Integrieren Ihrer App in ein Azure Virtual NetworkIntegrate your app with an Azure Virtual Network

In diesem Dokument wird die Azure App Service-Funktion für die Integration in ein virtuelles Netzwerk beschrieben, und Sie erfahren, wie Sie die Funktion mit Apps in Azure App Service einrichten.This document describes the Azure App Service virtual network integration feature and how to set it up with apps in the Azure App Service. Mit Azure Virtual Networks (VNETs) können Sie viele Ihrer Azure-Ressourcen in einem Netzwerk platzieren, das nicht über das Internet geroutet werden kann.Azure Virtual Networks (VNets) allow you to place many of your Azure resources in a non-internet routable network.

Es gibt zwei Varianten der Nutzung von Azure App Service.The Azure App Service has two variations.

  1. Mehrinstanzenfähige Systeme, die den gesamten Bereich der Tarife unterstützen, mit Ausnahme von IsoliertThe multi-tenant systems that support the full range of pricing plans except Isolated
  2. Die App Service-Umgebung (App Service Environment, ASE), die in Ihrem VNET bereitgestellt wird und Apps im Tarif „App Service (isoliert)“ unterstütztThe App Service Environment (ASE), which deploys into your VNet and supports Isolated pricing plan apps

In diesem Dokument werden die beiden Funktionen für die VNET-Integration erläutert, die in der mehrinstanzenfähigen App Service-Lösung verwendet werden können.This document goes through the two VNet Integration features, which is for use in the multi-tenant App Service. In der App Service-Umgebung befindet sich Ihre App bereits in einem VNET und benötigt das VNET-Integrationsfeature nicht, um Ressourcen in demselben VNET zu erreichen.If your app is in App Service Environment, then it's already in a VNet and doesn't require use of the VNet Integration feature to reach resources in the same VNet. Ausführliche Informationen zu allen Netzwerkfunktionen von App Service finden Sie unter App Service networking features (App Service-Netzwerkfunktionen).For details on all of the App Service networking features, read App Service networking features

Es gibt zwei Versionen der Funktion für die VNET-Integration:There are two forms to the VNet Integration feature

  1. Eine Version ermöglicht die Integration in VNETs in der gleichen Region.One version enables integration with VNets in the same region. Diese Version der Funktion erfordert ein Subnetz in einem VNET in der gleichen Region.This form of the feature requires a subnet in a VNet in the same region. Diese Funktion ist noch in der Vorschau, wird aber für Windows-App-Produktionsworkloads unterstützt, wobei einige Einschränkungen unten aufgeführt sind.This feature is still in preview but is supported for Windows app production workloads with some caveats noted below.
  2. Die andere Version ermöglicht die Integration in VNETs in anderen Regionen oder in klassische VNETs.The other version enables integration with VNets in other regions or with Classic VNets. Diese Version erfordert die Bereitstellung eines virtuellen Netzwerkgateways in Ihrem VNET.This version of the feature requires deployment of a Virtual Network Gateway into your VNet. Dies ist das Feature, das auf einer Point-to-Site-VPN-Verbindung basiert und nur für Windows-Apps unterstützt wird.This is the point-to-site VPN-based feature and is only supported with Windows apps.

Für eine App kann jeweils nur eine Version der Funktion für die VNET-Integration verwendet werden.An app can only use one form of the VNet Integration feature at a time. Daher stellt sich die Frage, welche Version für Sie die richtige Lösung ist.The question then is which feature should you use. Beide Versionen können für viele Zwecke verwendet werden.You can use either for many things. Es gibt jedoch einige wesentliche Unterschiede:The clear differentiators though are:

ProblemProblem LösungSolution
Sie möchten eine RFC 1918-Adresse (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) in der gleichen Region erreichen.Want to reach an RFC 1918 address (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) in the same region Regionale VNET-Integrationregional VNet Integration
Sie möchten Ressourcen in einem klassischen VNET oder einem VNET in einer anderen Region erreichen.Want to reach resources in a Classic VNet or a VNet in another region VNET-Integration, die ein Gateway erfordertgateway required VNet Integration
Sie möchten RFC 1918-Endpunkte über ExpressRoute erreichen.Want to reach RFC 1918 endpoints across ExpressRoute Regionale VNET-Integrationregional VNet Integration
Sie möchten Ressourcen über Dienstendpunkte erreichen.Want to reach resources across service endpoints Regionale VNET-Integrationregional VNet Integration

RFC 1918-fremde Adressen können mit keiner Version der Funktion über ExpressRoute erreicht werden.Neither feature will enable you to reach non-RFC 1918 addresses across ExpressRoute. Dazu müssen Sie gegenwärtig eine ASE verwenden.To do that you need to use an ASE for now.

Bei der regionalen VNET-Integration wird Ihr VNET weder mit dem lokalen Netzwerk verbunden noch werden Dienstendpunkte konfiguriert.Using the regional VNet Integration does not connect your VNet to on-premises or configure service endpoints. Dafür ist eine separate Netzwerkkonfiguration erforderlich.That is separate networking configuration. Die regionale VNET-Integration ermöglicht es Ihrer App lediglich, Aufrufe für diese Verbindungstypen auszuführen.The regional VNet Integration simply enables your app to make calls across those connection types.

Unabhängig von der verwendeten Version erhält Ihre Web-App durch die VNET-Integration Zugriff auf Ressourcen in Ihrem virtuellen Netzwerk, es wird aber kein eingehender privater Zugriff auf Ihre Web-App aus dem virtuellen Netzwerk gewährt.Regardless of the version used, VNet Integration gives your web app access to resources in your virtual network but doesn't grant inbound private access to your web app from the virtual network. Privater Websitezugriff bezieht sich darauf, den Zugriff auf Ihre App nur über ein privates Netzwerk zuzulassen, z.B. aus einem virtuellen Azure-Netzwerk heraus.Private site access refers to making your app only accessible from a private network such as from within an Azure virtual network. Die VNET-Integration dient nur zum Ausführen ausgehender Aufrufe von Ihrer App in Ihr VNET.VNet Integration is only for making outbound calls from your app into your VNet.

Für die Funktion für die VNET-Integration gilt Folgendes:The VNet Integration feature:

  • erfordert einen der Tarife Tarif Standard, Premium oder PremiumV2requires a Standard, Premium, or PremiumV2 pricing plan
  • TCP und UDP wird unterstütztsupports TCP and UDP
  • funktioniert mit App Service-Apps und Funktions-Appsworks with App Service apps, and Function apps

Einige Dinge werden von der VNET-Integration nicht unterstützt, z.B.:There are some things that VNet Integration doesn't support including:

  • Bereitstellung eines Laufwerksmounting a drive
  • AD-IntegrationAD integration
  • NetBiosNetBios

Regionale VNET-IntegrationRegional VNet Integration

Hinweis

Peering ist für Linux-basierten App Service noch nicht verfügbar.Peering is not yet available for Linux based App Service.

