Information om nätverkskonfiguration för App Service-miljön för Power Apps med Azure ExpressRoute
Viktigt!
Den här artikeln handlar om App Service-miljön v1. App Service-miljön v1 och v2 dras tillbaka från och med den 31 augusti 2024. Det finns en ny version av App Service-miljön som är enklare att använda och köra på kraftfullare infrastruktur. Om du vill veta mer om den nya versionen börjar du med Introduktion till App Service-miljön. Om du för närvarande använder App Service-miljön v1 följer du stegen i den här artikeln för att migrera till den nya versionen.
Från och med den 31 augusti 2024 gäller serviceavtal (SLA) och tjänstkrediter inte längre för App Service-miljön v1- och v2-arbetsbelastningar som fortsätter att vara i produktion eftersom de är tillbakadragna produkter. Avvecklingen av maskinvaran App Service-miljön v1 och v2 har påbörjats, vilket kan påverka tillgängligheten och prestandan för dina appar och data.
Du måste slutföra migreringen till App Service-miljön v3 omedelbart eller så kan dina appar och resurser tas bort. Vi försöker automatiskt migrera eventuella återstående App Service-miljön v1 och v2 på bästa sätt med hjälp av migreringsfunktionen på plats, men Microsoft gör inga anspråk eller garantier om programtillgänglighet efter automatisk migrering. Du kan behöva utföra manuell konfiguration för att slutföra migreringen och optimera ditt SKU-val för App Service-plan för att uppfylla dina behov. Om automatisk migrering inte är möjlig tas dina resurser och associerade appdata bort. Vi uppmanar dig starkt att agera nu för att undvika något av dessa extrema scenarier.
Om du behöver ytterligare tid kan vi erbjuda en respitperiod på 30 dagar för att slutföra migreringen. Mer information och för att begära den här respitperioden finns i översikten över respitperioden och gå sedan till Azure Portal och gå till migreringsbladet för var och en av dina App Service-miljön.
Den senaste informationen om App Service-miljön v1/v2-tillbakadragning finns i App Service-miljön v1- och v2-pensionsuppdateringen.
Kunder kan ansluta en Azure ExpressRoute-krets till sin virtuella nätverksinfrastruktur för att utöka sitt lokala nätverk till Azure. App Service-miljön skapas i ett undernät i den virtuella nätverksinfrastrukturen. Appar som körs på App Service-miljön upprätta säkra anslutningar till serverdelsresurser som endast är tillgängliga via ExpressRoute-anslutningen.
App Service-miljön kan skapas i följande scenarier:
- Virtuella Azure Resource Manager-nätverk.
- Virtuella nätverk för den klassiska distributionsmodellen.
- Virtuella nätverk som använder offentliga adressintervall eller RFC1918 adressutrymmen (dvs. privata adresser).
Kommentar
Även om den här artikeln handlar om webbappar, så gäller den även för API-appar och mobilappar.
Nödvändig nätverksanslutning
App Service-miljön har krav på nätverksanslutning som till en början kanske inte uppfylls i ett virtuellt nätverk som är anslutet till ExpressRoute.
App Service-miljön kräver följande nätverksanslutningsinställningar för att fungera korrekt:
Utgående nätverksanslutning till Azure Storage-slutpunkter över hela världen på både port 80 och port 443. Dessa slutpunkter finns i samma region som App Service-miljön och även andra Azure-regioner. Azure Storage-slutpunkter matchar under följande DNS-domäner: table.core.windows.net, blob.core.windows.net, queue.core.windows.net och file.core.windows.net.
Utgående nätverksanslutning till Azure Files-tjänsten på port 445.
Utgående nätverksanslutning till Azure SQL Database-slutpunkter som finns i samma region som App Service-miljön. SQL Database-slutpunkter löses under domänen database.windows.net, vilket kräver öppen åtkomst till portarna 1433, 11000-11999 och 14000-14999. Mer information om SQL Database V12-portanvändning finns i Portar utöver 1433 för ADO.NET 4.5.
Utgående nätverksanslutning till Azure-hanteringsplanslutpunkterna (både den klassiska Azure-distributionsmodellen och Azure Resource Manager-slutpunkterna). Anslutningen till dessa slutpunkter omfattar domänerna management.core.windows.net och management.azure.com.
Utgående nätverksanslutning till domänerna ocsp.msocsp.com, mscrl.microsoft.com och crl.microsoft.com. Anslutning till dessa domäner krävs för att stödja TLS-funktioner.
