Een app integreren met een virtueel Azure-netwerkIntegrate your app with an Azure virtual network

In dit artikel wordt de functie Azure App Service VNet-integratie beschreven en wordt uitgelegd hoe u deze kunt instellen met apps in Azure app service.This article describes the Azure App Service VNet Integration feature and how to set it up with apps in Azure App Service. Met Azure Virtual Network (VNets) kunt u veel van uw Azure-resources in een niet-Internet routeerbaar netwerk plaatsen.With Azure Virtual Network (VNets), you can place many of your Azure resources in a non-internet-routable network. Met de VNet-integratie functie kunnen uw apps toegang krijgen tot bronnen in of via een VNet.The VNet Integration feature enables your apps to access resources in or through a VNet. Met VNet-integratie kunnen uw apps niet privé worden geopend.VNet Integration doesn't enable your apps to be accessed privately.

Azure App Service heeft twee varianten van de VNet-integratie functie:Azure App Service has two variations on the VNet Integration feature:

  • De multi tenant systemen die ondersteuning bieden voor het volledige assortiment prijs abonnementen, behalve geïsoleerd.The multitenant systems that support the full range of pricing plans except Isolated.
  • De App Service Environment, die wordt geïmplementeerd in uw VNet en die ondersteuning biedt voor geïsoleerde prijzen plan-apps.The App Service Environment, which deploys into your VNet and supports Isolated pricing plan apps.

De VNet-integratie functie wordt gebruikt in apps voor meerdere tenants.The VNet Integration feature is used in multitenant apps. Als uw app zich in app service Environmentbevindt, is deze al in een VNet en is het niet nodig om de VNet-integratie functie te gebruiken om resources in hetzelfde VNet te bereiken.If your app is in App Service Environment, then it's already in a VNet and doesn't require use of the VNet Integration feature to reach resources in the same VNet. Zie app service-netwerk functiesvoor meer informatie over alle netwerk functies.For more information on all of the networking features, see App Service networking features.

VNet-integratie biedt uw app toegang tot resources in uw VNet, maar verleent geen inkomende persoonlijke toegang aan uw app vanuit het VNet.VNet Integration gives your app access to resources in your VNet, but it doesn't grant inbound private access to your app from the VNet. Toegang tot de persoonlijke site verwijst naar het maken van een app die alleen toegankelijk is vanuit een particulier netwerk, bijvoorbeeld vanuit een virtueel Azure-netwerk.Private site access refers to making an app accessible only from a private network, such as from within an Azure virtual network. VNet-integratie wordt alleen gebruikt om uitgaande oproepen van uw app naar uw VNet te maken.VNet Integration is used only to make outbound calls from your app into your VNet. De VNet-integratie functie werkt anders als deze wordt gebruikt met VNet in dezelfde regio en met VNet in andere regio's.The VNet Integration feature behaves differently when it's used with VNet in the same region and with VNet in other regions. De VNet-integratie functie heeft twee varianten:The VNet Integration feature has two variations:

  • Regionale VNet-integratie: wanneer u verbinding maakt met Azure Resource Manager virtuele netwerken in dezelfde regio, moet u een toegewijd subnet hebben in het VNet waarmee u een integratie uitvoert.Regional VNet Integration: When you connect to Azure Resource Manager virtual networks in the same region, you must have a dedicated subnet in the VNet you're integrating with.
  • Gateway-vereiste VNet-integratie: wanneer u verbinding maakt met VNet in andere regio's of een klassiek virtueel netwerk in dezelfde regio, hebt u een Azure Virtual Network-gateway nodig die is ingericht in het doel-VNet.Gateway-required VNet Integration: When you connect to VNet in other regions or to a classic virtual network in the same region, you need an Azure Virtual Network gateway provisioned in the target VNet.

De VNet-integratie functies:The VNet Integration features:

  • Vereisen een prijs plan voor Standard, Premium, PremiumV2, PremiumV3 of elastisch Premium.Require a Standard, Premium, PremiumV2, PremiumV3, or Elastic Premium pricing plan.
  • Ondersteuning voor TCP en UDP.Support TCP and UDP.
  • Werken met Azure App Service apps en functie-apps.Work with Azure App Service apps and function apps.

Er zijn enkele dingen die VNet-integratie niet ondersteunt, zoals:There are some things that VNet Integration doesn't support, like:

  • Een station koppelen.Mounting a drive.
  • Integratie van Active Directory.Active Directory integration.
  • Naamgeving.NetBIOS.

Gateway-vereiste VNet-integratie biedt alleen toegang tot bronnen in het doel-VNet of in netwerken die zijn verbonden met het doel-VNet met peering of Vpn's.Gateway-required VNet Integration provides access to resources only in the target VNet or in networks connected to the target VNet with peering or VPNs. Gateway-vereiste VNet-integratie biedt geen toegang tot bronnen die beschikbaar zijn via Azure ExpressRoute-verbindingen of om met Service-eind punten te werken.Gateway-required VNet Integration doesn't enable access to resources available across Azure ExpressRoute connections or work with service endpoints.

VNet-integratie geeft uw app altijd toegang tot resources in uw VNet, maar verleent geen inkomende persoonlijke toegang aan uw app vanuit het VNet.Regardless of the version used, VNet Integration gives your app access to resources in your VNet, but it doesn't grant inbound private access to your app from the VNet. Toegang via een persoonlijke site verwijst naar het toegankelijk maken van uw app vanuit een particulier netwerk, bijvoorbeeld vanuit een Azure-VNet.Private site access refers to making your app accessible only from a private network, such as from within an Azure VNet. VNet-integratie is alleen voor het maken van uitgaande oproepen vanuit uw app naar uw VNet.VNet Integration is only for making outbound calls from your app into your VNet.

VNet-integratie inschakelenEnable VNet Integration

  1. Ga naar de gebruikers interface van het netwerk in de app Service Portal.Go to the Networking UI in the App Service portal. Selecteer onder VNet-integratie de optie Klik hier om te configureren.Under VNet Integration, select Click here to configure.

  2. Selecteer VNet toevoegen.Select Add VNet.

    VNet-integratie selecteren

  3. De vervolg keuzelijst bevat alle Azure Resource Manager virtuele netwerken in uw abonnement in dezelfde regio.The drop-down list contains all of the Azure Resource Manager virtual networks in your subscription in the same region. Hieronder vindt u een lijst met de virtuele netwerken van resource manager in alle andere regio's.Underneath that is a list of the Resource Manager virtual networks in all other regions. Selecteer het VNet dat u wilt integreren met.Select the VNet you want to integrate with.

    Het VNet selecteren

    • Als het VNet zich in dezelfde regio bevindt, maakt u een nieuw subnet of selecteert u een leeg, bestaand subnet.If the VNet is in the same region, either create a new subnet or select an empty preexisting subnet.
    • Als u een VNet in een andere regio wilt selecteren, moet u een VNet-gateway hebben ingericht met Point-to-site ingeschakeld.To select a VNet in another region, you must have a VNet gateway provisioned with point to site enabled.
    • Als u wilt integreren met een klassiek VNet, selecteert u in plaats van de Virtual Network vervolg keuzelijst, klikt u hier om verbinding te maken met een klassiek vnet.To integrate with a classic VNet, instead of selecting the Virtual Network drop-down list, select Click here to connect to a Classic VNet. Selecteer het klassieke virtuele netwerk dat u wilt.Select the classic virtual network you want. Het doel-VNet moet al een Virtual Network gateway hebben ingericht met behulp van punt-naar-site ingeschakeld.The target VNet must already have a Virtual Network gateway provisioned with point-to-site enabled.

    Klassiek VNet selecteren

Tijdens de integratie wordt uw app opnieuw opgestart.During the integration, your app is restarted. Wanneer de integratie is voltooid, ziet u de details van het VNet dat u hebt geïntegreerd.When integration is finished, you'll see details on the VNet you're integrated with.

