Vlastní nastavení konfigurace pro službu App Service Environment
Přehled
Vzhledem k tomu, že prostředí App Service Environment jsou izolovaná pro jednoho zákazníka, existují určitá nastavení konfigurace, která se dají použít výhradně ve službě App Service Environment. Tento článek popisuje různá specifická přizpůsobení, která jsou k dispozici pro app Service Environment.
Poznámka:
Tento článek popisuje funkce, výhody a případy použití služby App Service Environment v3, které se používají s plány App Service Isolated v2.
Pokud nemáte službu App Service Environment, přečtěte si téma Vytvoření služby App Service Environment v3.
Přizpůsobení služby App Service Environment můžete uložit pomocí pole v novém clusteru Nastavení atributu. Tento atribut se nachází ve slovníku Properties entity hostEnvironments Azure Resource Manageru.
Následující zkrácený fragment šablony Resource Manageru ukazuje atribut clusteru Nastavení:
"resources": [
{
"apiVersion": "2021-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"properties": {
"clusterSettings": [
{
"name": "nameOfCustomSetting",
"value": "valueOfCustomSetting"
}
],
"internalLoadBalancingMode": ...,
etc...
}
}
Cluster Nastavení atribut může být součástí šablony Resource Manageru pro aktualizaci služby App Service Environment.
Použití Azure Resource Exploreru k aktualizaci služby App Service Environment
Alternativně můžete službu App Service Environment aktualizovat pomocí Azure Resource Exploreru.
- V Průzkumníku prostředků přejděte do uzlu služby App Service Environment (předplatná>{vaše předplatná}>resourceGroups>{vaše skupina prostředků}>poskytovatelé>Microsoft.Web>hostingEnvironments). Potom klikněte na konkrétní službu App Service Environment, kterou chcete aktualizovat.
- V pravém podokně klikněte na tlačítko Číst/Zapisovat na horním panelu nástrojů, aby se povolily interaktivní úpravy v Průzkumníku prostředků.
- Kliknutím na modré tlačítko Upravit můžete šablonu Resource Manageru upravit.
- Posuňte se do dolní části pravého podokna. Atribut clusteru Nastavení je úplně dole, kde můžete zadat nebo aktualizovat jeho hodnotu.
- Zadejte (nebo zkopírujte a vložte) pole požadovaných hodnot konfigurace v clusteru Nastavení atributu.
- Kliknutím na zelené tlačítko PUT umístěné v horní části pravého podokna potvrďte změnu do služby App Service Environment.
Změnu však odešlete, změna není okamžitá a může trvat až 24 hodin, než se změna plně projeví. Některá nastavení obsahují konkrétní podrobnosti o čase a dopadu konfigurace konkrétního nastavení.
Povolení interního šifrování
App Service Environment funguje jako systém černé skříňky, kde nevidíte interní komponenty ani komunikaci v systému. Pokud chcete povolit vyšší propustnost, šifrování není ve výchozím nastavení povolené mezi interními komponentami. Systém je zabezpečený, protože provoz je nepřístupný pro monitorování nebo přístup. Pokud máte požadavek na dodržování předpisů, který vyžaduje úplné šifrování cesty k datům od konce do konce, existuje způsob, jak povolit šifrování úplné cesty k datům pomocí clusterSetting.
"clusterSettings": [
{
"name": "InternalEncryption",
"value": "true"
}
],
Nastavení InternalEncryption na true šifruje interní síťový provoz ve službě App Service Environment mezi front-endy a pracovními procesy, zašifruje stránkovací soubor a také šifruje pracovní disky. Po povolení internalEncryption clusterSetting může mít vliv na výkon vašeho systému. Když provedete změnu pro povolení InternalEncryption, bude vaše služba App Service Environment v nestabilním stavu, dokud se tato změna plně nešíší. Dokončení rozšíření změny může trvat několik hodin v závislosti na tom, kolik instancí ve službě App Service Environment máte. Důrazně doporučujeme nepovolovat internalEncryption ve službě App Service Environment, když se používá. Pokud potřebujete povolit InternalEncryption v aktivně používaném prostředí App Service Environment, důrazně doporučujeme převést provoz do prostředí zálohování, dokud se operace nedokončí.
Zákaz protokolu TLS 1.0 a TLS 1.1
Pokud chcete spravovat nastavení protokolu TLS v aplikaci podle aplikace, můžete použít pokyny uvedené v dokumentaci k vynucení nastavení protokolu TLS.
Pokud chcete zakázat veškerý příchozí provoz TLS 1.0 a TLS 1.1 pro všechny aplikace ve službě App Service Environment, můžete nastavit následující cluster Nastavení položku:
"clusterSettings": [
{
"name": "DisableTls1.0",
"value": "1"
}
],
Název nastavení říká 1.0, ale při konfiguraci zakáže protokol TLS 1.0 i TLS 1.1.
Změna pořadí šifrovacích sad TLS
App Service Environment podporuje změnu šifrovací sady z výchozího nastavení. Výchozí sada šifer je stejná sada, která se používá ve službě s více tenanty. Změna šifrovacích sad má vliv na celé nasazení služby App Service, aby to bylo možné jenom v prostředí App Service Environment s jedním tenantem. Pro službu App Service Environment jsou vyžadovány dvě šifrovací sady. TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 a TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Pokud chcete provozovat službu App Service Environment s nejsilnější a nejmíň sadou šifrovacích sad, použijte pouze dvě požadované šifry. Pokud chcete nakonfigurovat službu App Service Environment tak, aby používala jenom šifry, které vyžaduje, upravte cluster Nastavení jak je znázorněno níže.
"clusterSettings": [
{
"name": "FrontEndSSLCipherSuiteOrder",
"value": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
}
],
Upozorňující
Pokud jsou pro sadu šifer nastaveny nesprávné hodnoty, které SChannel nerozumí, může všechna komunikace TLS se serverem přestat fungovat. V takovém případě budete muset odebrat položku FrontEndSSLCipherSuiteOrder z clusteru Nastavení a odeslat aktualizovanou šablonu Resource Manageru, abyste se vrátili k výchozímu nastavení šifrovací sady. Tuto funkci používejte s opatrností.
Začínáme
Web šablony Resource Manageru pro rychlý start Azure obsahuje šablonu se základní definicí pro vytvoření služby App Service Environment.