Az App Service Environment for Power Apps és az Azure ExpressRoute hálózatkonfigurációjának részletei
Fontos
Ez a cikk az App Service Environment 1-ről szól. Az App Service Environment 1-et 2024. augusztus 31-én kivonjuk. Az App Service Environment új verziója egyszerűbben használható és hatékonyabb infrastruktúrán futtatható. Az új verzióról az App Service-környezet bemutatása című cikkből tudhat meg többet. Ha jelenleg az App Service Environment 1-es verzióját használja, kövesse a cikkben leírt lépéseket az új verzióra való migráláshoz.
2024. január 29-étől már nem hozhat létre új App Service Environment v1-erőforrásokat az elérhető módszerek , például ARM/Bicep-sablonok, Azure Portal, Azure CLI vagy REST API használatával. 2024. augusztus 31-ig át kell telepítenie az App Service Environment v3-ra az erőforrás törlésének és adatvesztésének megakadályozása érdekében.
Az ügyfelek csatlakoztathatnak egy Azure ExpressRoute-kapcsolatcsoportot a virtuális hálózati infrastruktúrájukhoz, hogy kiterjesszék helyszíni hálózatukat az Azure-ra. Az App Service Environment a virtuális hálózati infrastruktúra alhálózatán jön létre. Az App Service-környezetben futó alkalmazások biztonságos kapcsolatokat létesítenek olyan háttérerőforrásokhoz, amelyek csak az ExpressRoute-kapcsolaton keresztül érhetők el.
Az App Service-környezet az alábbi esetekben hozható létre:
- Azure Resource Manager virtuális hálózatok.
- Klasszikus üzemi modell virtuális hálózatai.
- Nyilvános címtartományokat vagy RFC1918 címtereket (azaz magáncímeket) használó virtuális hálózatok.
Feljegyzés
Habár ez a cikk a webalkalmazásokra vonatkozik, az API-alkalmazásokra és mobilalkalmazásokra egyaránt érvényes.
Szükséges hálózati kapcsolat
Az App Service Environment olyan hálózati kapcsolati követelményekkel rendelkezik, amelyek kezdetben nem feltétlenül teljesülnek az ExpressRoute-hoz csatlakoztatott virtuális hálózaton.
Az App Service Environment működéséhez a következő hálózati kapcsolati beállítások szükségesek:
Kimenő hálózati kapcsolat az Azure Storage-végpontokkal világszerte a 80-s és a 443-as porton. Ezek a végpontok ugyanabban a régióban találhatók, mint az App Service Environment és más Azure-régiók. Az Azure Storage-végpontok a következő DNS-tartományokban oldódnak fel: table.core.windows.net, blob.core.windows.net, queue.core.windows.net és file.core.windows.net.
Kimenő hálózati kapcsolat az Azure Files szolgáltatással a 445-ös porton.
Kimenő hálózati kapcsolat az Azure SQL Database-végpontokkal, amelyek ugyanabban a régióban találhatók, mint az App Service Environment. Az SQL Database-végpontok a database.windows.net tartomány alatt oldódnak fel, amelyhez nyílt hozzáférésre van szükség az 1433,11000-11999 és 14000-14999-ös portokhoz. Az SQL Database V12-porthasználatról további információt az 1433-at meghaladó portok ADO.NET 4.5-ös verzióban talál.
Kimenő hálózati kapcsolat az Azure felügyeleti sík végpontjaihoz (az Azure klasszikus üzemi modelljéhez és az Azure Resource Manager-végpontokhoz is). Csatlakozás végpontok management.core.windows.net és management.azure.com tartományokra is kiterjednek.
Kimenő hálózati kapcsolat a ocsp.msocsp.com, mscrl.microsoft.com és crl.microsoft.com tartományokhoz. Csatlakozás TLS-funkciók támogatásához szükség van ezekre a tartományokra.
A virtuális hálózat DNS-konfigurációjának képesnek kell lennie a cikkben említett összes végpont és tartomány feloldására. Ha a végpontok nem oldhatók fel, az App Service-környezet létrehozása meghiúsul. A meglévő App Service-környezetek állapota nem megfelelő.
A DNS-kiszolgálókkal való kommunikációhoz kimenő hozzáférésre van szükség az 53-as porton.
Ha egyéni DNS-kiszolgáló létezik egy VPN-átjáró másik végén, a DNS-kiszolgálónak elérhetőnek kell lennie az App Service-környezetet tartalmazó alhálózatról.
A kimenő hálózati útvonal nem haladhat át belső vállalati proxykon, és nem kényszeríthető a helyszíni bújtatásra. Ezek a műveletek módosítják az App Service-környezetből kimenő hálózati forgalom tényleges NAT-címét. Az App Service Environment kimenő hálózati forgalmának NAT-címének módosítása számos végpont csatlakozási hibáit okozza. Az App Service-környezet létrehozása sikertelen. A meglévő App Service-környezetek állapota nem megfelelő.
