Az Azure App Service hibrid kapcsolatai

  • Cikk

A hibrid Csatlakozás ions az Azure szolgáltatása és a Azure-alkalmazás Szolgáltatás egyik funkciója is. Szolgáltatásként az App Service-ben használtnál több felhasználási és képességekkel rendelkezik. A hibrid Csatlakozás és az App Service-en kívüli használatukról az Azure Relay Hibrid Csatlakozás ions című témakörben olvashat bővebben.

Az App Service-ben a hibrid Csatlakozás ionok bármely olyan hálózatban elérhetők az alkalmazáserőforrásokhoz, amelyek kimenő hívásokat indíthatnak az Azure-ba a 443-as porton keresztül. A hibrid Csatlakozás ions hozzáférést biztosít az alkalmazásból egy TCP-végponthoz, és nem teszi lehetővé az alkalmazás elérésének új módját. Az App Service-ben használt módon minden hibrid Csatlakozás ion egyetlen TCP-gazdagéphez és portkombinációhoz kapcsolódik. Ez a funkció lehetővé teszi az alkalmazások számára, hogy bármilyen operációs rendszeren hozzáférjenek az erőforrásokhoz, feltéve, hogy tcp-végpontról van szó. A hibrid Csatlakozás ions funkció nem tudja vagy nem érdekli, hogy mi az alkalmazásprotokoll, vagy mit ér el. Egyszerűen hálózati hozzáférést biztosít.

Hogyan működik?

A hibrid Csatlakozás ionok esetében egy továbbítóügynököt kell üzembe helyezni, ahol elérheti a kívánt végpontot és az Azure-t is. A továbbítási ügynök hibridkapcsolat-kezelő (HCM) a 443-as porton keresztül hívja fel az Azure Relayt. A webalkalmazás-webhelyről az App Service-infrastruktúra az alkalmazás nevében is csatlakozik az Azure Relayhez. Az összekapcsolt kapcsolatokon keresztül az alkalmazás hozzáférhet a kívánt végponthoz. A kapcsolat a TLS 1.2-es biztonsági és közös hozzáférésű jogosultságkód (SAS) kulcsait használja a hitelesítéshez és engedélyezéshez.

Diagram of Hybrid Connection high-level flow.

Amikor az alkalmazás egy konfigurált hibrid Csatlakozás ion-végpontnak megfelelő DNS-kérést küld, a kimenő TCP-forgalom a hibrid Csatlakozás ionon keresztül lesz átirányítva.

Megjegyzés:

Ez azt jelenti, hogy mindig meg kell próbálnia DNS-nevet használni a hibrid Csatlakozás ionhoz. Egyes ügyfélszoftverek nem végeznek DNS-keresést, ha a végpont ehelyett IP-címet használ.

Az App Service hibrid Csatlakozás ion előnyei

A hibrid Csatlakozás ionok számos előnnyel járnak, például:

  • Az alkalmazások biztonságosan férhetnek hozzá a helyszíni rendszerekhez és szolgáltatásokhoz.
  • A szolgáltatáshoz nincs szükség internetről elérhető végpontra.
  • Gyorsan és egyszerűen beállítható. Nincs szükség átjárókra.
  • Minden hibrid Csatlakozás egyezik egyetlen gazdagép:port kombinációval, ami a biztonság szempontjából hasznos.
  • Általában nem igényel tűzfallyukakat. A kapcsolatok mind szabványos webes portokon keresztül kimenők.
  • Mivel a szolgáltatás hálózati szintű, az alkalmazás által használt nyelv és a végpont által használt technológia nem megfelelő.
  • Használatával több hálózatban is biztosíthatja a hozzáférést egyetlen alkalmazásból.
  • Windows- és Linux-alkalmazások esetén a GA támogatja. Egyéni Windows-tárolók esetében ez nem támogatott.

A hibrid Csatlakozás okkal nem elvégezhető műveletek

A hibrid Csatlakozás nem használható műveletek a következők:

  • Meghajtó csatlakoztatása.
  • Használja az UDP-t.
  • Dinamikus portokat használó TCP-alapú szolgáltatások elérése, például ftp passzív mód vagy kiterjesztett passzív mód.
  • Támogatja az LDAP-t, mert UDP-t igényelhet.
  • Támogatja az Active Directoryt, mert nem lehet tartományhoz csatlakozni egy App Service-feldolgozóhoz.

Hibrid Csatlakozás hozzáadása és létrehozása az alkalmazásban

Hibrid Csatlakozás létrehozásához nyissa meg az Azure Portalt, és válassza ki az alkalmazást. Válassza a Hálózatkezelés>a hibrid Csatlakozás ion-végpontok konfigurálása lehetőséget. Itt láthatja az alkalmazáshoz konfigurált hibrid Csatlakozás okat.

