Integrar a aplicação numa rede virtual do Azure

Este artigo descreve a funcionalidade de integração de rede virtual Serviço de Aplicações do Azure e como coneca-lo com aplicações em Serviço de Aplicações. Com redes virtuais Azure, você pode colocar muitos dos seus recursos Azure numa rede não-internet-routable. A funcionalidade de integração de Serviço de Aplicações de rede virtual permite às suas aplicações aceder a recursos dentro ou através de uma rede virtual. A integração virtual da rede não permite que as suas aplicações sejam acedidas em privado.

Serviço de Aplicações tem duas variações:

  • Os níveis de preços dedicados ao cálculo, que incluem os níveis básico, standard, premium, premium v2 e Premium v3.
  • O Ambiente do Serviço de Aplicações, que se implanta diretamente na sua rede virtual com infraestruturas de apoio dedicadas e está a utilizar os níveis de preços V2 isolados e isolados.

A funcionalidade de integração de rede virtual é utilizada em Serviço de Aplicações do Azure níveis de preços dedicados ao computação. Se a sua aplicação estiver numa Ambiente do Serviço de Aplicações, já se encontra numa rede virtual e não necessita de utilização da funcionalidade de integração VNet para alcançar recursos na mesma rede virtual. Para obter mais informações sobre todas as funcionalidades de networking, consulte Serviço de Aplicações funcionalidades de networking.

A integração virtual da rede dá acesso a recursos da sua app na sua rede virtual, mas não concede acesso privado à sua aplicação a partir da rede virtual. O acesso ao site privado refere-se a tornar uma aplicação acessível apenas a partir de uma rede privada, como por exemplo dentro de uma rede virtual Azure. A integração de rede virtual é usada apenas para fazer chamadas de saída da sua app para a sua rede virtual. O recurso de integração de rede virtual comporta-se de forma diferente quando é usado com redes virtuais na mesma região e com redes virtuais noutras regiões. A funcionalidade de integração da rede virtual tem duas variações:

  • Integração regional da rede virtual: Quando se conecta a redes virtuais na mesma região, deve ter uma sub-rede dedicada na rede virtual com a qual se está a integrar.
  • Integração de rede virtual exigida pelo Gateway: Quando se conecta diretamente a redes virtuais noutras regiões ou a uma rede virtual clássica na mesma região, precisa de um gateway de Rede Virtual Azure criado na rede virtual alvo.

A funcionalidade de integração da rede virtual:

  • Requer um nível de preços de base ou standard suportado, Premium, Premium v2, Premium v3 ou Elastic Premium Serviço de Aplicações.
  • Apoia a TCP e a UDP.
  • Funciona com Serviço de Aplicações apps e aplicações de função.

Há algumas coisas que a integração virtual da rede não suporta, como:

  • Montar uma unidade.
  • Windows Server Ative Directory domínio se juntam.
  • O NetBIOS.

A integração de rede virtual exigida pelo Gateway proporciona acesso a recursos apenas na rede virtual alvo ou em redes ligadas à rede virtual alvo com peering ou VPNs. A integração de rede virtual exigida pelo Gateway não permite o acesso aos recursos disponíveis em todas as ligações Azure ExpressRoute ou funciona com pontos finais de serviço.

Independentemente da versão utilizada, a integração da rede virtual dá acesso aos recursos da sua aplicação na sua rede virtual, mas não concede acesso privado à sua aplicação a partir da rede virtual. O acesso ao site privado refere-se a tornar a sua aplicação acessível apenas a partir de uma rede privada, como por exemplo dentro de uma rede virtual Azure. A integração de rede virtual destina-se apenas a fazer chamadas de saída da sua app para a sua rede virtual.

Saiba como permitir a integração de redes virtuais.