Engedélyezni kell az App Service-környezethez szükséges portokhoz való bejövő hálózati hozzáférést. További információ: Az App Service-környezetbe irányuló bejövő forgalom szabályozása.
A DNS-követelmények teljesítéséhez győződjön meg arról, hogy egy érvényes DNS-infrastruktúra van konfigurálva és karbantartva a virtuális hálózathoz. Ha a DNS-konfiguráció az App Service Environment létrehozása után módosul, a fejlesztők kényszeríthetik az App Service Environmentet az új DNS-konfiguráció felvételére. A gördülő környezet újraindítását az Azure Portal App Service Environment management területén található Újraindítás ikonnal indíthatja el. Az újraindítás hatására a környezet felveszi az új DNS-konfigurációt.
A bejövő hálózati hozzáférési követelmények teljesítéséhez konfiguráljon egy hálózati biztonsági csoportot (NSG) az App Service Environment alhálózatán. Az NSG lehetővé teszi az App Service-környezetbe irányuló bejövő forgalom szabályozásához szükséges hozzáférést.
Kimenő hálózati kapcsolat
Alapértelmezés szerint egy újonnan létrehozott ExpressRoute-kapcsolatcsoport egy alapértelmezett útvonalat hirdet, amely lehetővé teszi a kimenő internetkapcsolatot. Az App Service Environment ezzel a konfigurációval csatlakozhat más Azure-végpontokhoz.
Gyakori ügyfélkonfiguráció a saját alapértelmezett útvonal (0.0.0.0/0) meghatározása, amely kényszeríti a kimenő internetes forgalmat a helyszíni forgalomra. Ez a forgalom mindig megszakítja az App Service-környezetet. A kimenő forgalom vagy blokkolva van a helyszínen, vagy a NAT egy felismerhetetlen címkészletre irányul, amely már nem működik különböző Azure-végpontokkal.
A megoldás egy (vagy több) felhasználó által definiált útvonal definiálása az App Service-környezetet tartalmazó alhálózaton. Az UDR az alapértelmezett útvonal helyett az alhálózat-specifikus útvonalakat határozza meg.
Ha lehetséges, használja a következő konfigurációt:
- Az ExpressRoute-konfiguráció a 0.0.0.0/0-t hirdeti. Alapértelmezés szerint a konfiguráció kényszeríti az összes kimenő forgalmat a helyszínen.
- Az App Service-környezetet tartalmazó alhálózatra alkalmazott UDR a 0.0.0.0/0-t határozza meg egy következő ugrás típusú internettel. Erre a konfigurációra a cikk későbbi részében talál példát.
Ennek a konfigurációnak az együttes hatása az, hogy az alhálózati szintű UDR elsőbbséget élvez az ExpressRoute-kényszerítő bújtatással szemben. Az App Service-környezetből való kimenő internet-hozzáférés garantált.
Fontos
Az UDR-ben definiált útvonalaknak elég specifikusnak kell lenniük ahhoz, hogy elsőbbséget élvezhessenek az ExpressRoute-konfiguráció által meghirdetett útvonalakkal szemben. A következő szakaszban ismertetett példa a széles 0.0.0.0/0 címtartományt használja. Ezt a tartományt véletlenül felül lehet bírálni olyan útvonalhirdetésekkel, amelyek pontosabb címtartományokat használnak.
Az App Service Environment nem támogatott olyan ExpressRoute-konfigurációkkal, amelyek a nyilvános társviszony-létesítési útvonalról a privát társviszony-létesítési útvonalra lépnek át. A nyilvános társviszony-létesítéssel konfigurált ExpressRoute-konfigurációk útválasztási hirdetéseket kapnak a Microsofttól a Microsoft Azure IP-címtartományainak nagy halmazához. Ha ezek a címtartományok kereszthirdetésre kerülnek a privát társviszony-létesítési útvonalon, az App Service Environment alhálózatról érkező kimenő hálózati csomagokat a rendszer az ügyfél helyszíni hálózati infrastruktúrájára kényszeríti. Az App Service Environment jelenleg nem támogatja ezt a hálózati folyamatot. Az egyik megoldás a kereszthirdetési útvonalak leállítása a nyilvános társviszony-létesítési útvonalról a privát társviszony-létesítési útvonalra.
A felhasználó által megadott útvonalakkal kapcsolatos háttérinformációkért lásd: Virtuális hálózati forgalom útválasztása.
