Integrace aplikace s virtuální sítí Azure

Tento článek popisuje funkci integrace virtuální Azure App Service virtuální sítě a postup, jak ji nastavit s aplikacemi v App Service. Pomocí virtuálních sítí Azure můžete mnoho svých prostředků Azure umístit do jiné než internetové směrovatelné sítě. Funkce App Service virtuální sítě umožňuje vašim aplikacím přístup k prostředkům ve virtuální síti nebo prostřednictvím této sítě. Integrace virtuální sítě neumožní privátní přístup k vašim aplikacím.

App Service má dvě varianty:

• Cenové úrovně vyhrazených výpočetních prostředků, mezi které patří Basic, Standard, Premium, Premium v2 a Premium v3.
• Nástroj App Service Environment, který se nasazovat přímo do vaší virtuální sítě s vyhrazenou podpůrnou infrastrukturou a používá cenové úrovně Izolované a Izolované v2.

Funkce integrace virtuální sítě se používá v Azure App Service cenových úrovních vyhrazených výpočetních prostředků. Pokud je vaše aplikace v App Service Environment, je už ve virtuální síti a nevyžaduje použití funkce integrace virtuální sítě pro přístup k prostředkům ve stejné virtuální síti. Další informace o všech síťových funkcích najdete v tématu App Service síťových funkcí.

Integrace virtuální sítě poskytuje vaší aplikaci přístup k prostředkům ve virtuální síti, ale neuděluje příchozí privátní přístup k vaší aplikaci z virtuální sítě. Přístup k privátnímu webu označuje zpřístupnění aplikace pouze z privátní sítě, například z virtuální sítě Azure. Integrace virtuální sítě se používá jenom k odchozím voláním z vaší aplikace do vaší virtuální sítě. Funkce integrace virtuální sítě se chová odlišně, pokud se používá s virtuálními sítěmi ve stejné oblasti a s virtuálními sítěmi v jiných oblastech. Funkce integrace virtuální sítě má dvě varianty:

• Integrace regionální virtuální sítě: Když se připojujete k virtuálním sítím ve stejné oblasti, musíte mít ve virtuální síti, se kterou integrujete vyhrazenou podsíť.
• Integrace virtuální sítě požadovaná bránou: Pokud se připojujete přímo k virtuálním sítím v jiných oblastech nebo ke klasické virtuální síti ve stejné oblasti, potřebujete bránu Azure Virtual Network vytvořenou v cílové virtuální síti.

Funkce integrace virtuální sítě:

• Vyžaduje cenovou úroveň Standard, Premium, Premium v2, Premium v3 nebo Elastic Premium App Service.
• Podporuje TCP a UDP.
• Funguje s App Service aplikacemi a aplikacemi funkcí.

Integrace virtuální sítě nepodporuje některé věci, například:

• Připojení jednotky.
• Windows Server Active Directory integrace.
• Netbios.

Integrace virtuální sítě vyžadované bránou poskytuje přístup k prostředkům pouze v cílové virtuální síti nebo v sítích připojených k cílové virtuální síti s partnerským vztahem nebo sítěmi VPN. Integrace virtuální sítě požadovaná bránou neumožní přístup k prostředkům dostupným napříč Azure ExpressRoute připojeními ani práci s koncovými body služby.

Bez ohledu na to, jakou verzi použijete, integrace virtuální sítě vaší aplikaci poskytne přístup k prostředkům ve virtuální síti, ale neudělí příchozí privátní přístup k vaší aplikaci z virtuální sítě. Přístup k privátnímu webu označuje zpřístupnění aplikace pouze z privátní sítě, například z virtuální sítě Azure. Integrace virtuální sítě je jenom pro odchozí volání z vaší aplikace do vaší virtuální sítě.

Zjistěte, jak povolit integraci virtuální sítě.

Integrace regionální virtuální sítě

Integrace regionální virtuální sítě podporuje připojení k virtuální síti ve stejné oblasti a nevyžaduje bránu. Použití regionální integrace virtuální sítě umožňuje vaší aplikaci přístup k:

• Prostředky ve virtuální síti, se kterou jste integrováni.
• Prostředky ve virtuálních sítích v partnerském vztahu k virtuální síti, do které je vaše aplikace integrovaná, včetně globálních připojení peeringu.
• Prostředky napříč Azure ExpressRoute připojeními.
• Služby zabezpečené koncovým bodem služby.
• Služby s povolenými privátními koncovými body.