Integração de rede virtual regional

A integração de redes virtuais regionais suporta a ligação a uma rede virtual na mesma região e não requer uma porta de entrada. A utilização da integração regional de redes virtuais permite que a sua aplicação aceda:

  • Recursos na rede virtual com que está integrado.
  • Os recursos em redes virtuais espreguiçadados para a rede virtual a sua aplicação está integrada com a inclusão de ligações de observação global.
  • Recursos através das ligações Azure ExpressRoute.
  • Serviços seguros de fim de serviço.
  • Serviços privados com fins de ponto final.

Quando utilizar a integração de rede virtual regional, pode utilizar as seguintes funcionalidades de networking Azure:

  • Grupos de segurança de rede (NSGs): Pode bloquear o tráfego de saída com um NSG colocado na sua sub-rede de integração. As regras de entrada não se aplicam porque não é possível utilizar a integração de rede virtual para fornecer acesso à sua aplicação.
  • Tabelas de rotas (UDRs): Pode colocar uma tabela de rotas na sub-rede de integração para enviar tráfego de saída onde quiser.

Como funciona a integração da rede virtual regional

As aplicações em Serviço de Aplicações são hospedadas em funções de trabalhador. A integração da rede virtual regional funciona através da montagem de interfaces virtuais para as funções dos trabalhadores com endereços na sub-rede delegada. Como o endereço está na sua rede virtual, pode aceder à maioria das coisas dentro ou através da sua rede virtual como um VM na sua rede virtual. A implementação em rede é diferente de executar um VM na sua rede virtual. É por isso que algumas funcionalidades de networking ainda não estão disponíveis para esta funcionalidade.

Diagrama que mostra como funciona a integração da rede virtual regional.

Quando a integração da rede virtual regional está ativada, a sua aplicação faz chamadas de saída através da sua rede virtual. Os endereços de saída listados no portal das propriedades da aplicação são os endereços ainda utilizados pela sua aplicação. No entanto, se a sua chamada de saída for para uma máquina virtual ou ponto final privado na rede virtual de integração ou na rede virtual, o endereço de saída será um endereço da sub-rede de integração. O IP privado atribuído a um caso é exposto através da variável ambiental, WEBSITE_PRIVATE_IP.

Quando todo o encaminhamento de tráfego está ativado, todo o tráfego de saída é enviado para a sua rede virtual. Se todo o encaminhamento de tráfego não estiver ativado, apenas o tráfego privado (RFC1918) e os pontos finais de serviço configurados na sub-rede de integração serão enviados para a rede virtual e o tráfego de saída para a internet passará pelos mesmos canais que o normal.

A funcionalidade suporta apenas uma interface virtual por trabalhador. Uma interface virtual por trabalhador significa uma integração regional da rede virtual por Serviço de Aplicações plano. Todas as aplicações no mesmo plano Serviço de Aplicações só podem utilizar a mesma integração de rede virtual numa sub-rede específica. Se precisar de uma aplicação para se ligar a outra rede virtual ou a outra sub-rede na mesma rede virtual, precisa de criar outro plano Serviço de Aplicações. A interface virtual utilizada não é um recurso a que os clientes tenham acesso direto.

Devido à natureza do funcionamento desta tecnologia, o tráfego que é usado com a integração de rede virtual não aparece em registos de fluxo de Observador de Rede ou NSG.

Requisitos de sub-rede

A integração da rede virtual depende de uma sub-rede dedicada. Quando se cria uma sub-rede, a sub-rede Azure perde cinco IPs desde o início. Um endereço é utilizado a partir da sub-rede de integração para cada instância de plano. Se escalar a sua aplicação para quatro instâncias, então são utilizados quatro endereços.

Quando se escala ou desce em tamanho, o espaço de endereço necessário é duplicado por um curto período de tempo. Esta alteração afeta os casos reais e disponíveis suportados para um determinado tamanho da sub-rede. O quadro seguinte mostra tanto os endereços máximos disponíveis por bloco CIDR como o efeito que isso tem na escala horizontal.

Tamanho do bloco CIDR Endereços máximos disponíveis Escala horizontal máxima (instâncias)*
/28 11 5
/27 27 13
/26 59 29

*Assume que terá de escalar para cima ou para baixo em tamanho ou SKU em algum momento.

