Een app integreren met een virtueel Azure-netwerk

  • Artikel
  • 25 minuten om te lezen

In dit artikel wordt de Azure App Service VNet-integratiefunctie beschreven en wordt beschreven hoe u deze kunt instellen met apps in App Service. Met virtuele Azure-netwerken (VNets) kunt u veel van uw Azure-resources in een niet-internet routeerbaar netwerk plaatsen. Met App Service VNet-integratie hebben uw apps toegang tot resources in of via een virtueel netwerk. Met de integratie van virtuele netwerken kunnen uw apps niet privé worden gebruikt.

App Service heeft twee variaties:

  • De toegewezen prijslagen voor rekenkracht, waaronder basic, standard, Premium, Premium v2 en Premium v3.
  • De App Service Environment, die rechtstreeks in uw virtuele netwerk wordt geïmplementeerd met toegewezen ondersteunende infrastructuur en gebruik maakt van de prijslagen Isolated en Isolated v2.

De VNet-integratiefunctie wordt gebruikt in Azure App Service speciale prijscategorie compute. Als uw app zich in een App Service Environment,is deze al in een virtueel netwerk en hoeft u de VNet-integratiefunctie niet te gebruiken om resources in hetzelfde virtuele netwerk te bereiken. Zie netwerkfuncties voor meer informatie over App Service netwerkfuncties.

Integratie van virtuele netwerken biedt uw app toegang tot resources in uw virtuele netwerk, maar verleent geen inkomende privétoegang tot uw app vanuit het virtuele netwerk. Toegang tot privésite verwijst naar het toegankelijk maken van een app alleen vanuit een particulier netwerk, zoals vanuit een virtueel Azure-netwerk. Integratie van virtuele netwerken wordt alleen gebruikt om uitgaande aanroepen vanuit uw app naar uw virtuele netwerk uit te voeren. De VNet-integratiefunctie gedraagt zich anders wanneer deze wordt gebruikt met virtuele netwerken in dezelfde regio en met virtuele netwerken in andere regio's. De VNet-integratiefunctie heeft twee variaties:

  • Regionale integratie van virtueel netwerk: wanneer u verbinding maakt met virtuele netwerken in dezelfde regio, moet u een toegewezen subnet hebben in het virtuele netwerk waarin u integreert.
  • Gateway-vereiste virtuele netwerkintegratie: wanneer u rechtstreeks verbinding maakt met virtuele netwerken in andere regio's of met een klassiek virtueel netwerk in dezelfde regio, hebt u een Azure Virtual Network-gateway nodig die in het virtuele doelnetwerk is gemaakt.

De functie voor VNet-integratie:

  • Vereist prijscategorie Standard, Premium, Premium v2, Premium v3 of Elastic Premium App Service.
  • Ondersteunt TCP en UDP.
  • Werkt met App Service apps en functie-apps.

Er zijn enkele dingen die niet worden ondersteund door integratie van virtuele netwerken, zoals:

  • Een station monteren.
  • Windows Server Active Directory integratie.
  • Netbios.

Gateway-vereiste virtuele netwerkintegratie biedt alleen toegang tot resources in het virtuele doelnetwerk of in netwerken die zijn verbonden met het virtuele doelnetwerk met peering of VPN's. Gateway-vereiste virtuele netwerkintegratie biedt geen toegang tot resources die beschikbaar zijn Azure ExpressRoute verbindingen of werken met service-eindpunten.

Ongeacht welke versie wordt gebruikt, de integratie van virtuele netwerken biedt uw app toegang tot resources in uw virtuele netwerk, maar verleent geen inkomende privétoegang tot uw app vanuit het virtuele netwerk. Toegang tot privésite verwijst naar het toegankelijk maken van uw app alleen vanuit een particulier netwerk, zoals vanuit een virtueel Azure-netwerk. Integratie van virtuele netwerken is alleen voor het maken van uitgaande aanroepen van uw app naar uw virtuele netwerk.

Meer informatie over het inschakelen van integratie van virtuele netwerken.

Integratie van regionaal virtueel netwerk

Regionale integratie van virtuele netwerken ondersteunt het maken van verbinding met een virtueel netwerk in dezelfde regio en vereist geen gateway. Met behulp van regionale integratie van virtuele netwerken heeft uw app toegang tot:

  • Resources in het virtuele netwerk waarin u bent geïntegreerd.
  • Resources in virtuele netwerken die zijn verbonden met het virtuele netwerk waarmee uw app is geïntegreerd, inclusief wereldwijde peeringverbindingen.
  • Resources tussen Azure ExpressRoute verbindingen.
  • Services die zijn beveiligd met service-eindpunten.
  • Services die zijn ingeschakeld voor privé-eindpunten.