Regionale VNet-integratieRegional VNet Integration

Door gebruik te maken van regionale VNet-integratie kan uw app toegang tot:Using regional VNet Integration enables your app to access:

  • Resources in een VNet in dezelfde regio als uw app.Resources in a VNet in the same region as your app.
  • Resources in VNets die zijn gekoppeld aan het VNet waarin uw app is geïntegreerd.Resources in VNets peered to the VNet your app is integrated with.
  • Beveiligde services voor service-eind punten.Service endpoint secured services.
  • Bronnen in azure ExpressRoute-verbindingen.Resources across Azure ExpressRoute connections.
  • Resources in het VNet waarmee u bent geïntegreerd.Resources in the VNet you're integrated with.
  • Bronnen tussen peered verbindingen, waaronder Azure ExpressRoute-verbindingen.Resources across peered connections, which include Azure ExpressRoute connections.
  • Privé-eindpuntenPrivate endpoints

Wanneer u VNet-integratie met VNets in dezelfde regio gebruikt, kunt u de volgende Azure-netwerk functies gebruiken:When you use VNet Integration with VNets in the same region, you can use the following Azure networking features:

  • Netwerk beveiligings groepen (nsg's): u kunt uitgaand verkeer blok keren met een NSG die op uw integratie subnet is geplaatst.Network security groups (NSGs): You can block outbound traffic with an NSG that's placed on your integration subnet. De regels voor binnenkomende verbindingen zijn niet van toepassing omdat u VNet-integratie niet kunt gebruiken om inkomende toegang tot uw app te bieden.The inbound rules don't apply because you can't use VNet Integration to provide inbound access to your app.
  • Route tabellen (udr's): u kunt een route tabel plaatsen op het subnet met integratie om uitgaand verkeer te verzenden naar de gewenste locatie.Route tables (UDRs): You can place a route table on the integration subnet to send outbound traffic where you want.

Standaard stuurt uw app alleen RFC1918-verkeer naar uw VNet.By default, your app routes only RFC1918 traffic into your VNet. Als u al het uitgaande verkeer wilt door sturen naar uw VNet, past u de app-instelling WEBSITE_VNET_ROUTE_ALL toe op uw app.If you want to route all of your outbound traffic into your VNet, apply the app setting WEBSITE_VNET_ROUTE_ALL to your app. De app-instelling configureren:To configure the app setting:

  1. Ga naar de configuratie gebruikersinterface in de app-Portal.Go to the Configuration UI in your app portal. Selecteer Nieuwe toepassingsinstelling.Select New application setting.

  2. Voer WEBSITE_VNET_ROUTE_ALL in het vak naam in en voer 1 in het vak waarde in.Enter WEBSITE_VNET_ROUTE_ALL in the Name box, and enter 1 in the Value box.

    Toepassings instelling opgeven

  3. Selecteer OK.Select OK.

  4. Selecteer Opslaan.Select Save.

Notitie

Als u al het uitgaande verkeer naar uw VNet routert, is het onderhevig aan de Nsg's en Udr's die worden toegepast op het integratie subnet.If you route all of your outbound traffic into your VNet, it's subject to the NSGs and UDRs that are applied to your integration subnet. Wanneer u al het uitgaande verkeer naar uw VNet routert, zijn uw uitgaande adressen nog steeds de uitgaande adressen die worden vermeld in de app-eigenschappen, tenzij u routes opgeeft om het verkeer elders te verzenden.When you route all of your outbound traffic into your VNet, your outbound addresses are still the outbound addresses that are listed in your app properties unless you provide routes to send the traffic elsewhere.

Er zijn enkele beperkingen bij het gebruik van VNet-integratie met VNets in dezelfde regio:There are some limitations with using VNet Integration with VNets in the same region:

  • U kunt geen resources bereiken via globale peering-verbindingen.You can't reach resources across global peering connections.
  • De functie is beschikbaar vanaf alle App Service schaal eenheden in Premium v2 en Premium v3.The feature is available from all App Service scale units in Premium V2 and Premium V3. Het is ook beschikbaar in standaard, maar alleen vanaf nieuwere App Service schaal eenheden.It is also available in Standard but only from newer App Service scale units. Als u zich op een oudere schaal eenheid bevindt, kunt u de functie alleen gebruiken vanuit een Premium v2 App Service-abonnement.If you are on an older scale unit you can only use the feature from a Premium V2 App Service plan. Als u het gebruik van de functie in een Standard App Service-abonnement wilt kunnen gebruiken, maakt u uw app in een Premium v3-App Service plan.If you want to be certain of being able to use the feature in a Standard App Service plan, create your app in a Premium V3 App Service plan. Deze abonnementen worden alleen ondersteund op onze nieuwste schaal eenheden.Those plans are only supported on our newest scale units. U kunt omlaag schalen als u dat wilt.You can scale down if you desire after that.
  • Het integratie subnet kan slechts door één App Service schema worden gebruikt.The integration subnet can be used by only one App Service plan.
  • De functie kan niet worden gebruikt door toepassingen van het geïsoleerde abonnement in een App Service Environment.The feature can't be used by Isolated plan apps that are in an App Service Environment.
  • De functie vereist een ongebruikt subnet dat een/28 of groter is in een Azure Resource Manager VNet.The feature requires an unused subnet that's a /28 or larger in an Azure Resource Manager VNet.
  • De app en het VNet moeten zich in dezelfde regio bevinden.The app and the VNet must be in the same region.
  • U kunt een VNet met een geïntegreerde app niet verwijderen.You can't delete a VNet with an integrated app. Verwijder de integratie voordat u het VNet verwijdert.Remove the integration before you delete the VNet.
  • U kunt slechts één regionale VNet-integratie per App Service plan hebben.You can have only one regional VNet Integration per App Service plan. Meerdere apps in hetzelfde App Service-abonnement kunnen hetzelfde VNet gebruiken.Multiple apps in the same App Service plan can use the same VNet.
  • U kunt het abonnement van een app of een abonnement niet wijzigen terwijl er een app is die gebruikmaakt van regionale VNet-integratie.You can't change the subscription of an app or a plan while there's an app that's using regional VNet Integration.
  • Uw app kan geen adressen omzetten in Azure DNS Private Zones zonder configuratie wijzigingenYour app cannot resolve addresses in Azure DNS Private Zones without configuration changes

VNet-integratie is afhankelijk van het gebruik van een toegewezen subnet.VNet Integration depends on use of a dedicated subnet. Wanneer u een subnet inricht, verliest het Azure-subnet 5 Ip's voor van het begin.When you provision a subnet, the Azure subnet loses 5 IPs for from the start. Er wordt één adres gebruikt vanuit het integratie-subnet voor elk exemplaar van het abonnement.One address is used from the integration subnet for each plan instance. Als u uw app schaalt naar vier instanties, worden er vier adressen gebruikt.If you scale your app to four instances, then four addresses are used. De debet van 5 adressen uit de grootte van het subnet betekent dat de Maxi maal beschik bare adressen per CIDR-blok:The debit of 5 addresses from the subnet size mean that the maximum available addresses per CIDR block are:

  • /28 heeft 11 adressen/28 has 11 addresses
  • /27 heeft 27 adres/27 has 27 address
  • /26 heeft 59 adressen/26 has 59 addresses

Als u omhoog of omlaag schaalt, hebt u een dubbele tijd nodig voor een korte periode.If you scale up or down in size, you need double your address need for a short period of time. De maximale grootte betekent dat de daad werkelijke beschik bare ondersteunde instanties per subnet grootte als uw subnet een:The limits in size means that the real available supported instances per subnet size are, if your subnet is a:

  • /28, uw maximale horizontale schaal is 5 exemplaren/28, your maximum horizontal scale is 5 instances
  • /27, uw maximale horizontale schaal is 13 instanties/27, your maximum horizontal scale is 13 instances
  • /26, uw maximale horizontale schaal is 29 instanties/26, your maximum horizontal scale is 29 instances

De limieten die worden aangegeven bij de maximale horizontale schaal, wordt ervan uitgegaan dat u op een bepaald moment omhoog of omlaag moet schalen.The limits noted on maximum horizontal scale assumes that you will need to scale up or down in either size or SKU at some point.

