Endereços de gerenciamento do Ambiente do Serviço de Aplicativo
Importante
Este artigo é sobre o Ambiente do Serviço de Aplicativo v2, que é usado com os planos do Serviço de Aplicativo Isolado. O Ambiente do Serviço de Aplicativo v1 e v2 foi desativado a partir de 31 de agosto de 2024. Há uma nova versão do Ambiente do Serviço de Aplicativo que é mais fácil de usar e é executada em uma infraestrutura mais poderosa. Para saber mais sobre a nova versão, comece com a Introdução ao Ambiente do Serviço de Aplicativo. Se você estiver usando o Ambiente do Serviço de Aplicativo v1, siga as etapas neste artigo para migrar para a nova versão.
A partir de 31 de agosto de 2024, o Contrato de Nível de Serviço (SLA) e os Créditos de Serviço não se aplicam mais às cargas de trabalho do Ambiente do Serviço de Aplicativo v1 e v2 que continuam em produção, pois são produtos desativados. A desativação do hardware do Ambiente do Serviço de Aplicativo v1 e v2 começou, e isso pode afetar a disponibilidade e o desempenho de seus aplicativos e dados.
Você deve concluir a migração para o Ambiente do Serviço de Aplicativo v3 imediatamente ou seus aplicativos e recursos podem ser excluídos. Tentaremos migrar automaticamente qualquer Ambiente do Serviço de Aplicativo restante v1 e v2 com base no melhor esforço usando o recurso de migração in-loco, mas a Microsoft não faz nenhuma reivindicação ou garantia sobre a disponibilidade do aplicativo após a migração automática. Talvez seja necessário executar a configuração manual para concluir a migração e otimizar a escolha de SKU do plano do Serviço de Aplicativo para atender às suas necessidades. Se a migração automática não for viável, seus recursos e dados de aplicativos associados serão excluídos. Exortamo-lo vivamente a agir agora para evitar qualquer um destes cenários extremos.
Se você precisar de tempo adicional, podemos oferecer um período de carência único de 30 dias para que você conclua sua migração. Para obter mais informações e solicitar esse período de carência, revise a visão geral do período de carência e vá para o portal do Azure e visite a folha Migração para cada um dos seus Ambientes do Serviço de Aplicativo.
Para obter as informações mais atualizadas sobre a desativação do Ambiente do Serviço de Aplicativo v1/v2, consulte a atualização de desativação do Ambiente do Serviço de Aplicativo v1 e v2.
Pré-requisitos
Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para Bash no Azure Cloud Shell.
Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.
Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.
Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.
Resumo
O Ambiente do Serviço de Aplicativo (ASE) é uma implantação de locatário único do Serviço de Aplicativo do Azure que é executado em sua Rede Virtual do Azure. Embora o ASE seja executado em sua rede virtual, ele ainda deve estar acessível a partir de vários endereços IP dedicados usados pelo Serviço de Aplicativo do Azure para gerenciar o serviço. No caso de um ASE, o tráfego de gestão atravessa a rede controlada pelo utilizador. Se este tráfego for bloqueado ou desviado, o ASE será suspenso. Para obter detalhes sobre as dependências de rede ASE, leia Considerações de rede e o Ambiente do Serviço de Aplicativo. Para obter informações gerais sobre o ASE, você pode começar com Introdução ao Ambiente do Serviço de Aplicativo.
Todos os ASEs têm um VIP público no qual o tráfego de gerenciamento entra. O tráfego de gerenciamento de entrada desses endereços vem das portas 454 e 455 no VIP público do seu ASE. Este documento lista os endereços de origem do Serviço de Aplicativo para o tráfego de gerenciamento para o ASE. Esses endereços também estão na etiqueta de serviço IP chamada AppServiceManagement.