Při použití regionální integrace virtuální sítě můžete použít následující síťové funkce Azure:

• Skupiny zabezpečení sítě (NSG): Odchozí provoz můžete blokovat pomocí skupiny zabezpečení sítě umístěné v podsíti integrace. Příchozí pravidla se nevztahují, protože k zajištění příchozího přístupu k aplikaci nemůžete použít integraci virtuální sítě.
• Směrovací tabulky :Do podsítě integrace můžete umístit směrovací tabulku pro odesílání odchozích přenosů tam, kde chcete.

Jak funguje integrace regionální virtuální sítě

Aplikace v App Service jsou hostované na rolích pracovních procesů. Integrace regionální virtuální sítě funguje tak, že se virtuální rozhraní připojuje k rolím pracovních procesů s adresami v delegované podsíti. Adresa from je ve vaší virtuální síti, a proto má přístup k většině věcí ve vaší virtuální síti nebo prostřednictvím ní, jako by to byl virtuální počítač ve vaší virtuální síti. Síťová implementace se liší od spuštění virtuálního počítače ve vaší virtuální síti. To je důvod, proč některé síťové funkce ještě nejsou pro tuto funkci dostupné.

Pokud je povolená integrace regionální virtuální sítě, vaše aplikace provádí odchozí volání prostřednictvím vaší virtuální sítě. Odchozí adresy, které jsou uvedené na portálu vlastností aplikace, jsou adresy, které vaše aplikace pořád používá. Pokud se ale odchozí volání týká virtuálního počítače nebo privátního koncového bodu v integrační virtuální síti nebo partnerské virtuální síti, odchozí adresa bude adresa z podsítě integrace. Privátní IP adresa přiřazená k instanci se vystaví prostřednictvím proměnné prostředí , WEBSITE_PRIVATE_IP.

Pokud je povolené veškeré směrování provozu, veškerý odchozí provoz se odesílá do vaší virtuální sítě. Pokud není povolené veškeré směrování provozu, do virtuální sítě se budou odesílat pouze privátní přenosy (RFC1918) a koncové body služby nakonfigurované v podsíti integrace a odchozí provoz do internetu budou procházet stejnými kanály jako obvykle.

Tato funkce podporuje pouze jedno virtuální rozhraní na pracovní proces. Jedno virtuální rozhraní na pracovní proces znamená jednu integraci virtuální sítě v jedné oblasti App Service plánu. Všechny aplikace ve stejném App Service mohou používat stejnou integraci virtuální sítě. Pokud potřebujete aplikaci pro připojení k jiné virtuální síti, musíte vytvořit další App Service sítě. Použité virtuální rozhraní není prostředek, ke který mají zákazníci přímý přístup.

Vzhledem k povaze toho, jak tato technologie funguje, se provoz používaný při integraci virtuální sítě v protokolech toku služby Azure Network Watcher ani NSG nezíská.

Požadavky na podsíť

Integrace virtuální sítě závisí na vyhrazené podsíti. Když vytvoříte podsíť, podsíť Azure od začátku ztratí pět IP adres. Jedna adresa se používá z podsítě integrace pro každou instanci plánu. Pokud aplikaci škálujete na čtyři instance, používají se čtyři adresy.

Při škálování nahoru nebo dolů se požadovaný adresní prostor na krátkou dobu zdvojnásobí. Tato změna má vliv na skutečné a dostupné podporované instance pro danou velikost podsítě. Následující tabulka uvádí maximální počet dostupných adres na blok CIDR a vliv, který to má na horizontální škálování.

^*Předpokládá, že v nějakém okamžiku budete muset škálovat nahoru nebo dolů podle velikosti nebo SKU.

Vzhledem k tomu, že velikost podsítě nelze po přiřazení změnit, použijte podsíť, která je dostatečně velká, aby vyhovovala libovolné škálování, ke kterým vaše aplikace může dosáhnout. Pokud se chcete vyhnout problémům s kapacitou podsítě, použijte /26 s 64 adresami.

Pokud chcete, aby se vaše aplikace ve vašem plánu připojily k virtuální síti, ke které už jsou připojené aplikace v jiném plánu, vyberte jinou podsíť, než kterou používá už existující integrace virtuální sítě.

Trasy

Při konfiguraci integrace regionální virtuální sítě je třeba zvážit dva typy směrování. Směrování aplikací definuje, jaký provoz se směruje z vaší aplikace do virtuální sítě. Směrování sítě je schopnost řídit, jak se provoz směruje z vaší virtuální sítě a ven.