Aangezien de grootte van het subnet niet kan worden gewijzigd na toewijzing, gebruikt u een subnet dat groot genoeg is voor de schaal van uw app.Since subnet size can't be changed after assignment, use a subnet that's large enough to accommodate whatever scale your app might reach. Om problemen met de capaciteit van het subnet te voor komen, is een/26 met 64-adressen de aanbevolen grootte.To avoid any issues with subnet capacity, a /26 with 64 addresses is the recommended size.

Als u wilt dat uw apps in een ander abonnement een VNet bereiken dat al is verbonden met apps in een ander abonnement, selecteert u een ander subnet dan het subnetwerk dat wordt gebruikt door de bestaande VNet-integratie.If you want your apps in another plan to reach a VNet that's already connected to by apps in another plan, select a different subnet than the one being used by the preexisting VNet Integration.

De functie wordt volledig ondersteund voor zowel Windows-als Linux-apps, waaronder aangepaste containers.The feature is fully supported for both Windows and Linux apps, including custom containers. Alle gedragingen handelen hetzelfde tussen Windows-apps en Linux-apps.All of the behaviors act the same between Windows apps and Linux apps.

Service-eindpuntenService endpoints

Met regionale VNet-integratie kunt u service-eind punten gebruiken.Regional VNet Integration enables you to use service endpoints. Als u service-eind punten wilt gebruiken in combi natie met uw app, gebruikt u de regionale VNet-integratie om verbinding te maken met een geselecteerd VNet en configureert u vervolgens service-eind punten met de doel service op het subnet dat u voor de integratie hebt gebruikt.To use service endpoints with your app, use regional VNet Integration to connect to a selected VNet and then configure service endpoints with the destination service on the subnet you used for the integration. Als u vervolgens een service wilt openen via service-eind punten:If you then wanted to access a service over service endpoints:

  1. regionale VNet-integratie met uw web-app configurerenconfigure regional VNet Integration with your web app
  2. Ga naar de doel service en configureer service-eind punten op het subnet dat wordt gebruikt voor de integratiego to the destination service and configure service endpoints against the subnet used for integration

NetwerkbeveiligingsgroepenNetwork security groups

U kunt netwerk beveiligings groepen gebruiken om binnenkomend en uitgaand verkeer naar resources in een VNet te blok keren.You can use network security groups to block inbound and outbound traffic to resources in a VNet. Een app die gebruikmaakt van regionale VNet-integratie kan een netwerk beveiligings groep gebruiken om uitgaand verkeer naar resources in uw VNet of Internet te blok keren.An app that uses regional VNet Integration can use a network security group to block outbound traffic to resources in your VNet or the internet. Als u verkeer naar open bare adressen wilt blok keren, moet u de toepassings instelling WEBSITE_VNET_ROUTE_ALL instellen op 1.To block traffic to public addresses, you must have the application setting WEBSITE_VNET_ROUTE_ALL set to 1. De binnenkomende regels in een NSG zijn niet van toepassing op uw app, omdat de VNet-integratie alleen van invloed is op uitgaand verkeer van uw app.The inbound rules in an NSG don't apply to your app because VNet Integration affects only outbound traffic from your app.

Als u inkomend verkeer naar uw app wilt beheren, gebruikt u de functie toegangs beperkingen.To control inbound traffic to your app, use the Access Restrictions feature. Een NSG die wordt toegepast op uw integratie subnet, is van kracht, ongeacht eventuele routes die worden toegepast op het integratie subnet.An NSG that's applied to your integration subnet is in effect regardless of any routes applied to your integration subnet. Als WEBSITE_VNET_ROUTE_ALL is ingesteld op 1 en u geen routes hebt die van invloed zijn op het open bare adres verkeer op het subnet met integratie, is al uw uitgaand verkeer nog steeds afhankelijk van Nsg's die zijn toegewezen aan uw integratie subnet.If WEBSITE_VNET_ROUTE_ALL is set to 1 and you don't have any routes that affect public address traffic on your integration subnet, all of your outbound traffic is still subject to NSGs assigned to your integration subnet. Als WEBSITE_VNET_ROUTE_ALL niet is ingesteld, worden Nsg's alleen toegepast op RFC1918-verkeer.If WEBSITE_VNET_ROUTE_ALL isn't set, NSGs are only applied to RFC1918 traffic.

RoutesRoutes

U kunt route tabellen gebruiken om uitgaand verkeer van uw app naar de gewenste locatie te routeren.You can use route tables to route outbound traffic from your app to wherever you want. Routerings tabellen zijn standaard alleen van invloed op uw RFC1918-doel verkeer.By default, route tables only affect your RFC1918 destination traffic. Als u WEBSITE_VNET_ROUTE_ALL op 1 instelt, worden al uw uitgaande oproepen beïnvloed.If you set WEBSITE_VNET_ROUTE_ALL to 1, all of your outbound calls are affected. Routes die zijn ingesteld op het integratie subnet, zijn niet van invloed op antwoorden op aanvragen voor inkomende apps.Routes that are set on your integration subnet won't affect replies to inbound app requests. Algemene doelen kunnen Firewall apparaten of gateways zijn.Common destinations can include firewall devices or gateways.

Als u al het uitgaande verkeer on-premises wilt routeren, kunt u een route tabel gebruiken om al het uitgaande verkeer naar uw ExpressRoute-gateway te verzenden.If you want to route all outbound traffic on-premises, you can use a route table to send all outbound traffic to your ExpressRoute gateway. Als u verkeer naar een gateway stuurt, moet u ervoor zorgen dat routes worden ingesteld in het externe netwerk om antwoorden terug te sturen.If you do route traffic to a gateway, be sure to set routes in the external network to send any replies back.

Border Gateway Protocol (BGP)-routes hebben ook invloed op uw app-verkeer.Border Gateway Protocol (BGP) routes also affect your app traffic. Als u BGP-routes van iets zoals een ExpressRoute-gateway hebt, heeft dit gevolgen voor het uitgaande verkeer van uw app.If you have BGP routes from something like an ExpressRoute gateway, your app outbound traffic will be affected. BGP-routes zijn standaard alleen van invloed op uw RFC1918-doel verkeer.By default, BGP routes affect only your RFC1918 destination traffic. Als WEBSITE_VNET_ROUTE_ALL is ingesteld op 1, kan al het uitgaande verkeer worden beïnvloed door de BGP-routes.If WEBSITE_VNET_ROUTE_ALL is set to 1, all outbound traffic can be affected by your BGP routes.

Azure DNS Private ZonesAzure DNS Private Zones

Nadat uw app met uw VNet is geïntegreerd, maakt deze gebruik van dezelfde DNS-server die is geconfigureerd voor uw VNet.After your app integrates with your VNet, it uses the same DNS server that your VNet is configured with. Uw app werkt standaard niet met Azure DNS Private Zones.By default, your app won't work with Azure DNS Private Zones. Als u met Azure DNS Private Zones wilt werken, moet u de volgende app-instellingen toevoegen:To work with Azure DNS Private Zones, you need to add the following app settings:

  1. WEBSITE_DNS_SERVER met waarde 168.63.129.16WEBSITE_DNS_SERVER with value 168.63.129.16
  2. WEBSITE_VNET_ROUTE_ALL met waarde 1WEBSITE_VNET_ROUTE_ALL with value 1

Met deze instellingen worden al uw uitgaande oproepen vanuit uw app naar uw VNet verzonden en kan uw app Azure DNS privé zones gebruiken.These settings will send all of your outbound calls from your app into your VNet in addition to enabling your app to use Azure DNS private zones. Met deze instellingen worden alle uitgaande oproepen vanuit uw app naar uw VNet verzonden.These settings will send all the outbound calls from your app into your VNet. Daarnaast wordt de app in staat stellen om Azure DNS te gebruiken door de Privé-DNS zone op werk niveau te doorzoeken.Additionally, it will enable the app to use Azure DNS by querying the Private DNS Zone at the worker level. Deze functionaliteit moet worden gebruikt wanneer een actieve app toegang tot een Privé-DNS zone heeft.This functionality is to be used when a running app is accessing a Private DNS Zone.