Screenshot of Hybrid Connection list.

Új hibrid Csatlakozás hozzáadásához válassza a [+] Hibrid kapcsolat hozzáadása lehetőséget. Megjelenik a már létrehozott hibrid Csatlakozás ok listája. Ha egy vagy több példányt szeretne hozzáadni az alkalmazáshoz, jelölje ki a kívánt elemeket, majd válassza a Kiválasztott hibrid Csatlakozás ion hozzáadása lehetőséget.

Screenshot of Hybrid Connection portal.

Ha új hibrid Csatlakozás szeretne létrehozni, válassza az Új hibrid kapcsolat létrehozása lehetőséget. Adja meg a következőt:

  • Hibrid Csatlakozás ion neve.
  • Végpont állomásneve.
  • Végpontport.
  • A használni kívánt Service Bus-névtér.

Screenshot of Create new hybrid connection dialog box.

Minden hibrid Csatlakozás egy Service Bus-névtérhez van kötve, és minden Service Bus-névtér egy Azure-régióban található. A hálózat által okozott késés elkerülése érdekében fontos, hogy egy Service Bus-névteret használjon az alkalmazással azonos régióban.

Ha el szeretné távolítani a hibrid Csatlakozás iont az alkalmazásból, kattintson rá a jobb gombbal, és válassza a Leválasztás lehetőséget.

Ha hibrid Csatlakozás ad hozzá az alkalmazáshoz, a részletek csak a kijelölésével láthatók.

Screenshot of Hybrid connections details.

Hibrid Csatlakozás létrehozása az Azure Relay portálon

Az alkalmazáson belüli portálélmény mellett hibrid Csatlakozás is létrehozhat az Azure Relay portálon. Ahhoz, hogy az App Service hibrid Csatlakozás használjon, a következőnek kell lennie:

  • Ügyfélengedély megkövetelése.
  • Rendelkezik egy metaadatelemsel és egy elnevezett végponttal, amely egy gazdagép:port kombinációt tartalmaz értékként.

Hibrid Csatlakozás ions és App Service-csomagok

Az App Service hibrid Csatlakozás ionok csak alapszintű, standard, prémium és izolált díjszabású termékváltozatokban érhetők el. A hibrid Csatlakozás ionok nem érhetők el a használatalapú csomagokban lévő függvényalkalmazásokhoz. A tarifacsomaghoz kötött korlátozások vannak.

Tarifacsomag A tervben használható hibrid Csatlakozás száma
Basic Csomagonként 5
Standard Tervenként 25
Prémium (v1-v3) Alkalmazásonként 220
Izolált (v1-v2) Alkalmazásonként 220

Az App Service-csomag felhasználói felülete megmutatja, hogy hány hibrid Csatlakozás használ, és milyen alkalmazások.

Screenshot of App Service plan properties.

A részletek megtekintéséhez válassza a Hibrid Csatlakozás. Az alkalmazásnézetben látható összes információ megjelenik. Azt is láthatja, hogy az ugyanabban a csomagban lévő alkalmazások közül hány használja a hibrid Csatlakozás iont.

Az App Service-csomagokban használható hibrid Csatlakozás ion-végpontok száma korlátozott. Az egyes hibrid Csatlakozás ionok azonban a csomag tetszőleges számú alkalmazásában használhatók. Egy App Service-csomag öt különálló alkalmazásában használt egyetlen hibrid Csatlakozás ion például egy hibrid Csatlakozás ionnak számít.

Pricing

Az App Service-csomag termékváltozatára vonatkozó követelmény mellett további költségekkel jár a hibrid Csatlakozás ionok használata. A hibrid Csatlakozás ion által használt figyelőkért díjat számítunk fel. A figyelő a hibridkapcsolat-kezelő. Ha öt hibrid Csatlakozás támogatna két hibridkapcsolat-kezelő, az 10 figyelő lenne. További információkért lásd a Service Bus díjszabását.

hibridkapcsolat-kezelő

A hibrid Csatlakozás ions szolgáltatáshoz a hibrid Csatlakozás ion-végpontot üzemeltető hálózati továbbítóügynökre van szükség. A továbbítóügynök neve hibridkapcsolat-kezelő (HCM). A HCM letöltéséhez válassza az Azure Portalon található alkalmazásból a Hibrid Csatlakozás ion-végpontok hálózatkezelésének>konfigurálása lehetőséget.

Ez az eszköz Windows Server 2012 és újabb rendszereken fut. A HCM szolgáltatásként fut, és a 443-as porton csatlakozik az Azure Relayhez.

