Intégrer votre application à un réseau virtuel AzureIntegrate your app with an Azure virtual network

Cet article décrit la fonctionnalité d’intégration au réseau virtuel d’Azure App Service et explique comment la configurer avec des applications dans Azure App Service.This article describes the Azure App Service VNet Integration feature and how to set it up with apps in Azure App Service. Les réseaux virtuels Azure vous permettent de placer un grand nombre de vos ressources Azure dans un réseau routable non-Internet.With Azure Virtual Network (VNets), you can place many of your Azure resources in a non-internet-routable network. La fonctionnalité d’intégration au réseau virtuel permet à vos applications d’accéder à des ressources dans ou via un réseau virtuel.The VNet Integration feature enables your apps to access resources in or through a VNet. Elle n’autorise pas l’accès privé à vos applications.VNet Integration doesn't enable your apps to be accessed privately.

Azure App Service propose deux variantes de la fonctionnalité d’intégration au réseau virtuel :Azure App Service has two variations on the VNet Integration feature:

  • Les systèmes multilocataires qui prennent en charge l’ensemble des plans de tarification, excepté « Isolé ».The multitenant systems that support the full range of pricing plans except Isolated.
  • La fonctionnalité App Service Environment qui opère un déploiement dans votre réseau virtuel et prend en charge les applications à plan tarifaire Isolé.The App Service Environment, which deploys into your VNet and supports Isolated pricing plan apps.

La fonctionnalité d’intégration au réseau virtuel est utilisée dans les applications mutualisées.The VNet Integration feature is used in multitenant apps. Si votre application se trouve dans Azure App Service Environment, elle est déjà dans un réseau virtuel et ne nécessite pas l’utilisation de la fonctionnalité d’intégration au réseau virtuel pour accéder aux ressources du même réseau virtuel.If your app is in App Service Environment, then it's already in a VNet and doesn't require use of the VNet Integration feature to reach resources in the same VNet. Pour plus d’informations sur toutes les fonctionnalités de mise en réseau, consultez Fonctionnalités de mise en réseau App Service.For more information on all of the networking features, see App Service networking features.

L’intégration au réseau virtuel permet à votre application d’accéder aux ressources de votre réseau virtuel, sans pour autant accorder d’accès privé entrant à votre application à partir du réseau virtuel.VNet Integration gives your app access to resources in your VNet, but it doesn't grant inbound private access to your app from the VNet. L’accès aux sites privés fait référence au fait de rendre une application accessible uniquement à partir d’un réseau privé, par exemple à partir d’un réseau virtuel Azure.Private site access refers to making an app accessible only from a private network, such as from within an Azure virtual network. L’intégration au réseau virtuel sert uniquement à passer des appels sortants de votre application vers votre réseau virtuel.VNet Integration is used only to make outbound calls from your app into your VNet. La fonctionnalité d’intégration au réseau virtuel se comporte différemment lorsqu’elle est utilisée avec un réseau virtuel situé dans la même région et dans d’autres régions.The VNet Integration feature behaves differently when it's used with VNet in the same region and with VNet in other regions. La fonctionnalité d’intégration au réseau virtuel présente deux variantes :The VNet Integration feature has two variations:

  • Intégration au réseau virtuel régional : Quand vous vous connectez à des réseaux virtuels Azure Resource Manager dans la même région, vous devez disposer d’un sous-réseau dédié dans le réseau virtuel avec lequel vous vous intégrez.Regional VNet Integration: When you connect to Azure Resource Manager virtual networks in the same region, you must have a dedicated subnet in the VNet you're integrating with.
  • Intégration au réseau virtuel avec passerelle obligatoire : Lors de la connexion à des réseaux virtuels dans d’autres régions ou à un réseau virtuel classique dans la même région, vous avez besoin d’une passerelle de réseau virtuel Azure approvisionnée dans le réseau virtuel cible.Gateway-required VNet Integration: When you connect to VNet in other regions or to a classic virtual network in the same region, you need an Azure Virtual Network gateway provisioned in the target VNet.

Les fonctionnalités d’intégration au réseau virtuel :The VNet Integration features:

  • Nécessitent un plan tarifaire Standard, Premium, PremiumV2, PremiumV3 ou Élastique Premium.Require a Standard, Premium, PremiumV2, PremiumV3, or Elastic Premium pricing plan.
  • Prennent en charge les protocoles TCP et UDP.Support TCP and UDP.
  • Fonctionnent avec les applications Azure App Service et les applications de fonction.Work with Azure App Service apps and function apps.

L’intégration au réseau virtuel ne prend pas en charge certaines choses, notamment :There are some things that VNet Integration doesn't support, like:

  • Montage d’un lecteur.Mounting a drive.
  • Intégration d’Active Directory.Active Directory integration.
  • NetBIOS.NetBIOS.

L’intégration au réseau virtuel avec passerelle obligatoire fournit un accès aux ressources uniquement du réseau virtuel cible, ou des réseaux connectés au réseau virtuel cible avec un peering ou des réseaux privés virtuels.Gateway-required VNet Integration provides access to resources only in the target VNet or in networks connected to the target VNet with peering or VPNs. L’intégration au réseau virtuel avec passerelle obligatoire n’autorise pas l’accès aux ressources disponibles sur les connexions ExpressRoute Azure ou fonctionne avec des points de terminaison de service.Gateway-required VNet Integration doesn't enable access to resources available across Azure ExpressRoute connections or works with service endpoints.

Quelle que soit la version utilisée, l’intégration au réseau virtuel permet à votre application d’accéder aux ressources de votre réseau virtuel, mais n’accorde pas d’accès privé entrant à votre application à partir du réseau virtuel.Regardless of the version used, VNet Integration gives your app access to resources in your VNet, but it doesn't grant inbound private access to your app from the VNet. L’accès à un site privé fait référence au fait de rendre votre application accessible uniquement à partir d’un réseau privé tel qu’un réseau virtuel Azure.Private site access refers to making your app accessible only from a private network, such as from within an Azure VNet. L'intégration au réseau virtuel sert uniquement à passer des appels sortants de votre application vers votre réseau virtuel.VNet Integration is only for making outbound calls from your app into your VNet.

Activer une intégration au réseau virtuelEnable VNet Integration

  1. Accédez à l’interface utilisateur Réseau dans le portail App Service.Go to the Networking UI in the App Service portal. Sous Intégration de réseau virtuel, sélectionnez Cliquez ici pour configurer.Under VNet Integration, select Click here to configure.

  2. Sélectionnez Ajouter un réseau virtuel.Select Add VNet.

    Sélectionner l’intégration au réseau virtuel

  3. La liste déroulante contient tous les réseaux virtuels Azure Resource Manager de votre abonnement dans la même région.The drop-down list contains all of the Azure Resource Manager virtual networks in your subscription in the same region. Sous cette liste se trouve une liste des réseaux virtuels Azure Resource Manager dans toutes les autres régions.Underneath that is a list of the Resource Manager virtual networks in all other regions. Sélectionnez le réseau virtuel avec lequel vous souhaitez effectuer l’intégration.Select the VNet you want to integrate with.