Notitie

Het is niet mogelijk om een aangepast domein toe te voegen aan een web-app met behulp van Privé-DNS zone, maar niet met de VNET-integratie.Trying to add a custom domain to a Web App using Private DNS Zone is not possible with the VNET Integration. De aangepaste domein validatie wordt uitgevoerd op het niveau van de controller, niet op het niveau van de werk nemer, waardoor de DNS-records niet zichtbaar zijn.Custom domain validation is done at the controller level, not the worker level, which prevents the DNS records from being seen. Als u een aangepast domein van een Privé-DNS zone wilt gebruiken, moet de validatie worden omzeild met een Application Gateway of ILB App Service Environment.To use a custom domain from a Private DNS Zone, validation would need to be bypassed using an Application Gateway or ILB App Service Environment.

Privé-eindpuntenPrivate endpoints

Als u aanroepen naar persoonlijke eind puntenwilt maken, moet u ervoor zorgen dat uw DNS-Zoek opdrachten worden omgezet naar het persoonlijke eind punt.If you want to make calls to Private Endpoints, then you need to ensure that your DNS lookups will resolve to the private endpoint. Om ervoor te zorgen dat de DNS-zoek acties van uw app naar uw persoonlijke eind punten verwijzen, kunt u het volgende doen:To ensure that the DNS lookups from your app will point to your private endpoints you can:

  • Integreer met Azure DNS Private Zones.integrate with Azure DNS Private Zones. Als uw VNet geen aangepaste DNS-server heeft, wordt dit automatischIf your VNet doesn't have a custom DNS server, this will be automatic
  • beheer het persoonlijke eind punt in de DNS-server die door uw app wordt gebruikt.manage the private endpoint in the DNS server used by your app. Als u dit wilt doen, moet u het adres van het persoonlijke eind punt weten en vervolgens het eind punt aanwijzen dat u wilt bereiken met een record.To do this you need to know the private endpoint address and then point the endpoint you are trying to reach to that address with an A record.
  • uw eigen DNS-server configureren om door te sturen naar Azure DNS particuliere zonesconfigure your own DNS server to forward to Azure DNS private zones

Hoe regionale VNet-integratie werktHow regional VNet Integration works

Apps in App Service worden gehost op werk rollen.Apps in App Service are hosted on worker roles. De basis-en hogere prijs plannen zijn toegewezen hosting plannen waarbij er geen werk belastingen van andere klanten op dezelfde werk nemers worden uitgevoerd.The Basic and higher pricing plans are dedicated hosting plans where there are no other customers' workloads running on the same workers. Regionale VNet-integratie werkt door virtuele interfaces te koppelen aan adressen in het overgedragen subnet.Regional VNet Integration works by mounting virtual interfaces with addresses in the delegated subnet. Omdat het van-adres zich in uw VNet bevindt, kan het toegang krijgen tot de meeste zaken in of via uw VNet, zoals een virtuele machine in uw VNet.Because the from address is in your VNet, it can access most things in or through your VNet like a VM in your VNet would. De netwerk implementatie verschilt van het uitvoeren van een virtuele machine in uw VNet.The networking implementation is different than running a VM in your VNet. Daarom zijn sommige netwerk functies nog niet beschikbaar voor deze functie.That's why some networking features aren't yet available for this feature.

Hoe regionale VNet-integratie werkt

Wanneer regionale VNet-integratie is ingeschakeld, maakt uw app uitgaande oproepen naar het Internet via dezelfde kanalen als normaal.When regional VNet Integration is enabled, your app makes outbound calls to the internet through the same channels as normal. De uitgaande adressen die worden vermeld in de app-eigenschappen Portal zijn de adressen die nog steeds worden gebruikt door uw app.The outbound addresses that are listed in the app properties portal are the addresses still used by your app. Welke wijzigingen voor uw app zijn de aanroepen van beveiligde services voor service-eind punten of RFC 1918-adressen gaan naar uw VNet.What changes for your app are the calls to service endpoint secured services, or RFC 1918 addresses go into your VNet. Als WEBSITE_VNET_ROUTE_ALL is ingesteld op 1, kan al het uitgaande verkeer naar uw VNet worden verzonden.If WEBSITE_VNET_ROUTE_ALL is set to 1, all outbound traffic can be sent into your VNet.

Notitie

WEBSITE_VNET_ROUTE_ALL wordt momenteel niet ondersteund in Windows-containers.WEBSITE_VNET_ROUTE_ALL is currently not supported in Windows containers.

De functie ondersteunt slechts één virtuele interface per werk nemer.The feature supports only one virtual interface per worker. Eén virtuele interface per werk nemer betekent één regionale VNet-integratie per App Service plan.One virtual interface per worker means one regional VNet Integration per App Service plan. Alle apps in hetzelfde App Service-abonnement kunnen gebruikmaken van dezelfde VNet-integratie.All of the apps in the same App Service plan can use the same VNet Integration. Als u een app nodig hebt om verbinding te maken met een aanvullend VNet, moet u een ander App Service plan aanmaken.If you need an app to connect to an additional VNet, you need to create another App Service plan. De virtuele interface wordt gebruikt, is geen resource waarmee klanten rechtstreeks toegang hebben tot.The virtual interface used isn't a resource that customers have direct access to.

Vanwege de aard van de werking van deze technologie, wordt het verkeer dat wordt gebruikt met VNet-integratie niet weer gegeven in azure Network Watcher-of NSG-stroom Logboeken.Because of the nature of how this technology operates, the traffic that's used with VNet Integration doesn't show up in Azure Network Watcher or NSG flow logs.

Gateway-vereiste VNet-integratieGateway-required VNet Integration

Gateway-vereiste VNet-integratie biedt ondersteuning voor het verbinden met een VNet in een andere regio of op een klassiek virtueel netwerk.Gateway-required VNet Integration supports connecting to a VNet in another region or to a classic virtual network. Gateway-vereiste VNet-integratie:Gateway-required VNet Integration:

  • Hiermee kan een app verbinding maken met slechts één VNet per keer.Enables an app to connect to only one VNet at a time.
  • Hiermee kunnen Maxi maal vijf VNets worden geïntegreerd in een App Service plan.Enables up to five VNets to be integrated within an App Service plan.
  • Hiermee kan hetzelfde VNet door meerdere apps in een App Service plan worden gebruikt zonder dat dit van invloed is op het totale aantal dat kan worden gebruikt door een App Service plan.Allows the same VNet to be used by multiple apps in an App Service plan without affecting the total number that can be used by an App Service plan. Als u zes apps hebt die hetzelfde VNet gebruiken in hetzelfde App Service-abonnement, telt dat op als één VNet dat wordt gebruikt.If you have six apps using the same VNet in the same App Service plan, that counts as one VNet being used.
  • Ondersteunt een SLA van 99,9% door de SLA op de gateway.Supports a 99.9% SLA due to the SLA on the gateway.
  • Hiermee kunnen uw apps de DNS gebruiken waarvoor het VNet is geconfigureerd.Enables your apps to use the DNS that the VNet is configured with.
  • Vereist een Virtual Network op route gebaseerde gateway die is geconfigureerd met een SSTP-punt-naar-site-VPN voordat deze kan worden verbonden met een app.Requires a Virtual Network route-based gateway configured with an SSTP point-to-site VPN before it can be connected to an app.

U kunt Gateway-vereiste VNet-integratie niet gebruiken:You can't use gateway-required VNet Integration:

  • Met een VNet dat is verbonden met Azure ExpressRoute.With a VNet connected with Azure ExpressRoute.
  • Vanuit een Linux-app.From a Linux app.
  • Vanuit een Windows-container.From a Windows container.
  • Om toegang te krijgen tot beveiligde bronnen van service-eind punten.To access service endpoint secured resources.
  • Met een gateway voor samen werking die zowel ExpressRoute als Point-to-site-of site-naar-site-Vpn's ondersteunt.With a coexistence gateway that supports both ExpressRoute and point-to-site or site-to-site VPNs.

