Přehled síťové architektury ve službě App Service Environment

Důležité

Tento článek se týká služby App Service Environment v1. Služba App Service Environment v1 bude vyřazena 31. srpna 2024. Existuje nová verze služby App Service Environment, která se snadněji používá a běží na výkonnější infrastruktuře. Další informace o nové verzi najdete v úvodu do služby App Service Environment. Pokud aktuálně používáte App Service Environment v1, postupujte podle kroků v tomto článku a proveďte migraci na novou verzi.

Od 29. ledna 2024 už nemůžete vytvářet nové prostředky služby App Service Environment verze 1 pomocí žádné z dostupných metod, včetně šablon ARM/Bicep, webu Azure Portal, Azure CLI nebo rozhraní REST API. Před 31. srpnem 2024 musíte migrovat do služby App Service Environment v3 , abyste zabránili odstranění prostředků a ztrátě dat.

Prostředí App Service Environment se vždy vytvářejí v podsíti virtuální sítě – aplikace spuštěné ve službě App Service Environment můžou komunikovat s privátními koncovými body umístěnými ve stejné topologii virtuální sítě. Vzhledem k tomu, že zákazníci můžou uzamknout části infrastruktury virtuální sítě, je důležité pochopit typy toků síťové komunikace, ke kterým dochází u služby App Service Environment.

Obecný tok sítě

Když služba App Service Environment (ASE) používá pro aplikace veřejnou virtuální IP adresu (VIP), veškerý příchozí provoz dorazí do této veřejné VIRTUÁLNÍ IP adresy. To zahrnuje provoz HTTP a HTTPS pro aplikace a další provoz pro FTP, funkce vzdáleného ladění a operace správy Azure. Úplný seznam konkrétních portů (povinné i volitelné), které jsou k dispozici ve veřejné VIRTUÁLNÍ IP adrese, najdete v článku o řízení příchozího provozu do služby App Service Environment.

App Service Environment také podporuje spouštění aplikací, které jsou vázané jenom na interní adresu virtuální sítě, označované také jako adresa interního nástroje pro vyrovnávání zatížení (interní nástroj pro vyrovnávání zatížení). U služby ASE s povoleným interním nástrojem pro vyrovnávání zatížení, přenosy HTTP a HTTPS pro aplikace a volání vzdáleného ladění dorazí na adresu interního nástroje pro vyrovnávání zatížení. U nejběžnějších konfigurací ILB-ASE se provoz FTP/FTPS dorazí také na adresu interního nástroje pro vyrovnávání zatížení. Operace správy Azure ale budou dál přetékat na porty 454/455 ve veřejné VIRTUÁLNÍ IP adrese s povolenou službou ASE s interním nástrojem pro vyrovnávání zatížení.

Následující diagram znázorňuje přehled různých příchozích a odchozích síťových toků pro službu App Service Environment, kde jsou aplikace svázané s veřejnou virtuální IP adresou:

Služba App Service Environment může komunikovat s privátními koncovými body zákazníka. Aplikace spuštěné ve službě App Service Environment se například můžou připojit k databázovým serverům běžícím na virtuálních počítačích IaaS ve stejné topologii virtuální sítě.

Důležité

Při pohledu na síťový diagram se další výpočetní prostředky nasazují v jiné podsíti než app Service Environment. Nasazení prostředků ve stejné podsíti se službou ASE zablokuje připojení ze služby ASE k těmto prostředkům (s výjimkou konkrétního směrování uvnitř ASE). Místo toho se nasadí do jiné podsítě (ve stejné virtuální síti). Služba App Service Environment se pak bude moct připojit. Není nutná žádná další konfigurace.

Služba App Service Environment také komunikuje s prostředky Sql DB a Azure Storage, které jsou nezbytné ke správě a provozu služby App Service Environment. Některé prostředky SQL a Storage, se kterými služba App Service Environment komunikuje, jsou umístěné ve stejné oblasti jako App Service Environment, zatímco jiné jsou umístěné ve vzdálených oblastech Azure. V důsledku toho se odchozí připojení k internetu vždy vyžaduje, aby služba App Service Environment fungovala správně.

Vzhledem k tomu, že je služba App Service Environment nasazená v podsíti, je možné skupiny zabezpečení sítě použít k řízení příchozího provozu do podsítě. Podrobnosti o tom, jak řídit příchozí provoz do služby App Service Environment, najdete v následujícím článku.

Podrobnosti o povolení odchozího připojení k internetu ze služby App Service Environment najdete v následujícím článku o práci s ExpressRoute. Stejný přístup popsaný v článku platí při práci s připojením typu Site-to-Site a použitím vynuceného tunelování.