Wenn Sie die VNET-Integration mit VNETs verwenden, die sich in der gleichen Region befinden wie Ihre App, ist ein delegiertes Subnetz mit mindestens 32 Adressen erforderlich.When VNet Integration is used with VNets in the same region as your app, it requires the use of a delegated subnet with at least 32 addresses in it. Das Subnetz kann nicht für andere Zwecke verwendet werden.The subnet cannot be used for anything else. Ausgehende Aufrufe von Ihrer App erfolgen von den Adressen im delegierten Subnetz.Outbound calls made from your app will be made from the addresses in the delegated subnet. Bei dieser Version der VNET-Integration werden die Aufrufe von Adressen in Ihrem VNET ausgeführt.When you use this version of VNet Integration, the calls are made from addresses in your VNet. Die Verwendung von Adressen in Ihrem VNET ermöglicht Ihrer App Folgendes:Using addresses in your VNet enables your app to:

  • Aufrufe an per Dienstendpunkt geschützte DiensteMake calls to service endpoint secured services
  • Zugriff auf Ressourcen über ExpressRoute-VerbindungenAccess resources across ExpressRoute connections
  • Zugriff auf Ressourcen im VNET, mit dem Sie verbunden sindAccess resources in the VNet you are connected to
  • Zugriff auf Ressourcen über Verbindungen mit Peering, einschließlich ExpressRoute-VerbindungenAccess resources across peered connections including ExpressRoute connections

Diese Funktion ist zurzeit als Vorschauversion verfügbar, wird aber mit folgenden Einschränkungen für Windows-App-Produktionsworkloads unterstützt:This feature is in preview but, it is supported for Windows app production workloads with the following limitations:

  • Sie können nur Adressen im RFC 1918-Bereich erreichen.You can only reach addresses that are in the RFC 1918 range. d. h. Adressen in den Adressblöcken 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16.Those are addresses in the 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 address blocks.
  • Sie können nicht über Verbindungen mit globalem Peering auf Ressourcen zugreifen.You cannot reach resources across global peering connections
  • Sie können keine Routen für den Datenverkehr festlegen, der von Ihrer App in Ihr VNET gesendet wird.You cannot set routes on the traffic coming from your app into your VNet
  • Die Funktion ist nur bei neueren App Service-Skalierungseinheiten verfügbar, die App Service-Pläne mit dem Tarif „PremiumV2“ unterstützen.The feature is only available from newer App Service scale units that support PremiumV2 App Service plans.
  • Das Integrationssubnetz kann nur von einem App Service-Plan verwendet werden.The integration subnet can only be used by only one App Service plan
  • Die Funktion kann nicht für Apps im Plan „App Service (isoliert)“ in einer App Service-Umgebung verwendet werden.The feature cannot be used by Isolated plan apps that are in an App Service Environment
  • Für das Feature ist ein nicht genutztes Subnetz erforderlich, also vom Typ /27 mit 32 Adressen oder höher in Ihrem Resource Manager-VNET.The feature requires an unused subnet that is a /27 with 32 addresses or larger in your Resource Manager VNet
  • Die App und das VNET müssen sich in der gleichen Region befinden.The app and the VNet must be in the same region
  • Ein VNET mit einer integrierten App kann nicht gelöscht werden.You cannot delete a VNet with an integrated app. Sie müssen zuerst die Integration entfernen.You must remove the integration first
  • Sie können nur eine regionale VNET-Integration pro App Service-Plan verwenden.You can have only one regional VNet Integration per App Service plan. Mehrere Apps im gleichen App Service-Plan können das gleiche VNET verwenden.Multiple apps in the same App Service plan can use the same VNet.
  • Sie können das Abonnement einer App oder eines App Service-Plans nicht ändern, solange eine App vorhanden ist, die eine regionale VNet-Integration verwendet.You cannot change the subscription of an app or an App Service plan while there is an app that is using Regional VNet Integration

Eine Adresse wird für jede Instanz des App Service-Plans verwendet.One address is used for each App Service plan instance. Wenn Sie Ihre App auf fünf Instanzen skaliert haben, werden fünf Adressen genutzt.If you scaled your app to 5 instances, then 5 addresses are used. Da die Subnetzgröße nach der Zuweisung nicht geändert werden kann, müssen Sie ein Subnetz verwenden, das für die Aufnahme jedweder Skalierung Ihrer App groß genug ist.Since subnet size cannot be changed after assignment, you must use a subnet that is large enough to accommodate whatever scale your app may reach. Die empfohlene Größe ist A /26 mit 64 Adressen.A /26 with 64 addresses is the recommended size. A /27 mit 32 Adressen würde 20 Instanzen eines Premium-App Service-Plans aufnehmen, wenn Sie die Größe des App Service-Plans nicht geändert haben.A /27 with 32 addresses would accommodate a Premium App Service plan 20 instances if you didn't change the size of the App Service plan. Wenn Sie einen App Service-Plan zentral hoch- oder herunterskalieren, benötigen Sie für einen kurzen Zeitraum doppelt so viele Adressen.When you scale an App Service plan up or down, you need twice as many addresses for a short period of time.

Wenn Sie möchten, dass Ihre Apps in einem anderen App Service-Plan ein VNET erreichen, das bereits mit Apps in einem anderen App Service-Plan verbunden ist, müssen Sie ein anderes Subnetz auswählen. Es darf nicht das Subnetz sein, das von der bereits vorhandenen VNET-Integration verwendet wird.If you want your apps in another App Service plan to reach a VNet that is connected to already by apps in another App Service plan, you need to select a different subnet than the one being used by the pre-existing VNet Integration.

Diese Funktion befindet sich auch für Linux in der Vorschauphase.The feature is in preview also for Linux. So verwenden Sie die Funktion für die VNET-Integration mit einem Resource Manager-VNET in der gleichen Region:To use the VNet Integration feature with a Resource Manager VNet in the same region:

  1. Wechseln Sie zur Netzwerkbenutzeroberfläche im Portal.Go to the Networking UI in the portal. Wenn Ihre App die neue Funktion unterstützt, ist eine Option „VNET hinzufügen (Vorschauversion)“ verfügbar.If your app is able to use the new feature, then you will see an option to Add VNet (preview).

    Auswählen der VNET-Integration

  2. Wählen Sie VNET hinzufügen (Vorschau) aus.Select Add VNet (preview).

  3. Wählen Sie das Resource Manager-VNET aus, das Sie integrieren möchten, und erstellen Sie dann ein neues Subnetz, oder wählen Sie ein vorhandenes leeres Subnetz aus.Select the Resource Manager VNet that you want to integrate with and then either create a new subnet or pick an empty pre-existing subnet. Die Integration dauert weniger als eine Minute.The integration takes less than a minute to complete. Während der Integration wird Ihre App neu gestartet.During the integration, your app is restarted. Nach Abschluss der Integration werden Details für das VNET, mit dem Sie integriert sind, angezeigt, und ein Banner oben informiert Sie, dass sich das Feature in der Vorschau befindet.When integration is completed, you will see details on the VNet you are integrated with and a banner at the top that tells you the feature is in preview.