Een gateway instellen in uw virtuele Azure-netwerkSet up a gateway in your Azure virtual network

Een gateway maken:To create a gateway:

  1. Maak een gateway-subnet in uw VNet.Create a gateway subnet in your VNet.

  2. Maak de VPN-gateway.Create the VPN gateway. Selecteer een op route gebaseerd VPN-type.Select a route-based VPN type.

  3. Stel de punt-naar-site-adressenin.Set the point-to-site addresses. Als de gateway zich niet in de basis-SKU bevindt, moet IKEV2 worden uitgeschakeld in de punt-naar-site-configuratie en moet SSTP worden geselecteerd.If the gateway isn't in the basic SKU, then IKEV2 must be disabled in the point-to-site configuration and SSTP must be selected. De punt-naar-site-adres ruimte moet in de RFC 1918-adres blokken 10.0.0.0/8, 172.16.0.0/12 en 192.168.0.0/16 staan.The point-to-site address space must be in the RFC 1918 address blocks 10.0.0.0/8, 172.16.0.0/12, and 192.168.0.0/16.

Als u de gateway maakt voor gebruik met App Service VNet-integratie, hoeft u geen certificaat te uploaden.If you create the gateway for use with App Service VNet Integration, you don't need to upload a certificate. Het maken van de gateway kan 30 minuten duren.Creating the gateway can take 30 minutes. U kunt uw app pas met uw VNet integreren nadat de gateway is ingericht.You won't be able to integrate your app with your VNet until the gateway is provisioned.

Hoe gateway-vereiste VNet-integratie werktHow gateway-required VNet Integration works

Gateway-vereiste VNet-integratie is gebouwd op basis van punt-naar-site-VPN-technologie.Gateway-required VNet Integration is built on top of point-to-site VPN technology. Punt-naar-site-Vpn's beperken netwerk toegang tot de virtuele machine die als host fungeert voor de app.Point-to-site VPNs limit network access to the virtual machine that hosts the app. Apps worden beperkt tot het verzenden van verkeer naar Internet via Hybride verbindingen of via VNet-integratie.Apps are restricted to send traffic out to the internet only through Hybrid Connections or through VNet Integration. Als uw app is geconfigureerd met de portal voor het gebruik van Gateway-vereiste VNet-integratie, wordt namens u een complexe onderhandeling beheerd om certificaten te maken en toe te wijzen aan de gateway en aan de kant van de toepassing.When your app is configured with the portal to use gateway-required VNet Integration, a complex negotiation is managed on your behalf to create and assign certificates on the gateway and the application side. Het resultaat is dat de werk nemers die worden gebruikt voor het hosten van uw apps, rechtstreeks verbinding kunnen maken met de virtuele netwerk gateway in het geselecteerde VNet.The result is that the workers used to host your apps are able to directly connect to the virtual network gateway in the selected VNet.

Hoe gateway-vereiste VNet-integratie werkt

Toegang tot on-premises resourcesAccess on-premises resources

Apps kunnen toegang krijgen tot on-premises resources door te integreren met VNets met site-naar-site-verbindingen.Apps can access on-premises resources by integrating with VNets that have site-to-site connections. Als u Gateway-vereiste VNet-integratie gebruikt, werkt u de on-premises VPN-gateway routes bij met uw punt-naar-site-adres blokken.If you use gateway-required VNet Integration, update your on-premises VPN gateway routes with your point-to-site address blocks. Wanneer de site-naar-site-VPN voor het eerst wordt ingesteld, moeten de scripts die worden gebruikt voor het configureren van de server routes op de juiste wijze instellen.When the site-to-site VPN is first set up, the scripts used to configure it should set up routes properly. Als u de punt-naar-site-adressen toevoegt nadat u uw site-naar-site-VPN hebt gemaakt, moet u de routes hand matig bijwerken.If you add the point-to-site addresses after you create your site-to-site VPN, you need to update the routes manually. Meer informatie over hoe u dit doet, verschilt per gateway en wordt hier niet beschreven.Details on how to do that vary per gateway and aren't described here. U kunt BGP niet configureren met een site-naar-site-VPN-verbinding.You can't have BGP configured with a site-to-site VPN connection.

Er is geen aanvullende configuratie vereist voor de functie Regional VNet-integratie voor het bereiken van uw VNet naar on-premises resources.No additional configuration is required for the regional VNet Integration feature to reach through your VNet to on-premises resources. U hoeft alleen maar uw VNet te verbinden met on-premises resources met behulp van ExpressRoute of een site-naar-site-VPN.You simply need to connect your VNet to on-premises resources by using ExpressRoute or a site-to-site VPN.

Notitie

De gateway vereiste VNet-integratie functie integreert geen app met een VNet met een ExpressRoute-gateway.The gateway-required VNet Integration feature doesn't integrate an app with a VNet that has an ExpressRoute gateway. Zelfs als de ExpressRoute-gateway in de modusvoor samen werking is geconfigureerd, werkt de VNet-integratie niet.Even if the ExpressRoute gateway is configured in coexistence mode, the VNet Integration doesn't work. Als u toegang nodig hebt tot bronnen via een ExpressRoute-verbinding, gebruikt u de functie voor regionale VNet-integratie of een app service Environment, die wordt uitgevoerd in uw VNet.If you need to access resources through an ExpressRoute connection, use the regional VNet Integration feature or an App Service Environment, which runs in your VNet.

PeeringPeering

Als u peering met de regionale VNet-integratie gebruikt, hoeft u geen aanvullende configuratie uit te voeren.If you use peering with the regional VNet Integration, you don't need to do any additional configuration.

Als u Gateway-vereiste VNet-integratie met peering gebruikt, moet u enkele extra items configureren.If you use gateway-required VNet Integration with peering, you need to configure a few additional items. Peering configureren voor gebruik met uw app:To configure peering to work with your app:

  1. Een peering-verbinding toevoegen op het VNet waarmee uw app verbinding maakt.Add a peering connection on the VNet your app connects to. Wanneer u de peering-verbinding toevoegt, schakelt u toegang tot virtueel netwerk toestaan in en selecteert u doorgestuurd verkeer toestaan en Gateway doorvoer toestaan.When you add the peering connection, enable Allow virtual network access and select Allow forwarded traffic and Allow gateway transit.
  2. Voeg een peering-verbinding toe op het VNet dat wordt gekoppeld aan het VNet waarmee u verbinding hebt.Add a peering connection on the VNet that's being peered to the VNet you're connected to. Wanneer u de peering-verbinding op het doel-VNet toevoegt, schakelt u toegang tot virtueel netwerk toestaan in en selecteert u doorgestuurd verkeer toestaan en externe gateways toestaan.When you add the peering connection on the destination VNet, enable Allow virtual network access and select Allow forwarded traffic and Allow remote gateways.
  3. Ga naar de app service plan > Network > VNet Integration UI in de portal.Go to the App Service plan > Networking > VNet Integration UI in the portal. Selecteer het VNet waarmee uw app verbinding maakt.Select the VNet your app connects to. Voeg onder de sectie route ring het adres bereik toe van het VNet dat is gekoppeld aan het VNet waarmee uw app is verbonden.Under the routing section, add the address range of the VNet that's peered with the VNet your app is connected to.

VNet-integratie beherenManage VNet Integration

Het verbinden en verbreken van de verbinding met een VNet bevindt zich op een app-niveau.Connecting and disconnecting with a VNet is at an app level. Bewerkingen die van invloed kunnen zijn op de VNet-integratie tussen meerdere apps, bevinden zich op het niveau van de App Service plan.Operations that can affect VNet Integration across multiple apps are at the App Service plan level. Vanuit de app > Network > VNet-integratie Portal kunt u meer informatie krijgen over uw VNet.From the app > Networking > VNet Integration portal, you can get details on your VNet. U kunt vergelijk bare gegevens bekijken op het niveau van de app service plan in het app service plan > Network > VNet Integration Portal.You can see similar information at the App Service plan level in the App Service plan > Networking > VNet Integration portal.