A HCM telepítése után futtathatja a Hybrid Csatlakozás ionManagerUi.exe fájlt az eszköz felhasználói felületének használatához. Ez a fájl a hibridkapcsolat-kezelő telepítési könyvtárban található. A Windows 10-ben a keresőmezőben hibridkapcsolat-kezelő felhasználói felületre is rákereshet.

Screenshot of Hybrid Connection Manager.

A HCM felhasználói felületének indításakor először egy táblázat jelenik meg, amely felsorolja a HCM ezen példányával konfigurált hibrid Csatlakozás. Ha bármilyen módosítást szeretne végezni, először hitelesítse magát az Azure-ral.

Egy vagy több hibrid Csatlakozás hozzáadása a HCM-hez:

  1. Indítsa el a HCM felhasználói felületét.

  2. Válassza az Add a new Hybrid Csatlakozás ion (Új hibrid Csatlakozás ion hozzáadása) lehetőséget. Screenshot of Configure New Hybrid Connections.

  3. Jelentkezzen be az Azure-fiókjával, hogy elérhetővé tehesse hibrid Csatlakozás az előfizetéseivel. A HCM nem használja tovább az Azure-fiókját ezen a lépésen túl.

  4. Válasszon előfizetést.

  5. Válassza ki azokat a hibrid Csatlakozás, amelyeket a HCM továbbít. Screenshot of Hybrid Connections.

  6. Válassza a Mentés parancsot.

Most már láthatja a hozzáadott hibrid Csatlakozás okat. A részleteket a konfigurált hibrid Csatlakozás is kiválaszthatja.

Screenshot of Hybrid Connection Details.

Az általa konfigurált hibrid Csatlakozás támogatása érdekében a HCM-nek a következőre van szüksége:

  • TCP-hozzáférés az Azure-hoz a 443-as porton keresztül.
  • TCP-hozzáférés a hibrid Csatlakozás ion végponthoz.
  • DNS-keresések elvégezhetők a végpont gazdagépén és a Service Bus-névtéren. Más szóval az Azure Relay-kapcsolat gazdanevének feloldhatónak kell lennie a HCM-et üzemeltető gépről.

Megjegyzés:

Az Azure Relay a webes szoftvercsatornákra támaszkodik a kapcsolatokhoz. Ez a funkció csak Windows Server 2012 vagy újabb rendszereken érhető el. Emiatt a HCM nem támogatott a Windows Server 2012-nél korábbi verziókban.

Redundancia

Minden HCM több hibrid Csatlakozás támogat. Emellett bármely adott hibrid Csatlakozás több HCM is támogatja. Az alapértelmezett viselkedés az, hogy a forgalmat az adott végpont konfigurált HCM-jei között irányítja át. Ha magas rendelkezésre állást szeretne a hibrid Csatlakozás okon a hálózatról, futtasson több HCM-et külön gépeken. A Relay szolgáltatás által a FORGALOM HCM-ekhez való elosztásához használt terheléselosztási algoritmus véletlenszerű hozzárendelés.

Hibrid Csatlakozás manuális hozzáadása

Ha engedélyezni szeretné, hogy az előfizetésén kívüli személy egy HCM-példányt üzemeltetjen egy adott hibrid Csatlakozás, ossza meg velük a hibrid Csatlakozás ion átjárójának kapcsolati sztring. Az átjáró kapcsolati sztring az Azure Portal Hibrid Csatlakozás ion tulajdonságai között látható. A sztring használatához válassza a HCM-ben a Manuális beírás lehetőséget, majd illessze be az átjáró kapcsolati sztring.

Manually add a Hybrid Connection.

Magasabb szintre váltás

Az hibridkapcsolat-kezelő rendszeres frissítéseket végeznek a problémák megoldásához vagy a fejlesztések biztosításához. A frissítések kiadásakor megjelenik egy előugró ablak a HCM felhasználói felületén. A frissítés alkalmazása alkalmazza a módosításokat, és újraindítja a HCM-et.

Hibrid Csatlakozás hozzáadása az alkalmazáshoz programozott módon

Az Azure CLI támogatja a hibrid Csatlakozás ionokat. A megadott parancsok az alkalmazás és az App Service csomag szintjén is működnek. Az alkalmazásszintű parancsok a következők:

az webapp hybrid-connection

Group
    az webapp hybrid-connection : Methods that list, add and remove hybrid-connections from webapps.
        This command group is in preview. It may be changed/removed in a future release.
Commands:
    add    : Add a hybrid-connection to a webapp.
    list   : List the hybrid-connections on a webapp.
    remove : Remove a hybrid-connection from a webapp.

