Vytvoření a použití interního Load Balancer App Service Environment

Poznámka

Tento článek se popisuje App Service Environment v2, který se používá s plány izolovaných App Service.

Virtuální Azure App Service Environment je nasazení Azure App Service do podsítě ve virtuální síti Azure. Služba App Service Environment (ASE) se dá nasadit dvěma způsoby:

  • Pomocí virtuální IP adresy na externí IP adresu – často se označuje jako externí služba ASE
  • Pomocí virtuální IP adresy na interní IP adresu – často se označuje jako služba ASE s interním nástrojem pro vyrovnávání zatížení, protože interním koncovým bodem je interní nástroj pro vyrovnávání zatížení.

V tomto článku najdete postup vytvoření interního nástroje pro vyrovnávání zatížení ASE. Přehled služby ASE najdete v tématu Úvod do App Service prostředí. Informace o vytvoření externí služby ASE najdete v tématu Vytvoření externí služby ASE.

Přehled

Můžete nasadit službu ASE s koncovým bodem s přístupem k internetu nebo s IP adresou ve vaší virtuální síti. Pokud chcete nastavit IP adresu na adresu ve virtuální síti, je potřeba nasadit službu ASE s interním nástrojem pro vyrovnávání zatížení. Při nasazování služby ASE s ILB musíte zadat název vaší služby ASE. Název vaší služby ASE se používá v příponě domény pro aplikace ve vaší službě ASE. Přípona domény vaší služby ASE s iLB je < název služby ASE > .appserviceenvironment.net. Aplikace vytvořené ve službě ASE s interním nástrojem pro vyrovnávání zatížení se neumisťují do veřejného DNS.

Starší verze služby ASE s iLB vyžadovaly, abyste pro připojení HTTPS uvedli příponu domény a výchozí certifikát. Přípona domény se už při vytváření služby ASE s iLB neshromažďová a výchozí certifikát se už neshromažďová. Když teď vytváříte službu ASE s iLB, microsoft poskytuje výchozí certifikát a prohlížeč mu důvěřuje. U aplikací ve službě ASE stále můžete nastavit vlastní názvy domén a pro tyto vlastní názvy domén nastavit certifikáty.

S ILB ASE můžete například:

  • Bezpečně hostujte intranetové aplikace v cloudu, ke kterým přistupujte prostřednictvím připojení site-to-site nebo ExpressRoute.
  • Ochrana aplikací pomocí zařízení WAF
  • Hostovat v cloudu aplikace, které nejsou uvedené na veřejných serverech DNS
  • Vytvářet back-endové aplikace izolované od internetu, které umožňují zabezpečenou integraci vašich front-endových aplikací

Zakázané funkce

Služba ASE s interním nástrojem pro vyrovnávání zatížení neumožňuje některé kroky:

  • Použijte vazbu TLS/SSL založenou na PROTOKOLU IP.
  • Nemůžete přiřadit IP adresy konkrétním aplikacím.
  • Nemůžete zakoupit certifikát prostřednictvím portálu Azure a používat ho s určitou aplikací. Certifikáty můžete získat přímo od certifikační autority a potom je můžete používat ve svých aplikacích. Nemůžete je ale získat na portálu Azure.

Vytvoření služby ASE s interním nástrojem pro vyrovnávání zatížení

Při vytváření služby ASE s interním nástrojem pro vyrovnávání zatížení postupujte takto:

  1. V Azure Portal vyberte Vytvořit prostředek > Web > App Service Environment.

  2. Vyberte své předplatné.

  3. Vyberte nebo vytvořte skupinu prostředků.

  4. Zadejte název vašeho App Service Environment.

  5. Jako Typ virtuální IP adresy vyberte Interní.

    Vytvoření služby ASE

Poznámka

Název App Service Environment nesmí být delší než 37 znaků.

  1. Vyberte Sítě.

  2. Vyberte nebo vytvořte Virtual Network. Pokud tady vytvoříte novou virtuální síť, bude definovaná s rozsahem adres 192.168.250.0/23. Pokud chcete vytvořit virtuální síť s jiným rozsahem adres nebo v jiné skupině prostředků než služba ASE, použijte portál pro Virtual Network Azure.

