsSuffixConfiguration fornece um status na atualização de configuração.
Configuração do DNS
Para acessar seus aplicativos em seu Ambiente do Serviço de Aplicativo usando seu sufixo de domínio personalizado, você precisa configurar seu próprio servidor DNS ou configurar o DNS em uma zona DNS privada do Azure para seu domínio personalizado.
Se você quiser usar seu próprio servidor DNS, adicione os seguintes registros:
- Crie uma zona para o seu domínio personalizado.
- Crie um registro A nessa zona que aponte * para o endereço IP de entrada usado pelo seu Ambiente do Serviço de Aplicativo.
- Crie um registro A nessa zona que aponte @ para o endereço IP de entrada usado pelo seu Ambiente do Serviço de Aplicativo.
- Opcionalmente, crie uma zona para o subdomínio scm com um registro * A que aponte para o endereço IP de entrada usado pelo seu Ambiente do Serviço de Aplicativo
Para configurar o DNS em zonas privadas do DNS do Azure:
- Crie uma zona privada do DNS do Azure nomeada para o seu domínio personalizado. No exemplo a seguir, o domínio personalizado é internal.contoso.com.
- Crie um registro A nessa zona que aponte * para o endereço IP de entrada usado pelo seu Ambiente do Serviço de Aplicativo.
- Crie um registro A nessa zona que aponte @ para o endereço IP de entrada usado pelo seu Ambiente do Serviço de Aplicativo.
- Vincule sua zona privada do DNS do Azure à rede virtual do seu Ambiente do Serviço de Aplicativo.
- Opcionalmente, crie um registro A nessa zona que aponte *.scm para o endereço IP de entrada usado pelo seu Ambiente do Serviço de Aplicativo.
Para obter mais informações sobre como configurar o DNS para seu domínio, consulte Usar um ambiente do Serviço de Aplicativo.
Nota
Além de configurar o DNS para o sufixo de domínio personalizado, você também deve considerar configurar o DNS para o sufixo de domínio padrão para garantir que todos os recursos do Serviço de Aplicativo funcionem conforme o esperado.
Aceda às suas aplicações
Depois de configurar o sufixo de domínio personalizado e o DNS para o Ambiente do Serviço de Aplicativo, você pode ir para a página Domínios personalizados de um dos aplicativos do Serviço de Aplicativo no Ambiente do Serviço de Aplicativo e confirmar a adição do domínio personalizado atribuído ao aplicativo.
Os aplicativos no Ambiente do Serviço de Aplicativo ILB podem ser acessados com segurança por HTTPS, acessando o domínio personalizado que você configurou ou o domínio padrão appserviceenvironment.net como na imagem anterior. A capacidade de acessar seus aplicativos usando o domínio padrão do Ambiente do Serviço de Aplicativo e seu domínio personalizado é um recurso exclusivo que só é suportado no Ambiente do Serviço de Aplicativo v3.
No entanto, assim como os aplicativos executados no serviço multilocatário público, você também pode configurar nomes de host personalizados para aplicativos individuais e, em seguida, configurar associações de certificado SNI TLS/SSL exclusivas para aplicativos individuais.
Resolução de Problemas
A plataforma do Serviço de Aplicativo verifica periodicamente se seu Ambiente do Serviço de Aplicativo pode acessar seu cofre de chaves e se seu certificado é válido. Se suas permissões ou configurações de rede para sua identidade gerenciada, cofre de chaves ou Ambiente do Serviço de Aplicativo não estiverem definidas adequadamente ou forem alteradas recentemente, você não poderá configurar um sufixo de domínio personalizado. Você recebe um erro semelhante ao exemplo mostrado na captura de tela. Revise os pré-requisitos para garantir que você configurou as permissões necessárias. Você também verá uma mensagem de erro semelhante se a plataforma do Serviço de Aplicativo detetar que seu certificado está degradado ou expirado.