    Auswählen von VNET und Subnetz

Nachdem Ihre App in Ihr VNET integriert wurde, verwendet sie den DNS-Server, mit dem Ihr VNET konfiguriert ist.Once your app is integrated with your VNet, it will use the same DNS server that your VNet is configured with.

Eine regionale VNET-Integration erfordert, dass Ihr Integrationssubnetz an Microsoft.Web delegiert wird.Regional VNet Integration requires your integration subnet to be delegated to Microsoft.Web. Das Subnetz wird von der Benutzeroberfläche der VNet-Integration automatisch an Microsoft.Web delegiert.The VNet Integration UI will delegate the subnet to Microsoft.Web automatically. Wenn Ihr Konto nicht über ausreichende Netzwerkberechtigungen verfügt, um dies festzulegen, benötigen Sie eine Person, die in Ihrem Integrationssubnetz Attribute festlegen kann, um das Subnetz zu delegieren.If your account does not have sufficient networking permissions to set this, you will need someone who can set attributes on your integration subnet to do delegate the subnet. Wenn Sie das Subnetz für die Integration manuell delegieren möchten, wechseln Sie zur Benutzeroberfläche des Azure Virtual Network-Subnetzes, und legen Sie Delegierung für Microsoft.Web fest.To manually delegate the integration subnet, go to the Azure Virtual Network subnet UI and set delegation for Microsoft.Web.

Um Ihre App vom VNET zu trennen, wählen Sie Verbindung trennen aus.To disconnect your app from the VNet, select Disconnect. Hiermit wird Ihre Web-App neu gestartet.This will restart your web app.

Web-App für ContainerWeb App for Containers

Wenn Sie App Service unter Linux mit den integrierten Images verwenden, funktioniert die regionale VNET-Integration ohne zusätzliche Änderungen.If you use App Service on Linux with the built-in images, the regional VNet Integration feature works without additional changes. Wenn Sie Web-App für Container verwenden, müssen Sie Ihr Docker-Image ändern, um die VNET-Integration zu verwenden.If you use Web App for Containers, you need to modify your docker image in order to use VNet Integration. Verwenden Sie in Ihrem Docker-Image die Umgebungsvariable PORT als Hauptlauschport des Webservers, anstatt eine hartcodierte Portnummer zu verwenden.In your docker image, use the PORT environment variable as the main web server’s listening port, instead of using a hardcoded port number. Die Umgebungsvariable PORT wird von der App Service-Plattform automatisch beim Start des Containers festgelegt.The PORT environment variable is automatically set by App Service platform at the container startup time. Wenn Sie SSH verwenden, muss der SSH-Daemon so konfiguriert sein, dass er auf den Port mit der Nummer lauscht, die in der SSH_PORT-Umgebungsvariablen angegeben ist, wenn regionale VNET-Integration verwendet wird.If you are using SSH, then the SSH daemon must be configured to listen on the port number specified by the SSH_PORT environment variable when using regional VNet integration.

DienstendpunkteService Endpoints

Mit dem neuen VNET-Integrationsfeature können Sie Dienstendpunkte verwenden.The new VNet Integration feature enables you to use service endpoints. Um Dienstendpunkte mit Ihrer App zu verwenden, stellen Sie über die neue VNET-Integration eine Verbindung mit einem ausgewählten VNET her, und konfigurieren Sie dann Dienstendpunkte in dem für die Integration verwendeten Subnetz.To use service endpoints with your app, use the new VNet Integration to connect to a selected VNet and then configure service endpoints on the subnet you used for the integration.

Funktionsweise der VNET-IntegrationHow VNet Integration works

Apps in App Service werden auf Workerrollen gehostet.Apps in the App Service are hosted on worker roles. Der Tarif „Basic“ und höhere Tarife sind dedizierte Hostingpläne, bei denen keine anderen Kundenworkloads auf den gleichen Workern ausgeführt werden.The Basic and higher pricing plans are dedicated hosting plans where there are no other customers workloads running on the same workers. Die VNET-Integration beruht auf der Einbindung virtueller Schnittstellen mit Adressen im delegierten Subnetz.VNet Integration works by mounting virtual interfaces with addresses in the delegated subnet. Da sich die Von-Adresse in Ihrem VNET befindet, hat sie ähnlich wie eine VM im VNET Zugriff auf die meisten Ressourcen, die im oder über das VNET verfügbar sind.Because the from address is in your VNet, it has access to most things in or through your VNet just like a VM in your VNet would. Die Netzwerkimplementierung unterscheidet sich von der Ausführung einer VM in Ihrem VNET. Einige Netzwerkfeatures sind daher bei der Verwendung dieser Funktion noch nicht verfügbar.The networking implementation is different than running a VM in your VNet and that is why some networking features are not yet available while using this feature.

VNET-Integration

Wenn die VNET-Integration aktiviert ist, sendet Ihre App ausgehende Aufrufe an das Internet weiterhin über die üblichen Kanäle.When VNet Integration is enabled, your app will still make outbound calls to the internet through the same channels as normal. Ihre App verwendet nach wie vor die ausgehenden Adressen, die im Portal für die App-Eigenschaften aufgeführt sind.The outbound addresses that are listed in the app properties portal are still the addresses used by your app. Was sich für Ihre App ändert, sind Aufrufe an per Dienstendpunkt geschützte Dienste oder RFC 1918-Adressen. Diese Aufrufe werden in Ihr VNET geleitet.What changes for your app are, calls to service endpoint secured services or RFC 1918 addresses goes into your VNet.

Die Funktion unterstützt nur eine virtuelle Schnittstelle pro Worker,The feature only supports one virtual interface per worker. Eine virtuelle Schnittstelle pro Worker bedeutet eine regionale VNET-Integration pro App Service Plan.One virtual interface per worker means one regional VNet Integration per App Service plan. Alle Apps im gleichen App Service-Plan können die gleiche VNET-Integration verwenden. Wenn eine App jedoch eine Verbindung mit einem zusätzlichen VNET herstellen muss, müssen Sie jedoch einen weiteren App Service-Plan erstellen.All of the apps in the same App Service plan can use the same VNet Integration but if you need an app to connect to an additional VNet, you will need to create another App Service plan. Die verwendete virtuelle Schnittstelle ist keine Ressource, auf die Kunden direkten Zugriff haben.The virtual interface used is not a resource that customers have direct access to.

Aufgrund der Funktionsweise dieser Technologie wird der Datenverkehr in Verbindung mit der VNET-Integration nicht in Network Watcher- oder NSG-Flussprotokollen (Netzwerksicherheitsgruppe) aufgeführt.Due to the nature of how this technology operates, the traffic that is used with VNet Integration does not show up in Network Watcher or NSG flow logs.