  3. Vyberte nebo vytvořte prázdnou podsíť. Pokud chcete vybrat podsíť, musí být prázdná a nesmí být delegovaná. Velikost podsítě není možné po vytvoření služby ASE změnit. Doporučujeme velikost /24, která nabízí 256 adres a dokáže pojmout maximální velikost služby ASE a vyhovět potřebám škálování.

    Sítě ASE

  4. Vyberte Zkontrolovat a vytvořit a pak vytvořit.

Vytvoření aplikace ve službě ASE s interním nástrojem pro vyrovnání zatížení

Aplikaci ve službě ASE s interním nástrojem pro vyrovnání zatížení vytvoříte stejným způsobem jako v běžné službě ASE.

  1. V Azure Portal vyberte Vytvořit prostředek > Webová webová > aplikace.

  2. Zadejte název aplikace.

  3. Vyberte předplatné.

  4. Vyberte nebo vytvořte skupinu prostředků.

  5. Vyberte publish (Publikovat), Runtime Stack (Zásobník modulu runtime) a Operating System (Operační systém).

  6. Vyberte umístění, ve kterém je umístění existující služby ASE s iLB. Při vytváření aplikace můžete také vytvořit novou ase, a to výběrem plánu služby Isolated App Service služby. Pokud chcete vytvořit novou ase, vyberte oblast, ve které chcete ase vytvořit.

  7. Vyberte nebo vytvořte plán služby App Service.

  8. Vyberte Zkontrolovat a vytvořit a až budete připraveni, vyberte Vytvořit.

Webové úlohy, služba Functions a služba ASE s interním nástrojem pro vyrovnávání zatížení

Služba ASE s interním nástrojem pro vyrovnávání zatížení podporuje službu Functions i webové úlohy, ale nepodporuje portál pro práci s nimi, a potřebujete síťový přístup k webu SCM. To znamená, že váš prohlížeč musí mít hostitele, který buď je ve virtuální síti, nebo je k ní připojený. Pokud má vaše služba ASE s interním nástrojem pro vyrovnávání zatížení název domény, který nekončí na appserviceenvironment.net, budete muset nastavit svůj prohlížeč tak, aby důvěřoval certifikátu HTTPS, který používá váš web SCM.

Konfigurace DNS

Když použijete externí ase, aplikace provedené ve službě ASE se budou registrovat Azure DNS. V externí službě ASE nejsou žádné další kroky, aby vaše aplikace byly veřejně dostupné. V případě služby ASE s interním nástrojem pro vyrovnávání zatížení musíte spravovat vlastní službu DNS. Můžete to udělat na vlastním serveru DNS nebo pomocí Azure DNS privátních zón.

Konfigurace DNS na vlastním serveru DNS pomocí služby ASE s iLB:

  1. Vytvoření zóny pro < název služby ASE > .appserviceenvironment.net
  2. Vytvoření záznamu A v této zóně, který odkazuje * na IP adresu ILB
  3. Vytvoření záznamu A v této zóně, který odkazuje na IP adresu ILB @
  4. Vytvořte zónu v < názvu ASE > .appserviceenvironment.net s názvem scm.
  5. Vytvoření záznamu A v zóně SCM, který odkazuje * na IP adresu ILB

Konfigurace DNS v Azure DNS privátních zónách:

  1. vytvořte privátní Azure DNS s názvem < ASE > .appserviceenvironment.net
  2. Vytvoření záznamu A v této zóně, který odkazuje * na IP adresu ILB
  3. Vytvoření záznamu A v této zóně, který odkazuje na IP adresu ILB @
  4. Vytvoření záznamu A v této zóně, který odkazuje *.scm na IP adresu ILB

Nastavení DNS pro výchozí příponu domény SLUŽBY ASE neomezuje přístup aplikací pouze k ným názvům. Vlastní název domény můžete nastavit bez jakéhokoli ověření aplikací ve službě ASE s iLB. Pokud pak chcete vytvořit zónu s názvem contoso.net, můžete to udělat a odkazovat na IP adresu ILB. Název vlastní domény funguje pro požadavky aplikace, ale ne pro web SCM. Web SCM je k dispozici pouze na < adrese appname > .scm. < asename > .appserviceenvironment.net.

