Vytvoření a použití interního nástroje pro vyrovnávání zatížení App Service Environment

Důležité

Tento článek se týká služby App Service Environment v2, která se používá s plány izolované služby App Service. Služba App Service Environment v2 bude vyřazena 31. srpna 2024. Existuje nová verze služby App Service Environment, která se snadněji používá a běží na výkonnější infrastruktuře. Další informace o nové verzi najdete v úvodu do služby App Service Environment. Pokud aktuálně používáte App Service Environment v2, postupujte podle kroků v tomto článku a proveďte migraci na novou verzi.

Od 29. ledna 2024 už nemůžete vytvářet nové prostředky služby App Service Environment verze 2 pomocí některé z dostupných metod, včetně šablon ARM/Bicep, webu Azure Portal, Azure CLI nebo rozhraní REST API. Před 31. srpnem 2024 musíte migrovat do služby App Service Environment v3 , abyste zabránili odstranění prostředků a ztrátě dat.

Prostředí služby Aplikace Azure je nasazení služby Aplikace Azure Service do podsítě ve virtuální síti Azure. Služba App Service Environment (ASE) se dá nasadit dvěma způsoby:

• Pomocí virtuální IP adresy na externí IP adresu – často se označuje jako externí služba ASE
• Pomocí virtuální IP adresy na interní IP adresu – často se označuje jako služba ASE s interním nástrojem pro vyrovnávání zatížení, protože interním koncovým bodem je interní nástroj pro vyrovnávání zatížení.

V tomto článku najdete postup vytvoření interního nástroje pro vyrovnávání zatížení ASE. Přehled služby ASE najdete v tématu Úvod do služby App Service Environment. Informace o vytvoření externí služby ASE najdete v tématu [Vytvoření externí služby ASE][MakeExternalASE].

Přehled

Můžete nasadit službu ASE s koncovým bodem s přístupem k internetu nebo s IP adresou ve vaší virtuální síti. Pokud chcete nastavit IP adresu na adresu ve virtuální síti, je potřeba nasadit službu ASE s interním nástrojem pro vyrovnávání zatížení. Když službu ASE nasadíte s interním nástrojem pro vyrovnávání zatížení, musíte zadat název služby ASE. Název vaší služby ASE se používá v příponě domény pro aplikace ve vaší službě ASE. Přípona domény pro službu ASE s interním nástrojem pro vyrovnávání zatížení je <název> ASE.appserviceenvironment.net. Aplikace vytvořené ve službě ASE s interním nástrojem pro vyrovnávání zatížení se neumisťují do veřejného DNS.

Starší verze služby ASE s interním nástrojem pro vyrovnávání zatížení vyžadovaly, abyste zadali příponu domény a výchozí certifikát pro připojení HTTPS. Přípona domény se už při vytváření služby ASE s interním nástrojem pro vyrovnávání zatížení neshromažďuje a už se neshromažďuje výchozí certifikát. Když teď vytvoříte službu ASE s interním nástrojem pro vyrovnávání zatížení, poskytne microsoft výchozí certifikát a prohlížeč ho považuje za důvěryhodný. Pro aplikace ve vaší službě ASE stále můžete nastavit vlastní názvy domén a pro tyto vlastní názvy domén nastavit certifikáty.

Pomocí služby ASE s interním nástrojem pro vyrovnávání zatížení můžete provádět například tyto akce:

• Hostujte intranetové aplikace bezpečně v cloudu, ke kterým přistupujete přes site-to-site nebo ExpressRoute.
• Ochrana aplikací pomocí zařízení WAF
• Hostovat v cloudu aplikace, které nejsou uvedené na veřejných serverech DNS
• Vytvářet back-endové aplikace izolované od internetu, které umožňují zabezpečenou integraci vašich front-endových aplikací

Zakázané funkce

Služba ASE s interním nástrojem pro vyrovnávání zatížení neumožňuje některé kroky:

• Použijte vazbu TLS/SSL založenou na protokolu IP.
• Nemůžete přiřadit IP adresy konkrétním aplikacím.
• Nemůžete zakoupit certifikát prostřednictvím portálu Azure a používat ho s určitou aplikací. Certifikáty můžete získat přímo od certifikační autority a potom je můžete používat ve svých aplikacích. Nemůžete je ale získat na portálu Azure.

Vytvoření služby ASE s interním nástrojem pro vyrovnávání zatížení

Pokud chcete vytvořit službu ASE s interním nástrojem pro vyrovnávání zatížení, přečtěte si téma Vytvoření služby ASE pomocí šablony Azure Resource Manageru.

Poznámka:

Název služby App Service Environment nesmí být delší než 36 znaků.