Odchozí síťové adresy

Když služba App Service Environment provádí odchozí volání, je IP adresa vždy přidružená k odchozím voláním. Konkrétní použitá IP adresa závisí na tom, jestli se volávaný koncový bod nachází v topologii virtuální sítě nebo mimo topologii virtuální sítě.

Pokud je volaný koncový bod mimo topologii virtuální sítě, pak je použitá veřejná VIRTUÁLNÍ IP adresa služby App Service Environment (označovaná také jako odchozí adresa NAT). Tuto adresu najdete v uživatelském rozhraní portálu pro app Service Environment v části Vlastnosti.

Tuto adresu je možné určit také pro služby ASE, které mají pouze veřejnou VIRTUÁLNÍ IP adresu, vytvořením aplikace ve službě App Service Environment a následným provedením příkazu nslookup na adrese aplikace. Výsledná IP adresa je jak veřejná VIRTUÁLNÍ IP adresa, tak i odchozí adresa PŘEKLADU adres (NAT) služby App Service Environment.

Pokud se volá koncový bod uvnitř topologie virtuální sítě, odchozí adresa volající aplikace bude interní IP adresou jednotlivých výpočetních prostředků, na kterých je aplikace spuštěná. Neexistuje však trvalé mapování interních IP adres virtuální sítě na aplikace. Aplikace se můžou pohybovat mezi různými výpočetními prostředky a fond dostupných výpočetních prostředků ve službě App Service Environment se může měnit kvůli operacím škálování.

Vzhledem k tomu, že se prostředí App Service Environment vždy nachází v podsíti, zaručujete, že interní IP adresa výpočetního prostředku, na kterém běží aplikace, bude vždy v rozsahu CIDR podsítě. V důsledku toho se k zabezpečení přístupu k jiným koncovým bodům ve virtuální síti používají jemně odstupňované seznamy ACL nebo skupiny zabezpečení sítě, musí mít rozsah podsítí obsahující službu App Service Environment udělený přístup.

Následující diagram ukazuje tyto koncepty podrobněji:

V předchozím diagramu:

• Vzhledem k tomu, že veřejná VIRTUÁLNÍ IP adresa služby App Service Environment je 192.23.1.2, jedná se o odchozí IP adresu použitou při volání do koncových bodů internetu.
• Rozsah CIDR obsahující podsítě pro app Service Environment je 10.0.1.0/26. Ostatní koncové body ve stejné infrastruktuře virtuální sítě uvidí volání z aplikací, které pocházejí někam v rámci tohoto rozsahu adres.

Volání mezi službami App Service Environment

Složitější scénář může nastat, pokud ve stejné virtuální síti nasadíte více prostředí App Service Environment a provedete odchozí volání z jedné služby App Service Environment do jiné služby App Service Environment. Tyto typy volání mezi službami App Service Environment budou také považovány za volání internetu.

Následující diagram znázorňuje příklad vrstvené architektury s aplikacemi v jedné službě App Service Environment (například webové aplikace "Front door") volající aplikace ve druhém prostředí App Service Environment (například interní back-endové aplikace API, které nemají být přístupné z internetu).

V příkladu výše má služba App Service Environment "ASE One" odchozí IP adresu 192.23.1.2. Pokud aplikace spuštěná v této službě App Service Environment provede odchozí volání aplikace spuštěné ve druhé službě App Service Environment ("ASE Two") umístěné ve stejné virtuální síti, bude odchozí volání považováno za volání "Internet". V důsledku toho se síťový provoz přicházející do druhé služby App Service Environment zobrazí jako pocházející z verze 192.23.1.2 (to znamená ne rozsah adres podsítě prvního služby App Service Environment).

I když se volání mezi různými prostředími App Service Environment považují za "internetová" volání, když se obě prostředí App Service Environment nacházejí ve stejné oblasti Azure, síťový provoz zůstane v místní síti Azure a nebude fyzicky přetékat přes veřejný internet. V důsledku toho můžete použít skupinu zabezpečení sítě v podsíti druhé služby App Service Environment, abyste povolili pouze příchozí volání z prvního prostředí App Service Environment (jehož odchozí IP adresa je 192.23.1.2), čímž zajistíte zabezpečenou komunikaci mezi službami App Service Environment.

Další odkazy a informace

Podrobnosti o příchozích portech používaných službou App Service Environment a používání skupin zabezpečení sítě k řízení příchozího provozu najdete tady.

Podrobnosti o používání tras definovaných uživatelem k udělení odchozího přístupu k internetu do služby App Service Environment najdete v tomto článku.