Wanneer u regionale integratie van virtuele netwerken gebruikt, kunt u de volgende Azure-netwerkfuncties gebruiken:

  • Netwerkbeveiligingsgroepen (NSG's): u kunt uitgaand verkeer blokkeren met een NSG die op uw integratiesubnet wordt geplaatst. De regels voor binnenkomende toegang zijn niet van toepassing omdat u de integratie van virtuele netwerken niet kunt gebruiken om inkomende toegang tot uw app te bieden.
  • Routetabellen (UDR's): U kunt een routetabel op het integratiesubnet plaatsen om uitgaand verkeer te verzenden waar u wilt.

Hoe regionale integratie van virtuele netwerken werkt

Apps in App Service worden gehost op werkrollen. Regionale integratie van virtuele netwerken werkt door virtuele interfaces te koppelt aan de werkrollen met adressen in het gedelegeerde subnet. Omdat het van-adres zich in uw virtuele netwerk, heeft het toegang tot de meeste dingen in of via uw virtuele netwerk, zoals een virtuele machine in uw virtuele netwerk. De netwerk-implementatie is anders dan het uitvoeren van een virtuele machine in uw virtuele netwerk. Daarom zijn sommige netwerkfuncties nog niet beschikbaar voor deze functie.

Diagram dat laat zien hoe regionale integratie van virtuele netwerken werkt.

Wanneer regionale integratie van virtuele netwerken is ingeschakeld, maakt uw app uitgaande aanroepen via uw virtuele netwerk. De uitgaande adressen die worden vermeld in de portal met app-eigenschappen zijn de adressen die nog steeds door uw app worden gebruikt. Als uw uitgaande aanroep echter naar een virtuele machine of een privé-eindpunt in het virtuele integratienetwerk of een peered virtueel netwerk is, is het uitgaande adres een adres van het integratiesubnet. Het privé-IP-adres dat aan een exemplaar is toegewezen, wordt beschikbaar gemaakt via de omgevingsvariabele , WEBSITE_PRIVATE_IP.

Wanneer alle verkeersroutering is ingeschakeld, wordt al het uitgaande verkeer naar uw virtuele netwerk verzonden. Als niet alle verkeersroutering is ingeschakeld, worden alleen privéverkeer (RFC1918) en service-eindpunten die op het integratiesubnet zijn geconfigureerd, verzonden naar het virtuele netwerk en gaat uitgaand verkeer naar internet op dezelfde manier via dezelfde kanalen als normaal.

De functie ondersteunt slechts één virtuele interface per worker. Eén virtuele interface per werker betekent één regionale integratie van virtuele netwerken per App Service abonnement. Alle apps in hetzelfde App Service kunnen dezelfde integratie van virtuele netwerken gebruiken. Als u een app nodig hebt om verbinding te maken met een ander virtueel netwerk, moet u een ander App Service maken. De virtuele interface die wordt gebruikt, is geen resource waar klanten directe toegang tot hebben.

Vanwege de aard van de werking van deze technologie, wordt het verkeer dat wordt gebruikt met de integratie van virtuele netwerken niet in Azure Network Watcher- of NSG-stroomlogboeken.

Subnetvereisten

De integratie van virtuele netwerken is afhankelijk van een toegewezen subnet. Wanneer u een subnet maakt, verliest het Azure-subnet vanaf het begin vijf IPs. Er wordt één adres uit het integratiesubnet gebruikt voor elk plan-exemplaar. Als u uw app schaalt naar vier exemplaren, worden er vier adressen gebruikt.

Wanneer u omhoog of omlaag schaalt, wordt de vereiste adresruimte korte tijd verdubbeld. Deze wijziging is van invloed op de werkelijke, beschikbare ondersteunde exemplaren voor een bepaalde subnetgrootte. In de volgende tabel ziet u de maximaal beschikbare adressen per CIDR-blok en het effect dat dit heeft op horizontale schaal.

CIDR-blokgrootte Maximum aantal beschikbare adressen Maximale horizontale schaal (instanties)*
/28 11 5
/27 27 13
/26 59 29

*Ervan uitgaand dat u op een bepaald moment omhoog of omlaag moet schalen in grootte of SKU.

Omdat de subnetgrootte na de toewijzing niet kan worden gewijzigd, gebruikt u een subnet dat groot genoeg is om ruimte te bieden aan elke schaal die uw app kan bereiken. Gebruik een met 64 adressen om problemen met subnetcapaciteit /26 te voorkomen.

Als u wilt dat uw apps in uw plan een virtueel netwerk bereiken dat al is verbonden door apps in een ander abonnement, selecteert u een ander subnet dan het subnet dat wordt gebruikt door de bestaande integratie van virtuele netwerken.

Routes

Er zijn twee soorten routering om rekening mee te houden wanneer u regionale integratie van virtuele netwerken configureert. Toepassingsroutering definieert welk verkeer wordt gerouteerd van uw toepassing naar het virtuele netwerk. Netwerkroutering is de mogelijkheid om te bepalen hoe verkeer wordt gerouteerd vanuit uw virtuele netwerk en naar buiten.