Os endereços na tag de serviço AppServiceManagement podem ser configurados em uma tabela de rotas para evitar problemas de roteamento assimétrico com o tráfego de gerenciamento. Sempre que possível, você deve usar a etiqueta de serviço em vez dos endereços individuais. As rotas atuam no tráfego no nível IP e não têm consciência da direção do tráfego ou de que o tráfego faz parte de uma mensagem de resposta TCP. Se o endereço de resposta de uma solicitação TCP for diferente do endereço para o qual ela foi enviada, você terá um problema de roteamento assimétrico. Para evitar problemas de roteamento assimétrico com o tráfego de gerenciamento do ASE, você precisa garantir que as respostas sejam enviadas de volta do mesmo endereço para o qual foram enviadas. Para obter detalhes sobre como configurar o ASE para operar em um ambiente onde o tráfego de saída é enviado localmente, leia Configurar o ASE com túnel forçado.
Lista de endereços de gestão
Se precisar de ver os IPs dos endereços de gestão, transfira a referência da etiqueta de serviço da sua região para obter a lista de endereços mais atualizada. Os endereços de gerenciamento do Ambiente do Serviço de Aplicativo são listados na marca de serviço AppServiceManagement.
País/Região | Referência da etiqueta de serviço |
---|---|
Todas as regiões públicas | Azure IP Ranges and Service Tags – Public Cloud (Intervalos de IP do Azure e Etiquetas de Serviço – Cloud Pública) |
Microsoft Azure Governo | Azure IP Ranges and Service Tags – US Government Cloud (Intervalos de IP do Azure e Etiquetas de Serviço – Cloud Governo Norte-Americano) |
Microsoft Azure operado pela 21Vianet | Azure IP Ranges and Service Tags – China Cloud (Intervalos de IP do Azure e Etiquetas de Serviço – Cloud China) |
Configurando um grupo de segurança de rede
Com os Grupos de Segurança de Rede, você não precisa se preocupar com os endereços individuais ou manter sua própria configuração. Há uma tag de serviço IP chamada AppServiceManagement que é mantida atualizada com todos os endereços. Para usar essa marca de serviço IP no NSG, vá para o portal, abra a interface do usuário dos Grupos de Segurança de Rede e selecione Regras de segurança de entrada. Se você tiver uma regra pré-existente para o tráfego de gerenciamento de entrada, edite-a. Se este NSG não tiver sido criado com o seu ASE, ou se for tudo novo, selecione Adicionar. Na lista suspensa Origem, selecione Etiqueta de serviço. Na etiqueta de serviço de origem, selecione AppServiceManagement. Defina os intervalos de portas de origem como *, Destino para Qualquer, Intervalos de portas de destino para 454-455, Protocolo para TCP e Ação para Permitir. Se você está fazendo a regra, então você precisa definir a prioridade.
Configurando uma tabela de rotas
Os endereços de gerenciamento podem ser colocados em uma tabela de rotas com um próximo salto de internet para garantir que todo o tráfego de gerenciamento de entrada possa voltar pelo mesmo caminho. Essas rotas são necessárias ao configurar o túnel forçado. Quando possível, use a tag de serviço AppServiceManagement em vez dos endereços individuais. Para criar a tabela de rotas, você pode usar o portal, o PowerShell ou a CLI do Azure. Os comandos para criar uma tabela de rotas usando a CLI do Azure a partir de um prompt do PowerShell estão abaixo.
$sub = "subscription ID"
$rg = "resource group name"
$rt = "route table name"
$location = "azure location"
az network route-table route create --subscription $sub -g $rg --route-table-name $rt -n 'AppServiceManagement' --address-prefix 'AppServiceManagement' --next-hop-type 'Internet'
Depois que a tabela de rotas for criada, você precisará defini-la na sub-rede ASE.
Obtenha seus endereços de gerenciamento da API
Você pode listar os endereços de gerenciamento que correspondem ao seu ASE com a seguinte chamada de API.
get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01
A API retorna um documento JSON que inclui todos os endereços de entrada para seu ASE. A lista de endereços inclui os endereços de gerenciamento, o VIP usado pelo seu ASE e o próprio intervalo de endereços da sub-rede ASE.
Para chamar a API com o armclient , use os seguintes comandos, mas substitua no ID da assinatura, no grupo de recursos e no nome do ASE.
armclient login
armclient get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01