Intégrer une application à un réseau Azure Virtual NetworkIntegrate your app with an Azure Virtual Network

Ce document décrit la fonctionnalité d’intégration au réseau virtuel d’Azure App Service et explique comment la configurer avec des applications dans Azure App Service.This document describes the Azure App Service virtual network integration feature and how to set it up with apps in the Azure App Service. Les réseaux virtuels Azure vous permettent de placer un grand nombre de vos ressources Azure dans un réseau routable non-Internet.Azure Virtual Networks (VNets) allow you to place many of your Azure resources in a non-internet routable network.

Azure App Service a deux variantes.The Azure App Service has two variations.

  1. Les systèmes multilocataires qui prennent en charge l’ensemble des plans de tarification, excepté « Isolé »The multi-tenant systems that support the full range of pricing plans except Isolated
  2. L’environnement ASE (App Service Environment), qui se déploie dans votre réseau virtuel et prend en charge les applications à plan tarifaire Isolé.The App Service Environment (ASE), which deploys into your VNet and supports Isolated pricing plan apps

Ce document passe en revue les deux fonctionnalités d’intégration au réseau virtuel, qui sont destinées à être utilisées dans le service App Service multilocataire.This document goes through the two VNet Integration features, which is for use in the multi-tenant App Service. Si votre application se trouve dans Azure App Service Environment, elle est déjà dans un réseau virtuel et ne nécessite pas l’utilisation de la fonctionnalité d’intégration au réseau virtuel pour accéder aux ressources du même réseau virtuel.If your app is in App Service Environment, then it's already in a VNet and doesn't require use of the VNet Integration feature to reach resources in the same VNet. Pour plus d’informations sur toutes les fonctionnalités de mise en réseau App Service, consultez Fonctionnalités de mise en réseau App Service.For details on all of the App Service networking features, read App Service networking features

La fonctionnalité d’intégration au réseau virtuel se présente sous deux formes :There are two forms to the VNet Integration feature

  1. La première version permet une intégration aux réseaux virtuels d’une même région.One version enables integration with VNets in the same region. Sous cette forme, la fonctionnalité nécessite un sous-réseau dans un réseau virtuel de la même région.This form of the feature requires a subnet in a VNet in the same region. Bien que cette fonctionnalité soit toujours en préversion, elle est prise en charge pour les charges de travail de production d’applications Windows. Il existe cependant certaines restrictions qui sont mentionnées ci-dessous.This feature is still in preview but is supported for Windows app production workloads with some caveats noted below.
  2. L’autre version permet une intégration à des réseaux virtuels d’autres régions ou à des réseaux virtuels classiques.The other version enables integration with VNets in other regions or with Classic VNets. Cette version de la fonctionnalité nécessite le déploiement d'une passerelle de réseau virtuel dans votre réseau virtuel.This version of the feature requires deployment of a Virtual Network Gateway into your VNet. Il s’agit de la fonctionnalité VPN point à site et elle est uniquement prise en charge par les applications Windows.This is the point-to-site VPN-based feature and is only supported with Windows apps.

Une application ne peut utiliser qu'une seule forme de la fonctionnalité d'intégration au réseau virtuel à la fois.An app can only use one form of the VNet Integration feature at a time. Il convient donc de déterminer quelle fonctionnalité utiliser.The question then is which feature should you use. Les deux peuvent être utilisées dans des cas divers et variés.You can use either for many things. Il existe néanmoins des facteurs de différenciation clairs :The clear differentiators though are:

ProblèmeProblem SolutionSolution
Nécessité d'accéder à une adresse RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) dans la même régionWant to reach an RFC 1918 address (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) in the same region Intégration au réseau virtuel régionalregional VNet Integration
Nécessité d’accéder aux ressources d’un réseau virtuel classique ou d’un réseau virtuel situé dans une autre régionWant to reach resources in a Classic VNet or a VNet in another region Intégration au réseau virtuel avec passerelle obligatoiregateway required VNet Integration
Nécessité d'accéder à des points de terminaison RFC 1918 via ExpressRouteWant to reach RFC 1918 endpoints across ExpressRoute Intégration au réseau virtuel régionalregional VNet Integration
Nécessité d'accéder à des ressources via des points de terminaison de serviceWant to reach resources across service endpoints Intégration au réseau virtuel régionalregional VNet Integration

Aucune des fonctionnalités ne vous permet d'accéder à des adresses non compatibles avec RFC 1918 via ExpressRoute.Neither feature will enable you to reach non-RFC 1918 addresses across ExpressRoute. Pour cela, vous devez pour le moment utiliser un environnement ASE.To do that you need to use an ASE for now.

L'utilisation de l'intégration au réseau virtuel régional n'a pas pour effet de connecter votre réseau virtuel à des ressources locales ou de configurer des points de terminaison de service.Using the regional VNet Integration does not connect your VNet to on-premises or configure service endpoints. Il s'agit d'une configuration de mise en réseau distincte.That is separate networking configuration. L’intégration au réseau virtuel régional permet simplement à votre application d’effectuer des appels via ces types de connexion.The regional VNet Integration simply enables your app to make calls across those connection types.

Quelle que soit la version utilisée, l’intégration au réseau virtuel permet à votre application web d’accéder aux ressources de votre réseau virtuel, mais n’accorde pas d’accès privé entrant à votre application web à partir du réseau virtuel.Regardless of the version used, VNet Integration gives your web app access to resources in your virtual network but doesn't grant inbound private access to your web app from the virtual network. L’accès au site privé fait référence au fait de rendre votre application accessible uniquement à partir d’un réseau privé, par exemple à partir d’un réseau virtuel Azure.Private site access refers to making your app only accessible from a private network such as from within an Azure virtual network. L'intégration au réseau virtuel sert uniquement à passer des appels sortants de votre application vers votre réseau virtuel.VNet Integration is only for making outbound calls from your app into your VNet.

La fonctionnalité d’intégration au réseau virtuel :The VNet Integration feature:

  • nécessite un plan de tarification Standard, Premium ou PremiumV2requires a Standard, Premium, or PremiumV2 pricing plan
  • prend en charge les protocoles TCP et UDP ;supports TCP and UDP
  • fonctionne avec les applications App Service et les applications de fonctionworks with App Service apps, and Function apps

L’intégration au réseau virtuel ne prend pas en charge certaines choses, notamment :There are some things that VNet Integration doesn't support including:

  • montage d’un lecteur ;mounting a drive
  • intégration AD ;AD integration
  • NetBios ;NetBios

Intégration au réseau virtuel régionalRegional VNet Integration

Notes

Le peering n’est pas encore disponible pour App Service pour Linux.Peering is not yet available for Linux based App Service.

