Alamat manajemen App Service Environment
Penting
Artikel ini tentang Lingkungan Azure App Service v2 yang digunakan dengan paket Azure App Service Terisolasi. App Service Environment v2 akan dihentikan pada 31 Agustus 2024. Terdapat versi baru Lingkungan App Service yang lebih mudah digunakan dan berjalan di infrastruktur yang lebih kuat. Untuk mempelajari selengkapnya tentang versi baru, mulai dengan Pengantar Lingkungan App Service. Jika saat ini Anda menggunakan Lingkungan App Service v2, ikuti langkah-langkah dalam artikel ini untuk bermigrasi ke versi baru.
Mulai 29 Januari 2024, Anda tidak dapat lagi membuat sumber daya App Service Environment v2 baru menggunakan salah satu metode yang tersedia termasuk templat ARM/Bicep, Portal Microsoft Azure, Azure CLI, atau REST API. Anda harus bermigrasi ke App Service Environment v3 sebelum 31 Agustus 2024 untuk mencegah penghapusan sumber daya dan kehilangan data.
Prasyarat
Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai Cepat untuk Bash di Azure Cloud Shell.
Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.
Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Masuk dengan Azure CLI.
Saat Anda diminta, instal ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan ekstensi dengan Azure CLI.
Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk meningkatkan ke versi terbaru, jalankan peningkatan az.
Ringkasan
Lingkungan App Service (ASE) adalah penyebaran penyewa tunggal dari Azure App Service yang berjalan di Azure Virtual Network Anda. Meskipun ASE berjalan di jaringan virtual Anda, ASE masih harus dapat diakses dari sejumlah alamat IP khusus yang digunakan oleh Azure App Service untuk mengelola layanan. Dalam kasus ASE, lalu lintas manajemen melintasi jaringan yang dikontrol pengguna. Jika lalu lintas ini diblokir atau dirutekan dengan salah, ASE akan ditangguhkan. Untuk detail tentang dependensi jaringan ASE, baca Pertimbangan jaringan dan App Service Environment. Untuk informasi umum tentang ASE, Anda dapat mulai dengan Pengenalan App Service Environment.
Semua ASE memiliki VIP publik tempat manajemen lalu lintas masuk. Lalu lintas manajemen yang masuk dari alamat ini berasal dari port 454 dan 455 di VIP publik ASE Anda. Dokumen ini mencantumkan alamat sumber App Service untuk lalu lintas manajemen ke ASE. Alamat ini juga ada di IP Service Tag bernama AppServiceManagement.
Alamat dalam tag layanan AppServiceManagement dapat dikonfigurasi dalam tabel rute untuk menghindari masalah perutean asimetris dengan lalu lintas manajemen. Jika memungkinkan, Anda harus menggunakan tag layanan alih-alih alamat individual. Rute bertindak berdasarkan lalu lintas di tingkat IP dan tidak memiliki kesadaran tentang arah lalu lintas atau bahwa lalu lintas adalah bagian dari pesan balasan TCP. Jika alamat balasan untuk permintaan TCP berbeda dari alamat yang dikirim, Anda memiliki masalah perutean asimetris. Untuk menghindari masalah perutean asimetris pada lalu lintas manajemen ASE Anda, Anda perlu memastikan bahwa balasan dikirim kembali dari alamat yang sama dengan yang dikirim. Untuk detail tentang cara mengonfigurasi ASE Anda untuk beroperasi di lingkungan tempat lalu lintas keluar dikirim secara lokal, baca Mengonfigurasi ASE Anda dengan penerowongan paksa.
Daftar alamat manajemen
Jika Anda perlu melihat IP untuk alamat manajemen, unduh referensi tag layanan untuk wilayah Anda untuk mendapatkan daftar alamat terbaru. Alamat manajemen Lingkungan App Service tercantum dalam tag layanan AppServiceManagement.
| Wilayah | Referensi tag layanan |
|---|---|
| Semua wilayah di publik | Rentang IP Azure dan Tag Layanan – Public Cloud |
| Microsoft Azure Government | Rentang IP Azure dan Tag Layanan – US Government Cloud |
| Microsoft Azure dioperasikan oleh 21Vianet | Rentang IP Azure dan Tag Layanan – Tiongkok Cloud |
Mengonfigurasi Kelompok Keamanan Jaringan
Dengan Kelompok Keamanan Jaringan, Anda tidak perlu khawatir dengan alamat individu atau mempertahankan konfigurasi Anda sendiri. Ada tag layanan IP bernama AppServiceManagement yang selalu diperbarui dengan semua alamat. Untuk menggunakan tag layanan IP ini di NSG Anda, buka portal, buka antarmuka pengguna Kelompok Keamanan Jaringan Anda, dan pilih Aturan keamanan masuk. Jika Anda memiliki aturan yang sudah ada sebelumnya untuk lalu lintas manajemen masuk, edit aturan tersebut. Jika NSG ini tidak dibuat dengan ASE Anda, atau jika semuanya baru, lalu pilih Tambahkan. Di bagian drop down Sumber, pilih Tag Layanan. Di bagian tag Layanan sumber, pilih AppServiceManagement. Atur rentang port sumber ke *, Tujuan ke Apa saja, Rentang port tujuan ke 454-455, Protokol ke TCP, dan Tindakan ke Izinkan. Jika Anda membuat aturan, Anda perlu mengatur Prioritas.
Mengonfigurasi tabel rute
Alamat manajemen dapat ditempatkan di tabel rute dengan lompatan internet berikutnya untuk memastikan semua lalu lintas manajemen masuk dapat kembali melalui jalur yang sama. Rute ini diperlukan saat mengonfigurasi penerowongan paksa. Jika memungkinkan, gunakan tag layanan AppServiceManagement alih-alih alamat individual. Untuk membuat tabel rute, Anda bisa menggunakan portal, PowerShell, atau Azure CLI. Berikut adalah perintah untuk membuat tabel rute yang menggunakan Azure CLI dari prompt PowerShell.
$sub = "subscription ID"
$rg = "resource group name"
$rt = "route table name"
$location = "azure location"
az network route-table route create --subscription $sub -g $rg --route-table-name $rt -n 'AppServiceManagement' --address-prefix 'AppServiceManagement' --next-hop-type 'Internet'
Setelah tabel rute dibuat, Anda perlu mengaturnya di subnet ASE Anda.
Mendapatkan alamat manajemen Anda dari API
Anda dapat mencantumkan alamat manajemen yang cocok dengan ASE Anda dengan panggilan API berikut.
get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01
API mengembalikan dokumen JSON yang menyertakan semua alamat masuk untuk ASE Anda. Daftar alamat mencakup alamat manajemen, VIP yang digunakan oleh ASE Anda, dan rentang alamat subnet ASE itu sendiri.
Untuk memanggil API dengan armclient, gunakan perintah berikut, tetapi ganti ID langganan, grup sumber daya, dan nama ASE Anda.
armclient login
armclient get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01