Směrování aplikací

Při konfiguraci směrování aplikací můžete do virtuální sítě směrovat veškerý provoz nebo jenom privátní provoz (označované také jako provoz RFC1918). Toto chování nakonfigurujete pomocí nastavení Směrovat vše. Pokud je možnost Route All zakázaná, vaše aplikace bude směrovat jenom privátní provoz do vaší virtuální sítě. Pokud chcete směrovat veškerý odchozí provoz do virtuální sítě, ujistěte se, že je povolená možnost Všechny trasy.

Zjistěte, jak nakonfigurovat směrování aplikací.

K povolení směrování veškerého provozu doporučujeme použít nastavení konfigurace Všechny trasy. Pomocí nastavení konfigurace můžete auditovat chování pomocí předdefinovaných zásad. Stávající nastavení WEBSITE_VNET_ROUTE_ALL můžete použít i nadále a veškeré směrování provozu můžete povolit pomocí obou těchto nastavení.

Směrování sítě

Směrovací tabulky můžete použít ke směrování odchozího provozu z vaší aplikace kamkoli chcete. Směrovací tabulky ovlivňují cílový provoz. Pokud je ve směrování aplikací zakázaná možnost Směrování vše, směrovací tabulky mají vliv jenom na privátní provoz (RFC1918). Mezi běžné cíle patří zařízení brány firewall nebo brány. Trasy nastavené v podsíti integrace nebudou mít vliv na odpovědi na příchozí žádosti aplikace.

Pokud chcete směrovat veškerý odchozí provoz místně, můžete použít směrovací tabulku k odeslání veškerého odchozího provozu do vaší Azure ExpressRoute brány. Pokud směrujete provoz na bránu, nastavte trasy v externí síti tak, aby se odesílaly všechny odpovědi zpět.

Border Gateway Protocol (BGP) ovlivňují také provoz vaší aplikace. Pokud máte trasy protokolu BGP z brány ExpressRoute, bude to mít vliv na odchozí provoz vaší aplikace. Podobně jako trasy definované uživatelem ovlivňují trasy protokolu BGP provoz podle nastavení vašeho oboru směrování.

Skupiny zabezpečení sítě

Aplikace, která používá regionální integraci virtuální sítě, může pomocí skupiny zabezpečení sítě blokovat odchozí provoz do prostředků ve vaší virtuální síti nebo na internetu. Pokud chcete blokovat provoz na veřejné adresy, povolte možnost Směrovat vše do virtuální sítě. Pokud není povolená možnost Všechny trasy, skupiny zabezpečení sítě se použijí jenom na provoz RFC1918.

Na podsíť integrace se použije NSG bez ohledu na všechny směrovací tabulky použité pro vaši podsíť integrace.

Příchozí pravidla v NSG se na vaši aplikaci nevztahují, protože integrace virtuální sítě ovlivňuje jenom odchozí provoz z vaší aplikace. Pokud chcete řídit příchozí provoz do vaší aplikace, použijte funkci Omezení přístupu.

Koncové body služby

Integrace místní virtuální sítě umožňuje přístup ke službám Azure, které jsou zabezpečené pomocí koncových bodů služby. Chcete-li získat přístup ke službě zabezpečeného koncovému bodu služby, postupujte takto:

1. Nakonfigurujte integraci místní virtuální sítě s vaší webovou aplikací tak, aby se připojila k určité podsíti pro integraci.
2. Přejít na cílovou službu a nakonfigurovat koncové body služby proti podsíti Integration.

Privátní koncové body

Pokud chcete provést volání privátních koncových bodů, ujistěte se, že vaše vyhledávání DNS překládá na soukromý koncový bod. Toto chování můžete vyhovět jedním z následujících způsobů:

• Integrace s Azure DNS privátní zóny. Pokud vaše virtuální síť nemá vlastní server DNS, integrace se provádí automaticky, když jsou zóny propojené s virtuální sítí.
• Spravujte privátní koncový bod na serveru DNS, který používá vaše aplikace. Ke správě konfigurace musíte znát IP adresu privátního koncového bodu. Pak přejděte ke koncovému bodu, ke kterému se snažíte připojit, pomocí záznamu A.
• Nakonfigurujte si vlastní server DNS pro přeposílání na Azure DNS privátní zóny.