Quand l’intégration au réseau virtuel est utilisée avec des réseaux virtuels de la même région que votre application, il est nécessaire d’utiliser un sous-réseau délégué avec au moins 32 adresses.When VNet Integration is used with VNets in the same region as your app, it requires the use of a delegated subnet with at least 32 addresses in it. Le sous-réseau ne peut pas être utilisé à d’autres fins.The subnet cannot be used for anything else. Les appels sortants effectués à partir de votre application le seront à partir des adresses contenues dans le sous-réseau délégué.Outbound calls made from your app will be made from the addresses in the delegated subnet. Quand vous utilisez cette version de l’intégration au réseau virtuel, les appels sont effectués à partir des adresses contenues dans votre réseau virtuel.When you use this version of VNet Integration, the calls are made from addresses in your VNet. Voici ce que peut faire votre application en utilisant les adresses de votre réseau virtuel :Using addresses in your VNet enables your app to:

  • Effectuer des appels aux services sécurisés de point de terminaison de serviceMake calls to service endpoint secured services
  • Accéder à des ressources via des connexions ExpressRouteAccess resources across ExpressRoute connections
  • Accéder aux ressources du réseau virtuel auquel vous êtes connectéAccess resources in the VNet you are connected to
  • Accéder à des ressources via des connexions appairées incluant des connexions ExpressRouteAccess resources across peered connections including ExpressRoute connections

Bien que cette fonctionnalité soit disponible en préversion, elle est prise en charge pour les charges de travail de production d’applications Windows avec les limitations suivantes :This feature is in preview but, it is supported for Windows app production workloads with the following limitations:

  • Vous pouvez seulement accédez aux adresses qui se trouvent dans la plage RFC 1918.You can only reach addresses that are in the RFC 1918 range. Il s’agit des adresses qui se trouvent dans les blocs d’adresses 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16.Those are addresses in the 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 address blocks.
  • Vous ne pouvez pas accéder à des ressources via des connexions de peering mondial.You cannot reach resources across global peering connections
  • Vous ne pouvez pas définir d’itinéraires pour le trafic en provenance de votre application et à destination de votre réseau virtuel.You cannot set routes on the traffic coming from your app into your VNet
  • La fonctionnalité n’est disponible qu’à partir des unités d’échelle App Service récentes qui prennent en charge les plans App Service PremiumV2.The feature is only available from newer App Service scale units that support PremiumV2 App Service plans.
  • Le sous-réseau d’intégration ne peut être utilisé que par un seul plan App ServiceThe integration subnet can only be used by only one App Service plan
  • La fonctionnalité ne peut pas être utilisée par des applications de plan Isolé qui se trouvent dans un environnement ASE.The feature cannot be used by Isolated plan apps that are in an App Service Environment
  • La fonctionnalité nécessite un sous-réseau inutilisé /27 avec 32 adresses ou d’une taille supérieure dans votre réseau virtuel Resource Manager.The feature requires an unused subnet that is a /27 with 32 addresses or larger in your Resource Manager VNet
  • L’application et le réseau virtuel doivent être dans la même région.The app and the VNet must be in the same region
  • Vous ne pouvez pas supprimer un réseau virtuel avec une application intégrée.You cannot delete a VNet with an integrated app. Vous devez d’abord supprimer l’intégration.You must remove the integration first
  • Vous ne pouvez disposer que d’une seule intégration au réseau virtuel régional par plan App Service.You can have only one regional VNet Integration per App Service plan. Plusieurs applications d’un même plan App Service peuvent utiliser le même réseau virtuel.Multiple apps in the same App Service plan can use the same VNet.
  • Vous ne pouvez pas modifier l'abonnement d'une application ou d'un plan App Service lorsqu'une application utilise l'intégration au réseau virtuel régional.You cannot change the subscription of an app or an App Service plan while there is an app that is using Regional VNet Integration

Une adresse est utilisée pour chaque instance du plan App Service.One address is used for each App Service plan instance. Si vous avez défini l'échelle de votre application sur 5 instances, 5 adresses sont utilisées.If you scaled your app to 5 instances, then 5 addresses are used. Étant donné que la taille du sous-réseau ne peut pas être modifiée après l’affectation, vous devez utiliser un sous-réseau suffisamment grand pour s’adapter à la taille que votre application est susceptible d’atteindre.Since subnet size cannot be changed after assignment, you must use a subnet that is large enough to accommodate whatever scale your app may reach. Une taille de /26 avec 64 adresses est recommandée.A /26 with 64 addresses is the recommended size. Une taille de /27 avec 32 adresses prendra en charge un plan App Service Premium de 20 instances si vous n'avez pas modifié la taille du plan App Service.A /27 with 32 addresses would accommodate a Premium App Service plan 20 instances if you didn't change the size of the App Service plan. Lorsque vous modifiez un plan App Service à la hausse ou à la baisse, vous avez brièvement besoin de deux fois plus d'adresses.When you scale an App Service plan up or down, you need twice as many addresses for a short period of time.

Si vous souhaitez que vos applications d’un autre plan App Service atteignent un réseau virtuel auquel sont déjà connectées des applications d’un autre plan App Service, vous devez sélectionner un sous-réseau différent de celui utilisé par l’intégration VNet préexistante.If you want your apps in another App Service plan to reach a VNet that is connected to already by apps in another App Service plan, you need to select a different subnet than the one being used by the pre-existing VNet Integration.

La fonctionnalité est en préversion aussi pour Linux.The feature is in preview also for Linux. Pour utiliser la fonctionnalité d’intégration au réseau virtuel avec un réseau virtuel Resource Manager dans une même région :To use the VNet Integration feature with a Resource Manager VNet in the same region:

  1. Accédez à l’interface utilisateur Réseau dans le portail.Go to the Networking UI in the portal. La présence de l’option Ajouter un réseau virtuel (préversion) est le signe que votre application peut utiliser la nouvelle fonctionnalité.If your app is able to use the new feature, then you will see an option to Add VNet (preview).

    Sélectionner l’intégration au réseau virtuel

  2. Sélectionnez Ajouter un réseau virtuel (préversion) .Select Add VNet (preview).

  3. Sélectionnez le réseau virtuel Resource Manager auquel vous voulez vous intégrer, puis créez un sous-réseau ou choisissez un sous-réseau vide préexistant.Select the Resource Manager VNet that you want to integrate with and then either create a new subnet or pick an empty pre-existing subnet. L’intégration prend moins d’une minute.The integration takes less than a minute to complete. Lors de l’intégration, votre application est redémarrée.During the integration, your app is restarted. Une fois l’intégration terminée, vous voyez des détails sur le réseau virtuel auquel vous êtes intégré et une bannière en haut qui vous indique que la fonctionnalité est en préversion.When integration is completed, you will see details on the VNet you are integrated with and a banner at the top that tells you the feature is in preview.