    Sélectionner le réseau virtuel

    • Si le réseau virtuel se trouve dans la même région, créez un sous-réseau ou sélectionnez un sous-réseau préexistant vide.If the VNet is in the same region, either create a new subnet or select an empty preexisting subnet.
    • Pour sélectionner un réseau virtuel dans une autre région, vous devez disposer d’une passerelle de réseau virtuel provisionnée dont l’option Point à site est activée.To select a VNet in another region, you must have a VNet gateway provisioned with point to site enabled.
    • Pour une intégration à un réseau virtuel classique, au lieu de sélectionner la liste déroulante Réseau virtuel, sélectionnez Cliquez ici pour vous connecter à un réseau virtuel classique.To integrate with a classic VNet, instead of selecting the Virtual Network drop-down list, select Click here to connect to a Classic VNet. Sélectionnez le réseau virtuel classique que vous souhaitez utiliser.Select the classic virtual network you want. Le réseau virtuel cible doit déjà être doté d’une passerelle de réseau virtuel provisionnée dont l’option Point à site est activée.The target VNet must already have a Virtual Network gateway provisioned with point-to-site enabled.

    Sélectionner un réseau virtuel classique

Lors de l’intégration, votre application est redémarrée.During the integration, your app is restarted. Une fois l’intégration terminée, vous verrez des informations sur le réseau virtuel auquel vous êtes intégré.When integration is finished, you'll see details on the VNet you're integrated with.

Intégration au réseau virtuel régionalRegional VNet Integration

L’utilisation de l’intégration au réseau virtuel régional permet à votre application d’accéder aux :Using regional VNet Integration enables your app to access:

  • Ressources d’un réseau virtuel dans la même région que votre application.Resources in a VNet in the same region as your app.
  • Ressources de réseaux virtuels appairés au réseau virtuel auquel votre application est intégrée.Resources in VNets peered to the VNet your app is integrated with.
  • Services sécurisés des points de terminaison de service.Service endpoint secured services.
  • Ressources sur des connexions Azure ExpressRoute.Resources across Azure ExpressRoute connections.
  • Ressources dans le réseau virtuel auquel vous êtes intégré.Resources in the VNet you're integrated with.
  • Ressources sur des connexions appairées, notamment des connexions Azure ExpressRoute.Resources across peered connections, which includes Azure ExpressRoute connections.
  • Instances Private EndpointPrivate endpoints

Lorsque vous utilisez l’intégration au réseau virtuel avec des réseaux virtuels d’une même région, vous pouvez utiliser les fonctionnalités de même en réseau Azure suivantes :When you use VNet Integration with VNets in the same region, you can use the following Azure networking features:

  • Groupes de sécurité réseau (NSG)  : Vous pouvez bloquer le trafic sortant avec un groupe de sécurité réseau placé sur votre sous-réseau d’intégration.Network security groups (NSGs): You can block outbound traffic with an NSG that's placed on your integration subnet. Les règles de trafic entrant ne s’appliquent pas, car vous ne pouvez pas utiliser l’intégration au réseau virtuel pour fournir un accès entrant à votre application.The inbound rules don't apply because you can't use VNet Integration to provide inbound access to your app.
  • Tables de routage (Routes définies par l’utilisateur)  : Vous pouvez placer une table de routage sur le sous-réseau d’intégration pour envoyer le trafic sortant où vous voulez.Route tables (UDRs): You can place a route table on the integration subnet to send outbound traffic where you want.

Par défaut, votre application route seulement le trafic RFC1918 vers votre réseau virtuel.By default, your app routes only RFC1918 traffic into your VNet. Si vous voulez router tout le trafic sortant vers votre réseau virtuel, appliquez le paramètre d’application WEBSITE_VNET_ROUTE_ALL à votre application.If you want to route all of your outbound traffic into your VNet, apply the app setting WEBSITE_VNET_ROUTE_ALL to your app. Pour configurer le paramètre d’application :To configure the app setting:

  1. Accédez à l’interface utilisateur Configuration dans votre portail d’application.Go to the Configuration UI in your app portal. Sélectionnez Nouveau paramètre d’application.Select New application setting.

  2. Entrez WEBSITE_VNET_ROUTE_ALL dans la zone Nom et 1 dans la zone Valeur.Enter WEBSITE_VNET_ROUTE_ALL in the Name box, and enter 1 in the Value box.

    Fournir le paramètre d’application

  3. Sélectionnez OK.Select OK.

  4. Sélectionnez Enregistrer.Select Save.

Notes

Si vous routez tout le trafic sortant vers votre réseau virtuel, il est soumis aux groupes de sécurité réseau et aux routes définies par l’utilisateur appliqués à votre sous-réseau d’intégration.If you route all of your outbound traffic into your VNet, it's subject to the NSGs and UDRs that are applied to your integration subnet. Lorsque vous acheminez tout le trafic sortant vers votre réseau virtuel, vos adresses sortantes sont toujours les adresses sortantes listées dans les propriétés de votre application, sauf si vous fournissez les routes pour envoyer le trafic ailleurs.When you route all of your outbound traffic into your VNet, your outbound addresses are still the outbound addresses that are listed in your app properties unless you provide routes to send the traffic elsewhere.

Il existe certaines limitations concernant l’utilisation de l’intégration au réseau virtuel avec les réseaux virtuels d’une même région :There are some limitations with using VNet Integration with VNets in the same region:

  • Vous ne pouvez pas accéder à des ressources via des connexions d’appairage mondiales.You can't reach resources across global peering connections.
  • La fonctionnalité est disponible seulement à partir des unités d’échelle Azure App Service récentes qui prennent en charge les plans App Service PremiumV2.The feature is available only from newer Azure App Service scale units that support PremiumV2 App Service plans. Notez que cela ne signifie pas que votre application doive s’exécuter sur un niveau tarifaire PremiumV2, mais seulement qu’elle doit s’exécuter sur un plan App Service pour lequel l’option PremiumV2 est disponible (ce qui signifie qu’il s’agit d’une unité d’échelle plus récente où cette fonctionnalité d’intégration au réseau virtuel est également disponible).Note that this does not mean your app must run on a PremiumV2 pricing tier, only that it must run on an App Service Plan where the PremiumV2 option is available (which implies that it is a newer scale unit where this VNet integration feature is then also available).
  • Le sous-réseau d’intégration peut être utilisé par un seul plan App Service.The integration subnet can be used by only one App Service plan.
  • La fonctionnalité ne peut pas être utilisée par des applications de plan Isolé qui se trouvent dans un environnement App Service.The feature can't be used by Isolated plan apps that are in an App Service Environment.
  • La fonctionnalité nécessite un sous-réseau inutilisé /27 avec 32 adresses ou d’une taille supérieure, dans un réseau virtuel Azure Resource Manager.The feature requires an unused subnet that's a /27 with 32 addresses or larger in an Azure Resource Manager VNet.
  • L’application et le réseau virtuel doivent être dans la même région.The app and the VNet must be in the same region.
  • Vous ne pouvez pas supprimer un réseau virtuel avec une application intégrée.You can't delete a VNet with an integrated app. Supprimez l’intégration avant de supprimer le réseau virtuel.Remove the integration before you delete the VNet.
  • L’intégration ne peut se faire qu’avec des réseaux virtuels figurant dans le même abonnement que l’application.You can only integrate with VNets in the same subscription as the app.
  • Vous ne pouvez disposer que d’une seule intégration au réseau virtuel régional par plan App Service.You can have only one regional VNet Integration per App Service plan. Plusieurs applications d’un même plan App Service peuvent utiliser le même réseau virtuel.Multiple apps in the same App Service plan can use the same VNet.
  • Vous ne pouvez pas changer l’abonnement d’une application ou d’un plan quand une application utilise l’intégration au réseau virtuel régional.You can't change the subscription of an app or a plan while there's an app that's using regional VNet Integration.
  • Votre application ne peut pas résoudre les adresses dans Azure DNS Private Zones sans modification de la configuration.Your app cannot resolve addresses in Azure DNS Private Zones without configuration changes

Une adresse est utilisée pour chaque instance du plan.One address is used for each plan instance. Si vous mettez votre application à l’échelle vers cinq instances, cinq adresses sont utilisées.If you scale your app to five instances, then five addresses are used. Comme la taille du sous-réseau ne peut pas être modifiée après l’affectation, vous devez utiliser un sous-réseau suffisamment grand pour s’adapter à la taille que votre application est susceptible d’atteindre.Since subnet size can't be changed after assignment, you must use a subnet that's large enough to accommodate whatever scale your app might reach. Une taille de /26 avec 64 adresses est recommandée.A /26 with 64 addresses is the recommended size. Un sous-réseau /26 avec 64 adresses contient un plan Premium avec 30 instances.A /26 with 64 addresses accommodates a Premium plan with 30 instances. Lorsque vous modifiez un plan à la hausse ou à la baisse, vous avez brièvement besoin de deux fois plus d’adresses.When you scale a plan up or down, you need twice as many addresses for a short period of time.