Azure DNS privátní zóny

Jakmile se vaše aplikace integruje s vaší virtuální sítí, používá stejný server DNS, se kterým je nakonfigurovaná vaše virtuální síť. Pokud není zadaný žádný vlastní server DNS, použije se výchozí DNS Azure a všechny privátní zóny propojené s virtuální sítí.

Omezení

Použití integrace regionální virtuální sítě má určitá omezení:

• tato funkce je dostupná ze všech jednotek škálování App Service v Premium v2 a Premium v3. Je dostupná taky standardně, ale jenom z novějších jednotek škálování App Service. pokud používáte starší jednotku škálování, můžete ji použít jenom z plánu Premium v2 App Service. pokud se chcete ujistit, že můžete používat funkci v plánu Standard App Service, vytvořte si aplikaci v plánu Premium v3 App Service. Tyto plány jsou podporované jenom na našich nejnovějších jednotkách škálování. V případě, že budete chtít po vytvoření plánu, můžete horizontální navýšení kapacity škálovat.
• Tuto funkci nemůžou používat aplikace pro izolované plánování, které jsou ve App Service Environment.
• Nemůžete se připojit k prostředkům napříč partnerskými připojeními s klasickými virtuálními sítěmi.
• Tato funkce vyžaduje nepoužitou podsíť, která je /28 blokem IPv4 nebo větší ve Azure Resource Manager virtuální síti.
• Aplikace a virtuální síť musí být ve stejné oblasti.
• Virtuální síť pro integraci nemůže mít definované adresní prostory IPv6.
• Podsíť integrace nemůže mít povolené zásady koncového bodu služby .
• Podsíť Integration můžete použít jenom v jednom plánu App Service.
• Virtuální síť nejde odstranit pomocí integrované aplikace. Před odstraněním virtuální sítě odeberte integraci.
• Každý App Service plán může mít jenom jednu integraci místní virtuální sítě. Víc aplikací ve stejném plánu App Service může používat stejnou virtuální síť.
• Pokud máte aplikaci, která používá integraci místní virtuální sítě, nemůžete změnit předplatné aplikace ani plán.

Brána – požadovaná integrace virtuální sítě

Brána – požadovaná integrace virtuální sítě podporuje připojení k virtuální síti v jiné oblasti nebo v klasické virtuální síti. Brána – požadovaná integrace virtuální sítě:

• Umožňuje aplikaci připojení pouze k jedné virtuální síti v jednom okamžiku.
• Umožňuje integraci až pěti virtuálních sítí do plánu App Service.
• Umožňuje, aby se stejná virtuální síť používala ve více aplikacích v plánu App Service, aniž by to ovlivnilo celkový počet, který může App Service plán použít. Pokud máte šest aplikací využívajících stejnou virtuální síť v rámci stejného App Service plánu, který se počítá jako jedna virtuální síť, která se používá.
• Smlouva SLA na bráně může mít vliv na celkovou smlouvu SLA.
• Umožňuje aplikacím používat službu DNS, se kterou je nakonfigurovaná virtuální síť.
• Před připojením k aplikaci vyžaduje bránu s připojením VPN typu Point-to-site nakonfigurovanou s protokolem SSTP (Virtual Network).

Nemůžete použít integraci virtuální sítě vyžadované bránou:

• S virtuální sítí připojenou pomocí ExpressRoute.
• Z aplikace pro Linux.
• z Windowsho kontejneru.
• Pro přístup k prostředkům zabezpečeným koncovým bodem služby.
• S bránou koexistence, která podporuje ExpressRoute i sítě VPN typu Point-to-site nebo site-to-site.

Nastavení brány ve službě Azure Virtual Network

Postup vytvoření brány:

1. Vytvořte si bránu sítě VPN a podsíť. Vyberte typ sítě VPN založený na trasách.

2. Nastavte adresy Point-to-site. Pokud brána není v skladové jednotce Basic, musí být IKEV2 v konfiguraci Point-to-site zakázaná a musí se vybrat protokol SSTP. Adresní prostor Point-to-site musí být v umístění RFC 1918 bloků adres 10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16.

Pokud vytvoříte bránu pro použití s bránou – požadovaná integrace virtuální sítě, nemusíte nahrávat certifikát. Vytvoření brány může trvat až 30 minut. Svou aplikaci nebudete moct integrovat s vaší virtuální sítí, dokud se brána nevytvoří.