Vytvoření aplikace ve službě ASE s interním nástrojem pro vyrovnání zatížení

Aplikaci ve službě ASE s interním nástrojem pro vyrovnání zatížení vytvoříte stejným způsobem jako v běžné službě ASE.

1. Na webu Azure Portal vyberte Vytvořit webovou>aplikaci prostředku.>

2. Zadejte název aplikace.

3. Vyberte předplatné.

4. Vyberte nebo vytvořte skupinu prostředků.

5. Vyberte svůj publikovat, zásobník modulu runtime a operační systém.

6. Vyberte umístění, kde je umístění existující službou ASE s interním nástrojem pro vyrovnávání zatížení.

7. Vyberte nebo vytvořte plán služby App Service.

8. Vyberte Zkontrolovat a Vytvořit a pak vyberte Vytvořit , až budete připraveni.

Webové úlohy, služba Functions a služba ASE s interním nástrojem pro vyrovnávání zatížení

Služba ASE s interním nástrojem pro vyrovnávání zatížení podporuje službu Functions i webové úlohy, ale nepodporuje portál pro práci s nimi, a potřebujete síťový přístup k webu SCM. To znamená, že váš prohlížeč musí mít hostitele, který buď je ve virtuální síti, nebo je k ní připojený. Pokud má vaše služba ASE s interním nástrojem pro vyrovnávání zatížení název domény, který nekončí na appserviceenvironment.net, budete muset nastavit svůj prohlížeč tak, aby důvěřoval certifikátu HTTPS, který používá váš web SCM.

Konfigurace DNS

Při použití externí služby ASE se aplikace vytvořené ve službě ASE zaregistrují v Azure DNS. V externí službě ASE nejsou žádné další kroky, aby vaše aplikace byly veřejně dostupné. V případě služby ASE s interním nástrojem pro vyrovnávání zatížení musíte spravovat vlastní službu DNS. Můžete to udělat na vlastním serveru DNS nebo v privátních zónách Azure DNS.

Konfigurace DNS na vlastním serveru DNS pomocí služby ASE s interním nástrojem pro vyrovnávání zatížení:

1. vytvoření zóny pro <název> ASE.appserviceenvironment.net
2. vytvoření záznamu A v této zóně, který odkazuje * na IP adresu interního nástroje pro vyrovnávání zatížení
3. vytvoření záznamu A v této zóně, který odkazuje na IP adresu interního nástroje pro vyrovnávání zatížení
4. vytvoření zóny v ase <name.appserviceenvironment.net> pojmenovaném scm
5. vytvoření záznamu A v zóně scm, která odkazuje * na IP adresu interního nástroje pro vyrovnávání zatížení

Konfigurace DNS v privátních zónách Azure DNS:

1. vytvoření privátní zóny Azure DNS s názvem <ASE name.appserviceenvironment.net>
2. vytvoření záznamu A v této zóně, který odkazuje * na IP adresu interního nástroje pro vyrovnávání zatížení
3. vytvoření záznamu A v této zóně, který odkazuje na IP adresu interního nástroje pro vyrovnávání zatížení
4. vytvoření záznamu A v této zóně, který odkazuje *.scm na IP adresu interního nástroje pro vyrovnávání zatížení

Nastavení DNS pro výchozí příponu domény ASE neomezí vaše aplikace jenom na to, aby tyto názvy byly přístupné. Vlastní název domény můžete nastavit bez ověření aplikací ve službě ASE s interním nástrojem pro vyrovnávání zatížení. Pokud pak chcete vytvořit zónu s názvem contoso.net, můžete to udělat a nasměrovat ji na IP adresu interního nástroje pro vyrovnávání zatížení. Vlastní název domény funguje pro požadavky aplikací, ale ne pro web scm. Web scm je k dispozici pouze na <webu appname.scm>.<asename.appserviceenvironment.net>.

Zóna s názvem .<asename.appserviceenvironment.net> je globálně jedinečný. Před květnem 2019 zákazníci mohli zadat příponu domény služby ASE s interním nástrojem pro vyrovnávání zatížení. Pokud jste chtěli použít .contoso.com pro příponu domény, mohli jste to udělat a to by zahrnovalo web scm. Došlo k problémům s tímto modelem, včetně; správa výchozího certifikátu TLS/SSL, nedostatek jednotného přihlašování s webem SCM a požadavek na použití certifikátu se zástupnými znaménkami Výchozí proces upgradu certifikátu ase s interním nástrojem pro vyrovnávání zatížení byl také rušivý a způsoboval restartování aplikace. Při řešení těchto problémů se chování služby ASE s interním nástrojem pro vyrovnávání zatížení změnilo tak, aby používalo příponu domény na základě názvu služby ASE a přípony vlastněné Společností Microsoft. Změna chování služby ASE s interním nástrojem pro vyrovnávání zatížení má vliv jenom na služby ASE interního nástroje pro vyrovnávání zatížení provedené po květnu 2019. Stávající ase s interním nástrojem pro vyrovnávání zatížení musí stále spravovat výchozí certifikát služby ASE a jejich konfiguraci DNS.