VNET-Integration, die ein Gateway erfordertGateway required VNet Integration

Die Funktion für die von einem Gateway abhängige VNET-Integration:The Gateway required VNet Integration feature:

  • Kann zum Herstellen einer Verbindung mit VNETs in einer beliebigen Region verwendet werden (sowohl Resource Manager-VNETs als auch klassische VNETs)Can be used to connect to VNets in any region be they Resource Manager or Classic VNets
  • Eine App kann nur jeweils mit einem VNET eine Verbindung herstellenEnables an app to connect to only 1 VNet at a time
  • Bis zu fünf VNETs können in einen App Service-Plan integriert werdenEnables up to five VNets to be integrated with in an App Service Plan
  • Ermöglicht die Verwendung des gleichen VNET durch mehrere Apps, ohne dass sich dies auf die für einen App Service-Plan zulässige Gesamtanzahl von VNETs auswirkt.Allows the same VNet to be used by multiple apps in an App Service Plan without impacting the total number that can be used by an App Service plan. (wenn Sie sechs Apps haben, die das gleiche VNET im gleichen App Service-Plan nutzen, zählt dies als ein VNET)If you have 6 apps using the same VNet in the same App Service plan, that counts as 1 VNet being used.
  • Erfordert ein virtuelles Netzwerkgateway, das mit Point-to-Site-VPN konfiguriert istRequires a Virtual Network Gateway that is configured with Point to Site VPN
  • Unterstützt dank der SLA auf dem Gateway eine SLA mit einer Verfügbarkeit von 99,9%Supports a 99.9% SLA due to the SLA on the gateway

Folgendes wird von dieser Funktion nicht unterstützt:This feature does not support:

  • Verwenden mit Linux-AppsUse with Linux apps
  • Zugriff auf Ressourcen über ExpressRouteAccessing resources across ExpressRoute
  • Zugriff auf Ressourcen über DienstendpunkteAccessing resources across Service Endpoints

Erste SchritteGetting started

Beachten Sie Folgendes, bevor Sie Ihre Web-App mit einem virtuellen Netzwerk verbinden:Here are some things to keep in mind before connecting your web app to a virtual network:

  • Ein virtuelles Zielnetzwerk muss über ein Point-to-Site-VPN mit einem dynamischen Routinggateway aktiviert werden, bevor es mit einer App verbunden werden kann.A target virtual network must have point-to-site VPN enabled with a route-based gateway before it can be connected to app.
  • Das VNET muss sich im gleichen Abonnement befinden wie Ihr App Service-Plan (ASP).The VNet must be in the same subscription as your App Service Plan(ASP).
  • Die Apps, die in ein VNET integriert sind, nutzen das DNS, das für das VNET angegeben ist.The apps that integrate with a VNet use the DNS that is specified for that VNet.

Einrichten eines Gateways in Ihrem VNETSet up a gateway in your VNet

Wenn Sie bereits über ein Gateway verfügen, das mit Point-to-Site-Adressen konfiguriert ist, können Sie mit dem Konfigurieren der VNET-Integration mit Ihrer App fortfahren.If you already have a gateway configured with point-to-site addresses, you can skip to configuring VNet Integration with your app.
So erstellen Sie ein GatewayTo create a gateway:

  1. Erstellen Sie ein Gatewaysubnetz in Ihrem VNET.Create a gateway subnet in your VNet.

  2. Erstellen Sie das VPN-Gateway.Create the VPN gateway. Wählen Sie einen routenbasierten VPN-Typ aus.Select a route-based VPN type.

  3. Legen Sie die Point-to-Site-Adressen fest.Set the point to site addresses. Wenn sich das Gateway nicht in der Basic-SKU befindet, muss IKEV2 in der Point-to-Site-Konfiguration deaktiviert und SSTP ausgewählt werden.If the gateway isn't in the basic SKU, then IKEV2 must be disabled in the point-to-site configuration and SSTP must be selected. Der Adressraum muss in den RFC 1918-Adressblöcken 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 liegen.The address space must be in the RFC 1918 address blocks, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16

Wenn Sie das Gateway nur für die Verwendung mit der App Service-VNET-Integration erstellen, müssen Sie kein Zertifikat hochladen.If you are just creating the gateway for use with App Service VNet Integration, then you do not need to upload a certificate. Das Erstellen des Gateways kann 30 Minuten dauern.Creating the gateway can take 30 minutes. Sie können Ihre App erst mit Ihrem VNET integrieren, nachdem das Gateway bereitgestellt wurde.You will not be able to integrate your app with your VNet until the gateway is provisioned.

Konfigurieren der VNET-Integration mit Ihrer AppConfigure VNet Integration with your app

So aktivieren Sie die VNET-Integration in Ihrer AppTo enable VNet Integration on your app:

  1. Wechseln Sie im Azure-Portal zu Ihrer App, öffnen Sie die App-Einstellungen, und wählen Sie „Netzwerke > VNET-Integration“ aus.Go to your app in the Azure portal and open app settings and select Networking > VNet Integration. Bei beiden Versionen der VNET-Integration muss Ihr ASP mindestens in einer Standard-SKU enthalten sein, um die Funktion verwenden zu können.Your ASP must be in a Standard SKU or better to use either VNet Integration feature. Benutzeroberfläche der VNET-IntegrationVNet Integration UI

  2. Wählen Sie VNET hinzufügen aus.Select Add VNet. Hinzufügen der VNET-IntegrationAdd VNet Integration

  3. Wählen Sie Ihr VNET aus.Select your VNet. Auswählen Ihres VNETSelect your VNet

Nach diesem letzten Schritt wird Ihre App neu gestartet.Your app will be restarted after this last step.

Funktionsweise der VNET-Integration, die ein Gateway erfordertHow the gateway required VNet Integration feature works

Die Funktion für die von einem Gateway abhängige VNET-Integration basiert auf Point-to-Site-VPN-Technologie.The gateway required VNet Integration feature is built on top of point-to-site VPN technology. Die Point-to-Site-Technologie beschränkt den Netzwerkzugriff auf den virtuellen Computer, auf dem die App gehostet wird.The point-to-site technology limits network access to just the virtual machine hosting the app. Apps sind darauf beschränkt, nur Datenverkehr an das Internet über Hybrid Connections oder VNET-Integration zu senden.Apps are restricted to only send traffic out to the internet, through Hybrid Connections or through VNet Integration.

Funktionsweise der VNET-Integration

Verwalten der VNET-IntegrationManaging VNet Integration

Die Möglichkeit, eine Verbindung mit einem VNET herzustellen und zu trennen, ist auf der App-Ebene angesiedelt.The ability to connect and disconnect to a VNet is at an app level. Vorgänge, die sich auf die VNET-Integration über mehrere Apps auswirken können, werden auf Ebene des App Service-Plans ausgeführt.Operations that can affect the VNet Integration across multiple apps are at the App Service plan level. Sie können im Portal unter „App > Netzwerk > VNET-Integration“ Details zu Ihrem VNET abrufen.From the app > Networking > VNet Integration portal, you can get details on your VNet. Ähnliche Informationen sind auf ASP-Ebene im Portal unter „App Service-Plan > Netzwerk > VNET-Integration“ verfügbar. Dort sehen Sie auch, welche Apps im App Service-Plan eine bestimmte Integration verwenden.You can see similar information at the ASP level in the ASP > Networking > VNet Integration portal including what apps in that App Service plan are using a given integration.