Jak funguje integrace virtuální sítě vyžadované bránou

Brána – integrace virtuální sítě je postavená na technologii VPN typu Point-to-site. Sítě VPN typu Point-to-site omezují síťový přístup k virtuálnímu počítači, který hostuje aplikaci. Aplikace jsou omezené tak, aby odesílaly přenosy na Internet jenom prostřednictvím hybridních připojení nebo prostřednictvím integrace virtuální sítě. Když je vaše aplikace nakonfigurovaná s portálem, aby používala integraci virtuální sítě požadované bránou, je složité vyjednávání spravovaná vaším jménem a k vytváření a přiřazování certifikátů v bráně a na straně aplikace. Výsledkem je, že se pracovní procesy používané k hostování vašich aplikací můžou přímo připojit k bráně virtuální sítě ve vybrané virtuální síti.

Přístup k místním prostředkům

Aplikace mají přístup k místním prostředkům integrací s virtuálními sítěmi, které mají připojení Site-to-site. Pokud používáte integraci virtuální sítě vyžadované bránou, aktualizujte své místní trasy brány VPN pomocí bloků adres typu Point-to-site. Při prvním nastavení sítě VPN typu Site-to-site musí být skripty používané ke konfiguraci správně nastaveny. Pokud přidáte adresy typu Point-to-site po vytvoření sítě VPN typu Site-to-site, je nutné trasy aktualizovat ručně. Podrobnosti o tom, jak to udělat, se liší podle brány a nejsou popsány zde. Nejde nakonfigurovat protokol BGP s připojením VPN typu Site-to-site.

Není nutná žádná další konfigurace, aby funkce integrace místní virtuální sítě dosáhla přes virtuální síť k místním prostředkům. K místním prostředkům stačí připojit virtuální síť pomocí ExpressRoute nebo VPN typu Site-to-site.

Partnerské vztahy

Pokud používáte partnerské vztahy s integrací místní virtuální sítě, nemusíte provádět žádnou další konfiguraci.

Pokud používáte integraci virtuální sítě vyžadované bránou s partnerským vztahem, budete muset nakonfigurovat několik dalších položek. Konfigurace partnerského vztahu pro práci s vaší aplikací:

1. Přidejte připojení partnerského vztahu do virtuální sítě, ke které se aplikace připojuje. Když přidáte připojení partnerského vztahu, povolte Povolit přístup k virtuální síti a vyberte Povolit přesměrovaný přenos a Povolit přenos brány.
2. Přidejte připojení partnerského vztahu ve virtuální síti, která je v partnerském vztahu k virtuální síti, ke které jste připojeni. Pokud přidáte připojení partnerského vztahu do cílové virtuální sítě, povolte možnost Povolit přístup k virtuální síti a vyberte Povolit předaný přenos a Povolit vzdálené brány.
3. Přejít na App Service plánování > síťové > Integrace virtuální sítě na portálu. Vyberte virtuální síť, ke které se aplikace připojuje. V části směrování přidejte rozsah adres virtuální sítě, která je v partnerském vztahu s virtuální sítí, ke které je vaše aplikace připojená.

Správa integrace virtuální sítě

Připojení a odpojení pomocí virtuální sítě se nachází na úrovni aplikace. Operace, které mohou ovlivnit integraci virtuální sítě napříč více aplikacemi, jsou na úrovni plánu App Service. Z portálu pro integraci virtuální sítě pro aplikace > služby > můžete získat podrobnosti o vaší virtuální síti. Podobné informace najdete na úrovni plánu App Service na > portálu pro integraci síťových virtuálních sítí v App Service > .

Jedinou operací, kterou můžete provést v zobrazení aplikace instance integrace virtuální sítě, je odpojení vaší aplikace od virtuální sítě, ke které je aktuálně připojeno. Pokud chcete aplikaci odpojit od virtuální sítě, vyberte Odpojit. Vaše aplikace se po odpojení od virtuální sítě restartuje. Odpojením se nemění vaše virtuální síť. Podsíť nebo brána se neodeberou. Pokud budete chtít virtuální síť odstranit, nejdřív odpojte aplikaci od virtuální sítě a odstraňte v ní prostředky, jako jsou brány.