    Sélectionner le réseau virtuel et le sous-réseau

Une fois que votre application est intégrée à votre réseau virtuel, elle utilise le serveur DNS avec lequel votre réseau virtuel est configuré.Once your app is integrated with your VNet, it will use the same DNS server that your VNet is configured with.

L'intégration au réseau virtuel régional requiert que votre sous-réseau d'intégration soit délégué à Microsoft.Web.Regional VNet Integration requires your integration subnet to be delegated to Microsoft.Web. L'interface utilisateur de l'intégration au réseau virtuel délègue automatiquement le sous-réseau à Microsoft.Web.The VNet Integration UI will delegate the subnet to Microsoft.Web automatically. Si votre compte ne dispose pas des autorisations réseau suffisantes, vous devez demander à une personne autorisée de configurer les attributs de votre sous-réseau d'intégration de manière à déléguer celui-ci.If your account does not have sufficient networking permissions to set this, you will need someone who can set attributes on your integration subnet to do delegate the subnet. Pour déléguer manuellement le sous-réseau d'intégration, accédez à l'interface utilisateur du sous-réseau du service Réseau virtuel Azure et définissez la délégation sur Microsoft.Web.To manually delegate the integration subnet, go to the Azure Virtual Network subnet UI and set delegation for Microsoft.Web.

Pour déconnecter votre application du réseau virtuel, sélectionnez Déconnecter.To disconnect your app from the VNet, select Disconnect. Ceci redémarre votre application web.This will restart your web app.

Web App pour conteneursWeb App for Containers

Si vous utilisez App Service sur Linux avec les images intégrées, la fonctionnalité d’intégration au réseau virtuel régional fonctionne sans modifications supplémentaires.If you use App Service on Linux with the built-in images, the regional VNet Integration feature works without additional changes. Si vous utilisez Web App pour conteneurs, vous devez modifier votre image docker pour pouvoir utiliser l’intégration au réseau virtuel.If you use Web App for Containers, you need to modify your docker image in order to use VNet Integration. Dans votre image docker, utilisez la variable d’environnement PORT comme port d’écoute du serveur web principal, au lieu d’utiliser un numéro de port codé en dur.In your docker image, use the PORT environment variable as the main web server’s listening port, instead of using a hardcoded port number. La variable d’environnement PORT est automatiquement définie par la plateforme App Service au démarrage du conteneur.The PORT environment variable is automatically set by App Service platform at the container startup time. Si vous utilisez SSH, le démon SSH doit être configuré pour écouter sur le numéro de port spécifié par la variable d’environnement SSH_PORT lors de l’utilisation de l’intégration au réseau virtuel régional.If you are using SSH, then the SSH daemon must be configured to listen on the port number specified by the SSH_PORT environment variable when using regional VNet integration.

Points de terminaison de serviceService Endpoints

La nouvelle fonctionnalité d’intégration au réseau virtuel vous permet d’utiliser des points de terminaison de service.The new VNet Integration feature enables you to use service endpoints. Pour utiliser des points de terminaison de service avec votre application, utilisez la nouvelle intégration au réseau virtuel pour vous connecter à un réseau virtuel sélectionné, puis configurez des points de terminaison de service sur le sous-réseau que vous avez utilisé pour l’intégration.To use service endpoints with your app, use the new VNet Integration to connect to a selected VNet and then configure service endpoints on the subnet you used for the integration.

Fonctionnement de l’intégration au réseau virtuelHow VNet Integration works

Les applications contenues dans App Service sont hébergées dans des rôles de travail.Apps in the App Service are hosted on worker roles. Les plans tarifaires de base et supérieurs sont des plans d’hébergement dédiés dans lesquels aucune autre charge de travail de client ne s’exécute sur les mêmes Workers.The Basic and higher pricing plans are dedicated hosting plans where there are no other customers workloads running on the same workers. L’intégration au réseau virtuel opère en montant des interfaces virtuelles avec des adresses du sous-réseau délégué.VNet Integration works by mounting virtual interfaces with addresses in the delegated subnet. Comme l’adresse de départ se trouve dans votre réseau virtuel, elle a accès à la plupart des éléments contenus dans votre réseau virtuel ou accessibles par celui-ci, comme le ferait une machine virtuelle dans votre réseau virtuel.Because the from address is in your VNet, it has access to most things in or through your VNet just like a VM in your VNet would. L’implémentation de la mise en réseau étant différente de l’exécution d’une machine virtuelle dans votre réseau virtuel, certaines fonctionnalités de mise en réseau ne sont pas encore disponibles quand cette fonctionnalité est utilisée.The networking implementation is different than running a VM in your VNet and that is why some networking features are not yet available while using this feature.

Intégration au réseau virtuel

Quand l’intégration au réseau virtuel est activée, votre application continue de passer des appels sortants vers Internet en empruntant les mêmes canaux que d’habitude.When VNet Integration is enabled, your app will still make outbound calls to the internet through the same channels as normal. Les adresses sortantes figurant sur le portail des propriétés de l’application sont toujours les adresses qu’utilise votre application.The outbound addresses that are listed in the app properties portal are still the addresses used by your app. Ce qui change pour votre application, c’est que les appels aux services sécurisés de point de terminaison de service ou aux adresses RFC 1918 accèdent à votre réseau virtuel.What changes for your app are, calls to service endpoint secured services or RFC 1918 addresses goes into your VNet.

La fonctionnalité ne prend en charge qu’une seule interface virtuelle par Worker.The feature only supports one virtual interface per worker. Une interface virtuelle par Worker signifie une intégration au réseau virtuel régional par plan App Service.One virtual interface per worker means one regional VNet Integration per App Service plan. Toutes les applications relevant d’un même plan App Service peuvent utiliser la même intégration au réseau virtuel, mais si vous avez besoin qu’une application se connecte à un autre réseau virtuel, vous devez créer un autre plan App Service.All of the apps in the same App Service plan can use the same VNet Integration but if you need an app to connect to an additional VNet, you will need to create another App Service plan. L’interface virtuelle utilisée n’est pas une ressource à laquelle les clients peuvent accéder directement.The virtual interface used is not a resource that customers have direct access to.