Si vous voulez que vos applications d’un autre plan atteignent un réseau virtuel auquel sont déjà connectées des applications d’un autre plan, sélectionnez un sous-réseau différent de celui utilisé par l’intégration au réseau virtuel préexistante.If you want your apps in another plan to reach a VNet that's already connected to by apps in another plan, select a different subnet than the one being used by the preexisting VNet Integration.

La fonctionnalité est entièrement prise en charge pour les applications Windows et Linux, notamment les conteneurs personnalisés.The feature is fully supported for both Windows and Linux apps, including custom containers. Tous les comportements sont identiques entre les applications Windows et les applications Linux.All of the behaviors act the same between Windows apps and Linux apps.

Points de terminaison de serviceService endpoints

L’intégration au réseau virtuel régional vous permet d’utiliser des points de terminaison de service.Regional VNet Integration enables you to use service endpoints. Pour utiliser des points de terminaison de service avec votre application, servez-vous de l’intégration au réseau virtuel régional pour vous connecter à un réseau virtuel sélectionné, puis configurez des points de terminaison de service avec le service de destination sur le sous-réseau que vous avez utilisé pour l’intégration.To use service endpoints with your app, use regional VNet Integration to connect to a selected VNet and then configure service endpoints with the destination service on the subnet you used for the integration. Si vous souhaitez ensuite accéder à un service via des points de terminaison de service :If you then wanted to access a service over service endpoints:

  1. configurez l’intégration au réseau virtuel régional à votre application webconfigure regional VNet Integration with your web app
  2. accédez au service de destination et configurez des points de terminaison de service sur le sous-réseau utilisé pour l’intégrationgo to the destination service and configure service endpoints against the subnet used for integration

Groupes de sécurité réseauNetwork security groups

Vous pouvez utiliser des groupes de sécurité réseau pour bloquer le trafic entrant et sortant vers des ressources d’un réseau virtuel.You can use network security groups to block inbound and outbound traffic to resources in a VNet. Une application utilisant l’intégration au réseau virtuel régional peut utiliser un groupe de sécurité réseau pour bloquer le trafic sortant vers des ressources dans votre réseau virtuel ou sur Internet.An app that uses regional VNet Integration can use a network security group to block outbound traffic to resources in your VNet or the internet. Pour bloquer le trafic vers des adresses publiques, le paramètre d’application WEBSITE_VNET_ROUTE_ALL doit être défini sur 1.To block traffic to public addresses, you must have the application setting WEBSITE_VNET_ROUTE_ALL set to 1. Les règles de trafic entrant dans un groupe de sécurité réseau ne s’appliquent pas à votre application, car l’intégration au réseau virtuel n’a d’incidence que sur le trafic sortant depuis votre application.The inbound rules in an NSG don't apply to your app because VNet Integration affects only outbound traffic from your app.

Pour contrôler le trafic entrant vers votre application, utilisez la fonctionnalité Restrictions d’accès.To control inbound traffic to your app, use the Access Restrictions feature. Un groupe de sécurité réseau appliqué à votre sous-réseau d’intégration est actif quelles que soient les routes appliquées à votre sous-réseau d’intégration.An NSG that's applied to your integration subnet is in effect regardless of any routes applied to your integration subnet. Si WEBSITE_VNET_ROUTE_ALL est défini sur 1 et que vous n’avez aucune route affectant le trafic des adresses publiques sur votre sous-réseau d’intégration, l’ensemble du trafic sortant est toujours soumis aux groupes de sécurité réseau affectés à votre sous-réseau d’intégration.If WEBSITE_VNET_ROUTE_ALL is set to 1 and you don't have any routes that affect public address traffic on your integration subnet, all of your outbound traffic is still subject to NSGs assigned to your integration subnet. Si WEBSITE_VNET_ROUTE_ALL n’est pas défini, les groupes de sécurité réseau s’appliquent seulement au trafic RFC1918.If WEBSITE_VNET_ROUTE_ALL isn't set, NSGs are only applied to RFC1918 traffic.

ItinérairesRoutes

Vous pouvez utiliser des tables de routage pour router le trafic sortant depuis votre application vers où vous voulez.You can use route tables to route outbound traffic from your app to wherever you want. Par défaut, les tables de routage affectent seulement votre trafic de destination RFC1918.By default, route tables only affect your RFC1918 destination traffic. Si définissez WEBSITE_VNET_ROUTE_ALL sur 1, tous vos appels sortants seront affectés.If you set WEBSITE_VNET_ROUTE_ALL to 1, all of your outbound calls are affected. Les routes définies sur votre sous-réseau d’intégration n’affectent pas les réponses aux requêtes d’application entrantes.Routes that are set on your integration subnet won't affect replies to inbound app requests. Les destinations courantes peuvent inclure des pare-feu ou des passerelles.Common destinations can include firewall devices or gateways.

Si vous souhaitez router tout le trafic sortant localement, vous pouvez utiliser une table de route pour envoyer l’intégralité du trafic sortant vers votre passerelle ExpressRoute.If you want to route all outbound traffic on-premises, you can use a route table to send all outbound traffic to your ExpressRoute gateway. Si vous choisissez de router le trafic vers une passerelle, veillez à définir des routes dans le réseau externe pour renvoyer des réponses.If you do route traffic to a gateway, be sure to set routes in the external network to send any replies back.

Les routes BGP (Border Gateway Protocol) affectent également le trafic de votre application.Border Gateway Protocol (BGP) routes also affect your app traffic. Si vous avez des routes BGP provenant par exemple d’une passerelle ExpressRoute, le trafic sortant de votre application sera affecté.If you have BGP routes from something like an ExpressRoute gateway, your app outbound traffic will be affected. Par défaut, les routes BGP affectent seulement votre trafic de destination RFC1918.By default, BGP routes affect only your RFC1918 destination traffic. Si WEBSITE_VNET_ROUTE_ALL est défini sur 1, tout le trafic sortant peut être affecté par vos routes BGP.If WEBSITE_VNET_ROUTE_ALL is set to 1, all outbound traffic can be affected by your BGP routes.

Azure DNS Private ZonesAzure DNS Private Zones

Une fois que votre application est intégrée à votre réseau virtuel, elle utilise le même serveur DNS que celui avec lequel votre réseau virtuel est configuré.After your app integrates with your VNet, it uses the same DNS server that your VNet is configured with. Par défaut, votre application ne fonctionnera pas avec Azure DNS Private Zones.By default, your app won't work with Azure DNS Private Zones. Pour qu’elle fonctionne avec Azure DNS Private Zones, vous devez ajouter les paramètres d’application suivants :To work with Azure DNS Private Zones you need to add the following app settings:

  1. WEBSITE_DNS_SERVER avec la valeur 168.63.129.16WEBSITE_DNS_SERVER with value 168.63.129.16
  2. WEBSITE_VNET_ROUTE_ALL avec la valeur 1WEBSITE_VNET_ROUTE_ALL with value 1

Ces paramètres envoient l’ensemble de vos appels sortants de votre application vers votre réseau virtuel, en plus de permettre à votre application d’utiliser Azure DNS Private Zones.These settings will send all of your outbound calls from your app into your VNet in addition to enabling your app to use Azure DNS private zones.