Zóna s názvem . < asename > .appserviceenvironment.net je globálně jedinečný. Před květnem 2019 mohli zákazníci zadat příponu domény služby ASE s iLB. Pokud byste chtěli jako příponu contoso.com použít .contoso.com, mohli byste to udělat a zahrnout web SCM. S tímto modelem byly problémy, mezi které patří: správa výchozího certifikátu TLS/SSL, chybějící jednotné přihlašování s webem SCM a požadavek na použití certifikátu se zástupnými znaky. Výchozí proces upgradu certifikátu služby ASE s ILB byl také rušivý a způsobil restartování aplikace. K vyřešení těchto problémů se chování služby ASE s iLB změnilo tak, aby se na základě názvu služby ASE a přípony vlastněné Microsoftem používá přípona domény. Změna chování služby ASE s iLB má vliv pouze na služby ASE s ILB provedené po květnu 2019. Stávající služby ASE s ILB musí stále spravovat výchozí certifikát služby ASE a jejich konfiguraci DNS.

Publikování pomocí služby ASE s interním nástrojem pro vyrovnávání zatížení

Pro každou vytvořenou aplikaci existují dva koncové body. Ve ase s iLB máte < název aplikace > . < Doména služby ASE > s iLB a název aplikace < > .scm < Doména služby ASE s > iLB.

Pomocí názvu webu SCM se dostanete do konzoly Kudu na portálu Azure s názvem Rozšířený portál. Konzola Kudu umožňuje zobrazit proměnné prostředí, prozkoumávat disk, používat konzolu a další možnosti. Další informace najdete v tématu Konzola Kudu pro službu Azure App Service.

Internetové systémy kontinuální integrace, například GitHub a Azure DevOps, budou nadále fungovat se službou ASE s interním nástrojem pro vyrovnávání zatížení, pokud je agent sestavení přístupný z internetu a nachází se ve stejné síti jako služba ASE s interním nástrojem pro vyrovnávání zatížení. Takže pokud se používá Azure DevOps a agent sestavení je vytvořený ve stejné virtuální síti jako služba ASE s interním nástrojem pro vyrovnávání zatížení (může být i v jiné podsíti), bude moct přijmout změny kódu z gitu Azure DevOps a nasadit ho do služby ASE s interním nástrojem pro vyrovnávání zatížení. Pokud si nechcete vytvořit vlastního agenta sestavení, budete muset použít systém kontinuální integrace (CI), který používá model vyžádání, například Dropbox.

Koncové body pro publikování pro aplikace ve službě ASE s interním nástrojem pro vyrovnávání zatížení používají doménu, pomocí které byla služba ASE s interním nástrojem pro vyrovnávání zatížení vytvořená. Tato doména se zobrazí v profilu publikování aplikace a v okně portálu aplikace (Základní informace přehledu a > také Vlastnosti). Pokud máte prostředí ASE s iLB s příponou domény < NÁZEV ASE > .appserviceenvironment.net a aplikaci mytest, použijte mytest. < Název ASE > .appserviceenvironment.net pro FTP a mytest.scm.contoso.net nasazení MSDeploy.

Konfigurace služby ASE s ILB se zařízením WAF

Zařízení firewallu webových aplikací (WAF) můžete zkombinovat s vaší službou ASE s iLB, abyste mohli zveřejnit jenom aplikace, které chcete mít na internetu, a zachovat zbytek přístupný jenom z virtuální sítě. To vám mimo jiné umožňuje vytvářet zabezpečené vícevrstvé aplikace.

Další informace o konfiguraci služby ASE s iLB se zařízením WAF najdete v tématu Konfigurace Firewallu webových aplikací s vaším App Service prostředím. Tento článek vysvětluje, jak ve službě ASE používat virtuální zařízení Barracuda. Další možností je použít službu Azure Application Gateway. Služba Application Gateway dokáže pomocí základních pravidel OWASP zabezpečit všechny aplikace, které za ni umístíte. Další informace o službě Application Gateway najdete v tématu Úvod do brány firewall webových aplikací Azure.

Asey s iLB provedené před květnem 2019

Služby ASE s iLB provedené před květnem 2019 vyžadovaly, abyste při vytváření ASE nastavili příponu domény. Také vyžadoval, abyste nahrají výchozí certifikát, který byl založený na této příponě domény. Se starší službou ASE s iLB navíc nemůžete provádět jednotné přihlašování ke konzole Kudu pomocí aplikací v této službě ASE s iLB. Při konfiguraci DNS pro starší službu ASE s ILB musíte nastavit zástupný znak Záznam A v zóně, která odpovídá příponě vaší domény.

Začínáme