Toepassingsroutering

Wanneer u toepassingsroutering configureert, kunt u al het verkeer of alleen privéverkeer (ook wel RFC1918-verkeer genoemd) naar uw virtuele netwerk routeren. U configureert dit gedrag via de instelling Route All. Als Route All is uitgeschakeld, routeert uw app alleen privéverkeer naar uw virtuele netwerk. Als u al uw uitgaande verkeer naar uw virtuele netwerk wilt omgeleid, zorg er dan voor dat Route All is ingeschakeld.

Notitie

  • Wanneer Route All is ingeschakeld, is al het verkeer onderhevig aan de NSG's en UDR's die worden toegepast op uw integratiesubnet. Wanneer alle verkeersroutering is ingeschakeld, wordt uitgaand verkeer nog steeds verzonden vanaf de adressen die worden vermeld in uw app-eigenschappen, tenzij u routes op geeft die het verkeer naar een andere route leiden.
  • Windows containers bieden geen ondersteuning voor routeringsverwijzingen App Service Key Vault of het binnenhalen van aangepaste containerafbeeldingen via integratie van virtuele netwerken.
  • Bij regionale integratie van virtuele netwerken kan geen gebruik worden gemaakt van poort 25.

Meer informatie over het configureren van toepassingsroutering.

U wordt aangeraden de configuratie-instelling Route All te gebruiken om routering van al het verkeer in te stellen. Met behulp van de configuratie-instelling kunt u het gedrag controleren met een ingebouwd beleid. De bestaande WEBSITE_VNET_ROUTE_ALL app-instelling kan nog steeds worden gebruikt en u kunt alle verkeersroutering inschakelen met beide instellingen.

Netwerkroutering

U kunt routetabellen gebruiken om uitgaand verkeer van uw app naar elke 9e plek te routeer. Routetabellen zijn van invloed op het doelverkeer. Wanneer Route All is uitgeschakeld in toepassingsroutering,wordt alleen privéverkeer (RFC1918) beïnvloed door uw routetabellen. Algemene bestemmingen kunnen firewallapparaten of gateways zijn. Routes die zijn ingesteld op uw integratiesubnet hebben geen invloed op antwoorden op inkomende app-aanvragen.

Als u al het uitgaande verkeer on-premises wilt doorsturen, kunt u een routetabel gebruiken om al het uitgaande verkeer naar uw Azure ExpressRoute verzenden. Als u verkeer naar een gateway routeert, stelt u routes in het externe netwerk in om antwoorden terug te sturen.

Border Gateway Protocol (BGP)-routes zijn ook van invloed op uw app-verkeer. Als u BGP-routes hebt van bijvoorbeeld een ExpressRoute-gateway, wordt het uitgaande verkeer van uw app beïnvloed. Net als bij door de gebruiker gedefinieerde routes zijn BGP-routes van invloed op het verkeer volgens uw instelling voor het routeringsbereik.

Netwerkbeveiligingsgroepen

Een app die gebruikmaakt van regionale integratie van virtuele netwerken kan een netwerkbeveiligingsgroep gebruiken om uitgaand verkeer naar resources in uw virtuele netwerk of internet te blokkeren. Als u verkeer naar openbare adressen wilt blokkeren, schakel dan Alles naar het virtuele netwerk door. Als Route All niet is ingeschakeld, worden NSG's alleen toegepast op RFC1918-verkeer.

Een NSG die wordt toegepast op uw integratiesubnet is van kracht, ongeacht de routetabellen die worden toegepast op uw integratiesubnet.

De binnenkomende regels in een NSG zijn niet van toepassing op uw app, omdat integratie van virtuele netwerken alleen van invloed is op uitgaand verkeer van uw app. Als u het inkomende verkeer naar uw app wilt controleren, gebruikt u de functie Toegangsbeperkingen.

Service-eindpunten

Met regionale integratie van virtuele netwerken kunt u Azure-services bereiken die zijn beveiligd met service-eindpunten. Volg deze stappen om toegang te krijgen tot een service die is beveiligd met een service-eindpunt:

  1. Configureer regionale integratie van virtuele netwerken met uw web-app om verbinding te maken met een specifiek subnet voor integratie.
  2. Ga naar de doelservice en configureer service-eindpunten op het integratiesubnet.

Privé-eindpunten

Als u privé-eindpunten wiltaanroepen, moet u ervoor zorgen dat uw DNS-zoekactie wordt opgelost naar het privé-eindpunt. U kunt dit gedrag op een van de volgende manieren afdwingen:

  • Integreren met Azure DNS privézones. Wanneer uw virtuele netwerk geen aangepaste DNS-server heeft, wordt de integratie automatisch uitgevoerd wanneer de zones zijn gekoppeld aan het virtuele netwerk.
  • Beheer het privé-eindpunt in de DNS-server die wordt gebruikt door uw app. Als u de configuratie wilt beheren, moet u het IP-adres van het privé-eindpunt weten. Wijs vervolgens het eindpunt aan dat u probeert te bereiken met behulp van een A-record.
  • Configureer uw eigen DNS-server om door te Azure DNS privézones.