Como o tamanho da sub-rede não pode ser alterado após a atribuição, use uma sub-rede suficientemente grande para acomodar qualquer escala que a sua aplicação possa alcançar. Para evitar problemas com capacidade de sub-rede, utilize um /26 com 64 endereços. Quando se está a criar sub-redes em portal do Azure como parte da integração com a rede virtual, é necessário um tamanho mínimo de /27.

Quando quiser que as suas aplicações no seu plano cheguem a uma rede virtual que já esteja ligada por apps noutro plano, selecione uma sub-rede diferente da que está a ser utilizada pela integração de rede virtual pré-existente.

Permissões

Deve ter pelo menos as seguintes permissões de controlo de acesso baseadas em funções na sub-rede ou a um nível mais elevado para configurar a integração da rede virtual regional através de portal do Azure, CLI ou ao definir a propriedade do virtualNetworkSubnetId site diretamente:

Ação Descrição
Microsoft.Network/virtualNetworks/read Leia a definição de rede virtual
Microsoft.Network/virtualNetworks/subnets/read Leia uma definição de sub-rede de rede virtual
Microsoft.Network/virtualNetworks/subnets/join/action Junta-se a uma rede virtual

Se a rede virtual estiver numa subscrição diferente da aplicação, deve garantir que a subscrição com a rede virtual está registada para o fornecedor de recursos Microsoft.Web. Pode registar-se explicitamente o fornecedor seguindo esta documentação, mas também será automaticamente registada ao criar a primeira aplicação web numa subscrição.

Rotas

Pode controlar o tráfego através da integração virtual da rede. Existem três tipos de encaminhamento a ter em conta quando configurar a integração da rede virtual regional. O encaminhamento de aplicações define o tráfego que é encaminhado da sua app para a rede virtual. O encaminhamento de configuração afeta as operações que ocorrem antes ou durante o arranque da sua aplicação. Exemplos são a retirada de imagem do contentor e as configurações da aplicação com referência Key Vault. O encaminhamento de rede é a capacidade de lidar com a forma como tanto o tráfego de aplicações como de configuração são encaminhados para a sua rede virtual e para fora.

Através de opções de encaminhamento de aplicações ou de configuração, pode configurar o tráfego que será enviado através da integração da rede virtual. O tráfego só está sujeito ao encaminhamento de rede se for enviado através da integração da rede virtual.

Encaminhamento de aplicações

O encaminhamento de aplicações aplica-se ao tráfego que é enviado da sua aplicação depois de ter sido iniciado. Consulte o encaminhamento de configuração para o tráfego durante o arranque. Ao configurar o encaminhamento de aplicações, pode encaminhar todo o tráfego ou apenas tráfego privado (também conhecido como tráfego RFC1918 ) para a sua rede virtual. Configura este comportamento através da definição Route All . Se a Route All estiver desativada, a sua aplicação apenas encaminha o tráfego privado para a sua rede virtual. Se pretender encaminhar todo o tráfego de aplicações de saída para a sua rede virtual, certifique-se de que a Route All está ativada.

  • Apenas o tráfego configurado no encaminhamento de aplicação ou configuração está sujeito aos NSGs e UDRs que são aplicados na sua sub-rede de integração.
  • Quando a Route All está ativada, o tráfego de saída da sua app ainda é enviado a partir dos endereços que estão listados nas propriedades da sua aplicação, a menos que forneça rotas que direcionem o tráfego para outro lugar.

Saiba como configurar o encaminhamento de aplicações.

Recomendamos que utilize a definição de configuração Route All para permitir o encaminhamento de todo o tráfego. A utilização da definição de configuração permite-lhe auditar o comportamento com uma política incorporada. A definição de aplicação existente WEBSITE_VNET_ROUTE_ALL ainda pode ser usada, e você pode ativar todo o encaminhamento de tráfego com qualquer uma das definições.

