Podrobnosti konfigurace sítě pro App Service Environment pro Power Apps s Azure ExpressRoute

Zákazníci mohou připojit Azure ExpressRoute k infrastruktuře virtuální sítě a rozšířit tak svoji místní síť do Azure. App Service Environment se vytvoří v podsíti infrastruktury virtuální sítě. Aplikace, které běží na App Service Environment navázání zabezpečených připojení k back-end prostředkům, které jsou přístupné pouze přes připojení ExpressRoute.

App Service Environment můžete vytvořit v těchto scénářích:

  • Azure Resource Manager virtuálních sítí.
  • Virtuální sítě modelu nasazení Classic.
  • Virtuální sítě, které používají rozsahy veřejných adres nebo adresní prostory RFC1918 (to znamená privátní adresy).

Poznámka

I když se tento článek týká webových aplikací, platí také pro aplikace API a mobilní aplikace.

Požadované síťové připojení

App Service Environment má požadavky na připojení k síti, které se zpočátku nemusí splnit ve virtuální síti připojené k ExpressRoute.

App Service Environment správné fungování vyžaduje následující nastavení připojení k síti:

  • Odchozí síťové připojení k Azure Storage koncovým bodům po celém světě na portu 80 i na portu 443. Tyto koncové body se nacházejí ve stejné oblasti jako App Service Environment a také v dalších oblastech Azure. Azure Storage se překládá v následujících doménách DNS: table.core.windows.net, blob.core.windows.net, queue.core.windows.net a file.core.windows.net.

  • Odchozí síťové připojení ke službě Azure Files na portu 445.

  • Odchozí síťové připojení ke Azure SQL Database koncovým bodům umístěným ve stejné oblasti jako App Service Environment. SQL Database koncové body se překládá v rámci domény database.windows.net, která vyžaduje otevřený přístup k portům 1433, 11000–11999 a 14000–14999. Podrobnosti o používání portů SQL Database V12 najdete v tématu Porty nad 1433 pro ADO.NET 4.5.

  • Odchozí síťové připojení ke koncovým bodům roviny správy Azure (model nasazení Azure Classic i Azure Resource Manager koncové body). Připojení k těmto koncovým bodům zahrnuje management.core.windows.net a management.azure.com domény.

  • Odchozí síťové připojení k ocsp.msocsp.com, mscrl.microsoft.com a crl.microsoft.com doménám. Pro podporu funkcí protokolu TLS je potřeba připojení k těmto doménám.

  • Konfigurace DNS pro virtuální síť musí být schopná přeložit všechny koncové body a domény uvedené v tomto článku. Pokud se koncové body nedaří přeložit, App Service Environment se nepovede. Všechny existující App Service Environment jsou označené jako není v pořádku.

  • Pro komunikaci se servery DNS se vyžaduje odchozí přístup na portu 53.

  • Pokud vlastní server DNS existuje na druhém konci brány VPN, musí být server DNS dostupný z podsítě, která obsahuje App Service Environment.

  • Odchozí síťová cesta nemůže procházet interními firemními porty pro a nemůže být vynuceně tunelována místně. Tyto akce změní efektivní adresu NAT odchozího síťového provozu z App Service Environment. Změny adresy NAT App Service Environment odchozího síťového provozu způsobují selhání připojení k mnoha koncovým bodům. App Service Environment se nepovede. Všechny existující App Service Environment jsou označené jako není v pořádku.

  • Příchozí síťový přístup k požadovaným portům pro App Service Environment musí být povolený. Podrobnosti najdete v tématu Jak řídit příchozí provoz do App Service Environment.

Aby bylo možné splnit požadavky dns, ujistěte se, že je pro virtuální síť nakonfigurovaná a udržovaná platná infrastruktura DNS. Pokud se konfigurace DNS po vytvoření App Service Environment, mohou vývojáři vynutit, aby App Service Environment novou konfiguraci DNS vybrali. Restartování prostředí se rolováním můžete aktivovat pomocí ikony Restartovat v části App Service Environment správy v Azure Portal. Restartování způsobí, že prostředí vyzvedne novou konfiguraci DNS.

Pokud chcete splnit požadavky na příchozí síťový přístup, nakonfigurujte skupinu zabezpečení sítě (NSG) v podsíti App Service Environment síti. NSG umožňuje požadovanému přístupu řídit příchozí provoz do App Service Environment.

Odchozí síťové připojení

Nově vytvořený okruh ExpressRoute ve výchozím nastavení inzeruje výchozí trasu, která umožňuje odchozí připojení k internetu. App Service Environment tuto konfiguraci použít pro připojení k jiným koncovým bodům Azure.

Běžnou konfigurací zákazníka je definování vlastní výchozí trasy (0.0.0.0/0), která vynutí místní tok odchozího internetového provozu. Tento tok provozu trvale přeruší App Service Environment. Odchozí provoz se blokuje místně nebo naT na nerozpoznanou sadu adres, které už nefungují s různými koncovými body Azure.

Řešením je definovat jednu (nebo více) tras definovaných uživatelem v podsíti, která obsahuje App Service Environment. Trasa UDR definuje trasy specifické pro podsíť, které se budou respektovat místo výchozí trasy.

Pokud je to možné, použijte následující konfiguraci:

  • Konfigurace ExpressRoute inzeruje 0.0.0.0/0. Ve výchozím nastavení konfigurace vynutí tunelování veškerého odchozího provozu v místním prostředí.
  • Udr použitá na podsíť, která obsahuje App Service Environment definuje 0.0.0.0/0 s typem dalšího segmentu směrování internet. Příklad této konfigurace je popsán dále v tomto článku.