Instances Private EndpointPrivate endpoints

Si vous souhaitez effectuer des appels à des points de terminaison privés, vous devez soit les intégrer à Azure DNS Private Zones, soit gérer le point de terminaison privé dans le serveur DNS utilisé par votre application.If you want to make calls to Private Endpoints, then you need to either integrate with Azure DNS Private Zones or manage the private endpoint in the DNS server used by your app.

Fonctionnement de l’intégration au réseau virtuel régionalHow regional VNet Integration works

Les applications contenues dans App Service sont hébergées dans des rôles de travail.Apps in App Service are hosted on worker roles. Les plans tarifaires de base et supérieurs sont des plans d’hébergement dédiés dans lesquels aucune autre charge de travail de client ne s’exécute sur les mêmes Workers.The Basic and higher pricing plans are dedicated hosting plans where there are no other customers' workloads running on the same workers. L’intégration au réseau virtuel régional opère en montant des interfaces virtuelles avec des adresses du sous-réseau délégué.Regional VNet Integration works by mounting virtual interfaces with addresses in the delegated subnet. Comme l’adresse de départ se trouve dans votre réseau virtuel, elle peut accéder à la plupart des éléments contenus dans votre réseau virtuel ou accessibles par celui-ci, comme le ferait une machine virtuelle dans votre réseau virtuel.Because the from address is in your VNet, it can access most things in or through your VNet like a VM in your VNet would. L’implémentation de la mise en réseau est différente de l’exécution d’une machine virtuelle dans votre réseau virtuel.The networking implementation is different than running a VM in your VNet. C’est pourquoi certaines fonctionnalités de mise en réseau ne sont pas encore disponibles.That's why some networking features aren't yet available for this feature.

Fonctionnement de l’intégration au réseau virtuel régional

Quand l’intégration au réseau virtuel régional est activée, votre application continue de passer des appels sortants vers Internet en empruntant les mêmes canaux que d’habitude.When regional VNet Integration is enabled, your app makes outbound calls to the internet through the same channels as normal. Les adresses sortantes figurant sur le portail des propriétés de l’application sont toujours les adresses qu’utilise votre application.The outbound addresses that are listed in the app properties portal are the addresses still used by your app. Ce qui change pour votre application, c’est que les appels aux services sécurisés de point de terminaison de service ou aux adresses RFC 1918 accèdent à votre réseau virtuel.What changes for your app are the calls to service endpoint secured services, or RFC 1918 addresses go into your VNet. Si WEBSITE_VNET_ROUTE_ALL a la valeur 1, tout le trafic sortant peut être envoyé dans votre réseau virtuel.If WEBSITE_VNET_ROUTE_ALL is set to 1, all outbound traffic can be sent into your VNet.

Notes

WEBSITE_VNET_ROUTE_ALL n’est actuellement pas pris en charge dans les conteneurs Windows.WEBSITE_VNET_ROUTE_ALL is currently not supported in Windows containers.

La fonctionnalité ne prend en charge qu’une seule interface virtuelle par Worker.The feature supports only one virtual interface per worker. Une interface virtuelle par Worker signifie une intégration au réseau virtuel régional par plan App Service.One virtual interface per worker means one regional VNet Integration per App Service plan. Toutes les applications d’un même plan App Service peuvent utiliser la même intégration de réseau virtuel.All of the apps in the same App Service plan can use the same VNet Integration. Si vous avez besoin d’une application pour vous connecter à un autre réseau virtuel, vous devez créer un autre plan App Service.If you need an app to connect to an additional VNet, you need to create another App Service plan. L’interface virtuelle utilisée n’est pas une ressource à laquelle les clients peuvent accéder directement.The virtual interface used isn't a resource that customers have direct access to.

Compte tenu du mode de fonctionnement de cette technologie, le trafic utilisé avec l’intégration au réseau virtuel n’apparaît pas dans les journaux de flux du groupe de sécurité réseau (NSG) ou d’Azure Network Watcher.Because of the nature of how this technology operates, the traffic that's used with VNet Integration doesn't show up in Azure Network Watcher or NSG flow logs.

Intégration au réseau virtuel avec passerelle obligatoireGateway-required VNet Integration

L’intégration au réseau virtuel avec passerelle obligatoire prend en charge la connexion à un réseau virtuel d’une autre région ou à un réseau virtuel classique.Gateway-required VNet Integration supports connecting to a VNet in another region or to a classic virtual network. Intégration au réseau virtuel avec passerelle obligatoire :Gateway-required VNet Integration:

  • Permet à une application de se connecter à un seul réseau virtuel à la fois.Enables an app to connect to only one VNet at a time.
  • Permet d’intégrer jusqu’à cinq réseaux virtuels dans un plan App Service.Enables up to five VNets to be integrated within an App Service plan.
  • Permet à un même réseau virtuel d’être utilisé par plusieurs applications dans le cadre d’un plan App Service sans impact sur le nombre total d’applications pouvant être utilisées par un plan App Service.Allows the same VNet to be used by multiple apps in an App Service plan without affecting the total number that can be used by an App Service plan. Si vous avez six applications qui utilisent le même réseau virtuel dans le cadre d’un plan App Service, cela compte pour un réseau virtuel utilisé.If you have six apps using the same VNet in the same App Service plan, that counts as one VNet being used.
  • Prend en charge un contrat SLA de 99,9 % du fait du contrat SLA de la passerelle.Supports a 99.9% SLA due to the SLA on the gateway.
  • Permet à vos applications d’utiliser le DNS avec lequel le réseau virtuel est configuré.Enables your apps to use the DNS that the VNet is configured with.
  • Nécessite une passerelle de réseau virtuel basée sur le routage et configurée avec un VPN de point à site SSTP avant de pouvoir être connecté à une application.Requires a Virtual Network route-based gateway configured with an SSTP point-to-site VPN before it can be connected to an app.

Vous ne pouvez pas utiliser l’intégration au réseau virtuel avec passerelle obligatoire :You can't use gateway-required VNet Integration:

  • Avec un réseau virtuel connecté au moyen d’Azure ExpressRoute.With a VNet connected with Azure ExpressRoute.
  • À partir d’une application Linux.From a Linux app.
  • À partir d’un conteneur Windows.From a Windows container.
  • Pour accéder à des ressources sécurisées de points de terminaison de service.To access service endpoint secured resources.
  • Avec une passerelle de coexistence qui prend en charge à la fois les connexions ExpressRoute et les VPN de point à site ou site à site.With a coexistence gateway that supports both ExpressRoute and point-to-site or site-to-site VPNs.

Configurer une passerelle dans votre réseau virtuel AzureSet up a gateway in your Azure virtual network

Pour créer une passerelle :To create a gateway:

  1. Créez un sous-réseau de passerelle dans votre réseau virtuel.Create a gateway subnet in your VNet.

  2. Créez la passerelle VPN.Create the VPN gateway. Sélectionnez un type de VPN basé sur les routes.Select a route-based VPN type.

