Tworzenie i używanie wewnętrznego środowiska App Service Environment modułu równoważenia obciążenia

Ważne

Ten artykuł dotyczy środowiska App Service Environment w wersji 2, który jest używany z planami izolowanej usługi App Service. Środowisko App Service Environment w wersji 2 zostanie wycofane 31 sierpnia 2024 r. Jest dostępna nowa wersja środowiska App Service Environment, która jest łatwiejsza do użycia i działa w bardziej wydajnej infrastrukturze. Aby dowiedzieć się więcej o nowej wersji, zacznij od wprowadzenia do środowiska App Service Environment. Jeśli obecnie używasz środowiska App Service Environment w wersji 2, wykonaj kroki opisane w tym artykule , aby przeprowadzić migrację do nowej wersji.

Od 29 stycznia 2024 r. nie można już tworzyć nowych zasobów środowiska App Service Environment w wersji 2 przy użyciu dowolnej z dostępnych metod, w tym szablonów usługi ARM/Bicep, witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST. Aby zapobiec usunięciu zasobów i utracie danych, musisz przeprowadzić migrację do środowiska App Service Environment w wersji 3 przed 31 sierpnia 2024 r.

Środowisko usługi aplikacja systemu Azure to wdrożenie usługi aplikacja systemu Azure w podsieci w sieci wirtualnej platformy Azure. Istnieją dwa sposoby wdrażania środowiska App Service Environment (ASE):

  • Z wirtualnym adresem IP będącym zewnętrznym adresem IP — jest to często nazywane zewnętrznym środowiskiem ASE.
  • Z wirtualnym adresem IP będącym wewnętrznym adresem IP — jest to często nazywane środowiskiem ASE z wewnętrznym modułem równoważenia obciążenia, ponieważ wewnętrzny punkt końcowy jest wewnętrznym modułem równoważenia obciążenia (ILB, Internal Load Balancer).

W tym artykule przedstawiono sposób tworzenia środowiska ASE z wewnętrznym modułem równoważenia obciążenia. Omówienie środowiska ASE podano w temacie Wprowadzenie do środowisk App Service Environment. Aby dowiedzieć się, jak utworzyć zewnętrzne środowisko ASE, zobacz Create an External ASE (Tworzenie zewnętrznego środowiska ASE).

Omówienie

Środowisko ASE można wdrożyć za pomocą punktu końcowego dostępnego z Internetu lub adresu IP w sieci wirtualnej. Aby można było ustawić jako adres IP adres sieci wirtualnej, należy wdrożyć środowisko ASE z wewnętrznym modułem równoważenia obciążenia. Podczas wdrażania środowiska ASE z wewnętrznym modułem równoważenia obciążenia należy podać nazwę środowiska ASE. Nazwa środowiska ASE jest używana w sufiksie domeny dla aplikacji w środowisku ASE. Sufiks domeny środowiska ASE z wewnętrznym modułem równoważenia obciążenia to <nazwa> środowiska ASE.appserviceenvironment.net. Aplikacje tworzone w środowisku ASE z wewnętrznym modułem równoważenia obciążenia nie są umieszczane w publicznym systemie DNS.

Wcześniejsze wersje środowiska ASE z wewnętrznym modułem równoważenia obciążenia wymagały podania sufiksu domeny i domyślnego certyfikatu dla połączeń HTTPS. Sufiks domeny nie jest już zbierany podczas tworzenia środowiska ASE z wewnętrznym modułem równoważenia obciążenia i nie jest już zbierany certyfikat domyślny. Po utworzeniu środowiska ASE z wewnętrznym modułem równoważenia obciążenia domyślny certyfikat jest udostępniany przez firmę Microsoft i jest zaufany przez przeglądarkę. Nadal możesz ustawiać niestandardowe nazwy domen w aplikacjach w środowisku ASE i ustawiać certyfikaty dla tych niestandardowych nazw domen.

W przypadku środowiska ASE z wewnętrznym modułem równoważenia obciążenia można wykonywać takie czynności jak:

  • Bezpieczne hostowanie aplikacji intranetowych w chmurze, do których uzyskuje się dostęp za pośrednictwem połączenia typu lokacja-lokacja lub usługi ExpressRoute.
  • Ochrona aplikacji za pomocą urządzenia zapory aplikacji internetowej
  • Hostowanie w chmurze aplikacji, które nie są wymienione na publicznych serwerach DNS.
  • Tworzenie odizolowanych od Internetu aplikacji zaplecza, z którymi można bezpiecznie integrować aplikacje frontonu.