Rozhraní Integration UI pro App Service plánování virtuální sítě zobrazuje všechny integrace virtuální sítě používané aplikacemi ve vašem plánu App Service. Pokud chcete zobrazit podrobnosti o každé virtuální síti, vyberte virtuální síť, na kterou vás zajímáte. K dispozici jsou dvě akce, které můžete provést pro integraci virtuální sítě požadované bránou:

• Synchronizace sítě: operace synchronizace sítě se používá jenom pro funkci Integrace virtuální sítě vyžadované bránou. Při provádění synchronizace sítě se zajistí, že budou synchronizovány i certifikáty a informace o síti. Pokud přidáte nebo změníte DNS vaší virtuální sítě, proveďte synchronizaci síťové operace. Tato operace restartuje všechny aplikace, které používají tuto virtuální síť. Tato operace nebude fungovat, pokud používáte aplikaci a virtuální síť, která patří do různých předplatných.
• Přidání tras: přidání tras do vaší virtuální sítě – odchozí přenosy.

Privátní IP adresa přiřazená k instanci je vystavena prostřednictvím proměnné prostředí WEBSITE_PRIVATE_IP. Uživatelské rozhraní konzoly Kudu také zobrazuje seznam proměnných prostředí, které jsou k dispozici pro webovou aplikaci. Tato IP adresa se přiřazuje z rozsahu adres integrované podsítě. Pro integraci místní virtuální sítě je hodnota WEBSITE_PRIVATE_IP IP adresa z rozsahu adres delegované podsítě. U brány – požadovaná integrace virtuální sítě je hodnotou IP adresa z rozsahu adres fondu adres Point-to-site nakonfigurovaného v bráně virtuální sítě. Tato IP adresa se použije v rámci webové aplikace pro připojení k prostředkům prostřednictvím služby Azure Virtual Network.

Brána – vyžaduje se směrování integrace virtuální sítě.

Trasy, které jsou definované ve vaší virtuální síti, se používají k přímému směrování provozu do vaší virtuální sítě z vaší aplikace. Pokud chcete do virtuální sítě odeslat víc odchozích přenosů, přidejte sem tyto bloky adres. Tato možnost funguje jenom s integrací virtuální sítě vyžadované bránou. Směrovací tabulky neovlivňují provoz vaší aplikace při použití integrace virtuální sítě požadované bránou způsobem, který se integruje s integrací místní virtuální sítě.

Brána – certifikáty pro integraci virtuální sítě požadovány

Pokud je povolená integrace virtuální sítě požadovaná bránou, k zajištění zabezpečení připojení se vyžaduje certifikát Exchange. Společně s certifikáty jsou to konfigurace DNS, trasy a další podobné věci, které popisují síť.

Pokud se změní certifikáty nebo informace o síti, vyberte synchronizovat síť. Když vyberete synchronizovat síť, dojde k krátkému výpadku připojení mezi vaší aplikací a vaší virtuální sítí. Vaše aplikace se nerestartuje, ale ztráta připojení by mohla způsobit, že vaše lokalita nebude správně fungovat.

Podrobnosti o cenách

Funkce integrace místní virtuální sítě nemá žádné další poplatky za použití nad rámec poplatků za cenové úrovně v plánu App Service.

Tři poplatky souvisejí s používáním funkce integrace virtuální sítě vyžadované bránou:

• poplatky za cenové úrovně v App Service plánu: vaše aplikace musí být v plánu Standard, Premium, Premium v2 nebo Premium v3 App Service. Další informace o těchto nákladech najdete v tématu App Service ceny.
• Náklady na přenos dat: pro výstup dat se účtuje poplatky, i když je virtuální síť ve stejném datovém centru. Tyto poplatky jsou popsané v podrobnostech o cenách přenosu dat.
• Náklady na bránu VPN: pro bránu virtuální sítě, která je potřeba pro síť VPN typu Point-to-site, se účtuje náklady. Další informace najdete v tématu ceny služby VPN Gateway.

Řešení potíží

Tato funkce se snadno nastavuje, ale to neznamená, že vaše prostředí bude mít problém zdarma. Pokud narazíte na problémy s přístupem k požadovanému koncovému bodu, můžete použít k otestování připojení z konzoly aplikace některé nástroje. Můžete použít dvě konzoly. Jedním z nich je konzola Kudu a druhá je konzola v Azure Portal. Pokud se chcete připojit ke konzole Kudu z vaší aplikace, navštivte Nástroj nástroje > Kudu. Ke konzole Kudo se můžete dostat i na adrese [název_webu]. SCM. azurewebsites. NET. Po načtení webu přejdete na kartu ladit konzolu . Pokud se chcete dostat do konzoly hostované pro Azure Portal z vaší aplikace, pokračujte v > konzole nástroje.