DNS-konfigurationen för det virtuella nätverket måste kunna matcha alla slutpunkter och domäner som nämns i den här artikeln. Om slutpunkterna inte kan matchas misslyckas App Service-miljön skapande. Alla befintliga App Service-miljön markeras som felaktiga.
Utgående åtkomst på port 53 krävs för kommunikation med DNS-servrar.
Om det finns en anpassad DNS-server i andra änden av en VPN-gateway måste DNS-servern kunna nås från det undernät som innehåller App Service-miljön.
Den utgående nätverkssökvägen kan inte färdas via interna företagsproxyservrar och kan inte tvingas att köra tunneltrafik lokalt. Dessa åtgärder ändrar den effektiva NAT-adressen för utgående nätverkstrafik från App Service-miljön. Ändringar i NAT-adressen för App Service-miljön utgående nätverkstrafik orsakar anslutningsfel till många av slutpunkterna. App Service-miljön skapande misslyckas. Alla befintliga App Service-miljön markeras som felaktiga.
Inkommande nätverksåtkomst till nödvändiga portar för App Service-miljön måste tillåtas. Mer information finns i Så här styr du inkommande trafik till App Service-miljön.
För att uppfylla DNS-kraven kontrollerar du att en giltig DNS-infrastruktur har konfigurerats och underhålls för det virtuella nätverket. Om DNS-konfigurationen ändras när App Service-miljön har skapats kan utvecklare tvinga App Service-miljön att hämta den nya DNS-konfigurationen. Du kan utlösa en omstart av en rullande miljö med hjälp av ikonen Starta om under App Service-miljön hantering i Azure Portal. Omstarten gör att miljön hämtar den nya DNS-konfigurationen.
Om du vill uppfylla kraven för inkommande nätverksåtkomst konfigurerar du en nätverkssäkerhetsgrupp (NSG) i App Service-miljön undernät. NSG tillåter den åtkomst som krävs för att styra inkommande trafik till App Service-miljön.
Utgående nätverksanslutning
Som standard annonserar en nyskapad ExpressRoute-krets en standardväg som tillåter utgående Internetanslutning. App Service-miljön kan använda den här konfigurationen för att ansluta till andra Azure-slutpunkter.
En vanlig kundkonfiguration är att definiera sin egen standardväg (0.0.0.0/0), som tvingar utgående Internettrafik att flöda lokalt. Det här trafikflödet bryter alltid App Service-miljön. Den utgående trafiken blockeras antingen lokalt eller NAT'd till en oigenkännlig uppsättning adresser som inte längre fungerar med olika Azure-slutpunkter.
Lösningen är att definiera en (eller flera) användardefinierade vägar (UDR) i det undernät som innehåller App Service-miljön. En UDR definierar undernätsspecifika vägar som respekteras i stället för standardvägen.
Använd om möjligt följande konfiguration:
- ExpressRoute-konfigurationen annonserar 0.0.0.0/0. Som standard tunnlar konfigurationen all utgående trafik lokalt.
- UDR som tillämpas på det undernät som innehåller App Service-miljön definierar 0.0.0.0/0 med en nästa hopptyp av Internet. Ett exempel på den här konfigurationen beskrivs senare i den här artikeln.
Den kombinerade effekten av den här konfigurationen är att UDR på undernätsnivå har företräde framför ExpressRoute-tvingad tunneltrafik. Utgående internetåtkomst från App Service-miljön garanteras.
Viktigt!
Vägarna som definieras i en UDR måste vara tillräckligt specifika för att ha företräde framför alla vägar som annonseras av ExpressRoute-konfigurationen. Exemplet som beskrivs i nästa avsnitt använder det breda adressintervallet 0.0.0.0/0. Det här intervallet kan oavsiktligt åsidosättas av vägannonser som använder mer specifika adressintervall.
App Service-miljön stöds inte med ExpressRoute-konfigurationer som korsannonserar vägar från Microsofts peeringsökväg till den privata peeringsökvägen. ExpressRoute-konfigurationer som har Konfigurerat Microsoft-peering tar emot vägannonser från Microsoft för en stor uppsättning Ip-adressintervall för Microsoft Azure. Om dessa adressintervall korsannonseras på den privata peeringsökvägen tvingas alla utgående nätverkspaket från App Service-miljön undernätet att skickas via tunnel till kundens lokala nätverksinfrastruktur. Det här nätverksflödet stöds inte för närvarande med App Service-miljön. En lösning är att stoppa korsannonseringsvägar från Microsofts peering-sökväg till den privata peering-sökvägen.