Funkcje wyłączone

Pewnych zadań nie można realizować w przypadku używania środowiska ASE z wewnętrznym modułem równoważenia obciążenia:

  • Użyj powiązania TLS/SSL opartego na protokole IP.
  • Przypisywanie adresów IP do określonych aplikacji.
  • Kupowanie i używanie certyfikatu za pomocą aplikacji za pośrednictwem witryny Azure Portal. Certyfikaty można uzyskiwać bezpośrednio od urzędu certyfikacji i używać ich z aplikacjami. Nie można ich uzyskiwać za pośrednictwem witryny Azure Portal.

Tworzenie środowiska ASE z wewnętrznym modułem równoważenia obciążenia

Aby utworzyć środowisko ASE z wewnętrznym modułem równoważenia obciążenia:

  1. W witrynie Azure Portal wybierz pozycję Utwórz zasób>Internet>App Service Environment.

  2. Wybierz subskrypcję.

  3. Wybierz lub utwórz grupę zasobów.

  4. Wprowadź nazwę środowiska App Service Environment.

  5. Wybierz typ wirtualnego adresu IP wewnętrznego.

    ASE creation

Uwaga

Nazwa środowiska App Service Environment nie może zawierać więcej niż 36 znaków.

  1. Wybierz pozycję Sieć.

  2. Wybierz lub utwórz sieć wirtualną. Jeśli utworzysz w tym miejscu nową sieć wirtualną, zostanie ona zdefiniowana z zakresem adresów 192.168.250.0/23. Aby utworzyć sieć wirtualną z innym zakresem adresów lub w innej grupie zasobów niż środowisko ASE, użyj portalu tworzenia usługi Azure Virtual Network.

  3. Wybierz lub utwórz pustą podsieć. Jeśli chcesz wybrać podsieć, musi być pusta i nie delegowana. Nie można zmienić rozmiaru podsieci po utworzeniu środowiska ASE. Zalecamy rozmiar /24, który zapewnia 256 adresów i może obsłużyć środowiska ASE o maksymalnym rozmiarze i dowolnych potrzebach dotyczących skalowania.

    ASE networking

  4. Wybierz pozycję Przejrzyj, a następnie wybierz pozycję Utwórz.

Tworzenie aplikacji w środowisku ASE z wewnętrznym modułem równoważenia obciążenia

Aplikację w środowisku ASE z wewnętrznym modułem równoważenia obciążenia tworzy się tak samo jak w normalnym środowisku ASE.

  1. W witrynie Azure Portal wybierz pozycję Utwórz zasób>Web>App.

  2. Wprowadź nazwę aplikacji.

  3. Wybierz subskrypcję.

  4. Wybierz lub utwórz grupę zasobów.

  5. Wybierz stos publikowania, środowiska uruchomieniowego i systemu operacyjnego.

  6. Wybierz lokalizację, w której znajduje się istniejące środowiska ASE z wewnętrznym modułem równoważenia obciążenia. Możesz również utworzyć nowe środowisko ASE podczas tworzenia aplikacji, wybierając plan izolowanej usługi App Service. Jeśli chcesz utworzyć nowe środowisko ASE, wybierz region, w którym ma zostać utworzone środowisko ASE.

  7. Wybierz lub utwórz plan usługi App Service.

  8. Wybierz pozycję Przejrzyj, a następnie wybierz pozycję Utwórz, gdy wszystko będzie gotowe.

Zadania Web Job, usługa Functions i środowisko ASE z wewnętrznym modułem równoważenia obciążenia

W środowisku ASE z wewnętrznym modułem równoważenia obciążenia jest obsługiwana zarówno usługa Functions, jak i zadania Web Job, ale aby portal z nimi współdziałał, musisz mieć dostęp do witryny SCM. Oznacza to, że przeglądarka musi działać na hoście, który albo znajduje się w sieci wirtualnej, albo jest z nią połączony. Jeśli środowisko ASE z wewnętrznym modułem równoważenia obciążenia ma nazwę domeny, która nie kończy się ciągiem appserviceenvironment.net, musisz sprawić, aby Twoja przeglądarka ufała certyfikatowi HTTPS używanemu przez witrynę SCM.