Details zum VNET

Die in der Benutzeroberfläche der VNET-Integration verfügbaren Informationen sind in den App- und ASP-Portalen identisch.The information you have available to you in the VNet Integration UI is the same between the app and ASP portals.

  • VNET-Name: Link zur Benutzeroberfläche des virtuellen NetzwerksVNet Name - links to the virtual network UI
  • Standort: gibt den Standort Ihres VNET an.Location - reflects the location of your VNet. Die Integration mit einem VNET an einem anderen Standort kann Latenzprobleme für Ihre App verursachen.Integrating with a VNet in another location can cause latency issues for your app.
  • Zertifikatstatus: gibt an, ob Ihre Zertifikate zwischen Ihrem App Service-Plan und dem VNET synchron sind.Certificate Status - reflects if your certificates are in sync between your App Service plan and your VNet.
  • Gatewaystatus: Wenn Sie die von einem Gateway abhängige VNET-Integration verwenden, wird der Gatewaystatus angezeigt.Gateway Status - Should you be using the gateway required VNet Integration, you can see the gateway status.
  • VNET-Adressraum: zeigt den IP-Adressraum für Ihr VNET an.VNet address space - shows the IP address space for your VNet.
  • Punkt-zu-Standort-Adressraum: zeigt den Point-to-Site-IP-Adressraum für Ihr VNET an.Point-to-site address space - shows the point to site IP address space for your VNet. Wenn Sie bei Verwendung der von einem Gateway abhängigen Funktion Aufrufe an Ihr VNET ausführen, ist die VON-Adresse Ihrer App eine dieser Adressen.When making calls into your VNet while using the gateway required feature, your app FROM address will be one of these addresses.
  • Standort-zu-Standort-Adressraum: Sie können Site-to-Site-VPNs verwenden, um Ihr VNET mit lokalen Ressourcen oder den anderen VNETs zu verbinden.Site-to-site address space - You can use site-to-site VPNs to connect your VNet to your on-premises resources or to other VNet. Die mit dieser VPN-Verbindung definierten IP-Adressbereiche werden hier dargestellt.The IP ranges defined with that VPN connection are shown here.
  • DNS-Server: zeigt die mit Ihrem VNET konfigurierten DNS-Server.DNS Servers - shows the DNS Servers configured with your VNet.
  • IP addresses routed to the VNet (An das VNET weitergeleitete IP-Adressen): zeigt die Adressblöcke, die zur Weiterleitung in Ihr VNET geroutet werdenIP addresses routed to the VNet - shows the address blocks routed used to drive traffic into your VNet

Der einzige Vorgang, den Sie in der App-Ansicht Ihrer VNET-Integration durchführen können, ist das Trennen Ihrer App von dem VNET, mit dem derzeit eine Verbindung besteht.The only operation you can take in the app view of your VNet Integration is to disconnect your app from the VNet it is currently connected to. Um Ihre App von einem VNET zu trennen, wählen Sie Verbindung trennen aus.To disconnect your app from a VNet, select Disconnect. Wenn Sie die Verbindung mit einem VNET trennen, wird Ihre App neu gestartet.Your app will be restarted when you disconnect from a VNet. Das Trennen der Verbindung führt nicht zu Änderungen in Ihrem VNET.Disconnecting doesn't change your VNet. Das Subnetz oder Gateway wird nicht entfernt.The subnet or gateway is not removed. Wenn Sie Ihr VNET löschen möchten, müssen Sie zuerst Ihre App vom VNET trennen und die darin enthaltenen Ressourcen löschen (z. B. Gateways).If you then want to delete your VNet, you need to first disconnect your app from the VNet and delete the resources in it such as gateways.

Um die Benutzeroberfläche der ASP-VNET-Integration zu erreichen, öffnen Sie die ASP-Benutzeroberfläche, und wählen Sie Netzwerk aus.To reach the ASP VNet Integration UI, open your ASP UI and select Networking. Wählen Sie unter „VNET-Integration“ die Option Zum Konfigurieren hier klicken aus, um die Netzwerkfeaturestatus-Benutzeroberfläche zu öffnen.Under VNet Integration, select Click here to configure to open the Network Feature Status UI.

Informationen zur ASP-VNET-Integration

Die Benutzeroberfläche der ASP-VNET-Integration zeigt alle VNETs an, die von den Apps in Ihrem ASP verwendet werden.The ASP VNet Integration UI will show you all of the VNets that are used by the apps in your ASP. Klicken Sie auf das gewünschte VNET, um Informationen dazu anzuzeigen.To see details on each VNet, click on the VNet you are interested in. Sie können hier zwei Aktionen durchführen.There are two actions you can perform here.

  • Netzwerk synchronisieren.Sync network. Der Vorgang zum Synchronisieren des Netzwerks ist nur für die von einem Gateway abhängige VNET-Integration vorgesehen.The sync network operation is only for the gateway-dependent VNet Integration feature. Durch die Netzwerksynchronisierung wird sichergestellt, dass Ihre Zertifikate und Netzwerkinformationen synchronisiert sind. Wenn Sie das DNS des VNET hinzufügen oder ändern, müssen Sie eine Netzwerksynchronisierung durchführen.Performing a sync network operation ensures that your certificates and network information are in sync. If you add or change the DNS of your VNet, you need to perform a Sync network operation. Bei diesem Vorgang werden alle Apps, die dieses VNET verwenden, neu gestartet.This operation will restart any apps using this VNet.
  • Routen hinzufügen: Durch das Hinzufügen von Routen wird ausgehender Datenverkehr in Ihr VNET geleitet.Add routes Adding routes will drive outbound traffic into your VNet.

Routing: Die in Ihrem VNET definierten Routen werden zum Leiten des Datenverkehrs aus der App in Ihr VNET verwendet.Routing The routes that are defined in your VNet are used to direct traffic into your VNet from your app. Wenn Sie weiteren ausgehenden Datenverkehr in das VNET senden möchten, können Sie diese Adressblöcke hier hinzufügen.If you need to send additional outbound traffic into the VNet, then you can add those address blocks here. Diese Funktion kann nur mit der VNET-Integration verwendet werden, die ein Gateway erfordert.This capability only works with gateway required VNet Integration.