Bakgrundsinformation om användardefinierade vägar finns i Trafikdirigering för virtuella nätverk.
Information om hur du skapar och konfigurerar användardefinierade vägar finns i Dirigera nätverkstrafik med en routningstabell med hjälp av PowerShell.
UDR-konfiguration
Det här avsnittet visar ett exempel på UDR-konfiguration för App Service-miljön.
Förutsättningar
Installera Azure PowerShell från sidan Azure-nedladdningar. Välj en nedladdning med datumet juni 2015 eller senare. Under Kommandoradsverktyg>i Windows PowerShell väljer du Installera för att installera de senaste PowerShell-cmdletarna.
Skapa ett unikt undernät för exklusiv användning av App Service-miljön. Det unika undernätet säkerställer att de UDF:er som tillämpas på undernätet endast öppnar utgående trafik för App Service-miljön.
Viktigt!
Distribuera endast App Service-miljön när du har slutfört konfigurationsstegen. Stegen säkerställer att utgående nätverksanslutning är tillgänglig innan du försöker distribuera App Service-miljön.
Steg 1: Skapa en routningstabell
Skapa en routningstabell med namnet DirectInternetRouteTable i Azure-regionen USA, västra, enligt följande kodfragment:
New-AzureRouteTable -Name 'DirectInternetRouteTable' -Location uswest
Steg 2: Skapa vägar i tabellen
Lägg till vägar i routningstabellen för att aktivera utgående internetåtkomst.
Konfigurera utgående åtkomst till Internet. Definiera en väg för 0.0.0.0/0 enligt följande kodfragment:
Get-AzureRouteTable -Name 'DirectInternetRouteTable' | Set-AzureRoute -RouteName 'Direct Internet Range 0' -AddressPrefix 0.0.0.0/0 -NextHopType Internet
0.0.0.0/0 är ett brett adressintervall. Intervallet åsidosätts av adressintervall som annonseras av ExpressRoute som är mer specifika. En UDR med en 0.0.0.0/0-väg ska användas tillsammans med en ExpressRoute-konfiguration som endast annonserar 0.0.0.0/0.
Alternativt kan du ladda ned en aktuell, omfattande lista över CIDR-intervall som används av Azure. XML-filen för alla Azure IP-adressintervall är tillgänglig från Microsoft Download Center.
Kommentar
Azures IP-adressintervall ändras över tid. Användardefinierade vägar behöver regelbundna manuella uppdateringar för att hålla synkroniserade.
En enskild UDR har en övre standardgräns på 100 vägar. Du måste "sammanfatta" Azure IP-adressintervallen så att de passar inom gränsen på 100 routningar. UDR-definierade vägar måste vara mer specifika än vägar som annonseras av din ExpressRoute-anslutning.
Steg 3: Associera tabellen med undernätet
Associera routningstabellen till det undernät där du tänker distribuera App Service-miljön. Det här kommandot associerar tabellen DirectInternetRouteTable med det ASESubnet-undernät som ska innehålla App Service-miljön.
Set-AzureSubnetRouteTable -VirtualNetworkName 'YourVirtualNetworkNameHere' -SubnetName 'ASESubnet' -RouteTableName 'DirectInternetRouteTable'
Steg 4: Testa och bekräfta vägen
När routningstabellen är bunden till undernätet testar du och bekräftar vägen.
Distribuera en virtuell dator till undernätet och bekräfta följande villkor:
- Utgående trafik till Azure- och icke-Azure-slutpunkter som beskrivs i den här artikeln flödar inte ned i ExpressRoute-kretsen. Om utgående trafik från undernätet framtvingas tunneltrafik lokalt misslyckas alltid App Service-miljön skapande.
- DNS-sökningar för slutpunkterna som beskrivs i den här artikeln matchar alla korrekt.
När du har slutfört konfigurationsstegen och bekräftat vägen tar du bort den virtuella datorn. Undernätet måste vara "tomt" när App Service-miljön skapas.
Nu är du redo att distribuera App Service-miljön!
Nästa steg
Information om hur du kommer igång med App Service-miljön för Power Apps finns i Introduktion till App Service-miljön.