Konfiguracja DNS

W przypadku korzystania z zewnętrznego środowiska ASE aplikacje utworzone w środowisku ASE są rejestrowane w usłudze Azure DNS. Nie ma żadnych dodatkowych kroków, a następnie w zewnętrznym środowisku ASE, aby aplikacje były publicznie dostępne. W środowisku ASE z wewnętrznym modułem równoważenia obciążenia musisz zarządzać własną usługą DNS. Można to zrobić na własnym serwerze DNS lub w strefach prywatnych usługi Azure DNS.

Aby skonfigurować usługę DNS na własnym serwerze DNS przy użyciu środowiska ASE wewnętrznego modułu równoważenia obciążenia:

  1. tworzenie strefy dla <nazwy> środowiska ASE.appserviceenvironment.net
  2. utwórz rekord A w tej strefie, który wskazuje * na adres IP modułu równoważenia obciążenia
  3. utwórz rekord A w tej strefie, który wskazuje znak @ na adres IP wewnętrznym modułu równoważenia obciążenia
  4. utwórz strefę w <nazwie> środowiska ASE.appserviceenvironment.net o nazwie scm
  5. utwórz rekord A w strefie scm, który wskazuje * na adres IP modułu równoważenia obciążenia

Aby skonfigurować usługę DNS w strefach prywatnych usługi Azure DNS:

  1. tworzenie strefy prywatnej usługi Azure DNS o nazwie <NAZWA> ŚRODOWISKA ASE.appserviceenvironment.net
  2. utwórz rekord A w tej strefie, który wskazuje * na adres IP modułu równoważenia obciążenia
  3. utwórz rekord A w tej strefie, który wskazuje znak @ na adres IP wewnętrznym modułu równoważenia obciążenia
  4. utwórz rekord A w tej strefie, który wskazuje *.scm na adres IP modułu równoważenia obciążenia

Ustawienia DNS dla domyślnego sufiksu domeny środowiska ASE nie ograniczają aplikacji do dostępu tylko przez te nazwy. Możesz ustawić niestandardową nazwę domeny bez sprawdzania poprawności aplikacji w środowisku ASE z wewnętrznym modułem równoważenia obciążenia. Jeśli chcesz utworzyć strefę o nazwie contoso.net, możesz to zrobić i wskazać adres IP modułu równoważenia obciążenia. Nazwa domeny niestandardowej działa dla żądań aplikacji, ale nie dotyczy witryny scm. Witryna scm jest dostępna tylko pod <adresem appname.scm>.<asename.appserviceenvironment.net>.

Strefa o nazwie .<asename.appserviceenvironment.net> jest globalnie unikatowy. Przed majem 2019 r. klienci mogli określić sufiks domeny środowiska ASE z wewnętrznym modułem równoważenia obciążenia. Jeśli chcesz użyć pliku .contoso.com dla sufiksu domeny, można to zrobić i będzie to obejmować witrynę scm. Wystąpiły wyzwania związane z tym modelem, w tym; zarządzanie domyślnym certyfikatem TLS/SSL, brak logowania jednokrotnego w witrynie scm oraz wymaganie użycia certyfikatu wieloznacznych. Domyślny proces uaktualniania certyfikatu środowiska ASE z wewnętrznym modułem równoważenia obciążenia był również zakłócany i spowodował ponowne uruchomienie aplikacji. Aby rozwiązać te problemy, zachowanie środowiska ASE z wewnętrznym modułem równoważenia obciążenia zostało zmienione w celu użycia sufiksu domeny na podstawie nazwy środowiska ASE i sufiksu należącego do firmy Microsoft. Zmiana zachowania środowiska ASE z wewnętrznym modułem równoważenia obciążenia dotyczy tylko środowisk ASE z wewnętrznym modułem równoważenia obciążenia po maju 2019 r. Istniejące środowiska ASE wewnętrznego modułu równoważenia obciążenia muszą nadal zarządzać certyfikatem domyślnym środowiska ASE i ich konfiguracją DNS.

Publikowanie za pomocą środowiska ASE z wewnętrznym modułem równoważenia obciążenia

Dla każdej tworzonej aplikacji istnieją dwa punkty końcowe. W środowisku ASE z wewnętrznym modułem równoważenia obciążenia masz <nazwę> aplikacji.<Domena> i <nazwa> aplikacji środowiska ASE z wewnętrznym modułem równoważenia obciążenia.scm.<Domena> środowiska ASE z wewnętrznym modułem równoważenia obciążenia.