Azure DNS zones instellen

Nadat uw app is geïntegreerd met uw virtuele netwerk, gebruikt deze dezelfde DNS-server waarmee uw virtuele netwerk is geconfigureerd. Als er geen aangepaste DNS is opgegeven, wordt gebruikgemaakt van Standaard-DNS van Azure en privézones die zijn gekoppeld aan het virtuele netwerk.

Beperkingen

Er gelden enkele beperkingen met betrekking tot het gebruik van regionale integratie van virtuele netwerken:

  • De functie is beschikbaar via alle App Service-eenheden in Premium v2 en Premium v3. Het is ook beschikbaar in Standard, maar alleen vanaf nieuwere App Service schaaleenheden. Als u een oudere schaaleenheid gebruikt, kunt u de functie alleen gebruiken vanuit een Premium v2 App Service abonnement. Als u er zeker van wilt zijn dat u de functie kunt gebruiken in een Standard App Service-abonnement, maakt u uw app in een Premium v3 App Service abonnement. Deze plannen worden alleen ondersteund in onze nieuwste schaaleenheden. U kunt omlaag schalen als u wilt nadat het plan is gemaakt.
  • De functie kan niet worden gebruikt door isolated-plan-apps die zich in een App Service Environment.
  • U kunt geen resources bereiken via peeringverbindingen met klassieke virtuele netwerken.
  • Voor de functie is een ongebruikt subnet vereist dat een IPv4-blok of groter /28 is in een Azure Resource Manager virtueel netwerk.
  • De app en het virtuele netwerk moeten zich in dezelfde regio hebben.
  • In het virtuele integratienetwerk kunnen geen IPv6-adresruimten zijn gedefinieerd.
  • Het integratiesubnet kan geen beleid voor service-eindpunten hebben ingeschakeld.
  • Het integratiesubnet kan slechts door één App Service worden gebruikt.
  • U kunt een virtueel netwerk niet verwijderen met een geïntegreerde app. Verwijder de integratie voordat u het virtuele netwerk verwijdert.
  • U kunt slechts één regionale integratie van virtuele netwerken per App Service abonnement. Meerdere apps in hetzelfde App Service kunnen hetzelfde virtuele netwerk gebruiken.
  • U kunt het abonnement van een app of een plan niet wijzigen terwijl er een app is die gebruik maakt van regionale integratie van virtuele netwerken.

Gateway-vereiste integratie van virtueel netwerk

Gateway-vereiste virtuele netwerkintegratie ondersteunt het maken van verbinding met een virtueel netwerk in een andere regio of met een klassiek virtueel netwerk. Gateway-vereiste virtuele netwerkintegratie:

  • Hiermee kan een app verbinding maken met slechts één virtueel netwerk tegelijk.
  • Hiermee kunnen maximaal vijf virtuele netwerken worden geïntegreerd binnen een App Service abonnement.
  • Hiermee kan hetzelfde virtuele netwerk worden gebruikt door meerdere apps in een App Service-abonnement zonder dat dit van invloed is op het totale aantal dat kan worden gebruikt door een App Service-abonnement. Als u zes apps hebt die gebruikmaken van hetzelfde virtuele netwerk in hetzelfde App Service-abonnement, telt dat als één virtueel netwerk dat wordt gebruikt.
  • SLA op de gateway kan van invloed zijn op de algehele SLA.
  • Hiermee kunnen uw apps de DNS gebruiken waarmee het virtuele netwerk is geconfigureerd.
  • Vereist een op een virtueel netwerk gebaseerde gateway die is geconfigureerd met een SSTP-punt-naar-site-VPN voordat deze kan worden verbonden met een app.

U kunt gateway-vereiste virtuele netwerkintegratie niet gebruiken:

  • Met een virtueel netwerk dat is verbonden met ExpressRoute.
  • Vanuit een Linux-app.
  • Vanuit een Windows container.
  • Voor toegang tot met service-eindpunt beveiligde resources.
  • Met een naast elkaar bestaande gateway die ondersteuning biedt voor ExpressRoute en punt-naar-site- of site-naar-site-VPN's.

Een gateway instellen in uw virtuele Azure-netwerk

Een gateway maken:

  1. Maak de VPN-gateway en het subnet. Selecteer een op route gebaseerd VPN-type.

  2. Stel de punt-naar-site-adressen in. Als de gateway niet in de basis-SKU staat, moet IKEV2 worden uitgeschakeld in de punt-naar-site-configuratie en moet SSTP worden geselecteerd. De punt-naar-site-adresruimte moet zich in de RFC 1918-adresblokken 10.0.0.0/8, 172.16.0.0/12 en 192.168.0.0/16.

Als u de gateway maakt voor gebruik met gateway-vereiste integratie van virtuele netwerken, hoeft u geen certificaat te uploaden. Het maken van de gateway kan 30 minuten duren. U kunt uw app pas integreren met uw virtuele netwerk als de gateway is gemaakt.