  3. Définissez les adresses de point à site.Set the point-to-site addresses. Si la passerelle n’est pas dans la référence (SKU) de base, c’est que IKEV2 doit être désactivé dans la configuration de point à site et que SSTP doit être sélectionné.If the gateway isn't in the basic SKU, then IKEV2 must be disabled in the point-to-site configuration and SSTP must be selected. L’espace d’adressage de point à site doit se situer dans les blocs d’adresses RFC 1918, à savoir 10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16.The point-to-site address space must be in the RFC 1918 address blocks 10.0.0.0/8, 172.16.0.0/12, and 192.168.0.0/16.

Si vous créez la passerelle pour l’utiliser avec l’intégration au réseau virtuel App Service, il n’est pas nécessaire de charger un certificat.If you create the gateway for use with App Service VNet Integration, you don't need to upload a certificate. La création de la passerelle peut prendre 30 minutes.Creating the gateway can take 30 minutes. Vous ne serez pas en mesure d’intégrer votre application à votre réseau virtuel tant que la passerelle n’est pas provisionnée.You won't be able to integrate your app with your VNet until the gateway is provisioned.

Fonctionnement de l’intégration au réseau virtuel avec passerelle obligatoireHow gateway-required VNet Integration works

L’intégration au réseau virtuel avec passerelle obligatoire s’appuie sur la technologie VPN de point à site.Gateway-required VNet Integration is built on top of point-to-site VPN technology. Les VPN de point à site limitent l’accès réseau à la seule machine virtuelle qui héberge l’application.Point-to-site VPNs limit network access to the virtual machine that hosts the app. Les applications sont limitées au seul envoi du trafic vers Internet, via des connexions hybrides ou via l’intégration au réseau virtuel.Apps are restricted to send traffic out to the internet only through Hybrid Connections or through VNet Integration. Lorsque votre application est configurée avec le portail pour utiliser l’intégration au réseau virtuel avec passerelle obligatoire, une négociation complexe est managée en votre nom pour créer et attribuer des certificats sur la passerelle et du côté de l’application.When your app is configured with the portal to use gateway-required VNet Integration, a complex negotiation is managed on your behalf to create and assign certificates on the gateway and the application side. Au final, les Workers utilisés pour héberger vos applications sont en mesure de se connecter directement à la passerelle de réseau virtuel, dans le réseau virtuel sélectionné.The result is that the workers used to host your apps are able to directly connect to the virtual network gateway in the selected VNet.

Fonctionnement de l’intégration au réseau virtuel avec passerelle obligatoire

Accès aux ressources localesAccess on-premises resources

Les applications peuvent accéder aux ressources locales en s’intégrant à des réseaux virtuels qui ont des connexions site à site.Apps can access on-premises resources by integrating with VNets that have site-to-site connections. Si vous utilisez l’intégration au réseau virtuel avec passerelle obligatoire, mettez à jour les routes de votre passerelle VPN locale avec vos blocs d’adresses de point à site.If you use gateway-required VNet Integration, update your on-premises VPN gateway routes with your point-to-site address blocks. Lors de la configuration initiale de ce VPN site à site, les scripts utilisés pour le configurer doivent définir les routes correctement.When the site-to-site VPN is first set up, the scripts used to configure it should set up routes properly. Si vous ajoutez des adresses de point à site après avoir créé votre VPN de site à site, vous devez mettre à jour les routes manuellement.If you add the point-to-site addresses after you create your site-to-site VPN, you need to update the routes manually. La procédure détaillée dépend de la passerelle et n’est pas décrite ici.Details on how to do that vary per gateway and aren't described here. Vous ne pouvez pas configurer BGP avec une connexion VPN de site à site.You can't have BGP configured with a site-to-site VPN connection.

Aucune configuration supplémentaire n’est nécessaire pour permettre à la fonctionnalité d’intégration au réseau virtuel régional d’accéder à vos ressources locales via votre réseau virtuel.No additional configuration is required for the regional VNet Integration feature to reach through your VNet to on-premises resources. Vous devez simplement connecter votre réseau virtuel à vos ressources locales à l’aide d’ExpressRoute ou d’un VPN de site à site.You simply need to connect your VNet to on-premises resources by using ExpressRoute or a site-to-site VPN.

Notes

La fonctionnalité d’intégration au réseau virtuel avec passerelle obligatoire n’intègre pas une application à un réseau virtuel doté d’une passerelle ExpressRoute.The gateway-required VNet Integration feature doesn't integrate an app with a VNet that has an ExpressRoute gateway. Même si la passerelle ExpressRoute est configurée en mode de coexistence, l’intégration au réseau virtuel ne fonctionne pas.Even if the ExpressRoute gateway is configured in coexistence mode, the VNet Integration doesn't work. Si vous avez besoin d’accéder à des ressources via une connexion ExpressRoute, utilisez la fonctionnalité d’intégration au réseau virtuel régional ou un environnement ASE (App Service Environment), qui s’exécute dans votre réseau virtuel.If you need to access resources through an ExpressRoute connection, use the regional VNet Integration feature or an App Service Environment, which runs in your VNet.

PeeringPeering

Si vous utilisez le peering avec l’intégration au réseau virtuel régional, aucune configuration supplémentaire n’est nécessaire.If you use peering with the regional VNet Integration, you don't need to do any additional configuration.

Si vous utilisez l’intégration au réseau virtuel avec passerelle obligatoire ainsi que le peering, vous devez configurer quelques éléments supplémentaires.If you use gateway-required VNet Integration with peering, you need to configure a few additional items. Pour configurer le peering afin qu’il fonctionne avec votre application :To configure peering to work with your app:

  1. Ajoutez une connexion de peering sur le réseau virtuel auquel votre application se connecte.Add a peering connection on the VNet your app connects to. Lors de l’ajout de la connexion de peering, activez Autoriser l’accès au réseau virtuel et sélectionnez Autoriser le trafic transféré et Autoriser le transit par passerelle.When you add the peering connection, enable Allow virtual network access and select Allow forwarded traffic and Allow gateway transit.
  2. Ajoutez une connexion de peering sur le réseau virtuel à appairer au réseau virtuel auquel vous êtes connecté.Add a peering connection on the VNet that's being peered to the VNet you're connected to. Lors de l’ajout de la connexion de peering sur le réseau virtuel de destination, activez Autoriser l’accès au réseau virtuel et sélectionnez Autoriser le trafic transféré et Autoriser les passerelles distantes.When you add the peering connection on the destination VNet, enable Allow virtual network access and select Allow forwarded traffic and Allow remote gateways.
  3. Accédez à l’interface utilisateur Plan App Service > Mise en réseau > Intégration du réseau virtuel dans le portail.Go to the App Service plan > Networking > VNet Integration UI in the portal. Sélectionnez le réseau virtuel auquel votre application se connecte.Select the VNet your app connects to. Dans la section Routage, ajoutez la plage d’adresses du réseau virtuel qui est appairé au réseau virtuel auquel votre application est connectée.Under the routing section, add the address range of the VNet that's peered with the VNet your app is connected to.

Gérer l’intégration au réseau virtuelManage VNet Integration

Les connexions et déconnexions avec un réseau virtuel se font au niveau de l’application.Connecting and disconnecting with a VNet is at an app level. Les opérations qui peuvent affecter l’intégration au réseau virtuel entre plusieurs applications s’effectuent au niveau du plan App Service.Operations that can affect VNet Integration across multiple apps are at the App Service plan level. Sur le portail, sous application > Mise en réseau > Intégration de réseau virtuel, vous pouvez obtenir des détails sur votre réseau virtuel.From the app > Networking > VNet Integration portal, you can get details on your VNet. Vous pouvez consulter des informations similaires au niveau du plan App Service dans le portail Plan App Service > Mise en réseau > Intégration du réseau virtuel.You can see similar information at the App Service plan level in the App Service plan > Networking > VNet Integration portal.