De enige bewerking die u kunt uitvoeren in de app-weer gave van uw VNet-integratie-exemplaar is het verbreken van de verbinding tussen uw app en het VNet waarmee momenteel verbinding is gemaakt.The only operation you can take in the app view of your VNet Integration instance is to disconnect your app from the VNet it's currently connected to. Als u uw app wilt loskoppelen van een VNet, selecteert u verbinding verbreken.To disconnect your app from a VNet, select Disconnect. Uw app wordt opnieuw gestart wanneer u de verbinding met een VNet verbreekt.Your app is restarted when you disconnect from a VNet. Als u de verbinding verbreekt, wordt uw VNet niet gewijzigd.Disconnecting doesn't change your VNet. Het subnet of de gateway wordt niet verwijderd.The subnet or gateway isn't removed. Als u uw VNet vervolgens wilt verwijderen, moet u eerst uw app loskoppelen van het VNet en de resources hierin verwijderen, zoals gateways.If you then want to delete your VNet, first disconnect your app from the VNet and delete the resources in it, such as gateways.

In de gebruikers interface van het App Service plan VNet-integratie ziet u alle VNet-integraties die worden gebruikt door de apps in uw App Service-abonnement.The App Service plan VNet Integration UI shows you all of the VNet integrations used by the apps in your App Service plan. Als u de details van elk VNet wilt bekijken, selecteert u het VNet waarin u bent geïnteresseerd.To see details on each VNet, select the VNet you're interested in. Er zijn twee acties die u hier kunt uitvoeren voor gateway-vereiste VNet-integratie:There are two actions you can perform here for gateway-required VNet Integration:

  • Netwerk synchroniseren: de bewerking netwerk synchroniseren wordt alleen gebruikt voor de gateway-afhankelijke VNet-integratie functie.Sync network: The sync network operation is used only for the gateway-dependent VNet Integration feature. Wanneer u een synchronisatie netwerk uitvoert, zorgt u ervoor dat uw certificaten en netwerk gegevens synchroon zijn. Als u de DNS van uw VNet toevoegt of wijzigt, moet u een synchronisatie netwerk bewerking uitvoeren.Performing a sync network operation ensures that your certificates and network information are in sync. If you add or change the DNS of your VNet, perform a sync network operation. Met deze bewerking worden alle apps die gebruikmaken van dit VNet, opnieuw gestart.This operation restarts any apps that use this VNet. Deze bewerking werkt niet als u een app en een vnet gebruikt dat deel uitmaakt van verschillende abonnementen.This operation will not work if you are using an app and a vnet belonging to different subscriptions.
  • Routes toevoegen: door routes toe te voegen, wordt uitgaand verkeer naar uw VNet gestuurd.Add routes: Adding routes drives outbound traffic into your VNet.

Het privé-IP-adres dat is toegewezen aan het exemplaar, wordt weer gegeven via de omgevings variabele, WEBSITE_PRIVATE_IP.The private IP assigned to the instance is exposed via the environment variable, WEBSITE_PRIVATE_IP. De gebruikers interface van de kudu-console toont ook de lijst met omgevings variabelen die beschikbaar zijn voor de web-app.Kudu console UI also shows the list of environment variables available to the Web App. Dit IP-adres wordt toegewezen vanuit het adressen bereik van het geïntegreerde subnet.This IP is assigned from the address range of the integrated subnet. Voor regionale VNet-integratie is de waarde van WEBSITE_PRIVATE_IP een IP-adres van het bereik van het overgedragen subnet en voor de gateway vereiste VNet-integratie is de waarde een IP-adres van het bereik van de punt-naar-site-adressen groep die is geconfigureerd op de Virtual Network gateway.For Regional VNet Integration, the value of WEBSITE_PRIVATE_IP is an IP from the address range of the delegated subnet, and for Gateway-required VNet Integration, the value is an IP from the adress range of the Point-to-site address pool configured on the Virtual Network Gateway. Dit is het IP-adres dat door de web-app wordt gebruikt om via de Virtual Network verbinding te maken met de resources.This is the IP that will be used by the Web App to connect to the resources through the Virtual Network.

Notitie

De waarde van WEBSITE_PRIVATE_IP is gebonden aan de wijziging.The value of WEBSITE_PRIVATE_IP is bound to change. Het is echter een IP binnen het adres bereik van het subnet Integration of het punt-naar-site-adres bereik, zodat u toegang tot het hele adres bereik moet toestaan.However, it will be an IP within the address range of the integration subnet or the point-to-site address range, so you will need to allow access from the entire address range.

Gateway-vereiste VNet-integratie routeringGateway-required VNet Integration routing

De routes die in uw VNet zijn gedefinieerd, worden gebruikt voor het omleiden van verkeer naar uw VNet vanuit uw app.The routes that are defined in your VNet are used to direct traffic into your VNet from your app. Als u extra uitgaand verkeer naar het VNet wilt verzenden, voegt u deze adres blokken hier toe.To send additional outbound traffic into the VNet, add those address blocks here. Deze functie werkt alleen met Gateway-vereiste VNet-integratie.This capability only works with gateway-required VNet Integration. Route tabellen hebben geen invloed op uw app-verkeer wanneer u Gateway-vereiste VNet-integratie gebruikt op de manier die met regionale VNet-integratie.Route tables don't affect your app traffic when you use gateway-required VNet Integration the way that they do with regional VNet Integration.

Gateway-vereiste VNet-integratie certificatenGateway-required VNet Integration certificates

Als gateway-vereiste VNet-integratie is ingeschakeld, is er een vereiste uitwisseling van certificaten vereist om de beveiliging van de verbinding te garanderen.When gateway-required VNet Integration is enabled, there's a required exchange of certificates to ensure the security of the connection. Naast de certificaten zijn de DNS-configuratie, routes en andere vergelijk bare dingen die het netwerk beschrijven.Along with the certificates are the DNS configuration, routes, and other similar things that describe the network.

Als certificaten of netwerk gegevens zijn gewijzigd, selecteert u netwerk synchroniseren.If certificates or network information is changed, select Sync Network. Wanneer u netwerk synchroniseren selecteert, zorgt u voor een korte onderbreking in de connectiviteit tussen uw app en uw VNet.When you select Sync Network, you cause a brief outage in connectivity between your app and your VNet. Als uw app niet opnieuw wordt gestart, kan het verlies van de connectiviteit ertoe leiden dat uw site niet goed werkt.While your app isn't restarted, the loss of connectivity could cause your site to not function properly.

PrijsdetailsPricing details

De regionale VNet-integratie functie heeft geen extra kosten voor gebruik buiten de kosten categorie van het App Service plan.The regional VNet Integration feature has no additional charge for use beyond the App Service plan pricing tier charges.

Drie kosten zijn gerelateerd aan het gebruik van de gateway vereiste VNet-integratie functie:Three charges are related to the use of the gateway-required VNet Integration feature:

  • Kosten categorie prijzen app service plannen: uw apps moeten een Standard-, Premium-, PremiumV2-of app service PremiumV3-abonnement hebben.App Service plan pricing tier charges: Your apps need to be in a Standard, Premium, PremiumV2, or PremiumV3 App Service plan. Zie voor meer informatie over deze kosten app service prijzen.For more information on those costs, see App Service pricing.
  • Kosten voor gegevens overdracht: er zijn kosten verbonden aan het afrekenen van gegevens, zelfs als het VNet zich in hetzelfde Data Center bevindt.Data transfer costs: There's a charge for data egress, even if the VNet is in the same datacenter. Deze kosten worden beschreven in gegevensoverdracht prijs informatie.Those charges are described in Data Transfer pricing details.
  • Kosten voor VPN-gateway: er zijn kosten verbonden aan de virtuele netwerk gateway die is vereist voor het punt-naar-site-VPN.VPN gateway costs: There's a cost to the virtual network gateway that's required for the point-to-site VPN. Zie prijzen van VPN gatewayvoor meer informatie.For more information, see VPN gateway pricing.

Problemen oplossenTroubleshooting

Notitie

VNET-integratie wordt niet ondersteund voor docker-scenario's in App Service.VNET integration is not supported for Docker Compose scenarios in App Service. Azure Functions toegangs beperkingen worden genegeerd als er een persoonlijk eind punt aanwezig is.Azure Functions Access Restrictions are ignored if their is a private endpoint present.