Compte tenu du mode de fonctionnement de cette technologie, le trafic utilisé avec l’intégration au réseau virtuel n’apparaît pas dans les journaux de flux du groupe de sécurité réseau (NSG) ou de Network Watcher.Due to the nature of how this technology operates, the traffic that is used with VNet Integration does not show up in Network Watcher or NSG flow logs.

Intégration au réseau virtuel avec passerelle obligatoireGateway required VNet Integration

La fonctionnalité d’intégration au réseau virtuel avec passerelle obligatoire :The Gateway required VNet Integration feature:

  • Permet de se connecter à des réseaux virtuels de n’importe quelle région, qu’il s’agisse de réseaux virtuels Resource Manager ou classiques.Can be used to connect to VNets in any region be they Resource Manager or Classic VNets
  • Permet à une application de se connecter à un seul réseau virtuel à la fois.Enables an app to connect to only 1 VNet at a time
  • Permet d’intégrer jusqu’à cinq réseaux virtuels dans un plan App Service.Enables up to five VNets to be integrated with in an App Service Plan
  • Permet à un même réseau virtuel d’être utilisé par plusieurs applications dans le cadre d’un plan App Service sans impact sur le nombre total d’applications pouvant être utilisées par un plan App Service.Allows the same VNet to be used by multiple apps in an App Service Plan without impacting the total number that can be used by an App Service plan. Si vous avez 6 applications qui utilisent le même réseau virtuel dans le cadre d’un plan App Service, cela compte pour un réseau virtuel utilisé.If you have 6 apps using the same VNet in the same App Service plan, that counts as 1 VNet being used.
  • Nécessite une passerelle de réseau virtuel configurée avec le VPN de point à site.Requires a Virtual Network Gateway that is configured with Point to Site VPN
  • Prend en charge un contrat SLA de 99,9 % du fait du contrat SLA de la passerelle.Supports a 99.9% SLA due to the SLA on the gateway

Ce que cette fonctionnalité ne prend pas en charge :This feature does not support:

  • Utilisation avec des applications LinuxUse with Linux apps
  • Accès aux ressources via ExpressRouteAccessing resources across ExpressRoute
  • Accès aux ressources via des points de terminaison de serviceAccessing resources across Service Endpoints

Prise en mainGetting started

Voici quelques informations à garder à l’esprit avant de connecter votre application web à un réseau virtuel.Here are some things to keep in mind before connecting your web app to a virtual network:

  • Un réseau virtuel cible doit prendre en charge la connexion VPN de point à site avec une passerelle de routage avant de pouvoir être connecté à une application.A target virtual network must have point-to-site VPN enabled with a route-based gateway before it can be connected to app.
  • Le réseau virtuel doit faire partie du même abonnement que votre plan App Service (ASP, App Service Plan).The VNet must be in the same subscription as your App Service Plan(ASP).
  • Les applications intégrées à un réseau virtuel utilisent le serveur DNS spécifié pour ce réseau virtuel.The apps that integrate with a VNet use the DNS that is specified for that VNet.

Configurer une passerelle de votre réseau virtuelSet up a gateway in your VNet

Si vous avez déjà une passerelle configurée avec les adresses de point à site, vous pouvez passer à la configuration de l’intégration au réseau virtuel avec votre application.If you already have a gateway configured with point-to-site addresses, you can skip to configuring VNet Integration with your app.
Pour créer une passerelle :To create a gateway:

  1. Créez un sous-réseau de passerelle dans votre réseau virtuel.Create a gateway subnet in your VNet.

  2. Créez la passerelle VPN.Create the VPN gateway. Sélectionnez un type de VPN basé sur les routes.Select a route-based VPN type.

  3. Définissez les adresses de point à site.Set the point to site addresses. Si la passerelle n’est pas dans la référence (SKU) de base, c’est que IKEV2 doit être désactivé dans la configuration de point à site et que SSTP doit être sélectionné.If the gateway isn't in the basic SKU, then IKEV2 must be disabled in the point-to-site configuration and SSTP must be selected. L’espace d’adressage doit se situer dans les blocs d’adresses RFC 1918, à savoir 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16.The address space must be in the RFC 1918 address blocks, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16

Si vous créez simplement la passerelle pour l’utiliser avec l’intégration au réseau virtuel App Service, il n’est pas nécessaire de charger un certificat.If you are just creating the gateway for use with App Service VNet Integration, then you do not need to upload a certificate. La création de la passerelle peut prendre 30 minutes.Creating the gateway can take 30 minutes. Vous ne serez pas en mesure d’intégrer votre application à votre réseau virtuel tant que la passerelle n’est pas provisionnée.You will not be able to integrate your app with your VNet until the gateway is provisioned.

Configurer l’intégration au réseau virtuel à votre applicationConfigure VNet Integration with your app

Pour activer l’intégration au réseau virtuel sur votre application :To enable VNet Integration on your app:

  1. Accédez à votre application dans le portail Azure, ouvrez les paramètres de l’application et sélectionnez Réseau > Intégration au réseau virtuel.Go to your app in the Azure portal and open app settings and select Networking > VNet Integration. Votre ASP doit être présent dans une référence SKU Standard ou supérieure pour utiliser l’une ou l’autre des fonctionnalités d’intégration au réseau virtuel.Your ASP must be in a Standard SKU or better to use either VNet Integration feature. Interface utilisateur de l’intégration au réseau virtuelVNet Integration UI

  2. Sélectionnez Ajouter un réseau virtuel.Select Add VNet. Ajouter une intégration au réseau virtuelAdd VNet Integration

  3. Sélectionnez votre réseau virtuel.Select your VNet. Sélectionner votre réseau virtuelSelect your VNet

Votre application est redémarrée après cette dernière étape.Your app will be restarted after this last step.

Mode opératoire de la fonctionnalité d’intégration au réseau virtuel avec passerelle obligatoireHow the gateway required VNet Integration feature works

La fonctionnalité d’intégration au réseau virtuel avec passerelle obligatoire s’appuie sur la technologie VPN de point à site.The gateway required VNet Integration feature is built on top of point-to-site VPN technology. La technologie de point à site limite l’accès réseau à la seule machine virtuelle hébergeant l’application.The point-to-site technology limits network access to just the virtual machine hosting the app. Les applications sont limitées au seul envoi du trafic vers Internet, via des connexions hybrides ou via l’intégration au réseau virtuel.Apps are restricted to only send traffic out to the internet, through Hybrid Connections or through VNet Integration.