La seule opération que vous pouvez effectuer dans la vue d’application de votre instance d’intégration au réseau virtuel consiste à déconnecter votre application du réseau virtuel auquel elle est actuellement connectée.The only operation you can take in the app view of your VNet Integration instance is to disconnect your app from the VNet it's currently connected to. Pour déconnecter votre application d’un réseau virtuel, sélectionnez Déconnecter.To disconnect your app from a VNet, select Disconnect. Votre application est redémarrée quand vous vous déconnectez d’un réseau virtuel.Your app is restarted when you disconnect from a VNet. La déconnexion ne change pas votre réseau virtuel.Disconnecting doesn't change your VNet. Le sous-réseau ou la passerelle ne sont pas supprimés.The subnet or gateway isn't removed. Donc, si vous souhaitez supprimer votre réseau virtuel, déconnectez d’abord votre application du réseau virtuel puis supprimez les ressources qu’il contient comme les passerelles.If you then want to delete your VNet, first disconnect your app from the VNet and delete the resources in it, such as gateways.

L’interface utilisateur de l’intégration du réseau virtuel du plan App Service vous montre toutes les intégrations de réseau virtuel utilisées par les applications de votre plan App Service.The App Service plan VNet Integration UI shows you all of the VNet integrations used by the apps in your App Service plan. Pour voir des détails supplémentaires sur chaque réseau virtuel, sélectionnez le réseau virtuel qui vous intéresse.To see details on each VNet, select the VNet you're interested in. Vous pouvez effectuer deux actions ici pour l’intégration au réseau virtuel avec passerelle obligatoire :There are two actions you can perform here for gateway-required VNet Integration:

  • Synchroniser le réseau : L’opération de synchronisation du réseau s’adresse uniquement à la fonctionnalité d’intégration au réseau virtuel dépendante de la passerelle.Sync network: The sync network operation is used only for the gateway-dependent VNet Integration feature. L’exécution d’une opération de synchronisation du réseau est l’assurance que vos certificats et informations réseau sont synchronisés. Si vous ajoutez ou changez le DNS de votre réseau virtuel, effectuez une opération de synchronisation du réseau.Performing a sync network operation ensures that your certificates and network information are in sync. If you add or change the DNS of your VNet, perform a sync network operation. Cette opération redémarre toutes les applications qui utilisent ce réseau virtuel.This operation restarts any apps that use this VNet. Cette opération ne fonctionnera pas si l’application et le réseau virtuel utilisés appartiennent à différents abonnements.This operation will not work if you are using an app and a vnet belonging to different subscriptions.
  • Ajouter des routes : L’ajout de routes achemine le trafic sortant vers votre réseau virtuel.Add routes: Adding routes drives outbound traffic into your VNet.

Routage dans une intégration au réseau virtuel avec passerelle obligatoireGateway-required VNet Integration routing

Les routes définies dans votre réseau virtuel sont utilisées pour diriger le trafic dans votre réseau virtuel à partir de votre application.The routes that are defined in your VNet are used to direct traffic into your VNet from your app. Pour envoyer du trafic sortant supplémentaire dans le réseau virtuel, ajoutez ces blocs d’adresses ici.To send additional outbound traffic into the VNet, add those address blocks here. Cette fonctionnalité n’opère qu’avec l’intégration au réseau virtuel avec passerelle obligatoire.This capability only works with gateway-required VNet Integration. Les tables de route n’ont pas d’incidence sur le trafic de votre application lors de l’utilisation de l’intégration au réseau virtuel avec passerelle obligatoire, comme c’est le cas pour l’intégration au réseau virtuel régional.Route tables don't affect your app traffic when you use gateway-required VNet Integration the way that they do with regional VNet Integration.

Certificats dans une intégration au réseau virtuel avec passerelle obligatoireGateway-required VNet Integration certificates

Quand l’intégration au réseau virtuel avec passerelle obligatoire est activée, un échange de certificats est nécessaire pour garantir la sécurité de la connexion.When gateway-required VNet Integration is enabled, there's a required exchange of certificates to ensure the security of the connection. En plus des certificats, la configuration DNS, les routes et d’autres éléments similaires décrivent le réseau.Along with the certificates are the DNS configuration, routes, and other similar things that describe the network.

Si des certificats ou des informations du réseau sont modifiés, sélectionnez Synchroniser le réseau.If certificates or network information is changed, select Sync Network. Quand vous sélectionnez Synchroniser le réseau, la connectivité entre votre application et votre réseau virtuel est brièvement interrompue.When you select Sync Network, you cause a brief outage in connectivity between your app and your VNet. Votre application n’est pas redémarrée, et la perte de connectivité peut altérer le fonctionnement correct de votre site.While your app isn't restarted, the loss of connectivity could cause your site to not function properly.

Détails de la tarificationPricing details

L’utilisation de la fonctionnalité d’intégration au réseau virtuel régional ne s’accompagne d’aucuns frais supplémentaires au-delà des frais liés au niveau tarifaire du plan App Service.The regional VNet Integration feature has no additional charge for use beyond the App Service plan pricing tier charges.

Trois types de frais sont appliqués en cas d’utilisation de la fonctionnalité d’intégration au réseau virtuel avec passerelle obligatoire :Three charges are related to the use of the gateway-required VNet Integration feature:

  • Frais liés au niveau tarifaire du plan App Service : Vos applications doivent être dans un plan App Service Standard, Premium, PremiumV2 ou PremiumV3.App Service plan pricing tier charges: Your apps need to be in a Standard, Premium, PremiumV2, or PremiumV3 App Service plan. Pour plus d’informations sur ces frais, consultez Tarification d’App Service.For more information on those costs, see App Service pricing.
  • Coût de transfert des données : Les sorties de données engendrent des coûts, même si le réseau virtuel est dans le même centre de données.Data transfer costs: There's a charge for data egress, even if the VNet is in the same datacenter. Ces coûts sont décrits dans Détails de tarification des transferts de données.Those charges are described in Data Transfer pricing details.
  • Coûts de la passerelle VPN : La passerelle de réseau virtuel nécessaire pour la connexion VPN de point à site engendre un coût.VPN gateway costs: There's a cost to the virtual network gateway that's required for the point-to-site VPN. Pour plus d’informations, consultez Tarification Passerelle VPN.For more information, see VPN gateway pricing.

DépannageTroubleshooting

Notes

L’intégration au réseau virtuel n’est pas prise en charge pour les scénarios Docker Compose dans App Service.VNET integration is not supported for Docker Compose scenarios in App Service.

Cette fonctionnalité est facile à configurer, mais il est possible que vous rencontriez des problèmes.The feature is easy to set up, but that doesn't mean your experience will be problem free. Si vous rencontrez des difficultés pour accéder au point de terminaison souhaité, certains utilitaires vous permettent de tester la connectivité à partir de la console de l’application.If you encounter problems accessing your desired endpoint, there are some utilities you can use to test connectivity from the app console. Vous pouvez utiliser deux consoles :There are two consoles that you can use. la console Kudu et la console du Portail Azure.One is the Kudu console, and the other is the console in the Azure portal. Pour accéder à la console Kudu à partir de votre application, accédez à Outils > Kudu.To reach the Kudu console from your app, go to Tools > Kudu. Vous pouvez également accéder à la console Kudo via le site [nom du site].scm.azurewebsites.net.You can also reach the Kudo console at [sitename].scm.azurewebsites.net. Une fois le site chargé, accédez à l’onglet Console de débogage. Pour accéder à la console hébergée par le Portail Azure à partir de votre application, accédez à Outils > Console.After the website loads, go to the Debug console tab. To get to the Azure portal-hosted console from your app, go to Tools > Console.