Hoe gateway-vereiste integratie van virtuele netwerken werkt

Gateway-vereiste integratie van virtuele netwerken is gebaseerd op punt-naar-site-VPN-technologie. Punt-naar-site-VPN's beperken de netwerktoegang tot de virtuele machine die als host voor de app wordt gebruikt. Apps zijn beperkt tot het verzenden van verkeer naar internet alleen via hybride verbindingen of via integratie van virtuele netwerken. Wanneer uw app is geconfigureerd met de portal voor het gebruik van gateway-vereiste integratie van virtuele netwerken, wordt namens u een complexe onderhandeling beheerd om certificaten te maken en toe te wijzen aan de gateway- en toepassingszijde. Het resultaat is dat de werksters die worden gebruikt om uw apps te hosten, rechtstreeks verbinding kunnen maken met de gateway van het virtuele netwerk in het geselecteerde virtuele netwerk.

Diagram dat laat zien hoe gateway-vereiste integratie van virtuele netwerken werkt.

Toegang tot on-premises resources

Apps hebben toegang tot on-premises resources door te integreren met virtuele netwerken die site-naar-site-verbindingen hebben. Als u gateway-vereiste integratie van virtuele netwerken gebruikt, moet u uw on-premises VPN-gatewayroutes bijwerken met uw punt-naar-site-adresblokken. Wanneer de site-naar-site-VPN voor het eerst is ingesteld, moeten de scripts die worden gebruikt om deze te configureren, routes correct instellen. Als u de punt-naar-site-adressen toevoegt nadat u uw site-naar-site-VPN hebt gemaakt, moet u de routes handmatig bijwerken. Meer informatie over hoe u dit doet, verschilt per gateway en wordt hier niet beschreven. U kunt BGP niet configureren met een site-naar-site-VPN-verbinding.

Er is geen extra configuratie vereist om de integratiefunctie van het regionale virtuele netwerk via uw virtuele netwerk naar on-premises resources te bereiken. U hoeft alleen uw virtuele netwerk te verbinden met on-premises resources met behulp van ExpressRoute of een site-naar-site-VPN.

Notitie

De gateway-vereiste functie voor integratie van virtuele netwerken integreert geen app met een virtueel netwerk dat een ExpressRoute-gateway heeft. Zelfs als de ExpressRoute-gateway is geconfigureerd in de naastelkaar bestaansmodus, werkt de integratie van het virtuele netwerk niet. Als u toegang nodig hebt tot resources via een ExpressRoute-verbinding, gebruikt u de regionale functie voor integratie van virtuele netwerken of een App Service Environment, die wordt uitgevoerd in uw virtuele netwerk.

Peering

Als u peering gebruikt met regionale integratie van virtuele netwerken, hoeft u geen configuratie meer uit te breiden.

Als u gateway-vereiste integratie van virtuele netwerken met peering gebruikt, moet u nog enkele items configureren. Peering configureren voor gebruik met uw app:

  1. Voeg een peeringverbinding toe aan het virtuele netwerk waarmee uw app verbinding maakt. Wanneer u de peeringverbinding toevoegt, schakel dan Toegang tot virtueel netwerk toestaan in en selecteert u Doorgestuurd verkeer toestaan en Gateway-doorvoer toestaan.
  2. Voeg een peeringverbinding toe aan het virtuele netwerk dat wordt gekoppeld aan het virtuele netwerk met wie u bent verbonden. Wanneer u de peeringverbinding toevoegt aan het virtuele doelnetwerk, schakel dan Toegang tot virtueel netwerk toestaan in en selecteert u Doorgestuurd verkeer toestaan en Externe gateways toestaan.
  3. Ga naar App Service > > netwerk-VNet-integratie plannen in de portal. Selecteer het virtuele netwerk waarmee uw app verbinding maakt. Voeg in de sectie Routering het adresbereik toe van het virtuele netwerk dat is gekoppeld aan het virtuele netwerk waarmee uw app is verbonden.

Integratie van virtuele netwerken beheren

Verbinding maken met en verbinding maken met een virtueel netwerk is op app-niveau. Bewerkingen die van invloed kunnen zijn op de integratie van virtuele netwerken in meerdere apps, staan op App Service niveau van het abonnement. In de app > Networking > VNet Integration Portal vindt u meer informatie over uw virtuele netwerk. Vergelijkbare informatie vindt u op het niveau van App Service plan in de App Service > > netwerk-VNet-integratieportal.

De enige bewerking die u kunt uitvoeren in de app-weergave van uw exemplaar van de integratie van het virtuele netwerk, is het verbreken van de verbinding van uw app met het virtuele netwerk waarmee deze momenteel is verbonden. Als u de verbinding van uw app met een virtueel netwerk wilt verbreken, selecteert u Verbinding verbreken. Uw app wordt opnieuw opgestart wanneer u de verbinding met een virtueel netwerk verbreekt. Als u de verbinding verbreekt, verandert uw virtuele netwerk niet. Het subnet of de gateway wordt niet verwijderd. Als u vervolgens uw virtuele netwerk wilt verwijderen, moet u eerst de verbinding met uw app met het virtuele netwerk verbreken en de resources in het netwerk verwijderen, zoals gateways.