nástroje

v nativních aplikacích Windows nástroje příkazy příkazového testu, příkazu nslookup a tracert nefungují prostřednictvím konzoly z důvodu omezení zabezpečení (pracují ve vlastních kontejnerech Windows). K vyplnění void se přidají dva samostatné nástroje. K otestování funkcí DNS jsme přidali nástroj s názvem nameresolver.exe. Syntaxe je:

nameresolver.exe hostname [optional: DNS Server]

Nameresolver můžete použít ke kontrole názvů hostitelů, na kterých vaše aplikace závisí. Tímto způsobem můžete testovat, jestli máte nějaké nesprávně nakonfigurované služby DNS nebo možná nemáte přístup k vašemu serveru DNS. Server DNS, který vaše aplikace používá, můžete zobrazit v konzole nástroje tak, že prohlížíte proměnné prostředí WEBSITE_DNS_SERVER a WEBSITE_DNS_ALT_SERVER.

K otestování připojení TCP k hostitelskému a kombinaci portů můžete použít další nástroj. Tento nástroj se nazývá tcpping a syntaxe je:

tcpping.exe hostname [optional: port]

Nástroj tcpping vám oznamuje, jestli můžete kontaktovat konkrétního hostitele a port. Může zobrazit úspěch pouze v případě, že aplikace naslouchá na kombinaci hostitelů a portu a má přístup k síti z vaší aplikace na zadaného hostitele a port.

Ladění přístupu k prostředkům hostovaným ve virtuální síti

Řada věcí může zabránit tomu, aby vaše aplikace dosáhla konkrétního hostitele a portu. Ve většině případů se jedná o jednu z těchto věcí:

• Brána firewall je v cestě. Pokud máte bránu firewall způsobem, zasáhnete časový limit TCP. V tomto případě je časový limit TCP 21 sekund. K otestování připojení použijte nástroj tcpping . Vypršení časových limitů TCP může být způsobeno počtem věcí mimo brány firewall, ale začněte.
• Služba DNS není přístupná. Časový limit DNS je 3 sekundy na server DNS. Pokud máte dva servery DNS, časový limit je 6 sekund. Pomocí nameresolver můžete zjistit, jestli služba DNS funguje. Nástroj Nslookup nemůžete použít, protože nepoužívá službu DNS, pro kterou je nakonfigurovaná vaše virtuální síť. Pokud je nepřístupná, můžete mít bránu firewall nebo NSG blokující přístup k DNS nebo může být vypnutá.

Pokud tyto položky neodpovídají na vaše problémy, podívejte se na první věci:

Integrace místní virtuální sítě

• Je vaše cílové místo na RFC1918 adrese a nemáte povolené žádné směrování ?
• Existuje NSG blokující výstup z podsítě integrace?
• Pokud pracujete v rámci Azure ExpressRoute nebo VPN, je místní brána nakonfigurovaná tak, aby směrovala provoz zpět do Azure? Pokud máte přístup k koncovým bodům ve vaší virtuální síti, ale ne v místním prostředí, Projděte si své trasy.
• Máte dostatečná oprávnění k nastavení delegování v podsíti Integration? Při konfiguraci integrace místní virtuální sítě je vaše podsíť integrace delegovaná na Microsoft. Web/serverových farem. Rozhraní Integration UI virtuální sítě deleguje podsíť do Microsoftu. Web/serverových farem automaticky. Pokud váš účet nemá dostatečná síťová oprávnění k nastavení delegování, budete potřebovat někoho, kdo může nastavit atributy v podsíti Integration pro delegování podsítě. Pokud chcete integrační podsíť manuálně delegovat, vyhledejte v uživatelském rozhraní podsítě Azure Virtual Network a nastavte delegování pro Microsoft. Web/serverových farem.

Brána – požadovaná integrace virtuální sítě

• Je rozsah adres Point-to-site v rozsahu RFC 1918 (10.0.0.0-10.255.255.255/172.16.0.0-172.31.255.255/192.168.0.0-192.168.255.255)?
• Zobrazuje se brána na portálu? Pokud vaše brána nefunguje, přeneste ji do záložního prostředí.
• Zobrazují se certifikáty jako synchronizované nebo se domníváte, že se změnila konfigurace sítě? Pokud vaše certifikáty nejsou synchronizované nebo máte podezření, že došlo ke změně konfigurace vaší virtuální sítě, která nebyla synchronizovaná s vaší ASP, vyberte synchronizovat síť.
• Pokud pracujete v rámci sítě VPN, je místní brána nakonfigurovaná pro směrování provozu zpět do Azure? Pokud máte přístup k koncovým bodům ve vaší virtuální síti, ale ne v místním prostředí, Projděte si své trasy.
• Pokoušíte se použít bránu koexistence, která podporuje obě body na lokalitu a ExpressRoute? Pro integraci virtuální sítě se nepodporují brány koexistence.