Zertifikate: Wenn die von einem Gateway abhängige VNET-Integration aktiviert ist, müssen Zertifikate ausgetauscht werden, um die Sicherheit der Verbindung zu gewährleisten.Certificates When the gateway required VNet Integration enabled, there is a required exchange of certificates to ensure the security of the connection. Zusammen mit den Zertifikaten werden die DNS-Konfiguration, Routen und anderen Elemente, mit denen das Netzwerk beschrieben wird, ausgetauscht.Along with the certificates are the DNS configuration, routes, and other similar things that describe the network. Wenn Zertifikate oder Netzwerkinformationen geändert werden, müssen Sie auf „Netzwerk synchronisieren“ klicken.If certificates or network information is changed, you need to click "Sync Network". Wenn Sie auf „Netzwerk synchronisieren“ klicken, bewirkt dies einen kurzen Ausfall der Verbindung zwischen der App und dem VNET.When you click "Sync Network", you cause a brief outage in connectivity between your app and your VNet. Die App wird nicht neu gestartet, aber der Konnektivitätsverlust kann dazu führen, dass Ihre Website nicht richtig funktioniert.While your app isn't restarted, the loss of connectivity could cause your site to not function properly.

Zugriff auf lokale RessourcenAccessing on-premises resources

Apps können durch Integration mit VNETs, die Site-to-Site-Verbindungen aufweisen, auf lokale Ressourcen zugreifen.Apps can access on-premises resources by integrating with VNets that have site-to-site connections. Wenn Sie die von einem Gateway abhängige VNET-Integration verwenden, müssen Sie Ihre lokalen VPN-Gatewayrouten mit Ihren Point-to-Site-Adressblöcken aktualisieren.If you are using the gateway required VNet Integration, you need to update your on-premises VPN gateway routes with your point-to-site address blocks. Verwenden Sie beim ersten Einrichten des Site-to-Site-VPN die Skripts für die Konfiguration. Die Routen sollten damit richtig eingerichtet werden.When the site-to-site VPN is first set up, the scripts used to configure it should set up routes properly. Wenn Sie die Point-to-Site-Adressen nach dem Erstellen des Site-to-Site-VPN hinzufügen, müssen Sie die Routen manuell aktualisieren.If you add the point-to-site addresses after you create your site-to-site VPN, you need to update the routes manually. Die Details zur Vorgehensweise variieren je nach Gateway und sind hier nicht beschrieben.Details on how to do that vary per gateway and are not described here. Das Border Gateway Protocol (BGP) kann nicht für eine Site-to-Site-VPN-Verbindung konfiguriert werden.You cannot have BGP configured with a site-to-site VPN connection.

Für die regionale VNET-Integration ist keine zusätzliche Konfiguration erforderlich, um Ihr VNET und das lokale Netzwerk zu erreichen.There is no additional configuration required for the regional VNet Integration feature to reach through your VNet, and to on-premises. Sie müssen Ihr VNET lediglich über ExpressRoute oder ein Site-to-Site-VPN mit dem lokalen Netzwerk verbinden.You simply need to connect your VNet to on-premises using ExpressRoute or a site-to-site VPN.

Hinweis

Bei der von einem Gateway abhängigen VNET-Integration wird eine App nicht in ein VNET integriert, das ein ExpressRoute-Gateway enthält.The gateway required VNet Integration feature doesn't integrate an app with a VNet that has an ExpressRoute Gateway. Selbst wenn das ExpressRoute-Gateway im Koexistenzmodus konfiguriert ist, funktioniert die VNET-Integration nicht.Even if the ExpressRoute Gateway is configured in coexistence mode the VNet Integration doesn't work. Wenn Sie über eine ExpressRoute-Verbindung auf Ressourcen zugreifen müssen, können Sie die regionale VNET-Integration oder eine in Ihrem VNET ausgeführte App Service-Umgebung verwenden.If you need to access resources through an ExpressRoute connection, then you can use the regional VNet Integration feature or an App Service Environment, which runs in your VNet.

PeeringPeering

Wenn Sie das Peering mit der regionalen VNET-Integration verwenden, ist keine zusätzliche Konfiguration erforderlich.If you are using peering with the regional VNet Integration, you do not need to do any additional configuration.

Bei der von einem Gateway abhängigen VNET-Integration müssen Sie für das Peering einige zusätzliche Elemente konfigurieren.If you are using the gateway required VNet Integration with peering, you need to configure a few additional items. So konfigurieren Sie Peering für Ihre AppTo configure peering to work with your app:

  1. Fügen Sie eine Peeringverbindung mit dem VNET hinzu, mit dem Ihre App eine Verbindung herstellt.Add a peering connection on the VNet your app connects to. Aktivieren Sie beim Hinzufügen der Peeringverbindung Zugriff auf virtuelles Netzwerk zulassen sowie Weitergeleiteten Datenverkehr zulassen und Gatewaytransit zulassen.When adding the peering connection, enable Allow virtual network access and check Allow forwarded traffic and Allow gateway transit.
  2. Fügen Sie in dem VNET, das mit dem VNET, mit dem Sie verbunden sind, mittels Peering verknüpft ist, eine Peeringverbindung hinzu.Add a peering connection on the VNet that is being peered to the VNet you are connected to. Aktivieren Sie beim Hinzufügen der Peeringverbindung im Ziel-VNET Zugriff auf virtuelles Netzwerk zulassen, und aktivieren Sie Weitergeleiteten Datenverkehr zulassen und Allow remote gateways (Remotegateways zulassen).When adding the peering connection on the destination VNet, enable Allow virtual network access and check Allow forwarded traffic and Allow remote gateways.
  3. Wechseln Sie im Portal zu „App Service-Plan > Netzwerk > VNet Integration UI“ (Benutzeroberfläche der VNET-Integration).Go to the App Service plan > Networking > VNet Integration UI in the portal. Wählen Sie das VNET aus, mit dem Ihre App eine Verbindung herstellt.Select the VNet your app connects to. Fügen Sie den Adressbereich des VNET, das mit dem VNET, mit dem Ihre App verbunden ist, mittels Peering verknüpft ist, im Abschnitt „Routing“ hinzu.Under the routing section, add the address range of the VNet that is peered with the VNet your app is connected to.

PreisübersichtPricing details

Bei der Funktion für die regionale VNET-Integration fallen neben den Gebühren für den App Service-Tarif keine zusätzlichen Gebühren an.The regional VNet Integration feature has no additional charge for use beyond the ASP pricing tier charges.

Bei der VNET-Integration, die ein Gateway erfordert, fallen drei Gebühren an:There are three related charges to the use of the gateway required VNet Integration feature:

  • Gebühren für den App Service-Tarif: Ihre Apps müssen in einem App Service-Plan mit dem Tarif „Standard“, „Premium“ oder „PremiumV2“ enthalten sein.ASP pricing tier charges - Your apps need to be in a Standard, Premium, or PremiumV2 App Service Plan. Weitere Informationen zu diesen Kosten finden Sie hier: App Service – PreiseYou can see more details on those costs here: App Service Pricing.
  • Datenübertragungskosten: Für ausgehende Daten fallen keine Gebühren an, auch wenn sich das VNET im selben Rechenzentrum befindet.Data transfer costs - There is a charge for data egress, even if the VNet is in the same data center. Diese Kosten werden unter Datenübertragung – Preisübersicht beschrieben.Those charges are described in Data Transfer Pricing Details.
  • Kosten für VPN Gateway: Für das VNET-Gateway, das für das Point-to-Site-VPN erforderlich ist, fallen Kosten an.VPN Gateway costs - There is a cost to the VNet gateway that is required for the point-to-site VPN. Die Details finden Sie auf der Seite VPN Gateway – Preise.The details are on the VPN Gateway Pricing page.