In App Service gebruikersinterface voor de integratie van virtuele netwerken ziet u alle integraties van virtuele netwerken die worden gebruikt door de apps in uw App Service abonnement. Als u de details van elk virtueel netwerk wilt bekijken, selecteert u het virtuele netwerk waarin u geïnteresseerd bent. Er zijn twee acties die u hier kunt uitvoeren voor gateway-vereiste integratie van virtuele netwerken:

  • Synchronisatienetwerk: de synchronisatienetwerkbewerking wordt alleen gebruikt voor de gateway-vereiste functie voor virtuele netwerkintegratie. Het uitvoeren van een synchronisatienetwerkbewerking zorgt ervoor dat uw certificaten en netwerkgegevens zijn gesynchroniseerd. Als u de DNS van uw virtuele netwerk toevoegt of wijzigt, voert u een synchronisatienetwerkbewerking uit. Met deze bewerking worden alle apps die gebruikmaken van dit virtuele netwerk opnieuw gestart. Deze bewerking werkt niet als u een app en een virtueel netwerk gebruikt dat tot verschillende abonnementen behoort.
  • Routes toevoegen: het toevoegen van routes stuurt uitgaand verkeer naar uw virtuele netwerk.

Het privé-IP-adres dat aan het exemplaar is toegewezen, wordt beschikbaar gemaakt via de omgevingsvariabele WEBSITE_PRIVATE_IP. De gebruikersinterface van de Kudu-console toont ook de lijst met omgevingsvariabelen die beschikbaar zijn voor de web-app. Dit IP-adres wordt toegewezen vanuit het adresbereik van het geïntegreerde subnet. Voor regionale integratie van virtuele netwerken is de waarde WEBSITE_PRIVATE_IP ip-adres uit het adresbereik van het gedelegeerde subnet. Voor gateway-vereiste integratie van virtuele netwerken is de waarde een IP-adres uit het adresbereik van de punt-naar-site-adresgroep die is geconfigureerd op de virtuele netwerkgateway. Dit IP-adres wordt door de web-app gebruikt om verbinding te maken met de resources via het virtuele Azure-netwerk.

Notitie

De waarde van WEBSITE_PRIVATE_IP wordt gewijzigd. Het is echter een IP-adres binnen het adresbereik van het integratiesubnet of het punt-naar-site-adresbereik, dus u moet toegang vanaf het hele adresbereik toestaan.

Gateway-vereiste routering van virtuele netwerkintegratie

De routes die in uw virtuele netwerk zijn gedefinieerd, worden gebruikt om verkeer vanuit uw app naar uw virtuele netwerk te leiden. Als u meer uitgaand verkeer naar het virtuele netwerk wilt verzenden, voegt u deze adresblokken hier toe. Deze mogelijkheid werkt alleen met gateway-vereiste integratie van virtuele netwerken. Routetabellen hebben geen invloed op uw app-verkeer wanneer u gateway-vereiste integratie van virtuele netwerken gebruikt zoals dat bij regionale integratie van virtuele netwerken gebeurt.

Gateway-required virtual network integration certificates (Gateway-vereiste virtuele-netwerkintegratiecertificaten)

Wanneer gateway-vereiste virtuele netwerkintegratie is ingeschakeld, is er een vereiste uitwisseling van certificaten om de beveiliging van de verbinding te garanderen. Naast de certificaten zijn de DNS-configuratie, routes en andere vergelijkbare zaken die het netwerk beschrijven.

Als certificaten of netwerkgegevens worden gewijzigd, selecteert u Netwerk synchroniseren. Wanneer u Netwerk synchroniseren selecteert, veroorzaakt u een korte storing in de connectiviteit tussen uw app en uw virtuele netwerk. Uw app wordt niet opnieuw opgestart, maar het verlies van connectiviteit kan ervoor zorgen dat uw site niet goed werkt.

Prijsdetails

De regionale functie voor integratie van virtuele netwerken brengt geen extra kosten met zich mee voor gebruik buiten App Service kosten voor de prijscategorie van het abonnement.

Er zijn drie kosten verbonden aan het gebruik van de gateway-vereiste functie voor virtuele netwerkintegratie:

  • App Service prijscategorie plannen: uw apps moeten zich in een Standard-, Premium-, Premium v2- of Premium v3-App Service hebben. Zie prijzen voor App Service meer informatie over deze kosten.
  • Kosten voor gegevensoverdracht: er worden kosten in rekening voor gegevensoverdracht, zelfs als het virtuele netwerk zich in hetzelfde datacenter bevindt. Deze kosten worden beschreven in Prijsinformatie voor gegevensoverdracht.
  • Kosten voor VPN-gateway: er zijn kosten verbonden aan de virtuele netwerkgateway die vereist zijn voor de punt-naar-site-VPN. Zie Prijzen voor VPN-gateway voor meer informatie.

Problemen oplossen

Notitie

Integratie van virtuele netwerken wordt niet ondersteund voor Docker Compose-scenario's in App Service. Toegangsbeperkingen worden genegeerd als er een privé-eindpunt aanwezig is.