Nota

A conectividade SMTP de saída (porta 25) é suportada para Serviço de Aplicações quando o tráfego SMTP é encaminhado através da integração da rede virtual. A capacidade de apoio é determinada pela subscrição onde a rede virtual é implantada. Para redes virtuais criadas antes de 1. Em agosto de 2022, terá de voltar a permitir o suporte de conectividade SMTP de saída na subscrição. Para obter mais informações sobre o suporte do tipo de subscrição e como solicitar suporte para reabilitar a conectividade SMTP de saída, consulte problemas de conectividade SMTP de saída de resolução de problemas em Azure.

Encaminhamento de configuração

Quando estiver a utilizar a integração de rede virtual, pode configurar como é gerida a gestão de partes do tráfego de configuração. Por padrão, o tráfego de configuração irá diretamente para a rota pública, mas para os componentes individuais mencionados, você pode configurar ativamente para ser encaminhado através da integração de rede virtual.

Armazenamento de conteúdos

Trazer o seu próprio armazenamento para conteúdos frequentemente utilizados em Funções onde o armazenamento de conteúdos é configurado como parte da aplicação Funções.

Para encaminhar o tráfego de armazenamento de conteúdos através da integração de rede virtual, é necessário adicionar uma definição de aplicação com WEBSITE_CONTENTOVERVNET o valor 1. Além de adicionar a definição da aplicação, deve também garantir que qualquer firewall ou Grupo de Segurança de Rede configurado no tráfego a partir da sub-rede permita o tráfego para as portas 443 e 445.

Puxar a imagem do recipiente

Ao utilizar recipientes personalizados para o Linux, pode puxar o recipiente sobre a integração virtual da rede. Para encaminhar o contentor puxar o tráfego através da integração da rede virtual, deve adicionar uma definição de aplicação com WEBSITE_PULL_IMAGE_OVER_VNET o valor true.

Definições de aplicativos usando referências Key Vault

As configurações das aplicações que utilizam referências Key Vault tentarão obter segredos através da via pública. Se o Key Vault estiver a bloquear o tráfego público e a aplicação estiver a utilizar a integração de rede virtual, será então feita uma tentativa de obter os segredos através da integração virtual da rede.

Nota

  • Os recipientes do Windows não suportam a retirada de imagens personalizadas de contentores sobre a integração virtual da rede.
  • A cópia de segurança/restauro das contas de armazenamento privado não é suportada.
  • Os certificados SSL/TLS de Cofres-Chave privados não são suportados atualmente.
  • Serviço de Aplicações Os registos de contas de armazenamento privado não são suportados. Recomendamos a utilização de Registo de Diagnósticos e permitir serviços fidedignos para a conta de armazenamento.

Encaminhamento de rede

Pode utilizar as tabelas de rotas para encaminhar o tráfego de saída da sua aplicação sem restrições. Os destinos comuns podem incluir dispositivos de firewall ou gateways. Também pode utilizar um grupo de segurança de rede (NSG) para bloquear o tráfego de saída para recursos na sua rede virtual ou na internet. Um NSG aplicado à sua sub-rede de integração está em vigor, independentemente de quaisquer tabelas de rotas aplicadas à sua sub-rede de integração.

As tabelas de rotas e os grupos de segurança da rede aplicam-se apenas ao tráfego encaminhado através da integração da rede virtual. Consulte o encaminhamento de aplicações e o encaminhamento de configuração para obter mais detalhes. As rotas não afetarão respostas a pedidos de aplicações de entrada e as regras de entrada numa NSG não se aplicam à sua app porque a integração da rede virtual afeta apenas o tráfego de saída da sua app. Para controlar o tráfego de entrada na sua aplicação, utilize a funcionalidade Restrições de Acesso.