OutilsTools

Dans les applications Windows natives, les outils ping, nslookup et tracert ne fonctionnent pas dans la console en raison de contraintes de sécurité (ils fonctionnent dans des conteneurs Windows personnalisés).In native Windows apps, the tools ping, nslookup, and tracert won't work through the console because of security constraints (they work in custom Windows containers). Deux outils distincts ont été ajoutés pour les remplacer.To fill the void, two separate tools are added. Pour tester les fonctionnalités DNS, nous avons ajouté un outil nommé nameresolver.exe.To test DNS functionality, we added a tool named nameresolver.exe. La syntaxe est :The syntax is:

nameresolver.exe hostname [optional: DNS Server]

Vous pouvez utiliser nameresolver pour vérifier les noms d’hôte dont dépend votre application.You can use nameresolver to check the hostnames that your app depends on. De cette façon, vous pouvez tester si des éléments de votre serveur DNS sont mal configurés ou si vous n’avez pas accès à votre serveur DNS.This way you can test if you have anything misconfigured with your DNS or perhaps don't have access to your DNS server. Vous pouvez identifier le serveur DNS qu’utilise votre application dans la console en examinant les variables d’environnement WEBSITE_DNS_SERVER et WEBSITE_DNS_ALT_SERVER.You can see the DNS server that your app uses in the console by looking at the environmental variables WEBSITE_DNS_SERVER and WEBSITE_DNS_ALT_SERVER.

Notes

nameresolver.exe ne fonctionne pas actuellement dans les conteneurs Windows personnalisés.nameresolver.exe currently doesn't work in custom Windows containers.

Vous pouvez utiliser l’outil suivant pour tester la connectivité TCP avec une combinaison hôte-port.You can use the next tool to test for TCP connectivity to a host and port combination. Il s’agit de l’outil tcpping, dont la syntaxe est la suivante :This tool is called tcpping and the syntax is:

tcpping.exe hostname [optional: port]

L’utilitaire tcpping vous indique si vous pouvez atteindre un hôte et un port spécifiques.The tcpping utility tells you if you can reach a specific host and port. Il ne peut réussir que si une application écoute au niveau de la combinaison hôte-port et si l’accès réseau de votre application à l’hôte et au port spécifiés est disponible.It can show success only if there's an application listening at the host and port combination, and there's network access from your app to the specified host and port.

Déboguer l’accès aux ressources hébergées sur un réseau virtuelDebug access to virtual network-hosted resources

Plusieurs choses peuvent empêcher votre application d’atteindre un hôte et un port spécifiques.A number of things can prevent your app from reaching a specific host and port. La plupart du temps, il s’agit de l’une des trois raisons suivantes :Most of the time it's one of these things:

  • Un pare-feu se trouve sur le trajet.A firewall is in the way. Si vous utilisez un pare-feu sur le trajet, vous dépassez le délai d’expiration TCP.If you have a firewall in the way, you hit the TCP timeout. Dans ce cas, il est de 21 secondes.The TCP timeout is 21 seconds in this case. Utilisez l’outil tcpping pour tester la connectivité.Use the tcpping tool to test connectivity. Les délais d’expiration TCP peuvent avoir de nombreuses autres origines, mais commencez par vérifier ce point.TCP timeouts can be caused by many things beyond firewalls, but start there.
  • DNS n’est pas accessible.DNS isn't accessible. Le délai d’expiration DNS est de 3 secondes par serveur DNS.The DNS timeout is 3 seconds per DNS server. Si vous avez deux serveurs DNS, le délai d’expiration est de 6 secondes.If you have two DNS servers, the timeout is 6 seconds. Utilisez nameresolver pour vérifier que le DNS fonctionne correctement.Use nameresolver to see if DNS is working. Vous ne pouvez pas utiliser nslookup, car il n’utilise pas le DNS avec lequel votre réseau virtuel est configuré.You can't use nslookup, because that doesn't use the DNS your virtual network is configured with. S’il n’est pas accessible, il se peut qu’un pare-feu ou un groupe de sécurité réseau (NSG) bloque l’accès au DNS ou que celui-ci est inopérant.If inaccessible, you could have a firewall or NSG blocking access to DNS or it could be down.

Si ces éléments ne suffisent pas à résoudre vos problèmes, commencez par vous poser les questions suivantes :If those items don't answer your problems, look first for things like:

Intégration au réseau virtuel régionalRegional VNet Integration

  • Votre destination est-elle une adresse non RFC1918 alors que la valeur de WEBSITE_VNET_ROUTE_ALL n’est pas 1 ?Is your destination a non-RFC1918 address and you don't have WEBSITE_VNET_ROUTE_ALL set to 1?
  • Y a-t-il un groupe de sécurité réseau qui bloque la sortie de votre sous-réseau d’intégration ?Is there an NSG blocking egress from your integration subnet?
  • Si elle transite par Azure ExpressRoute ou un VPN, votre passerelle locale est-elle configurée pour réacheminer le trafic vers Azure ?If you're going across Azure ExpressRoute or a VPN, is your on-premises gateway configured to route traffic back up to Azure? Si vous pouvez accéder à des points de terminaison dans votre réseau virtuel, mais pas en local, vérifiez vos routes.If you can reach endpoints in your virtual network but not on-premises, check your routes.
  • Disposez-vous d’autorisations suffisantes pour définir la délégation sur le sous-réseau d’intégration ?Do you have enough permissions to set delegation on the integration subnet? Durant la configuration de l’intégration au réseau virtuel régional, votre sous-réseau d’intégration est délégué à Microsoft.Web.During regional VNet Integration configuration, your integration subnet is delegated to Microsoft.Web. L’interface utilisateur de l’intégration au réseau virtuel délègue automatiquement le sous-réseau à Microsoft.Web.The VNet Integration UI delegates the subnet to Microsoft.Web automatically. Si votre compte ne dispose pas d’autorisations de mise en réseau suffisantes pour définir la délégation, vous devez demander à une personne autorisée de configurer les attributs de votre sous-réseau d’intégration de manière à déléguer celui-ci.If your account doesn't have sufficient networking permissions to set delegation, you'll need someone who can set attributes on your integration subnet to delegate the subnet. Pour déléguer manuellement le sous-réseau d’intégration, accédez à l’interface utilisateur du sous-réseau du service Réseau virtuel Azure et définissez la délégation sur Microsoft.Web.To manually delegate the integration subnet, go to the Azure Virtual Network subnet UI and set the delegation for Microsoft.Web.

Intégration au réseau virtuel avec passerelle obligatoireGateway-required VNet Integration

  • La plage d’adresses de point à site se trouve-t-elle dans les plages RFC 1918 (10.0.0.0 à 10.255.255.255, 172.16.0.0 à 172.31.255.255 ou 192.168.0.0 à 192.168.255.255) ?Is the point-to-site address range in the RFC 1918 ranges (10.0.0.0-10.255.255.255 / 172.16.0.0-172.31.255.255 / 192.168.0.0-192.168.255.255)?
  • Le portail indique-t-il que la passerelle fonctionne ?Does the gateway show as being up in the portal? Si votre passerelle est en panne, rétablissez-la.If your gateway is down, then bring it back up.
  • Les certificats apparaissent-ils comme étant synchronisés ou soupçonnez-vous une modification de la configuration réseau ?Do certificates show as being in sync, or do you suspect that the network configuration was changed? Si vos certificats ne sont pas synchronisés ou si vous pensez qu’une modification apportée à la configuration de votre réseau virtuel n’a pas été synchronisée avec vos ASP, sélectionnez Synchroniser le réseau.If your certificates are out of sync or you suspect that a change was made to your virtual network configuration that wasn't synced with your ASPs, select Sync Network.
  • Si vous utilisez un VPN, la passerelle locale est-elle configurée pour réacheminer le trafic vers Azure ?If you're going across a VPN, is the on-premises gateway configured to route traffic back up to Azure? Si vous pouvez accéder à des points de terminaison dans votre réseau virtuel, mais pas en local, vérifiez vos routes.If you can reach endpoints in your virtual network but not on-premises, check your routes.
  • Essayez-vous d’utiliser une passerelle de coexistence qui prend en charge à la fois la connectivité point à site et la connectivité ExpressRoute ?Are you trying to use a coexistence gateway that supports both point to site and ExpressRoute? Les passerelles de coexistence ne sont pas prises en charge avec l’intégration au réseau virtuel.Coexistence gateways aren't supported with VNet Integration.