Nazwa witryny SCM umożliwia przejście do konsoli Kudu, nazywanej portalem zaawansowanym, w witrynie Azure Portal. Konsola Kudu umożliwia między innymi wyświetlanie zmiennych środowiskowych, eksplorowanie dysku i używanie konsoli. Aby uzyskać więcej informacji, zobacz Kudu console for Azure App Service (Konsola Kudu dla usługi Azure App Service).

Internetowe systemy ciągłej integracji, takie jak usługi GitHub i Azure DevOps, będą nadal działać ze środowiskiem ASE z wewnętrznym modułem równoważenia obciążenia, jeśli agent kompilacji jest dostępny w Internecie i w tej samej sieci co to środowisko. Dlatego w przypadku usługi Azure DevOps, jeśli agent kompilacji został utworzony w tej samej sieci wirtualnej co środowisko ASE z wewnętrznym modułem równoważenia obciążenia (być może w innej podsieci), to będzie mógł ściągnąć kod z usługi Git Azure DevOps i wdrożyć go w tym środowisku. Jeśli nie chcesz tworzyć własnego agenta kompilacji, musisz użyć systemu ciągłej integracji wykorzystującego model ściągania, takiego jak Dropbox.

Punkty końcowe publikowania dla aplikacji w środowisku ASE z wewnętrznym modułem równoważenia obciążenia używają domeny, za pomocą której utworzono to środowisko. Ta domena jest wyświetlana w profilu publikowania aplikacji i w bloku portalu aplikacji (Przegląd>Podstawy oraz Właściwości). Jeśli masz środowisko ASE z wewnętrznym modułem równoważenia obciążenia z sufiksem domeny ASE name.appserviceenvironment.net> i aplikacją o nazwie mytest, użyj mytest.<<Nazwa> środowiska ASE.appserviceenvironment.net dla protokołu FTP i mytest.scm.contoso.net wdrożenia msDeploy.

Konfigurowanie środowiska ASE z wewnętrznym modułem równoważenia obciążenia przy użyciu urządzenia zapory aplikacji internetowej

Możesz połączyć urządzenie zapory aplikacji internetowej (WAF) ze swoim środowiskom ASE z wewnętrznym modułem równoważenia obciążenia, aby uwidocznić tylko aplikacje, które chcesz połączyć z Internetem, i zachować pozostały dostęp tylko z sieci wirtualnej. Umożliwia to między innymi tworzenie bezpiecznych aplikacji wielowarstwowych.

Aby dowiedzieć się więcej na temat sposobu konfigurowania używania środowiska ASE z wewnętrznym modułem równoważenia obciążenia z urządzeniem zapory aplikacji internetowych, zobacz Configure a web application firewall with your App Service environment (Konfigurowanie zapory aplikacji internetowych dla środowiska App Service Environment). W tym artykule wyjaśniono, jak używać urządzenia wirtualnego Barracuda ze środowiskiem ASE. Innym rozwiązaniem jest używanie usługi Azure Application Gateway. Usługa Application Gateway zabezpiecza wszelkie umieszczone za nią aplikacje za pomocą reguł podstawowych OWASP. Aby uzyskać więcej informacji na temat usługi Application Gateway, zobacz Introduction to the Azure web application firewall (Wprowadzenie do zapory aplikacji internetowych platformy Azure).

Środowiska ASE z wewnętrznym modułem równoważenia obciążenia wykonane przed majem 2019 r.

Środowiska ASE z wewnętrznym modułem równoważenia obciążenia utworzone przed majem 2019 r. wymagały ustawienia sufiksu domeny podczas tworzenia środowiska ASE. Wymagane jest również przekazanie domyślnego certyfikatu opartego na tym sufiksie domeny. Ponadto przy użyciu starszego środowiska ASE z wewnętrznym modułem równoważenia obciążenia nie można wykonać logowania jednokrotnego do konsoli Kudu z aplikacjami w tym środowisku ASE z wewnętrznym modułem równoważenia obciążenia. Podczas konfigurowania systemu DNS dla starszego środowiska ASE z wewnętrznym modułem równoważenia obciążenia należy ustawić wieloznaczny rekord A w strefie zgodnej z sufiksem domeny. Tworzenie lub zmienianie środowiska ASE z wewnętrznym modułem równoważenia obciążenia przy użyciu niestandardowego sufiksu domeny wymaga użycia szablonów usługi Azure Resource Manager i wersji interfejsu API przed 2019 r. Ostatnia wersja interfejsu API pomocy technicznej to 2018-11-01.

Rozpocznij