Kombinovaným efektem této konfigurace je, že UDR na úrovni podsítě má přednost před vynuceným tunelovým propojením ExpressRoute. Odchozí internetový přístup z App Service Environment je zaručený.

Důležité

Trasy definované v trase definované uživatelem musí být dostatečně specifické, aby měly přednost před všemi trasami inzerovaných konfigurací ExpressRoute. Příklad popsaný v další části používá široký rozsah adres 0.0.0.0/0. Tento rozsah může nechtěně přepsat inzerování tras, které používají konkrétnější rozsahy adres.

App Service Environment nepodporuje konfigurace ExpressRoute, které křížně inzerují trasy z cesty veřejného partnerského vztahu do cesty soukromého partnerského vztahu. Konfigurace ExpressRoute, které mají nakonfigurovaný veřejný partnerský vztah, přijímají inzerování tras od Microsoftu pro velkou sadu Microsoft Azure rozsahů IP adres. Pokud se tyto rozsahy adres křížně inzerují v cestě privátního partnerského vztahu, všechny odchozí síťové pakety z podsítě App Service Environment se vynutí tunelovým propojením do místní síťové infrastruktury zákazníka. Tento tok sítě se v současné době nepodporuje u App Service Environment. Jedním z řešení je zastavit křížovou inzerci tras z cesty veřejného partnerského vztahu do cesty soukromého partnerského vztahu.

Základní informace o trasách definovaných uživatelem najdete v tématu Směrování provozu virtuální sítě.

Informace o vytváření a konfiguraci tras definovaných uživatelem najdete v tématu Směrování síťového provozu pomocí směrovací tabulky pomocí PowerShellu.

Konfigurace UDR

Tato část ukazuje příklad konfigurace UDR pro App Service Environment.

Požadavky

  • Nainstalujte Azure PowerShell ze stránky Soubory ke stažení pro Azure. Zvolte soubor ke stažení s datem z června 2015 nebo novějšího. V části Nástroje příkazového řádku > Windows PowerShell vyberte Nainstalovat a nainstalujte nejnovější rutiny PowerShellu.

  • Vytvořte jedinečnou podsíť pro výhradní použití App Service Environment. Jedinečná podsíť zajišťuje, že pravidla definovaného uživatele použitá na podsíť otevřou odchozí provoz pouze App Service Environment provozu.

Důležité

Nasazení proveďte App Service Environment až po dokončení kroků konfigurace. Před pokusem o nasazení virtuálního počítače se ujistěte, že je k dispozici odchozí App Service Environment.

Krok 1: Vytvoření směrovací tabulky

Vytvořte směrovací tabulku s názvem DirectInternetRouteTable v USA – západ Azure, jak je znázorněno v tomto fragmentu kódu:

New-AzureRouteTable -Name 'DirectInternetRouteTable' -Location uswest

Krok 2: Vytvoření tras v tabulce

Přidáním tras do směrovací tabulky povolíte odchozí internetový přístup.

Nakonfigurujte odchozí přístup k internetu. Definujte trasu pro 0.0.0.0/0, jak je znázorněno v tomto fragmentu kódu:

Get-AzureRouteTable -Name 'DirectInternetRouteTable' | Set-AzureRoute -RouteName 'Direct Internet Range 0' -AddressPrefix 0.0.0.0/0 -NextHopType Internet

0.0.0.0/0 je široký rozsah adres. Rozsah se přepíše rozsahy adres inzerovaných ExpressRoute, které jsou konkrétnější. Trasa UDR s trasou 0.0.0.0/0 by se měla používat ve spojení s konfigurací ExpressRoute, která inzeruje pouze 0.0.0.0/0.

Jako alternativu si můžete stáhnout aktuální úplný seznam rozsahů CIDR, které Azure používá. Soubor XML pro všechny rozsahy IP adres Azure je k dispozici na webu Microsoft Download Center.

Poznámka

Rozsahy IP adres Azure se v průběhu času mění. Trasy definované uživatelem potřebují pravidelné ruční aktualizace, aby byly synchronizované.

Jedna trasa UDR má výchozí horní limit 100 tras. Rozsahy IP adres Azure je potřeba "shrnout", aby se vešly do limitu 100 tras. Trasy definované trasou definovanou uživatelem musí být konkrétnější než trasy inzerované vaším připojením ExpressRoute.

Krok 3: Přidružení tabulky k podsíti

Přidružte směrovací tabulku k podsíti, do které chcete nasadit App Service Environment. Tento příkaz přidruží tabulku DirectInternetRouteTable k podsíti ASESubnet, která bude obsahovat App Service Environment.

Set-AzureSubnetRouteTable -VirtualNetworkName 'YourVirtualNetworkNameHere' -SubnetName 'ASESubnet' -RouteTableName 'DirectInternetRouteTable'

Krok 4: Otestování a potvrzení trasy

Po navázání směrovací tabulky k podsíti otestujte a potvrďte trasu.

Nasaďte virtuální počítač do podsítě a potvrďte tyto podmínky:

  • Odchozí provoz do koncových bodů Azure a koncových bodů mimo Azure popsaný v tomto článku neprochádí okruh ExpressRoute. Pokud je odchozí provoz z podsítě vynuceně tunelován místně, App Service Environment vytváření vždy selže.
  • Všechna vyhledávání DNS pro koncové body popsaná v tomto článku se správně překládá.

Po dokončení kroků konfigurace a potvrzení trasy odstraňte virtuální počítač. Po vytvoření podsítě musí být App Service Environment prázdná.

Teď jste připraveni nasadit App Service Environment!

Další kroky

Pokud chcete začít pracovat s App Service Environment pro Power Apps, podívejte se na úvod do App Service Environment.