Ladění problémů se sítí je problém, protože nemůžete zjistit, co blokuje přístup k určitému hostiteli: kombinace portů. Mezi některé příčiny patří:

• Máte bránu firewall na hostiteli, která brání přístupu k portu aplikace z rozsahu IP adres typu Point-to-site. Překročení podsítí často vyžaduje veřejný přístup.
• Cílový hostitel nefunguje.
• Vaše aplikace je mimo provoz.
• Měli jste nesprávnou IP adresu nebo název hostitele.
• Vaše aplikace naslouchá na jiném portu, než jste očekávali. ID procesu můžete porovnat s portem naslouchání pomocí příkazu netstat-aon na hostiteli koncového bodu.
• Vaše skupiny zabezpečení sítě jsou nakonfigurovány tak, aby bránily přístupu k hostiteli a portu vaší aplikace z rozsahu IP adres typu Point-to-site.

Nevíte, jakou adresu vaše aplikace skutečně používá. Může to být jakákoli adresa v podsíti integrace nebo rozsah adres Point-to-site, takže je potřeba umožnit přístup z celého rozsahu adres.

Mezi další kroky ladění patří:

• Připojení k virtuálnímu počítači ve virtuální síti a zkuste se připojit k hostiteli prostředků: port. K otestování přístupu TCP použijte příkaz PowerShellu test-NetConnection. Syntaxe je:

  test-netconnection hostname [optional: -Port]
  

• Zaveďte aplikaci na virtuální počítač a otestujte přístup k tomuto hostiteli a portu z konzoly z vaší aplikace pomocí tcpping.

Místní prostředky

Pokud se vaše aplikace nemůže připojit k místnímu prostředku, ověřte, jestli se můžete spojit s prostředkem z vaší virtuální sítě. K ověření přístupu TCP použijte příkaz prostředí PowerShell test-NetConnection . Pokud se váš virtuální počítač nemůže připojit k místnímu prostředku, připojení VPN nebo ExpressRoute možná není správně nakonfigurované.

Pokud se virtuální počítač hostovaný virtuální sítí může dostat k vašemu místnímu systému, ale vaše aplikace nemůže, příčinou může být jeden z následujících důvodů:

• Vaše trasy nejsou nakonfigurované s vaší podsítí nebo rozsahy adres Point-to-site v místní bráně.
• Vaše skupiny zabezpečení sítě blokují přístup k rozsahu IP adres Point-to-site.
• Místní brány firewall blokují provoz z rozsahu IP adres Point-to-site.
• Snažíte se spojit s adresou, která není RFC 1918, pomocí funkce integrace místní virtuální sítě.

Před odpojením integrace virtuální sítě se odstraní plán App Service nebo webová aplikace.

Pokud jste odstranili webovou aplikaci nebo plán App Service bez předchozího odpojení integrace virtuální sítě, nebudete moci provádět žádné operace aktualizace a odstranění ve virtuální síti nebo podsíti, která byla použita pro integraci s odstraněným prostředkem. Delegování podsítě Microsoft. Web/serverových farem zůstane přiřazené k vaší podsíti a zabrání operacím aktualizace/odstranění.

Pokud chcete znovu aktualizovat nebo odstranit podsíť nebo virtuální síť, musíte znovu vytvořit integraci virtuální sítě a potom ji odpojit:

1. Vytvořte znovu plán App Service a webovou aplikaci (je povinné použít stejný název webové aplikace jako dříve).
2. Přejděte do okna sítě na webové aplikaci a nakonfigurujte integraci virtuální sítě.
3. Po nakonfigurování integrace virtuální sítě vyberte tlačítko Odpojit.
4. Odstraňte App Service plán nebo webovou aplikaci.
5. Aktualizujte nebo odstraňte podsíť nebo virtuální síť.

Pokud i nadále narazíte na problémy s integrací virtuální sítě po provedení výše uvedených kroků, kontaktujte prosím podpora Microsoftu.