Az App Service-csomag parancsaival beállíthatja, hogy melyik kulcsot használja egy adott hibrid kapcsolat. Minden hibrid Csatlakozás ionhoz két kulcs van beállítva, egy elsődleges és egy másodlagos. Az elsődleges vagy másodlagos kulcsot az alábbi parancsokkal használhatja. Ez a beállítás lehetővé teszi a kulcsok közötti váltást arra az időre, amikor rendszeresen újra szeretné létrehozni a kulcsokat.

az appservice hybrid-connection --help

Group
    az appservice hybrid-connection : A method that sets the key a hybrid-connection uses.
        This command group is in preview. It may be changed/removed in a future release.
Commands:
    set-key : Set the key that all apps in an appservice plan use to connect to the hybrid-
                connections in that appservice plan.

Hibrid Csatlakozás védelme

A meglévő hibrid Csatlakozás minden olyan felhasználó hozzáadhatja a többi App Service Web Apps-alkalmazáshoz, aki rendelkezik megfelelő engedélyekkel a mögöttes Azure Service Bus Relayhez. Ez azt jelenti, hogy ha meg kell akadályoznia, hogy mások újra használják ugyanazt a hibrid Csatlakozás (például ha a célerőforrás olyan szolgáltatás, amely nem rendelkezik más biztonsági intézkedésekkel a jogosulatlan hozzáférés megakadályozása érdekében), zárolnia kell az Azure Service Bus Relay-hozzáférését.

Bárki, aki Reader hozzáfér a Relayhez, láthatja a hibrid Csatlakozás, amikor megpróbálja hozzáadni a webalkalmazáshoz az Azure Portalon, de nem tudja hozzáadni, mivel nem rendelkezik a továbbítási kapcsolat létrehozásához használt kapcsolati sztring lekéréséhez szükséges engedélyekkel. A hibrid Csatlakozás ion sikeres hozzáadásához rendelkezniük kell az listKeys engedéllyel (Microsoft.Relay/namespaces/hybridConnections/authorizationRules/listKeys/action). A Contributor Relayben ezt az engedélyt tartalmazó szerepkör vagy bármely más szerepkör lehetővé teszi a felhasználók számára a hibrid Csatlakozás ion használatát és a saját Web Apps-alkalmazásokhoz való hozzáadását.

Hibrid Csatlakozás kezelése

Ha módosítania kell a hibrid Csatlakozás ion végpont-gazdagépét vagy portát, kövesse az alábbi lépéseket:

  1. Távolítsa el a hibrid Csatlakozás iont a helyi gépen lévő hibridkapcsolat-kezelő a kapcsolat kiválasztásával, majd a Hibrid Csatlakozás ion részletei ablak bal felső részén található Eltávolítás gombra kattintva.
  2. Válassza le a hibrid Csatlakozás az App Service-ről az App Service hálózatkezelési oldalán található hibrid Csatlakozás navigálással.
  3. Keresse meg a frissíteni kívánt végpontHoz tartozó Relayt, és válassza a hibrid Csatlakozás ionslehetőséget a bal oldali navigációs menü Entitások területén.
  4. Válassza ki a frissíteni kívánt hibrid Csatlakozás, majd a bal oldali navigációs menü Gépház alatt válassza a Tulajdonságok lehetőséget.
  5. Végezze el a módosításokat, és nyomja le a Módosítások mentése elemet a tetején.
  6. Térjen vissza az App Service hibrid Csatlakozás ions-beállításaihoz, és adja hozzá ismét a hibrid Csatlakozás iont. Győződjön meg arról, hogy a végpont a kívánt módon frissült. Ha nem látja a hibrid Csatlakozás iont a listában, frissítsen 5–10 perc alatt.
  7. Térjen vissza a helyi gép hibridkapcsolat-kezelő, és adja hozzá újra a kapcsolatot.

Hibaelhárítás

A "Csatlakozás ed" állapot azt jelenti, hogy legalább egy HCM konfigurálva van ezzel a hibrid Csatlakozás ionnal, és képes elérni az Azure-t. Ha a hibrid Csatlakozás ion állapota nem mondja Csatlakozás, akkor a hibrid Csatlakozás ion nincs konfigurálva az Azure-hoz hozzáféréssel rendelkező HCM-eken. Ha a HCM nem Csatlakozás jelenik meg, néhány dolgot ellenőrizni kell:

  • A gazdagép kimenő hozzáféréssel rendelkezik az Azure-hoz a 443-as porton? A HCM-gazdagépről a Test-Net PowerShell-paranccsal tesztelhet Csatlakozás ion destination -P port

  • Lehetséges, hogy a HCM rossz állapotban van? Próbálja meg újraindítani az "Azure hibridkapcsolat-kezelő Service" helyi szolgáltatást.