Fonctionnement de l’intégration au réseau virtuel

Gestion de l’intégration au réseau virtuelManaging VNet Integration

La possibilité de se connecter à un réseau virtuel et de s’en déconnecter se situe au niveau de l’application.The ability to connect and disconnect to a VNet is at an app level. Les opérations qui peuvent affecter l’intégration au réseau virtuel entre plusieurs applications s’effectuent au niveau du plan App Service.Operations that can affect the VNet Integration across multiple apps are at the App Service plan level. Sur le portail, sous application > Mise en réseau > Intégration de réseau virtuel, vous pouvez obtenir des détails sur votre réseau virtuel.From the app > Networking > VNet Integration portal, you can get details on your VNet. Des informations similaires sont visibles sur le portail au niveau de l’ASP via ASP > Mise en réseau > Intégration de réseau virtuel, avec notamment la possibilité d’identifier les applications du plan App Service en question qui utilisent une intégration donnée.You can see similar information at the ASP level in the ASP > Networking > VNet Integration portal including what apps in that App Service plan are using a given integration.

Détails du réseau virtuel

Les informations auxquelles vous avez accès dans l’interface utilisateur de l’intégration au réseau virtuel sont les mêmes d’un portail à l’autre (applications et ASP).The information you have available to you in the VNet Integration UI is the same between the app and ASP portals.

  • Nom du réseau virtuel : liens vers l’interface utilisateur du réseau virtuelVNet Name - links to the virtual network UI
  • Emplacement : reflète l’emplacement de votre réseau virtuel.Location - reflects the location of your VNet. L’intégration à un réseau virtuel dans un autre emplacement peut entraîner des problèmes de latence pour votre application.Integrating with a VNet in another location can cause latency issues for your app.
  • État du certificat : indique si vos certificats sont synchronisés entre votre plan App Service et votre réseau virtuel.Certificate Status - reflects if your certificates are in sync between your App Service plan and your VNet.
  • État de la passerelle : si vous utilisez l’intégration au réseau virtuel avec passerelle obligatoire, vous pouvez voir l’état de la passerelle.Gateway Status - Should you be using the gateway required VNet Integration, you can see the gateway status.
  • Espace d’adressage du réseau virtuel : montre l’espace d’adressage IP pour votre réseau virtuel.VNet address space - shows the IP address space for your VNet.
  • Espace d’adressage de point à site : montre l’espace d’adressage IP de point à site de votre réseau virtuel.Point-to-site address space - shows the point to site IP address space for your VNet. Quand vous effectuez des appels dans votre réseau virtuel en utilisant la fonctionnalité avec passerelle obligatoire, l’adresse FROM de votre application est une de ces adresses.When making calls into your VNet while using the gateway required feature, your app FROM address will be one of these addresses.
  • Espace d’adressage de site à site : vous pouvez utiliser des réseaux virtuels de site à site pour connecter votre réseau virtuel à vos ressources locales ou à un autre réseau virtuel.Site-to-site address space - You can use site-to-site VPNs to connect your VNet to your on-premises resources or to other VNet. Les plages d’adresses IP définies avec cette connexion VPN sont montrées ici.The IP ranges defined with that VPN connection are shown here.
  • Serveurs DNS : montre les serveurs DNS configurés avec votre réseau virtuel.DNS Servers - shows the DNS Servers configured with your VNet.
  • Adresses IP routées vers le réseau virtuel : montre les blocs d’adresses routées utilisées pour piloter le trafic dans votre réseau virtuelIP addresses routed to the VNet - shows the address blocks routed used to drive traffic into your VNet

La seule opération que vous pouvez effectuer dans la vue d’application de votre interface d’intégration au réseau virtuel consiste à déconnecter votre application du réseau virtuel auquel elle est actuellement connectée.The only operation you can take in the app view of your VNet Integration is to disconnect your app from the VNet it is currently connected to. Pour déconnecter votre application d’un réseau virtuel, sélectionnez Déconnecter.To disconnect your app from a VNet, select Disconnect. Votre application est redémarrée quand vous vous déconnectez d’un réseau virtuel.Your app will be restarted when you disconnect from a VNet. La déconnexion ne change pas votre réseau virtuel.Disconnecting doesn't change your VNet. Le sous-réseau ou la passerelle ne sont pas supprimés.The subnet or gateway is not removed. Donc, si vous souhaitez supprimer votre réseau virtuel, vous devez d’abord déconnecter votre application du réseau virtuel puis supprimer les ressources qu’il contient comme les passerelles.If you then want to delete your VNet, you need to first disconnect your app from the VNet and delete the resources in it such as gateways.

Pour atteindre l’interface utilisateur de l’intégration au réseau virtuel de votre plan App Service (ASP), ouvrez votre interface utilisateur ASP et sélectionnez Réseau.To reach the ASP VNet Integration UI, open your ASP UI and select Networking. Sous Intégration au réseau virtuel, sélectionnez Cliquez ici pour configurer pour ouvrir l’interface utilisateur de l’état de la fonctionnalité réseau.Under VNet Integration, select Click here to configure to open the Network Feature Status UI.

Informations sur l’intégration au réseau virtuel ASP

L’interface utilisateur de l’intégration au réseau virtuel ASP vous montre tous les réseaux virtuels qui sont utilisés par les applications dans votre ASP.The ASP VNet Integration UI will show you all of the VNets that are used by the apps in your ASP. Pour voir des détails supplémentaires sur chaque réseau virtuel, cliquez sur le réseau virtuel qui vous intéresse.To see details on each VNet, click on the VNet you are interested in. Vous pouvez effectuer ici deux actions.There are two actions you can perform here.

  • Synchroniser le réseauSync network. L’opération de synchronisation du réseau s’adresse uniquement à la fonctionnalité d’intégration au réseau virtuel dépendante de la passerelle.The sync network operation is only for the gateway-dependent VNet Integration feature. L’exécution d’une opération de synchronisation du réseau est l’assurance que vos certificats et informations réseau sont synchronisés. Si vous ajoutez ou que vous changez le DNS du réseau virtuel, vous devez effectuer une opération Synchroniser le réseau.Performing a sync network operation ensures that your certificates and network information are in sync. If you add or change the DNS of your VNet, you need to perform a Sync network operation. Cette opération redémarre toutes les applications utilisant ce réseau virtuel.This operation will restart any apps using this VNet.
  • Ajouter des routes : l’ajout de routes pilote le trafic sortant dans votre réseau virtuel.Add routes Adding routes will drive outbound traffic into your VNet.