De functie is eenvoudig in te stellen, maar dat betekent niet dat uw ervaring probleemloos is. Als u problemen ondervindt bij het openen van het gewenste eindpunt, zijn er enkele hulpprogramma's die u kunt gebruiken om de connectiviteit te testen vanuit de app-console. Er zijn twee consoles die u kunt gebruiken. De ene is de Kudu-console en de andere is de console in de Azure Portal. Ga naar Tools Kudu om de Kudu-console te bereiken vanuit > uw app. U kunt ook de Kudo-console bereiken via [sitename].scm.azurewebsites.net. Nadat de website is geladen, gaat u naar het tabblad Foutopsporingsconsole. Als u vanuit uw app Azure Portal gehoste console wilt openen, gaat u naar Extra > console.

Hulpprogramma's

In systeemeigen Windows-apps werken de hulpprogramma's ping, nslookup en tracert niet via de console vanwege beveiligingsbeperkingen (ze werken in aangepaste Windows containers). Om de void op te vullen, worden er twee afzonderlijke hulpprogramma's toegevoegd. Om de DNS-functionaliteit te testen, hebben we een hulpprogramma met de naamnameresolver.exe. De syntaxis is:

nameresolver.exe hostname [optional: DNS Server]

U kunt nameresolver gebruiken om de hostnamen te controleren van wie uw app afhankelijk is. Op deze manier kunt u testen of er iets onjuist is geconfigureerd met uw DNS of mogelijk geen toegang hebt tot uw DNS-server. U kunt de DNS-server die uw app gebruikt, zien in de -console door te kijken naar de omgevingsvariabelen WEBSITE_DNS_SERVER en WEBSITE_DNS_ALT_SERVER.

Notitie

Het nameresolver.exe werkt momenteel niet in aangepaste Windows containers.

U kunt het volgende hulpprogramma gebruiken om te testen op TCP-connectiviteit met een combinatie van host en poort. Dit hulpprogramma heet tcpping en de syntaxis is:

tcpping.exe hostname [optional: port]

Het hulpprogramma tcpping geeft aan of u een specifieke host en poort kunt bereiken. Alleen als er een toepassing luistert op de combinatie van host en poort en er netwerktoegang van uw app tot de opgegeven host en poort is, kan dit alleen worden aangegeven.

Fouten opsporen in toegang tot door virtuele netwerken gehoste resources

Een aantal dingen kan verhinderen dat uw app een specifieke host en poort bereikt. Meestal is dit een van de volgende dingen:

  • Een firewall staat in de weg. Als u een firewall in de weg hebt, raakt u de TCP-time-out. De TCP-time-out is in dit geval 21 seconden. Gebruik het hulpprogramma tcpping om de connectiviteit te testen. TCP-time-outs kunnen worden veroorzaakt door veel andere zaken dan firewalls, maar beginnen daar.
  • DNS is niet toegankelijk. De DNS-time-out is 3 seconden per DNS-server. Als u twee DNS-servers hebt, is de time-out 6 seconden. Gebruik nameresolver om te zien of DNS werkt. U kunt nslookup niet gebruiken, omdat hiermee niet de DNS wordt gebruikt waar uw virtuele netwerk mee is geconfigureerd. Als deze niet toegankelijk is, kan de toegang tot DNS worden geblokkeerd door een firewall of NSG, of kan deze niet beschikbaar zijn.

Als deze items uw problemen niet beantwoorden, moet u eerst zoeken naar zaken als:

Regionale integratie van virtueel netwerk

  • Is uw bestemming een niet-RFC1918-adres en is Route All niet ingeschakeld?
  • Is er een NSG die het verkeer vanuit uw integratiesubnet blokkeert?
  • Als u een vpn of Azure ExpressRoute gebruikt, is uw on-premises gateway dan geconfigureerd om verkeer terug te brengen naar Azure? Als u eindpunten in uw virtuele netwerk kunt bereiken, maar niet on-premises, controleert u uw routes.
  • Hebt u voldoende machtigingen om delegatie in te stellen op het integratiesubnet? Tijdens de configuratie van de regionale integratie van virtuele netwerken wordt uw integratiesubnet gedelegeerd aan Microsoft.Web/serverFarms. De gebruikersinterface voor VNet-integratie delegeert het subnet automatisch naar Microsoft.Web/serverFarms. Als uw account onvoldoende netwerkmachtigingen heeft om delegatie in te stellen, hebt u iemand nodig die kenmerken in uw integratiesubnet kan instellen om het subnet te delegeren. Als u het integratiesubnet handmatig wilt delegeren, gaat u naar de gebruikersinterface van het Azure Virtual Network-subnet en stelt u de overdracht in voor Microsoft.Web/serverFarms.

