Impostazioni di configurazione personalizzate per gli ambienti del servizio app
Panoramica
Gli ambienti del servizio app sono specifici di un singolo cliente. Per questo motivo alcune impostazioni di configurazione possono essere applicate esclusivamente ad ambienti del servizio app. Questo articolo descrive le diverse personalizzazioni disponibili per gli ambienti del servizio app.
Nota
Questo articolo illustra le funzionalità, i vantaggi e i casi d'uso di ambiente del servizio app v3, che viene usato con servizio app piani Isolated v2.
Se non si dispone di un ambiente del servizio app, vedere Come creare un ambiente del servizio app v3.
È possibile archiviare le personalizzazioni dell'ambiente del servizio app tramite una matrice nel nuovo attributo clusterSettings . Questo attributo si trova nel dizionario "Properties" dell'entità di Azure Resource Manager hostingEnvironments .
Il frammento di modello di Resource Manager abbreviato seguente illustra l'attributo clusterSettings :
"resources": [
{
"apiVersion": "2021-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"properties": {
"clusterSettings": [
{
"name": "nameOfCustomSetting",
"value": "valueOfCustomSetting"
}
],
"internalLoadBalancingMode": ...,
etc...
}
}
L'attributo clusterSettings può essere incluso in un modello di Resource Manager per aggiornare l'ambiente del servizio app.
Usare Esplora risorse di Azure per aggiornare un ambiente del servizio app
In alternativa, è possibile aggiornare l'ambiente del servizio app tramite Esplora risorse di Azure.
- In Esplora risorse passare al nodo per il ambiente del servizio app (sottoscrizioni>{sottoscrizione}>resourceGroups>{gruppo di risorse}>provider>Microsoft.Web>hostingEnvironments). quindi fare clic sull'ambiente del servizio app specifico che si vuole aggiornare.
- Nel riquadro a destra fare clic su Lettura/Scrittura nella barra degli strumenti superiore per consentire la modifica interattiva in Esplora risorse.
- Fare clic sul pulsante Modifica blu per rendere modificabile il modello di Resource Manager.
- Scorrere fino alla fine del riquadro destro. L'attributo clusterSettings si trova nella parte inferiore. Qui è possibile immettere o aggiornare il valore corrispondente.
- Digitare o copiare e incollare la matrice dei valori di configurazione voluti all'interno dell'attributo clusterSettings .
- Fare clic sul pulsante verde PUT situato nella parte superiore del riquadro destro per eseguire il commit della modifica nell'ambiente del servizio app.
Tuttavia, si invia la modifica, la modifica non è immediata e può richiedere fino a 24 ore affinché la modifica abbia effetto completo. Alcune impostazioni hanno dettagli specifici sul tempo e sull'impatto della configurazione dell'impostazione specifica.
Abilitare la crittografia interna
L'ambiente del servizio app funziona come un sistema di black box in cui non è possibile visualizzare i componenti interni o la comunicazione all'interno del sistema. Per consentire una velocità effettiva più elevata, la crittografia non è abilitata per impostazione predefinita tra i componenti interni. Il sistema è sicuro perché il traffico non è accessibile per il monitoraggio o l'accesso. Se si dispone di un requisito di conformità che richiede la crittografia completa del percorso dati dalla fine alla fine, è possibile abilitare la crittografia del percorso dati completo con un clusterSetting.
"clusterSettings": [
{
"name": "InternalEncryption",
"value": "true"
}
],
L'impostazione di InternalEncryption su true crittografa il traffico di rete interno nella ambiente del servizio app tra i front-end e i ruoli di lavoro, crittografa il file di paging e crittografa anche i dischi del ruolo di lavoro. Dopo aver abilitato l'impostazione InternalEncryption in clusterSetting, è possibile che si verifichino problemi in termini di prestazioni del sistema. Quando si apporta la modifica per abilitare InternalEncryption, il ambiente del servizio app sarà in uno stato instabile fino a quando la modifica non viene propagata completamente. Il completamento della propagazione della modifica può richiedere alcune ore, a seconda del numero di istanze presenti nel ambiente del servizio app. È consigliabile non abilitare InternalEncryption in un ambiente del servizio app mentre è in uso. Se è necessario abilitare InternalEncryption in un ambiente del servizio app usato attivamente, è consigliabile deviare il traffico a un ambiente di backup fino al completamento dell'operazione.
Disabilitare TLS 1.1 e TLS 1.0
Per gestire le impostazioni di TLS in ogni app, è quindi possibile usare le indicazioni fornite nella documentazione Applicare versioni di TLS.
Se si vuole disabilitare tutto il traffico TLS 1.0 e TLS 1.1 in ingresso per tutte le app in un ambiente del servizio app, è possibile impostare la voce cluster seguente Impostazioni:
"clusterSettings": [
{
"name": "DisableTls1.0",
"value": "1"
}
],
Il nome dell'impostazione indica 1.0, ma quando è configurata, disabilita sia TLS 1.0 che TLS 1.1.
Modifica dell'ordine dei pacchetti di crittografia TLS
Il ambiente del servizio app supporta la modifica della suite di crittografia rispetto all'impostazione predefinita. Il set predefinito di crittografie è lo stesso set usato nel servizio multi-tenant. La modifica delle suite di crittografia influisce su un'intera distribuzione servizio app rendendo possibile questa operazione solo nel ambiente del servizio app a tenant singolo. Ci sono due suite di crittografia necessarie per un ambiente del servizio app; TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Se vuoi gestire il tuo ambiente del servizio app con il set più forte e minimo di suite di crittografia, usa solo le due crittografie necessarie. Per configurare il ambiente del servizio app per usare solo le crittografie necessarie, modificare il cluster Impostazioni come illustrato di seguito.
"clusterSettings": [
{
"name": "FrontEndSSLCipherSuiteOrder",
"value": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
}
],
Avviso
Se per il pacchetto di crittografia vengono impostati valori non corretti che non possono essere riconosciuti da SChannel, tutta la comunicazione TLS con il server potrebbe non funzionare. In tal caso, sarà necessario rimuovere la voce FrontEndSSLCipherSuiteOrder da clusterSettings e inviare il modello di Resource Manager aggiornato per ripristinare le impostazioni predefinite del pacchetto di crittografia. Usare questa funzionalità con cautela.
Operazioni preliminari
Il sito dei modelli di avvio rapido di Azure Resource Manager include un modello con la definizione di base per la creazione di un ambiente del servizio app.