De functie is eenvoudig in te stellen, maar dit betekent niet dat uw ervaring geen probleem is.The feature is easy to set up, but that doesn't mean your experience will be problem free. Als u problemen ondervindt met het verkrijgen van toegang tot uw gewenste eind punt, kunt u een aantal hulpprogram ma's gebruiken om de connectiviteit vanuit de app-console te testen.If you encounter problems accessing your desired endpoint, there are some utilities you can use to test connectivity from the app console. Er zijn twee consoles die u kunt gebruiken.There are two consoles that you can use. De ene is de kudu-console en de andere is de console in de Azure Portal.One is the Kudu console, and the other is the console in the Azure portal. Als u de kudu-console wilt bereiken vanuit uw app, gaat u naar hulpprogram ma's > kudu.To reach the Kudu console from your app, go to Tools > Kudu. U kunt de Kudo-console ook bereiken op [site naam]. scm. azurewebsites. net.You can also reach the Kudo console at [sitename].scm.azurewebsites.net. Nadat de website is geladen, gaat u naar het tabblad debug console . Als u vanuit uw app naar de door Azure Portal gehoste console wilt gaan, gaat u naar de console hulpprogram ma's > Console.After the website loads, go to the Debug console tab. To get to the Azure portal-hosted console from your app, go to Tools > Console.

Hulpprogramma'sTools

In systeem eigen Windows-apps werken de hulpprogram ma's ping, nslookup en tracert niet via de-console vanwege beveiligings beperkingen (ze werken in aangepaste Windows-containers).In native Windows apps, the tools ping, nslookup, and tracert won't work through the console because of security constraints (they work in custom Windows containers). Als u de void wilt vullen, worden er twee afzonderlijke hulpprogram ma's toegevoegd.To fill the void, two separate tools are added. We hebben een hulp programma toegevoegd met de naam nameresolver.exe om de DNS-functionaliteit te testen.To test DNS functionality, we added a tool named nameresolver.exe. De syntaxis is:The syntax is:

nameresolver.exe hostname [optional: DNS Server]

U kunt nameresolver gebruiken om de hostnamen te controleren waarvan uw app afhankelijk is.You can use nameresolver to check the hostnames that your app depends on. Op deze manier kunt u testen of er iets mis is met uw DNS of dat u mogelijk geen toegang hebt tot uw DNS-server.This way you can test if you have anything misconfigured with your DNS or perhaps don't have access to your DNS server. U kunt de DNS-server zien die uw app gebruikt in de-console door te kijken naar de omgevings variabelen WEBSITE_DNS_SERVER en WEBSITE_DNS_ALT_SERVER.You can see the DNS server that your app uses in the console by looking at the environmental variables WEBSITE_DNS_SERVER and WEBSITE_DNS_ALT_SERVER.

Notitie

nameresolver.exe werkt momenteel niet in aangepaste Windows-containers.nameresolver.exe currently doesn't work in custom Windows containers.

U kunt het volgende hulp programma gebruiken om te testen op TCP-connectiviteit met een combi natie van host en poort.You can use the next tool to test for TCP connectivity to a host and port combination. Dit hulp programma heet tcpping en de syntaxis is:This tool is called tcpping and the syntax is:

tcpping.exe hostname [optional: port]

Het tcpping -hulp programma vertelt u of u een specifieke host en poort kunt bereiken.The tcpping utility tells you if you can reach a specific host and port. Het kan alleen succes weer geven als er een toepassing luistert op de combi natie van host en poort en er is netwerk toegang vanuit uw app naar de opgegeven host en poort.It can show success only if there's an application listening at the host and port combination, and there's network access from your app to the specified host and port.

Fout opsporing van toegang tot door virtueel netwerk gehoste resourcesDebug access to virtual network-hosted resources

Een aantal dingen kan verhinderen dat uw app een specifieke host en poort bereikt.A number of things can prevent your app from reaching a specific host and port. In de meeste gevallen is het een van de volgende dingen:Most of the time it's one of these things:

  • Een firewall is in de weg.A firewall is in the way. Als u een firewall op de gewenste manier hebt, bereikt u de TCP-time-out.If you have a firewall in the way, you hit the TCP timeout. In dit geval is de TCP-time-out 21 seconden.The TCP timeout is 21 seconds in this case. Gebruik het hulp programma tcpping om de connectiviteit te testen.Use the tcpping tool to test connectivity. TCP-time-outs kunnen worden veroorzaakt door veel meer dan firewalls, maar u kunt hier beginnen.TCP timeouts can be caused by many things beyond firewalls, but start there.
  • DNS is niet toegankelijk.DNS isn't accessible. De DNS-time-out is 3 seconden per DNS-server.The DNS timeout is 3 seconds per DNS server. Als u twee DNS-servers hebt, is de time-out 6 seconden.If you have two DNS servers, the timeout is 6 seconds. Gebruik nameresolver om te controleren of DNS werkt.Use nameresolver to see if DNS is working. U kunt nslookup niet gebruiken, omdat dat geen gebruik maakt van de DNS waarvoor uw virtuele netwerk is geconfigureerd.You can't use nslookup, because that doesn't use the DNS your virtual network is configured with. Als dat niet mogelijk is, kunt u een firewall hebben of NSG de toegang tot DNS blok keren of kan deze worden uitgeschakeld.If inaccessible, you could have a firewall or NSG blocking access to DNS or it could be down.

Als dat niet het geval is, zoekt u eerst naar zaken als:If those items don't answer your problems, look first for things like:

Regionale VNet-integratieRegional VNet Integration

  • Is uw doel een niet-RFC1918-adres en hebt u geen WEBSITE_VNET_ROUTE_ALL ingesteld op 1?Is your destination a non-RFC1918 address and you don't have WEBSITE_VNET_ROUTE_ALL set to 1?
  • Is er een NSG die uitkomend verkeer van uw integratie subnet blokkeert?Is there an NSG blocking egress from your integration subnet?
  • Als u over Azure ExpressRoute of een VPN gaat, is uw on-premises gateway geconfigureerd voor het routeren van verkeer naar Azure?If you're going across Azure ExpressRoute or a VPN, is your on-premises gateway configured to route traffic back up to Azure? Als u eind punten in uw virtuele netwerk, maar niet on-premises, kunt bereiken, controleert u uw routes.If you can reach endpoints in your virtual network but not on-premises, check your routes.
  • Hebt u voldoende machtigingen voor het instellen van delegering op het subnet met integratie?Do you have enough permissions to set delegation on the integration subnet? Tijdens de configuratie van de regionale VNet-integratie wordt het integratie-subnet overgedragen aan micro soft. web-server farms.During regional VNet Integration configuration, your integration subnet is delegated to Microsoft.Web/serverFarms. De VNet-integratie GEBRUIKERSINTERFACE delegeert het subnet automatisch naar micro soft. web-server farms.The VNet Integration UI delegates the subnet to Microsoft.Web/serverFarms automatically. Als uw account niet voldoende netwerk machtigingen heeft om de overdracht in te stellen, moet u iemand die kenmerken kan instellen op het subnet voor integratie om het subnet te delegeren.If your account doesn't have sufficient networking permissions to set delegation, you'll need someone who can set attributes on your integration subnet to delegate the subnet. Als u het subnet met integratie hand matig wilt overdragen, gaat u naar de gebruikers interface van het Azure Virtual Network-subnet en stelt u de overdracht in voor micro soft. web-server farms.To manually delegate the integration subnet, go to the Azure Virtual Network subnet UI and set the delegation for Microsoft.Web/serverFarms.