Routage : les routes définies dans votre réseau virtuel sont utilisées pour diriger le trafic dans votre réseau virtuel à partir de votre application.Routing The routes that are defined in your VNet are used to direct traffic into your VNet from your app. Si vous devez envoyer du trafic sortant supplémentaire dans le réseau virtuel, vous pouvez ajouter ces blocs d’adresses ici.If you need to send additional outbound traffic into the VNet, then you can add those address blocks here. Cette fonctionnalité n’opère qu’avec l’intégration au réseau virtuel avec passerelle obligatoire.This capability only works with gateway required VNet Integration.

Certificats : quand l’intégration au réseau virtuel avec passerelle obligatoire est activée, un échange de certificats est nécessaire pour garantir la sécurité de la connexion.Certificates When the gateway required VNet Integration enabled, there is a required exchange of certificates to ensure the security of the connection. En plus des certificats, la configuration DNS, les routes et d’autres éléments similaires décrivent le réseau.Along with the certificates are the DNS configuration, routes, and other similar things that describe the network. Si des certificats ou des informations du réseau sont modifiés, vous devez cliquer sur « Synchroniser le réseau ».If certificates or network information is changed, you need to click "Sync Network". Quand vous cliquez sur « Synchroniser le réseau », la connectivité entre votre application et votre réseau virtuel est brièvement interrompue.When you click "Sync Network", you cause a brief outage in connectivity between your app and your VNet. Votre application n’est pas redémarrée, et la perte de connectivité peut altérer le fonctionnement correct de votre site.While your app isn't restarted, the loss of connectivity could cause your site to not function properly.

Accès aux ressources sur siteAccessing on-premises resources

Les applications peuvent accéder aux ressources locales en s’intégrant à des réseaux virtuels qui ont des connexions site à site.Apps can access on-premises resources by integrating with VNets that have site-to-site connections. Si vous utilisez l’intégration au réseau virtuel avec passerelle obligatoire, vous devez mettre à jour les routes de votre passerelle VPN locale avec vos blocs d’adresses de point à site.If you are using the gateway required VNet Integration, you need to update your on-premises VPN gateway routes with your point-to-site address blocks. Lors de la configuration initiale de ce VPN site à site, les scripts utilisés pour le configurer doivent définir les routes correctement.When the site-to-site VPN is first set up, the scripts used to configure it should set up routes properly. Si vous ajoutez des adresses de point à site après avoir créé votre VPN de site à site, vous devez mettre à jour les routes manuellement.If you add the point-to-site addresses after you create your site-to-site VPN, you need to update the routes manually. La procédure détaillée dépend de la passerelle et n’est pas décrite ici.Details on how to do that vary per gateway and are not described here. Vous ne pouvez pas configurer BGP avec une connexion VPN de site à site.You cannot have BGP configured with a site-to-site VPN connection.

Aucune configuration supplémentaire n’est nécessaire pour permettre à la fonctionnalité d’intégration au réseau virtuel régional d’accéder à votre réseau virtuel et en local.There is no additional configuration required for the regional VNet Integration feature to reach through your VNet, and to on-premises. Vous devez simplement connecter votre réseau virtuel en local à l’aide d’ExpressRoute ou d’un VPN de site à site.You simply need to connect your VNet to on-premises using ExpressRoute or a site-to-site VPN.

Notes

La fonctionnalité d’intégration au réseau virtuel avec passerelle obligatoire n’intègre pas une application à un réseau virtuel doté d’une passerelle ExpressRoute.The gateway required VNet Integration feature doesn't integrate an app with a VNet that has an ExpressRoute Gateway. Même si la passerelle ExpressRoute est configurée en mode de coexistence, l’intégration au réseau virtuel ne fonctionne pas.Even if the ExpressRoute Gateway is configured in coexistence mode the VNet Integration doesn't work. Si vous avez besoin d’accéder à des ressources via une connexion ExpressRoute, vous pouvez utiliser la fonctionnalité d’intégration au réseau virtuel régional ou un environnement ASE (App Service Environment), qui s’exécute dans votre réseau virtuel.If you need to access resources through an ExpressRoute connection, then you can use the regional VNet Integration feature or an App Service Environment, which runs in your VNet.

PeeringPeering

Si vous utilisez le peering avec l’intégration au réseau virtuel régional, aucune configuration supplémentaire n’est nécessaire.If you are using peering with the regional VNet Integration, you do not need to do any additional configuration.

Si vous utilisez l’intégration au réseau virtuel avec passerelle obligatoire ainsi que le peering, vous devez configurer quelques éléments supplémentaires.If you are using the gateway required VNet Integration with peering, you need to configure a few additional items. Pour configurer le peering afin qu’il fonctionne avec votre application :To configure peering to work with your app:

  1. Ajoutez une connexion de peering sur le réseau virtuel auquel votre application se connecte.Add a peering connection on the VNet your app connects to. Lors de l’ajout de la connexion de peering, activez Autoriser l’accès au réseau virtuel et cochez Autoriser le trafic transféré et Autoriser le transit par passerelle.When adding the peering connection, enable Allow virtual network access and check Allow forwarded traffic and Allow gateway transit.
  2. Ajoutez une connexion de peering sur le réseau virtuel à appairer au réseau virtuel auquel vous êtes connecté.Add a peering connection on the VNet that is being peered to the VNet you are connected to. Lors de l’ajout de la connexion de peering sur le réseau virtuel de destination, activez Autoriser l’accès au réseau virtuel et cochez Autoriser le trafic transféré et Autoriser les passerelles distantes.When adding the peering connection on the destination VNet, enable Allow virtual network access and check Allow forwarded traffic and Allow remote gateways.
  3. Accédez au plan App Service > Réseau > Interface utilisateur de l’intégration au réseau virtuel dans le portail.Go to the App Service plan > Networking > VNet Integration UI in the portal. Sélectionnez le réseau virtuel auquel votre application se connecte.Select the VNet your app connects to. Dans la section Routage, ajoutez la plage d’adresses du réseau virtuel qui est appairé au réseau virtuel auquel votre application est connectée.Under the routing section, add the address range of the VNet that is peered with the VNet your app is connected to.

Détails de la tarificationPricing details

L’utilisation de la fonctionnalité d’intégration au réseau virtuel régional ne s’accompagne d’aucuns frais supplémentaires, au-delà des frais liés au niveau tarifaires ASP.The regional VNet Integration feature has no additional charge for use beyond the ASP pricing tier charges.