Ao configurar grupos de segurança de rede ou tabelas de rotas que afetem o tráfego de saída, deve certificar-se de que considera as dependências da sua aplicação. As dependências da aplicação incluem pontos finais que a sua aplicação precisa durante o tempo de funcionamento. Além das APIs e dos serviços que a aplicação está a chamar, este pode também ser derivado de pontos finais como a lista de revogação de certificados (CRL) verificar pontos finais e ponto final de identidade/autenticação, por exemplo, Azure Ative Directory. Se estiver a utilizar uma implementação contínua em Serviço de Aplicações, também poderá ter de permitir pontos finais dependendo do tipo e da linguagem. Especificamente para a implementação contínua do Linux, terá de permitir oryx-cdn.microsoft.io:443.

Quando quiser encaminhar o tráfego de saída para o local, pode utilizar uma mesa de rota para enviar tráfego de saída para o seu gateway Azure ExpressRoute. Se fizer a rota do tráfego para um gateway, desemote rotas na rede externa para enviar quaisquer respostas de volta. As rotas do Border Gateway Protocol (BGP) também afetam o tráfego da sua aplicação. Se tiver rotas BGP a partir de algo como um gateway ExpressRoute, o tráfego de saída da sua aplicação é afetado. Semelhantes às rotas definidas pelo utilizador, as rotas BGP afetam o tráfego de acordo com a definição do seu âmbito de encaminhamento.

Pontos finais de serviço

A integração de rede virtual regional permite-lhe chegar aos serviços Azure que são garantidos com pontos finais de serviço. Para aceder a um serviço de serviço seguro de ponto final, siga estes passos:

  1. Configure a integração regional da rede virtual com a sua aplicação web para se conectar a uma sub-rede específica para integração.
  2. Vá ao serviço de destino e configuure os pontos finais do serviço contra a sub-rede de integração.

Pontos finais privados

Se quiser fazer chamadas para pontos finais privados, certifique-se de que as suas pesquisas de DNS resolvem para o ponto final privado. Pode impor este comportamento de uma das seguintes formas:

  • Integrar com zonas privadas Azure DNS. Quando a sua rede virtual não tem um servidor DNS personalizado, a integração é feita automaticamente quando as zonas estão ligadas à rede virtual.
  • Gerencie o ponto final privado no servidor DNS utilizado pela sua aplicação. Para gerir a configuração, tem de conhecer o endereço IP do ponto final privado. Então aponte o ponto final que está a tentar alcançar esse endereço usando um registo A.
  • Configure o seu próprio servidor DNS para encaminhar para as zonas privadas do Azure DNS.

Zonas privadas Azure DNS

Depois de a sua aplicação se integrar na sua rede virtual, utiliza o mesmo servidor DNS com o qual a sua rede virtual está configurada. Se não for especificado um DNS personalizado, utiliza DNS predefinidos do Azure e quaisquer zonas privadas ligadas à rede virtual.

Limitações

Existem algumas limitações na utilização da integração regional da rede virtual:

  • A funcionalidade está disponível em todas as Serviço de Aplicações implementações em Premium v2 e Premium v3. Também está disponível no nível Básico e Standard, mas apenas a partir de implementações de Serviço de Aplicações mais recentes. Se estiver numa implementação mais antiga, só pode utilizar a funcionalidade a partir de um plano de Serviço de Aplicações Premium v2. Se quiser ter a certeza de que pode utilizar a funcionalidade num plano de Serviço de Aplicações Básico ou Padrão, crie a sua aplicação num plano de Serviço de Aplicações Premium v3. Esses planos só são apoiados nas nossas mais recentes missões. Pode reduzir a escala se quiser depois de o plano ser criado.
  • A funcionalidade não pode ser utilizada por aplicações de plano isolado que se encontrem numa Ambiente do Serviço de Aplicações.
  • Não é possível obter recursos através de ligações de espreitar com redes virtuais clássicas.
  • A funcionalidade requer uma sub-rede não uusada que seja um bloco IPv4 /28 ou maior numa rede virtual Resource Manager Azure.
  • A aplicação e a rede virtual devem estar na mesma região.
  • A rede virtual de integração não pode ter espaços de endereço IPv6 definidos.
  • A sub-rede de integração não pode ter políticas de ponto final de serviço ativadas.
  • A sub-rede de integração pode ser utilizada apenas por um plano Serviço de Aplicações.
  • Não é possível eliminar uma rede virtual com uma aplicação integrada. Remova a integração antes de eliminar a rede virtual.
  • Você pode ter apenas uma integração regional de rede virtual por Serviço de Aplicações plano. Várias aplicações no mesmo plano Serviço de Aplicações podem usar a mesma rede virtual.
  • Não é possível alterar a subscrição de uma app ou de um plano enquanto há uma aplicação que está a usar a integração de rede virtual regional.

