Adresy pro správu služby App Service Environment
Důležité
Tento článek se týká služby App Service Environment v2, která se používá s plány izolované služby App Service. Služba App Service Environment v2 bude vyřazena 31. srpna 2024. Existuje nová verze služby App Service Environment, která se snadněji používá a běží na výkonnější infrastruktuře. Další informace o nové verzi najdete v úvodu do služby App Service Environment. Pokud aktuálně používáte App Service Environment v2, postupujte podle kroků v tomto článku a proveďte migraci na novou verzi.
Od 29. ledna 2024 už nemůžete vytvářet nové prostředky služby App Service Environment verze 2 pomocí některé z dostupných metod, včetně šablon ARM/Bicep, webu Azure Portal, Azure CLI nebo rozhraní REST API. Před 31. srpnem 2024 musíte migrovat do služby App Service Environment v3 , abyste zabránili odstranění prostředků a ztrátě dat.
Požadavky
Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.
Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.
Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.
Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.
Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.
Shrnutí
Služba App Service Environment (ASE) je nasazení jednoho tenanta služby Aplikace Azure, která běží ve vaší virtuální síti Azure. I když služba ASE běží ve vaší virtuální síti, musí být stále přístupná z řady vyhrazených IP adres, které služba Aplikace Azure používá ke správě služby. V případě SLUŽBY ASE provoz správy prochází přes síť řízenou uživatelem. Pokud je tento provoz zablokovaný nebo nesprávně směrovaný, služba ASE se pozastaví. Podrobnosti o závislostech sítí ASE najdete v tématu Důležité informace o sítích a službě App Service Environment. Obecné informace o službě ASE najdete v úvodu do služby App Service Environment.
Všechny služby ASE mají veřejnou VIRTUÁLNÍ IP adresu, do které přichází provoz správy. Příchozí provoz správy z těchto adres pochází z portů 454 a 455 na veřejné VIRTUÁLNÍ IP adrese vaší služby ASE. Tento dokument obsahuje seznam zdrojových adres služby App Service pro provoz správy do služby ASE. Tyto adresy jsou také ve značce služby IP s názvem AppServiceManagement.
Adresy ve značce služby AppServiceManagement je možné nakonfigurovat ve směrovací tabulce, aby nedocházelo k asymetrickým problémům se směrováním provozu správy. Pokud je to možné, měli byste místo jednotlivých adres použít značku služby. Trasy fungují na úrovni PROTOKOLU IP a nemají povědomí o směru provozu nebo že provoz je součástí zprávy odpovědi TCP. Pokud se adresa odpovědi pro požadavek TCP liší od adresy, do které byla odeslána, máte problém s asymetrickým směrováním. Abyste se vyhnuli asymetrickým problémům se směrováním provozu správy SLUŽBY ASE, musíte zajistit, aby se odpovědi odesílaly zpět ze stejné adresy, na kterou byly odeslány. Podrobnosti o tom, jak nakonfigurovat službu ASE tak, aby fungovala v prostředí, kde se místně odesílá odchozí provoz, najdete v tématu Konfigurace služby ASE s vynuceným tunelováním.
Seznam adres pro správu
Pokud potřebujete zobrazit IP adresy pro správu, stáhněte si referenční informace o značkách služby pro vaši oblast, abyste získali nejaktuálnější seznam adres. Adresy správy služby App Service Environment jsou uvedené ve značce služby AppServiceManagement.
| Oblast | Referenční informace ke značkě služby |
|---|---|
| Všechny veřejné oblasti | Rozsahy a značky služby Azure IP – veřejný cloud |
| Microsoft Azure Government | Rozsahy a značky služby Azure IP – cloud pro státní správu USA |
| Platforma Microsoft Azure provozovaná společností 21Vianet | Rozsahy a značky služby Azure IP – čínský cloud |
Konfigurace skupiny zabezpečení sítě
U skupin zabezpečení sítě se nemusíte starat o jednotlivé adresy ani udržovat vlastní konfiguraci. Existuje značka služby IP s názvem AppServiceManagement, která je aktuální se všemi adresami. Pokud chcete použít tuto značku služby IP ve skupině zabezpečení sítě, přejděte na portál, otevřete uživatelské rozhraní skupin zabezpečení sítě a vyberte Příchozí pravidla zabezpečení. Pokud máte existující pravidlo pro příchozí provoz správy, upravte ho. Pokud se tato skupina zabezpečení sítě nevytvořila s vaší službou ASE nebo pokud je úplně nová, vyberte Přidat. V rozevíracím seznamu Zdroj vyberte značka služby. Pod značkou Zdrojová služba vyberte AppServiceManagement. Nastavte rozsahy zdrojových portů na *, Destination to Any, Destination port ranges to 454-455, Protocol to TCP a Action to Allow. Pokud pravidlo vytváříte, musíte nastavit prioritu.
Konfigurace směrovací tabulky
Adresy pro správu je možné umístit do směrovací tabulky s dalším segmentem směrování internetu, aby se zajistilo, že veškerý příchozí provoz správy bude moct procházet stejnou cestou. Tyto trasy jsou potřeba při konfiguraci vynucených tunelů. Pokud je to možné, použijte místo jednotlivých adres značku služby AppServiceManagement. K vytvoření směrovací tabulky můžete použít portál, PowerShell nebo Azure CLI. Příkazy pro vytvoření směrovací tabulky pomocí Azure CLI z příkazového řádku PowerShellu jsou uvedené níže.
$sub = "subscription ID"
$rg = "resource group name"
$rt = "route table name"
$location = "azure location"
az network route-table route create --subscription $sub -g $rg --route-table-name $rt -n 'AppServiceManagement' --address-prefix 'AppServiceManagement' --next-hop-type 'Internet'
Po vytvoření směrovací tabulky ji musíte nastavit v podsíti ASE.
Získání adres pro správu z rozhraní API
Pomocí následujícího volání rozhraní API můžete zobrazit seznam adres pro správu, které odpovídají vaší službě ASE.
get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01
Rozhraní API vrátí dokument JSON, který obsahuje všechny příchozí adresy vaší služby ASE. Seznam adres zahrnuje adresy pro správu, virtuální IP adresu používanou vaší službou ASE a samotný rozsah adres podsítě ASE.
Pokud chcete rozhraní API volat pomocí armclient , použijte následující příkazy, ale nahraďte id předplatného, skupinu prostředků a název SLUŽBY ASE.
armclient login
armclient get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01