ProblembehandlungTroubleshooting

Die Funktion ist zwar einfach einzurichten, aber dies bedeutet nicht, dass für Ihre Benutzeroberfläche keinerlei Probleme auftreten.While the feature is easy to set up, that doesn't mean that your experience will be problem free. Falls beim Zugreifen auf den gewünschten Endpunkt Probleme auftreten, können Sie einige Hilfsprogramme verwenden, um die Verbindung über die App-Konsole zu testen.Should you encounter problems accessing your desired endpoint there are some utilities you can use to test connectivity from the app console. Sie können zwei Konsolen verwenden.There are two consoles that you can use. Eine ist die Kudu-Konsole, und die andere ist die Konsole im Azure-Portal.One is the Kudu console and the other is the console in the Azure portal. Greifen Sie in der App auf „Tools -> Kudu“ zu, um zur Kudu-Konsole zu gelangen.To reach the Kudu console from your app, go to Tools -> Kudu. Sie können auch die Kudo-Konsole unter „[sitename].scmn.azurewebsites.net“ erreichen.You can also reach the Kudo console at [sitename].scm.azurewebsites.net. Wechseln Sie nach dem Laden der Website zur Konsolenregisterkarte „Debuggen“. Um auf die über das Azure-Portal gehostete Konsole zuzugreifen, greifen Sie in der App auf „Tools“ -> „Konsole“ zu.Once the website loads, go to the Debug console tab. To get to the Azure portal hosted console then from your app go to Tools -> Console.

ToolsTools

Die Tools ping, nslookup und tracert funktionieren aufgrund von Sicherheitseinschränkungen nicht über die Konsole.The tools ping, nslookup and tracert won’t work through the console due to security constraints. Es wurden zwei separate Tools hinzugefügt, um diese Lücke zu füllen.To fill the void, two separate tools added. Zum Testen der DNS-Funktionalität haben wir ein Tool mit dem Namen „nameresolver.exe“ hinzugefügt.In order to test DNS functionality, we added a tool named nameresolver.exe. Die Syntax ist:The syntax is:

nameresolver.exe hostname [optional: DNS Server]

Sie können nameresolver verwenden, um die Hostnamen zu überprüfen, von denen Ihre App abhängig ist.You can use nameresolver to check the hostnames that your app depends on. So können Sie testen, ob für das DNS etwas falsch konfiguriert ist oder ob ggf. kein Zugriff auf Ihren DNS-Server besteht.This way you can test if you have anything mis-configured with your DNS or perhaps don't have access to your DNS server. Den von Ihrer App verwendeten DNS-Server können Sie in der Konsole in den Umgebungsvariablen WEBSITE_DNS_SERVER und WEBSITE_DNS_ALT_SERVER einsehen.You can see the DNS server that your app will use in the console by looking at the environmental variables WEBSITE_DNS_SERVER and WEBSITE_DNS_ALT_SERVER.

Mit dem nächsten Tool können Sie die TCP-Verbindung mit einer Host/Port-Kombination testen.The next tool allows you to test for TCP connectivity to a host and port combination. Dieses Tool hat den Namen tcpping und die folgende Syntax:This tool is called tcpping and the syntax is:

tcpping.exe hostname [optional: port]

Das tcpping-Hilfsprogramm teilt Ihnen mit, ob Sie einen bestimmten Host und Port erreichen können.The tcpping utility tells you if you can reach a specific host and port. Es kann nur unter folgenden Bedingungen erfolgreich ausgeführt werden: Eine Anwendung lauscht auf der Host- und Portkombination, und von Ihrer App aus ist Netzwerkzugriff auf den angegebenen Host und Port möglich.It only can show success if: there is an application listening at the host and port combination, and there is network access from your app to the specified host and port.

Debuggen des Zugriffs auf im VNET gehostete RessourcenDebugging access to VNet hosted resources

Es kann verschiedene Ursachen haben, warum Ihre App einen bestimmten Host und Port nicht erreichen kann.There are a number of things that can prevent your app from reaching a specific host and port. In den meisten Fällen liegt eine der drei folgenden Ursachen vor:Most of the time it is one of three things:

  • Eine Firewall.A firewall is in the way. Falls eine Firewall den Zugriff verhindert, wird das TCP-Timeout ausgelöst.If you have a firewall in the way, you will hit the TCP timeout. Das TCP-Timeout entspricht hier 21 Sekunden.The TCP timeout is 21 seconds in this case. Überprüfen Sie die Verbindung mithilfe des tcpping-Tools.Use the tcpping tool to test connectivity. TCP-Timeouts können zwar auch zahlreiche andere Ursachen haben, es empfiehlt sich allerdings, bei der Firewall zu beginnen.TCP timeouts can be due to many things beyond firewalls but start there.
  • Kein DNS-Zugriff.DNS isn't accessible. Das DNS-Timeout beträgt drei Sekunden pro DNS-Server.The DNS timeout is three seconds per DNS server. Wenn Sie zwei DNS-Server besitzen, beträgt das Timeout 6 Sekunden.If you have two DNS servers, the timeout is 6 seconds. Überprüfen Sie mithilfe des nameresolver-Tools, ob DNS funktioniert.Use nameresolver to see if DNS is working. Zur Erinnerung: Das nslookup-Tool kann nicht verwendet werden, da es nicht das DNS verwendet, mit dem Ihr VNET konfiguriert ist.Remember you can't use nslookup as that doesn't use the DNS your VNet is configured with. Dieses Problem kann darauf zurückzuführen sein, dass eine Firewall oder Netzwerksicherheitsgruppe den Zugriff auf das DNS blockiert.If inaccessible, you could have a firewall or NSG blocking access to DNS or it could be down.

Sollte das Problem weiterhin bestehen, überprüfen Sie zunächst Folgendes:If those items don't answer your problems, look first for things like:

Regionale VNET-Integrationregional VNet Integration

  • Ist Ihr Ziel eine RFC 1918-Adresse?is your destination an RFC 1918 address
  • Blockiert eine Netzwerksicherheitsgruppe ausgehenden Datenverkehr aus Ihrem Integrationssubnetz?is there an NSG blocking egress from your integration subnet
  • Bei einer Verbindung über ExpressRoute oder ein VPN: Ist Ihr lokales Gateway zum Zurückleiten von Datenverkehr an Azure konfiguriert?if going across ExpressRoute or a VPN, is your on-premises gateway configured to route traffic back up to Azure? Wenn Sie die Endpunkte in Ihrem VNET erreichen können, aber nicht lokal, ist es sinnvoll, dies zu überprüfen.If you can reach endpoints in your VNet but not on-premises, this is good to check.