Ha tudni szeretné, hogyan hozhat létre és konfigurálhat felhasználó által definiált útvonalakat, olvassa el a Hálózati forgalom átirányítása útvonaltáblával a PowerShell használatával című témakört.
UDR-konfiguráció
Ez a szakasz egy példa UDR-konfigurációt mutat be az App Service-környezethez.
Előfeltételek
Telepítse az Azure PowerShellt az Azure Downloads oldalról. Válasszon egy 2015. júniusi vagy újabb dátumú letöltést. A Windows PowerShell parancssori eszközei>között válassza a Telepítés lehetőséget a legújabb PowerShell-parancsmagok telepítéséhez.
Hozzon létre egy egyedi alhálózatot az App Service Environment kizárólagos használatára. Az egyedi alhálózat biztosítja, hogy az alhálózatra alkalmazott UDR-ek csak az App Service Environment felé irányuló kimenő forgalmat nyitják meg.
Fontos
Csak a konfigurációs lépések elvégzése után telepítse az App Service-környezetet. A lépések biztosítják, hogy a kimenő hálózati kapcsolat elérhető legyen, mielőtt megpróbálná üzembe helyezni az App Service-környezetet.
1. lépés: Útvonaltábla létrehozása
Hozzon létre egy DirectInternetRouteTable nevű útvonaltáblát az USA nyugati azure-régiójában, ahogyan az ebben a kódrészletben látható:
New-AzureRouteTable -Name 'DirectInternetRouteTable' -Location uswest
2. lépés: Útvonalak létrehozása a táblázatban
Útvonalak hozzáadása az útvonaltáblához a kimenő internet-hozzáférés engedélyezéséhez.
Konfigurálja az internethez való kimenő hozzáférést. Adja meg a 0.0.0.0/0 útvonalát az alábbi kódrészletben látható módon:
Get-AzureRouteTable -Name 'DirectInternetRouteTable' | Set-AzureRoute -RouteName 'Direct Internet Range 0' -AddressPrefix 0.0.0.0/0 -NextHopType Internet
A 0.0.0.0/0 egy széles címtartomány. A tartományt az ExpressRoute által meghirdetett, pontosabb címtartományok bírálják felül. A 0.0.0.0/0 útvonallal rendelkező UDR-t olyan ExpressRoute-konfigurációval együtt kell használni, amely csak a 0.0.0.0/0-t hirdeti.
Másik lehetőségként töltse le az Azure által használt CIDR-tartományok aktuális, átfogó listáját. Az azure-beli IP-címtartományok XML-fájlja a Microsoft letöltőközpontból érhető el.
Feljegyzés
Az Azure IP-címtartományai idővel változnak. A felhasználó által megadott útvonalaknak rendszeres manuális frissítésekre van szükségük a szinkronizáláshoz.
Egyetlen UDR alapértelmezett felső korlátja 100 útvonal. Összegeznie kell az Azure IP-címtartományait, hogy a 100 útvonalkorláton belül elférjen. Az UDR által definiált útvonalaknak pontosabbnak kell lenniük, mint az ExpressRoute-kapcsolat által meghirdetett útvonalak.
3. lépés: A tábla társítása az alhálózathoz
Társítsa az útvonaltáblát ahhoz az alhálózathoz, ahol telepíteni szeretné az App Service-környezetet. Ez a parancs társítja a DirectInternetRouteTable táblát az App Service-környezetet tartalmazó A Standard kiadás Subnet alhálózathoz.
Set-AzureSubnetRouteTable -VirtualNetworkName 'YourVirtualNetworkNameHere' -SubnetName 'ASESubnet' -RouteTableName 'DirectInternetRouteTable'
4. lépés: Az útvonal tesztelése és megerősítése
Miután az útvonaltáblát az alhálózathoz kötötte, tesztelje és erősítse meg az útvonalat.
Helyezzen üzembe egy virtuális gépet az alhálózaton, és erősítse meg a következő feltételeket:
- Az Azure-ba és nem Azure-végpontokra irányuló kimenő forgalom ebben a cikkben ismertetett módon nem halad le az ExpressRoute-kapcsolatcsoporton. Ha az alhálózatról érkező kimenő forgalom helyszíni bújtatásra van kényszerítve, az App Service-környezet létrehozása mindig meghiúsul.
- Az ebben a cikkben ismertetett végpontok DNS-keresései mind megfelelően megoldódnak.
A konfigurációs lépések elvégzése és az útvonal megerősítése után törölje a virtuális gépet. Az App Service Environment létrehozásakor az alhálózatnak "üresnek" kell lennie.
Most már készen áll az App Service-környezet üzembe helyezésére!
Következő lépések
Az App Service Environment for Power Apps használatának megkezdéséhez tekintse meg az App Service-környezet bemutatása című témakört.