L’utilisation de la fonctionnalité d’intégration au réseau virtuel avec passerelle obligatoire est associée à trois types de coûts :There are three related charges to the use of the gateway required VNet Integration feature:

  • Frais liés au niveau tarifaire ASP : vos applications doivent relever d’un plan App Service Standard, Premium ou PremiumV2.ASP pricing tier charges - Your apps need to be in a Standard, Premium, or PremiumV2 App Service Plan. Pour en savoir plus sur les coûts, consultez l’article : Tarification d’App Service.You can see more details on those costs here: App Service Pricing.
  • Coûts de transfert de données : les sorties de données engendrent des coûts, même si le réseau virtuel se trouve dans le même centre de données.Data transfer costs - There is a charge for data egress, even if the VNet is in the same data center. Ces coûts sont décrits dans Détails de tarification des transferts de données.Those charges are described in Data Transfer Pricing Details.
  • Coûts liés à la passerelle VPN : la passerelle de réseau virtuel nécessaire au VPN de point à site engendre des coûts.VPN Gateway costs - There is a cost to the VNet gateway that is required for the point-to-site VPN. Les détails se trouvent sur la page Tarification des passerelles VPN.The details are on the VPN Gateway Pricing page.

Résolution de problèmesTroubleshooting

Même si cette fonctionnalité est facile à configurer, il se peut que vous rencontriez certains problèmes.While the feature is easy to set up, that doesn't mean that your experience will be problem free. Si vous rencontrez des difficultés pour accéder au point de terminaison souhaité, certains utilitaires vous permettent de tester la connectivité à partir de la console de l’application.Should you encounter problems accessing your desired endpoint there are some utilities you can use to test connectivity from the app console. Vous pouvez utiliser deux consoles :There are two consoles that you can use. la console Kudu et la console du portail Azure.One is the Kudu console and the other is the console in the Azure portal. Pour accéder à la console Kudu à partir de votre application, accédez à Outils -> Kudu.To reach the Kudu console from your app, go to Tools -> Kudu. Vous pouvez également accéder à la console Kudo via le site [nom du site].scm.azurewebsites.net.You can also reach the Kudo console at [sitename].scm.azurewebsites.net. Une fois le site chargé, accédez à l'onglet Console de débogage. Pour accéder à la console hébergée par le portail Azure, à partir de votre application, accédez à outils -> Console.Once the website loads, go to the Debug console tab. To get to the Azure portal hosted console then from your app go to Tools -> Console.

OutilsTools

Les outils ping, nslookup et tracert ne fonctionnent pas dans la console en raison de contraintes de sécurité.The tools ping, nslookup and tracert won’t work through the console due to security constraints. Deux outils distincts ont été ajoutés pour les remplacer.To fill the void, two separate tools added. Pour tester les fonctionnalités DNS, nous avons ajouté un outil nommé nameresolver.exe.In order to test DNS functionality, we added a tool named nameresolver.exe. La syntaxe est :The syntax is:

nameresolver.exe hostname [optional: DNS Server]

Vous pouvez utiliser nameresolver pour vérifier les noms d’hôte dont dépend votre application.You can use nameresolver to check the hostnames that your app depends on. De cette façon, vous pouvez tester si des éléments de votre serveur DNS sont mal configurés ou si vous n’avez pas accès à votre serveur DNS.This way you can test if you have anything mis-configured with your DNS or perhaps don't have access to your DNS server. Vous pouvez identifier le serveur DNS qu’utilisera votre application dans la console en examinant les variables d’environnement WEBSITE_DNS_SERVER et WEBSITE_DNS_ALT_SERVER.You can see the DNS server that your app will use in the console by looking at the environmental variables WEBSITE_DNS_SERVER and WEBSITE_DNS_ALT_SERVER.

L’outil suivant vous permet de tester la connectivité TCP avec une combinaison hôte/port.The next tool allows you to test for TCP connectivity to a host and port combination. Il s’agit de l’outil tcpping, dont la syntaxe est la suivante :This tool is called tcpping and the syntax is:

tcpping.exe hostname [optional: port]

L’utilitaire tcpping vous indique si vous pouvez atteindre un hôte et un port spécifiques.The tcpping utility tells you if you can reach a specific host and port. Il peut afficher un succès si une application à écoute sur la combinaison d’hôte et de port, et si l’accès réseau à de votre application à l’hôte et au port est disponible.It only can show success if: there is an application listening at the host and port combination, and there is network access from your app to the specified host and port.

Débogage de l’accès aux ressources hébergées sur un réseau virtuelDebugging access to VNet hosted resources

Plusieurs choses peuvent empêcher votre application d’atteindre un hôte et un port spécifiques.There are a number of things that can prevent your app from reaching a specific host and port. La plupart du temps, il s’agit de l’une des trois raisons suivantes :Most of the time it is one of three things:

  • Un pare-feu se trouve sur le trajet.A firewall is in the way. Si vous utilisez un pare-feu sur le trajet, vous dépassez le délai d’expiration de TCP.If you have a firewall in the way, you will hit the TCP timeout. Dans ce cas, il est de 21 secondes.The TCP timeout is 21 seconds in this case. Utilisez l’outil tcpping pour tester la connectivité.Use the tcpping tool to test connectivity. Les délais d’expiration TCP peuvent avoir de nombreuses autres origines, mais commencez par vérifier ce point.TCP timeouts can be due to many things beyond firewalls but start there.
  • DNS n’est pas accessible.DNS isn't accessible. Le délai d’expiration du DNS est de trois secondes par serveur DNS.The DNS timeout is three seconds per DNS server. Si vous avez deux serveurs DNS, le délai d’expiration est de 6 secondes.If you have two DNS servers, the timeout is 6 seconds. Utilisez nameresolver pour vérifier que le DNS fonctionne correctement.Use nameresolver to see if DNS is working. Rappelez-vous que vous ne pouvez pas utiliser nslookup, car il n’utilise pas le DNS avec lequel votre réseau virtuel est configuré.Remember you can't use nslookup as that doesn't use the DNS your VNet is configured with. S’il n’est pas accessible, il se peut qu’un pare-feu ou un groupe de sécurité réseau (NSG) bloque l’accès au DNS ou que celui-ci est inopérant.If inaccessible, you could have a firewall or NSG blocking access to DNS or it could be down.

Si ces éléments ne suffisent pas à résoudre vos problèmes, commencez par vous poser les questions suivantes :If those items don't answer your problems, look first for things like:

Intégration au réseau virtuel régionalregional VNet Integration

  • Votre destination est-elle une adresse RFC 1918 ?is your destination an RFC 1918 address
  • Y a-t-il un groupe de sécurité réseau qui bloque la sortie de votre sous-réseau d’intégration ?is there an NSG blocking egress from your integration subnet
  • Si elle transite par ExpressRoute ou un VPN, votre passerelle locale est-elle configurée pour réacheminer le trafic vers Azure ?if going across ExpressRoute or a VPN, is your on-premises gateway configured to route traffic back up to Azure? Si vous pouvez accéder à des points de terminaison dans votre réseau virtuel, mais pas en local, il est judicieux de vérifier ce point.If you can reach endpoints in your VNet but not on-premises, this is good to check.