Gateway-vereiste VNet-integratieGateway-required VNet Integration

  • Is het punt-naar-site-adres bereik in de RFC 1918-bereiken (10.0.0.0-10.255.255.255/172.16.0.0-172.31.255.255/192.168.0.0-192.168.255.255)?Is the point-to-site address range in the RFC 1918 ranges (10.0.0.0-10.255.255.255 / 172.16.0.0-172.31.255.255 / 192.168.0.0-192.168.255.255)?
  • Wordt de gateway in de portal weer gegeven?Does the gateway show as being up in the portal? Als uw gateway niet beschikbaar is, zet u deze terug.If your gateway is down, then bring it back up.
  • Worden certificaten weer gegeven als gesynchroniseerd, of vermoedt u dat de netwerk configuratie is gewijzigd?Do certificates show as being in sync, or do you suspect that the network configuration was changed? Als uw certificaten niet zijn gesynchroniseerd of als u vermoedt dat er een wijziging is aangebracht in de configuratie van uw virtuele netwerk die niet is gesynchroniseerd met uw ASPs, selecteert u netwerk synchroniseren.If your certificates are out of sync or you suspect that a change was made to your virtual network configuration that wasn't synced with your ASPs, select Sync Network.
  • Als u een VPN-verbinding wilt maken, is de on-premises gateway die is geconfigureerd voor het routeren van verkeer naar Azure?If you're going across a VPN, is the on-premises gateway configured to route traffic back up to Azure? Als u eind punten in uw virtuele netwerk, maar niet on-premises, kunt bereiken, controleert u uw routes.If you can reach endpoints in your virtual network but not on-premises, check your routes.
  • Probeert u een gateway voor samen werking te gebruiken die beide Point-to-site-en ExpressRoute ondersteunt?Are you trying to use a coexistence gateway that supports both point to site and ExpressRoute? Gateways voor samen werking worden niet ondersteund met VNet-integratie.Coexistence gateways aren't supported with VNet Integration.

Fout opsporing in netwerk problemen is een uitdaging omdat u niet kunt zien wat de toegang tot een specifieke host blokkeert: poort combinatie.Debugging networking issues is a challenge because you can't see what's blocking access to a specific host:port combination. Enkele oorzaken zijn:Some causes include:

  • U hebt een firewall op uw host die de toegang tot de toepassings poort van uw punt-naar-site-IP-bereik voor komt.You have a firewall up on your host that prevents access to the application port from your point-to-site IP range. Voor kruisende subnetten is vaak open bare toegang vereist.Crossing subnets often requires public access.
  • De doelhost is niet beschikbaar.Your target host is down.
  • Uw toepassing is niet beschikbaar.Your application is down.
  • U had een onjuist IP-adres of hostnaam.You had the wrong IP or hostname.
  • Uw toepassing luistert op een andere poort dan verwacht.Your application is listening on a different port than what you expected. U kunt uw proces-ID met de luister poort overeenkomen met ' netstat-Aon ' op de host van het eind punt.You can match your process ID with the listening port by using "netstat -aon" on the endpoint host.
  • Uw netwerk beveiligings groepen worden zodanig geconfigureerd dat de toegang tot uw toepassingshost en poort van uw punt-naar-site-IP-bereik wordt voor komen.Your network security groups are configured in such a manner that they prevent access to your application host and port from your point-to-site IP range.

U weet niet welk adres uw app daad werkelijk gebruikt.You don't know what address your app actually uses. Dit kan elk adres zijn in het integratie subnet of het adres bereik van punt-naar-site. u moet dus toegang tot het hele adres bereik toestaan.It could be any address in the integration subnet or point-to-site address range, so you need to allow access from the entire address range.

Aanvullende stappen voor fout opsporing zijn onder andere:Additional debug steps include:

  • Maak verbinding met een VM in uw virtuele netwerk en probeer uw bronhost: poort te bereiken.Connect to a VM in your virtual network and attempt to reach your resource host:port from there. Als u wilt testen op TCP-toegang, gebruikt u de Power shell -opdracht test-NetConnection.To test for TCP access, use the PowerShell command test-netconnection. De syntaxis is:The syntax is:
test-netconnection hostname [optional: -Port]
  • Een toepassing op een virtuele machine weer geven en de toegang tot die host en poort testen vanuit de-console vanuit uw app met behulp van tcpping.Bring up an application on a VM and test access to that host and port from the console from your app by using tcpping.

On-premises resourcesOn-premises resources

Als uw app een on-premises resource niet kan bereiken, controleert u of u de bron kunt bereiken vanuit uw virtuele netwerk.If your app can't reach a resource on-premises, check if you can reach the resource from your virtual network. Gebruik de Power shell -opdracht test-NetConnection om te controleren op TCP-toegang.Use the test-netconnection PowerShell command to check for TCP access. Als uw virtuele machine uw on-premises resource niet kan bereiken, is uw VPN-of ExpressRoute-verbinding mogelijk niet juist geconfigureerd.If your VM can't reach your on-premises resource, your VPN or ExpressRoute connection might not be configured properly.

Als uw virtuele netwerk-gehoste VM uw on-premises systeem kan bereiken, maar uw app niet kan, kan dit een van de volgende oorzaken hebben:If your virtual network-hosted VM can reach your on-premises system but your app can't, the cause is likely one of the following reasons:

  • Uw routes zijn niet geconfigureerd met uw subnet-of punt-naar-site-adresbereiken in uw on-premises gateway.Your routes aren't configured with your subnet or point-to-site address ranges in your on-premises gateway.
  • Uw netwerk beveiligings groepen blok keren de toegang tot uw punt-naar-site-IP-bereik.Your network security groups are blocking access for your point-to-site IP range.
  • Uw on-premises firewalls blok keren verkeer van uw punt-naar-site-IP-bereik.Your on-premises firewalls are blocking traffic from your point-to-site IP range.
  • U probeert een niet-RFC 1918-adres te bereiken met behulp van de functie voor regionale VNet-integratie.You're trying to reach a non-RFC 1918 address by using the regional VNet Integration feature.

AutomationAutomation

CLI-ondersteuning is beschikbaar voor regionale VNet-integratie.CLI support is available for regional VNet Integration. Installeer de Azure cliom toegang te krijgen tot de volgende opdrachten.To access the following commands, install the Azure CLI.

az webapp vnet-integration --help

Group
    az webapp vnet-integration : Methods that list, add, and remove virtual network
    integrations from a webapp.
        This command group is in preview. It may be changed/removed in a future release.
Commands:
    add    : Add a regional virtual network integration to a webapp.
    list   : List the virtual network integrations on a webapp.
    remove : Remove a regional virtual network integration from webapp.

az appservice vnet-integration --help

Group
    az appservice vnet-integration : A method that lists the virtual network
    integrations used in an appservice plan.
        This command group is in preview. It may be changed/removed in a future release.
Commands:
    list : List the virtual network integrations used in an appservice plan.

De Power Shell-ondersteuning voor de regionale VNet-integratie is ook beschikbaar, maar u moet een algemene resource maken met een eigenschaps matrix van het subnet resourceIDPowerShell support for regional VNet integration is available too, but you must create generic resource with a property array of the subnet resourceID

# Parameters
$sitename = 'myWebApp'
$resourcegroupname = 'myRG'
$VNetname = 'myVNet'
$location = 'myRegion'
$integrationsubnetname = 'myIntegrationSubnet'
$subscriptionID = 'aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee'

#Property array with the SubnetID
$properties = @{
  subnetResourceId = "/subscriptions/$subscriptionID/resourceGroups/$resourcegroupname/providers/Microsoft.Network/virtualNetworks/$VNetname/subnets/$integrationsubnetname"
}

#Creation of the VNet integration
$vNetParams = @{
  ResourceName = "$sitename/VirtualNetwork"
  Location = $location
  ResourceGroupName = $resourcegroupname
  ResourceType = 'Microsoft.Web/sites/networkConfig'
  PropertyObject = $properties
}
New-AzResource @vNetParams

Voor gateway-vereiste VNet-integratie kunt u App Service integreren met een virtueel Azure-netwerk met behulp van Power shell.For gateway-required VNet Integration, you can integrate App Service with an Azure virtual network by using PowerShell. Zie een app in azure app service verbinden met een virtueel Azure-netwerkvoor een kant-en-klaar script.For a ready-to-run script, see Connect an app in Azure App Service to an Azure virtual network.