  • Van telepítve ütköző szoftver? hibridkapcsolat-kezelő nem lehet együtt létezni a Biztalk hibridkapcsolat-kezelő vagy a Service Bus for Windows Server szolgáltatással. A HCM telepítésekor a csomagok bármelyik verzióját el kell távolítani.

  • Rendelkezik tűzfallal a HCM-gazdagép és az Azure között? Ha igen, engedélyeznie kell a kimenő hozzáférést mind a Service Bus-végpont URL-címéhez, mind a hibrid Csatlakozás iont kiszolgáló Service Bus-átjárókhoz.

    • A Service Bus-végpont URL-címét a hibridkapcsolat-kezelő felhasználói felületén találja.

    Screenshot of Hybrid Connection Service Bus endpoint.

    • A Service Bus-átjárók azok az erőforrások, amelyek elfogadják a kérést a hibrid Csatlakozás ionba, és továbbítják azt az Azure Relayen keresztül. Engedélyeznie kell az átjárók mind a 128-at. Az átjárók G#-prod-[stamp]-sb.servicebus.windows.net formátumban vannak, ahol a "#" egy 0 és 127 közötti szám, a "stamp" pedig annak a példánynak a neve az Azure-adatközpontban, ahol a Service Bus-végpont létezik.

      • Ha használhat helyettesítő karaktereket, engedélyezheti a "*.servicebus.windows.net" listát.

      • Ha nem tud helyettesítő karaktert használni, engedélyeznie kell mind a 128 átjáró használatát.

        A bélyeget a Service Bus-végpont URL-címének "nslookup" használatával derítheti ki.

        Screenshot of terminal showing where to find the stamp name for the Service Bus.

        Ebben a példában a bélyeg "sn3-010". A Service Bus-átjárók engedélyezéséhez a következő bejegyzésekre van szükség:

        G0-prod-sn3-010-sb.servicebus.windows.net
        G1-prod-sn3-010-sb.servicebus.windows.net
        G2-prod-sn3-010-sb.servicebus.windows.net
        G3-prod-sn3-010-sb.servicebus.windows.net
        ...
        G126-prod-sn3-010-sb.servicebus.windows.net
        G127-prod-sn3-010-sb.servicebus.windows.net

Ha az állapot szerint Csatlakozás, de az alkalmazás nem tudja elérni a végpontot, akkor:

  • Győződjön meg arról, hogy DNS-nevet használ a hibrid Csatlakozás ionban. Ha IP-címet használ, előfordulhat, hogy nem történik meg a szükséges ügyfél DNS-keresés. Ha a webalkalmazásban futó ügyfél nem végez DNS-keresést, akkor a hibrid Csatlakozás ion nem működik.
  • Ellenőrizze, hogy a hibrid Csatlakozás ionban használt DNS-név feloldható-e a HCM-gazdagépről. Ellenőrizze a felbontást az nslookup EndpointDNSname használatával, ahol az EndpointDNSname pontosan megegyezik a hibrid Csatlakozás ion definícióban használt értékekkel.
  • Tesztelje a HCM-gazdagépről a végponthoz való hozzáférést a Test-Net Csatlakozás ion EndpointDNSname -P port PowerShell-paranccsal, ha nem éri el a végpontot a HCM-gazdagépről, majd ellenőrizze a két gazdagép közötti tűzfalakat, beleértve a cél gazdagépen található gazdagépen található összes gazdagép-alapú tűzfalat is.
  • Ha Az App Service-t Linuxon használja, győződjön meg arról, hogy nem a "localhost" szolgáltatást használja végpontgazdaként. Ehelyett használja a gép nevét, ha kapcsolatot próbál létrehozni egy erőforrással a helyi gépen.

Az App Service-ben a tcpping parancssori eszköz meghívható a Speciális eszközök (Kudu) konzolról. Ez az eszköz meg tudja állapítani, hogy rendelkezik-e TCP-végponthoz való hozzáféréssel, de nem árulja el, hogy rendelkezik-e hozzáféréssel egy hibrid Csatlakozás ion-végponthoz. Ha hibrid Csatlakozás ion-végponton használja az eszközt a konzolon, csak azt ellenőrzi, hogy gazdagép:port kombinációt használ-e.

Ha rendelkezik parancssori ügyfélprogramtal a végponthoz, tesztelheti a kapcsolatot az alkalmazáskonzolon. Például a curl használatával tesztelheti a webkiszolgáló végpontjaihoz való hozzáférést.