Gateway-vereiste integratie van virtueel netwerk

  • Is het punt-naar-site-adresbereik in de RFC 1918-reeksen (10.0.0.0-10.255.255.255 / 172.16.2 0.0-172.31.255.255 / 192.168.0.0-192.168.255.255)?
  • Wordt de gateway in de portal als up-up laten zien? Als uw gateway niet werkt, brengt u deze weer terug.
  • Worden certificaten gesynchroniseerd of vermoedt u dat de netwerkconfiguratie is gewijzigd? Als uw certificaten niet zijn gesynchroniseerd of als u vermoedt dat er een wijziging is aangebracht in de configuratie van uw virtuele netwerk die niet is gesynchroniseerd met uw ASP's, selecteert u Netwerk synchroniseren.
  • Als u via een VPN gaat, is de on-premises gateway dan geconfigureerd om verkeer terug te brengen naar Azure? Als u eindpunten in uw virtuele netwerk kunt bereiken, maar niet on-premises, controleert u uw routes.
  • Probeert u een naast elkaar bestaande gateway te gebruiken die ondersteuning biedt voor zowel punt-naar-site als ExpressRoute? Naast elkaar bestaande gateways worden niet ondersteund met integratie van virtuele netwerken.

Het oplossen van netwerkproblemen is een uitdaging omdat u niet kunt zien wat de toegang blokkeert tot een specifieke combinatie van host:poort. Enkele oorzaken zijn:

  • U hebt een firewall op uw host die toegang tot de toepassingspoort vanaf uw punt-naar-site-IP-bereik voorkomt. Voor het kruisen van subnetten is vaak openbare toegang vereist.
  • Uw doelhost is niet meer.
  • Uw toepassing is niet meer in gebruik.
  • U had de verkeerde IP- of hostnaam.
  • Uw toepassing luistert op een andere poort dan verwacht. U kunt uw proces-id matchen met de luisterpoort met behulp van 'netstat -aon' op de eindpunthost.
  • Uw netwerkbeveiligingsgroepen worden zodanig geconfigureerd dat ze de toegang tot uw toepassingshost en poort vanaf uw punt-naar-site-IP-bereik voorkomen.

U weet niet welk adres uw app daadwerkelijk gebruikt. Dit kan elk adres in het integratiesubnet of punt-naar-site-adresbereik zijn, dus u moet toegang toestaan vanuit het hele adresbereik.

Meer foutopsporingsstappen zijn:

  • Verbinding maken naar een virtuele machine in uw virtuele netwerk en probeer vanaf daar de resourcehost:poort te bereiken. Als u wilt testen op TCP-toegang, gebruikt u de PowerShell-opdracht test-netconnection. De syntaxis is:

    test-netconnection hostname [optional: -Port]

  • Open een toepassing op een VM en test de toegang tot die host en poort vanuit de console vanuit uw app met behulp van tcpping.

On-premises resources

Als uw app een on-premises resource niet kan bereiken, controleert u of u de resource kunt bereiken vanuit uw virtuele netwerk. Gebruik de PowerShell-opdracht test-netconnection om te controleren op TCP-toegang. Als uw VM uw on-premises resource niet kan bereiken, is uw VPN- of ExpressRoute-verbinding mogelijk niet juist geconfigureerd.

Als uw door het virtuele netwerk gehoste VM uw on-premises systeem kan bereiken, maar uw app dat niet kan, is de oorzaak waarschijnlijk een van de volgende redenen:

  • Uw routes zijn niet geconfigureerd met uw subnet- of punt-naar-site-adresbereiken in uw on-premises gateway.
  • Uw netwerkbeveiligingsgroepen blokkeren de toegang voor uw punt-naar-site-IP-bereik.
  • Uw on-premises firewalls blokkeren verkeer van uw punt-naar-site-IP-bereik.
  • U probeert een niet-RFC 1918-adres te bereiken met behulp van de regionale functie voor integratie van virtuele netwerken.

De VNet-App Service of web-app verwijderen voordat de VNet-integratie wordt verbroken

Als u de web-app of het App Service-plan hebt verwijderd zonder eerst de VNet-integratie te verbreken, kunt u geen update-/verwijderbewerkingen uitvoeren op het virtuele netwerk of subnet dat is gebruikt voor de integratie met de verwijderde resource. Een subnetdelegering 'Microsoft.Web/serverFarms' blijft toegewezen aan uw subnet en voorkomt de bewerkingen voor bijwerken/verwijderen.

Als u het subnet of virtuele netwerk opnieuw wilt bijwerken/verwijderen, moet u de VNet-integratie opnieuw maken en vervolgens de verbinding verbreken:

  1. Maak het App Service web-app opnieuw (het is verplicht om exact dezelfde web-app-naam te gebruiken als voorheen).
  2. Navigeer naar de blade Netwerken in de web-app en configureer de VNet-integratie.
  3. Nadat de VNet-integratie is geconfigureerd, selecteert u de knop Verbinding verbreken.
  4. Verwijder het App Service of web-app.
  5. Het subnet of virtuele netwerk bijwerken/verwijderen.

Als u na het volgen van de bovenstaande stappen nog steeds problemen ondervindt met de VNet-integratie, neemt u contact op met Microsoft-ondersteuning.