VNET-Integration, die ein Gateway erfordertgateway required VNet Integration

  • Liegt der Point-to-Site-Adressbereich in den RFC 1918-Bereichen (10.0.0.0-10.255.255.255/172.16.0.0-172.31.255.255/192.168.0.0-192.168.255.255)?is the point-to-site address range in the RFC 1918 ranges (10.0.0.0-10.255.255.255 / 172.16.0.0-172.31.255.255 / 192.168.0.0-192.168.255.255)?
  • Wird im Portal angezeigt, dass das Gateway ausgeführt wird?Does the Gateway show as being up in the portal? Fahren Sie das Gateway hoch, wenn es heruntergefahren ist.If your gateway is down, then bring it back up.
  • Werden Zertifikate als synchronisiert angezeigt, oder vermuten Sie, dass die Netzwerkkonfiguration geändert wurde?Do certificates show as being in sync or do you suspect that the network configuration was changed? Wenn Ihre Zertifikate nicht synchronisiert sind oder Sie vermuten, dass an Ihrer VNET-Konfiguration eine Änderung vorgenommen wurde, die nicht mit Ihren ASPs synchronisiert wurde, klicken Sie auf „Netzwerk synchronisieren“.If your certificates are out of sync or you suspect that there has been a change made to your VNet configuration that wasn't synced with your ASPs, then hit "Sync Network".
  • Bei einer Verbindung über ExpressRoute oder ein VPN: Ist Ihr lokales Gateway zum Zurückleiten von Datenverkehr an Azure konfiguriert?if going across ExpressRoute or a VPN, is your on-premises gateway configured to route traffic back up to Azure? Wenn Sie die Endpunkte in Ihrem VNET erreichen können, aber nicht lokal, ist es sinnvoll, dies zu überprüfen.If you can reach endpoints in your VNet but not on-premises, this is good to check.

Das Debuggen von Netzwerkproblemen ist eine Herausforderung, da Sie nicht sehen können, was den Zugriff auf eine bestimmte Host:Port-Kombination blockiert.Debugging networking issues is a challenge because there you cannot see what is blocking access to a specific host:port combination. Mögliche Ursachen sind:Some of the causes include:

  • Aktivierte Firewall auf Ihrem Host, die den Zugriff auf den Anwendungsport über Ihren Punkt-zu-Standort-IP-Bereich verhindertyou have a firewall up on your host preventing access to the application port from your point to site IP range. Gegebenenfalls erforderlicher öffentlicher Zugriff für die Durchquerung von SubnetzenCrossing subnets often requires Public access.
  • Zielhost ist ausgefallenyour target host is down
  • Anwendung ist nicht verfügbaryour application is down
  • Falsche IP-Adresse oder falscher Hostnameyou had the wrong IP or hostname
  • Ihre Anwendung lauscht über andere Ports als von Ihnen erwartet.your application is listening on a different port than what you expected. Sie können Ihre Prozess-ID auf den lauschenden Port festlegen, indem Sie auf dem Endpunkthost „netstat -aon“ verwenden.You can match your process ID with the listening port by using "netstat -aon" on the endpoint host.
  • Netzwerksicherheitsgruppen sind so konfiguriert, dass der Zugriff auf Ihren Anwendungshost und -port aus Ihrem Punkt-zu-Standort-IP-Bereich verhindert wirdyour network security groups are configured in such a manner that they prevent access to your application host and port from your point to site IP range

Denken Sie daran, dass Sie nicht wissen, welche Adresse Ihre App tatsächlich verwendet.Remember that you don't know what address your app will actually use. Es kann sich um eine beliebige Adresse im Integrationssubnetz oder Point-to-Site-Adressbereich handeln. Sie müssen daher den Zugriff vom gesamten Adressbereich zulassen.It could be any address in the integration subnet or point-to-site address range, so you need to allow access from the entire address range.

Weitere Debugschritte:Additional debug steps include:

  • Stellen Sie eine Verbindung mit einer VM im VNET her, und versuchen Sie, die Ressource host:port von dort aus zu erreichen.connect to a VM in your VNet and attempt to reach your resource host:port from there. Um den TCP-Zugriff zu testen, verwenden Sie den PowerShell-Befehl test-netconnection.To test for TCP access, use the PowerShell command test-netconnection. Die Syntax ist:The syntax is:

    test-netconnection hostname [optional: -Port]
    
  • Rufen Sie eine Anwendung auf einer VM auf, und testen Sie den Zugriff auf den jeweiligen Host und Port über die Konsole der App mit tcpping.bring up an application on a VM and test access to that host and port from the console from your app using tcpping

Lokale RessourcenOn-premises resources

Wenn Ihre App eine Ressource lokal nicht erreichen kann, überprüfen Sie, ob Sie die Ressource über Ihr VNET erreichen können.If your app cannot reach a resource on-premises, then check if you can reach the resource from your VNet. Verwenden Sie den PowerShell-Befehl test-netconnection, um den TCP-Zugriff zu überprüfen.Use the test-netconnection PowerShell command to check for TCP access. Wenn Ihre VM die lokale Ressource nicht erreichen kann, ist Ihre VPN- oder ExpressRoute-Verbindung möglicherweise nicht richtig konfiguriert.If your VM can't reach your on-premises resource, your VPN or ExpressRoute connection may not be configured properly.

Wenn die im VNET gehostete VM auf ein lokales System zugreifen kann, die App jedoch nicht, trifft wahrscheinlich einer der folgenden Gründe zu:If your VNet hosted VM can reach your on-premises system but your app can't, then the cause is likely one of the following reasons:

  • Die Routen sind in Ihrem lokalen Gateway nicht mit Ihren Subnetz- oder Point-to-Site-Adressbereichen konfiguriert.your routes are not configured with your subnet or point to site address ranges in your on-premises gateway
  • Die Netzwerksicherheitsgruppen blockieren den Zugriff auf den Point-to-Site-IP-Bereich.your network security groups are blocking access for your Point-to-Site IP range
  • Die lokalen Firewalls blockieren den Datenverkehr des Point-to-Site-IP-Bereichs.your on-premises firewalls are blocking traffic from your Point-to-Site IP range
  • Sie versuchen, eine RFC 1918-fremde Adresse mit der Funktion für die regionale VNET-Integration zu erreichen.you are trying to reach a non-RFC 1918 address using the regional VNet Integration feature

PowerShell-AutomatisierungPowerShell automation

Sie können App Service mithilfe von PowerShell in ein virtuelles Azure-Netzwerk integrieren.You can integrate App Service with an Azure Virtual Network using PowerShell. Ein ausführungsbereites Skript finden Sie unter Verbinden einer App in Azure App Service mit einem virtuellen Azure-Netzwerk.For a ready-to-run script, see Connect an app in Azure App Service to an Azure Virtual Network.