Publikování pomocí služby ASE s interním nástrojem pro vyrovnávání zatížení

Pro každou vytvořenou aplikaci existují dva koncové body. Ve službě ASE s interním nástrojem pro vyrovnávání zatížení máte <název> aplikace.<Doména> služby ASE s interním nástrojem pro vyrovnávání zatížení a <název> aplikace.scm<Doména> služby ASE s interním nástrojem pro vyrovnávání zatížení

Pomocí názvu webu SCM se dostanete do konzoly Kudu na portálu Azure s názvem Rozšířený portál. Konzola Kudu umožňuje zobrazit proměnné prostředí, prozkoumávat disk, používat konzolu a další možnosti. Další informace najdete v tématu Konzola Kudu pro službu Azure App Service.

Internetové systémy kontinuální integrace, například GitHub a Azure DevOps, budou nadále fungovat se službou ASE s interním nástrojem pro vyrovnávání zatížení, pokud je agent sestavení přístupný z internetu a nachází se ve stejné síti jako služba ASE s interním nástrojem pro vyrovnávání zatížení. Takže pokud se používá Azure DevOps a agent sestavení je vytvořený ve stejné virtuální síti jako služba ASE s interním nástrojem pro vyrovnávání zatížení (může být i v jiné podsíti), bude moct přijmout změny kódu z gitu Azure DevOps a nasadit ho do služby ASE s interním nástrojem pro vyrovnávání zatížení. Pokud si nechcete vytvořit vlastního agenta sestavení, budete muset použít systém kontinuální integrace (CI), který používá model vyžádání, například Dropbox.

Koncové body pro publikování pro aplikace ve službě ASE s interním nástrojem pro vyrovnávání zatížení používají doménu, pomocí které byla služba ASE s interním nástrojem pro vyrovnávání zatížení vytvořená. Tato doména se objevuje v profilu publikování aplikace a v okně portálu aplikace (Přehled>Essentials a také Vlastnosti). Pokud máte službu ASE s interním nástrojem pro vyrovnávání zatížení s příponou <domény ASE name.appserviceenvironment.net> a aplikaci s názvem mytest, použijte mytest.<ASE name.appserviceenvironment.net> pro nasazení PŘES FTP a mytest.scm.contoso.net pro nasazení MSDeploy.

Konfigurace služby ASE s interním nástrojem pro vyrovnávání zatížení se zařízením WAF

Zařízení firewallu webových aplikací (WAF) se službou ASE s interním nástrojem pro vyrovnávání zatížení můžete kombinovat, abyste zpřístupnili jenom aplikace, které chcete zpřístupnit na internetu, a ponechat zbytek přístupný jenom z virtuální sítě. To vám umožní mimo jiné vytvářet zabezpečené vícevrstvé aplikace.

Další informace o konfiguraci služby ASE s interním nástrojem pro vyrovnávání zatížení pro zařízení WAF najdete v tématu Konfigurace brány firewall webových aplikací ve službě App Service Environment. Tento článek vysvětluje, jak ve službě ASE používat virtuální zařízení Barracuda. Další možností je použít službu Azure Application Gateway. Služba Application Gateway dokáže pomocí základních pravidel OWASP zabezpečit všechny aplikace, které za ni umístíte. Další informace o službě Application Gateway najdete v tématu Úvod do brány firewall webových aplikací Azure.

Interní nástroje pro vyrovnávání zatížení vytvořené před květnem 2019

Ase s interním nástrojem pro vyrovnávání zatížení, které byly provedeny před květnem 2019, vyžadovaly, abyste během vytváření služby ASE nastavili příponu domény. Také vyžadovaly, abyste nahráli výchozí certifikát založený na příponě domény. Pomocí starší služby ASE s interním nástrojem pro vyrovnávání zatížení také nemůžete provádět jednotné přihlašování ke konzole Kudu s aplikacemi v této službě ASE s interním nástrojem pro vyrovnávání zatížení. Při konfiguraci DNS pro starší službu ASE s interním nástrojem pro vyrovnávání zatížení musíte v zóně, která odpovídá příponě domény, nastavit zástupný znak A. Vytvoření nebo změna služby ASE s interním nástrojem pro vyrovnávání zatížení s příponou vlastní domény vyžaduje použití šablon Azure Resource Manageru a verze rozhraní API před 2019. Poslední verze rozhraní API podpory je 2018-11-01.

Začínáme

• Pokud chcete začít používat službu ASE, prostudujte si téma Úvod do služby App Service Environment.