Le débogage des problèmes de mise en réseau constitue un défi, car cette opération ne vous permet pas de voir ce qui bloque l’accès à une combinaison hôte-port spécifique.Debugging networking issues is a challenge because you can't see what's blocking access to a specific host:port combination. Les causes peuvent inclure :Some causes include:

  • Un pare-feu activé sur l’hôte empêche l’accès au port de l’application à partir de votre plage d’adresses IP de point à site.You have a firewall up on your host that prevents access to the application port from your point-to-site IP range. Des sous-réseaux croisés requièrent souvent un accès public.Crossing subnets often requires public access.
  • Votre hôte cible est hors-service.Your target host is down.
  • Votre application est arrêtée.Your application is down.
  • L’IP ou le nom d’hôte sont incorrects.You had the wrong IP or hostname.
  • Votre application est à l’écoute sur un port autre que celui auquel vous vous attendiez.Your application is listening on a different port than what you expected. Vous pouvez faire correspondre votre ID de processus avec le port d’écoute en utilisant « netstat -aon » sur l’hôte du point de terminaison.You can match your process ID with the listening port by using "netstat -aon" on the endpoint host.
  • Vos groupes de sécurité réseau sont configurés de telle sorte qu’ils empêchent l’accès à l’hôte et au port de votre application à partir de votre plage d’adresses IP de point à site.Your network security groups are configured in such a manner that they prevent access to your application host and port from your point-to-site IP range.

Vous ne savez pas quelle adresse votre application utilise réellement.You don't know what address your app actually uses. Cela peut être n’importe quelle adresse de la plage d’adresses de sous-réseau d’intégration ou de point à site. De ce fait, vous devez autoriser l’accès depuis toutes les adresses de la plage.It could be any address in the integration subnet or point-to-site address range, so you need to allow access from the entire address range.

Étapes de débogage supplémentaires :Additional debug steps include:

  • Connectez-vous à une machine virtuelle de votre réseau virtuel et essayez d’atteindre la combinaison hôte-port de vos ressources.Connect to a VM in your virtual network and attempt to reach your resource host:port from there. Pour tester l’accès à TCP, utilisez la commande PowerShell test-netconnection.To test for TCP access, use the PowerShell command test-netconnection. La syntaxe est :The syntax is:
test-netconnection hostname [optional: -Port]
  • Démarrez une application sur une machine virtuelle, puis testez l’accès à ces hôte et port à partir de la console de votre application en utilisant l’outil tcpping.Bring up an application on a VM and test access to that host and port from the console from your app by using tcpping.

Ressources localesOn-premises resources

Si votre application ne peut pas accéder à une ressource locale, vérifiez si vous pouvez atteindre la ressource à partir de votre réseau virtuel.If your app can't reach a resource on-premises, check if you can reach the resource from your virtual network. Utilisez la commande PowerShell test-netconnection pour vérifier l’accès à TCP.Use the test-netconnection PowerShell command to check for TCP access. Si votre machine virtuelle ne peut pas accéder à votre ressource locale, votre connexion VPN ou ExpressRoute n’est peut-être pas configurée correctement.If your VM can't reach your on-premises resource, your VPN or ExpressRoute connection might not be configured properly.

Si votre machine virtuelle hébergée sur le réseau virtuel peut atteindre votre système local, mais que votre application ne le peut pas, la raison en est probablement l’une des suivantes :If your virtual network-hosted VM can reach your on-premises system but your app can't, the cause is likely one of the following reasons:

  • Vos routes ne sont pas configurés avec vos plages d’adresses de sous-réseau ou de point à site dans votre passerelle locale.Your routes aren't configured with your subnet or point-to-site address ranges in your on-premises gateway.
  • Vos groupes de sécurité réseau bloquent l’accès de votre plage d’adresses IP de point à site.Your network security groups are blocking access for your point-to-site IP range.
  • Vos pare-feu locaux bloquent le trafic provenant de votre plage d’adresses IP de point à site.Your on-premises firewalls are blocking traffic from your point-to-site IP range.
  • Vous tentez d’atteindre une adresse non RFC 1918 en utilisant la fonctionnalité d’intégration au réseau virtuel régional.You're trying to reach a non-RFC 1918 address by using the regional VNet Integration feature.

AutomatisationAutomation

Une prise en charge de l’interface CLI est disponible pour l’intégration au réseau virtuel régional.CLI support is available for regional VNet Integration. Pour accéder aux commandes suivantes, installez l’interface de ligne de commande Azure.To access the following commands, install the Azure CLI.

az webapp vnet-integration --help

Group
    az webapp vnet-integration : Methods that list, add, and remove virtual network
    integrations from a webapp.
        This command group is in preview. It may be changed/removed in a future release.
Commands:
    add    : Add a regional virtual network integration to a webapp.
    list   : List the virtual network integrations on a webapp.
    remove : Remove a regional virtual network integration from webapp.

az appservice vnet-integration --help

Group
    az appservice vnet-integration : A method that lists the virtual network
    integrations used in an appservice plan.
        This command group is in preview. It may be changed/removed in a future release.
Commands:
    list : List the virtual network integrations used in an appservice plan.

La prise en charge PowerShell de l’intégration au réseau virtuel régional est également disponible, mais vous devez créer une ressource générique avec un tableau de propriétés de resourceID du sous-réseauPowerShell support for regional VNet integration is available too, but you must create generic resource with a property array of the subnet resourceID

# Parameters
$sitename = 'myWebApp'
$resourcegroupname = 'myRG'
$VNetname = 'myVNet'
$location = 'myRegion'
$integrationsubnetname = 'myIntegrationSubnet'
$subscriptionID = 'aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee'

#Property array with the SubnetID
$properties = @{
  subnetResourceId = "/subscriptions/$subscriptionID/resourceGroups/$resourcegroupname/providers/Microsoft.Network/virtualNetworks/$VNetname/subnets/$integrationsubnetname"
}

#Creation of the VNet integration
$vNetParams = @{
  ResourceName = "$sitename/VirtualNetwork"
  Location = $location
  ResourceGroupName = $resourcegroupname
  ResourceType = 'Microsoft.Web/sites/networkConfig'
  PropertyObject = $properties
}
New-AzResource @vNetParams

Pour l’intégration au réseau virtuel avec passerelle obligatoire, vous pouvez intégrer App Service à un réseau virtuel Azure à l’aide de PowerShell.For gateway-required VNet Integration, you can integrate App Service with an Azure virtual network by using PowerShell. Pour obtenir un script prêt à l’exécution, consultez Connect an app in Azure App Service to an Azure Virtual Network.For a ready-to-run script, see Connect an app in Azure App Service to an Azure virtual network.