Intégration au réseau virtuel avec passerelle obligatoiregateway required VNet Integration

  • La plage d’adresses de point à site se trouve-t-elle dans les plages RFC 1918 (10.0.0.0-10.255.255.255 / 172.16.0.0-172.31.255.255 / 192.168.0.0-192.168.255.255) ?is the point-to-site address range in the RFC 1918 ranges (10.0.0.0-10.255.255.255 / 172.16.0.0-172.31.255.255 / 192.168.0.0-192.168.255.255)?
  • Le portail indique-t-il que la passerelle fonctionne ?Does the Gateway show as being up in the portal? Si votre passerelle est en panne, rétablissez-la.If your gateway is down, then bring it back up.
  • Les certificats apparaissent-ils comme étant synchronisés ou soupçonnez-vous une modification de la configuration réseau ?Do certificates show as being in sync or do you suspect that the network configuration was changed? Si vos certificats ne sont pas synchronisés ou si vous pensez qu’une modification apportée à la configuration de votre réseau virtuel n’a pas été synchronisée avec vos ASP, cliquez sur « Synchroniser le réseau ».If your certificates are out of sync or you suspect that there has been a change made to your VNet configuration that wasn't synced with your ASPs, then hit "Sync Network".
  • Si elle transite par ExpressRoute ou un VPN, votre passerelle locale est-elle configurée pour réacheminer le trafic vers Azure ?if going across ExpressRoute or a VPN, is your on-premises gateway configured to route traffic back up to Azure? Si vous pouvez accéder à des points de terminaison dans votre réseau virtuel, mais pas en local, il est judicieux de vérifier ce point.If you can reach endpoints in your VNet but not on-premises, this is good to check.

Le débogage des problèmes de réseau constitue un défi, car cette opération ne vous permet pas de voir ce qui bloque l’accès à une combinaison hôte:port spécifique.Debugging networking issues is a challenge because there you cannot see what is blocking access to a specific host:port combination. Voici quelques-unes des causes possibles :Some of the causes include:

  • Un pare-feu activé sur l’hôte empêche l’accès au port de l’application à partir de votre plage d’adresses IP de point à site.you have a firewall up on your host preventing access to the application port from your point to site IP range. Des sous-réseaux croisés requièrent souvent un accès public.Crossing subnets often requires Public access.
  • Votre hôte cible est hors-service.your target host is down
  • Votre application est arrêtée.your application is down
  • L’IP ou le nom d’hôte est incorrect.you had the wrong IP or hostname
  • Votre application est à l’écoute sur un port autre que celui que vous envisagiez.your application is listening on a different port than what you expected. Vous pouvez faire correspondre votre ID de processus avec le port d’écoute en utilisant « netstat -aon » sur l’hôte du point de terminaison.You can match your process ID with the listening port by using "netstat -aon" on the endpoint host.
  • Les groupes de sécurité de votre réseau sont configurés de telle sorte qu’ils empêchent l’accès à l’hôte et au port de votre application à partir de votre plage d’adresses IP de point à site.your network security groups are configured in such a manner that they prevent access to your application host and port from your point to site IP range

Ne perdez pas de vue que l’adresse que votre application utilisera réellement est une inconnue.Remember that you don't know what address your app will actually use. Cela peut être n’importe quelle adresse de la plage d’adresses de sous-réseau d’intégration ou de point à site. De ce fait, vous devez autoriser l’accès depuis toutes les adresses de la plage.It could be any address in the integration subnet or point-to-site address range, so you need to allow access from the entire address range.

Étapes de débogage supplémentaires :Additional debug steps include:

  • Connectez-vous à une machine virtuelle de votre réseau virtuel et essayez d’atteindre la combinaison hôte:port de vos ressources.connect to a VM in your VNet and attempt to reach your resource host:port from there. Pour tester l’accès à TCP, utilisez la commande PowerShell test-netconnection.To test for TCP access, use the PowerShell command test-netconnection. La syntaxe est :The syntax is:

    test-netconnection hostname [optional: -Port]
    
  • Démarrez une application sur une machine virtuelle et testez l’accès à cet hôte et au port à partir de la console de votre application en utilisant tcpping.bring up an application on a VM and test access to that host and port from the console from your app using tcpping

Ressources localesOn-premises resources

Si votre application ne peut pas accéder à une ressource locale, vérifiez si vous pouvez atteindre la ressource à partir de votre réseau virtuel.If your app cannot reach a resource on-premises, then check if you can reach the resource from your VNet. Utilisez la commande PowerShell test-netconnection pour vérifier l’accès à TCP.Use the test-netconnection PowerShell command to check for TCP access. Si votre machine virtuelle ne peut pas accéder à votre ressource locale, la connexion à votre VPN ou à ExpressRoute n’est peut-être pas configurée correctement.If your VM can't reach your on-premises resource, your VPN or ExpressRoute connection may not be configured properly.

Si votre machine virtuelle hébergée sur le réseau virtuel peut atteindre votre système local, mais que votre application ne le peut pas, la raison en est probablement une des suivantes :If your VNet hosted VM can reach your on-premises system but your app can't, then the cause is likely one of the following reasons:

  • vos routes ne sont pas configurées avec vos plages d’adresses de sous-réseau ou de point à site dans votre passerelle localeyour routes are not configured with your subnet or point to site address ranges in your on-premises gateway
  • vos groupes de sécurité réseau bloquent l’accès de votre plage IP de point à siteyour network security groups are blocking access for your Point-to-Site IP range
  • vos pare-feux locaux bloquent le trafic provenant de votre plage IP de point à siteyour on-premises firewalls are blocking traffic from your Point-to-Site IP range
  • vous tentez d’accéder à une adresse non compatible avec RFC 1918 en utilisant la fonctionnalité d’intégration au réseau virtuel régionalyou are trying to reach a non-RFC 1918 address using the regional VNet Integration feature

Automation PowerShellPowerShell automation

Vous pouvez intégrer App Service à un réseau virtuel Azure à l’aide de PowerShell.You can integrate App Service with an Azure Virtual Network using PowerShell. Pour obtenir un script prêt à l’exécution, consultez Connect an app in Azure App Service to an Azure Virtual Network.For a ready-to-run script, see Connect an app in Azure App Service to an Azure Virtual Network.