Integração de rede virtual exigida pelo Gateway

A integração de rede virtual exigida pelo Gateway suporta a ligação a uma rede virtual noutra região ou a uma rede virtual clássica. Integração de rede virtual exigida pelo Gateway:

  • Permite que uma aplicação se conecte a apenas uma rede virtual de cada vez.
  • Permite a integração de até cinco redes virtuais num plano Serviço de Aplicações.
  • Permite que a mesma rede virtual seja usada por várias aplicações num plano Serviço de Aplicações sem afetar o número total que pode ser usado por um plano Serviço de Aplicações. Se tiver seis aplicações que usam a mesma rede virtual no mesmo plano Serviço de Aplicações, isso conta como uma rede virtual a ser utilizada.
  • SLA no gateway pode afetar o SLA geral.
  • Permite que as suas aplicações utilizem o DNS com o qual a rede virtual está configurada.
  • Requer um gateway virtual baseado em rota de rede configurado com uma VPN ponto-a-local SSTP antes de poder ser ligado a uma aplicação.

Não pode utilizar a integração de rede virtual exigida por gateways:

  • Com uma rede virtual ligada ao ExpressRoute.
  • De uma aplicação Linux.
  • De um contentor do Windows.
  • Para aceder a recursos seguros de serviço.
  • Para resolver as Definições de Aplicações, referenciar uma Key Vault protegida por rede.
  • Com uma porta de entrada de coexistência que suporta tanto o ExpressRoute como as VPNs ponto-a-local ou site-to-site.

Crie um portal na sua rede virtual Azure

Para criar uma porta de entrada:

  1. Crie o gateway e a sub-rede VPN. Selecione um tipo VPN baseado em rota.

  2. Desaponte os endereços ponto a local. Se o gateway não estiver no SKU básico, então o IKEV2 deve ser desativado na configuração ponto-a-local e o SSTP deve ser selecionado. O espaço de endereço ponto-a-local deve estar nos blocos de endereços RFC 1918 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16.

Se criar o gateway para utilização com a integração de rede virtual exigida por gateway, não precisa de carregar um certificado. Criar o portal pode demorar 30 minutos. Não poderá integrar a sua aplicação com a sua rede virtual até que o gateway seja criado.

Como funciona a integração da rede virtual exigida por gateways

A integração da rede virtual exigida pelo Gateway é construída em cima da tecnologia VPN ponto-a-local. As VPNs ponto-a-local limitam o acesso à rede à máquina virtual que acolhe a aplicação. As aplicações são restritas para enviar tráfego para a internet apenas através de ligações híbridas ou através da integração de rede virtual. Quando a sua aplicação está configurada com o portal para utilizar a integração de rede virtual exigida por gateways, uma negociação complexa é gerida em seu nome para criar e atribuir certificados no gateway e no lado da aplicação. O resultado é que os trabalhadores utilizados para hospedar as suas apps podem ligar-se diretamente ao gateway de rede virtual na rede virtual selecionada.

Diagrama que mostra como funciona a integração da rede virtual exigida por gateways.

Acesso aos recursos no local

As aplicações podem aceder aos recursos no local, integrando-se com redes virtuais que têm ligações site-to-site. Se utilizar a integração de rede virtual exigida pelo gateway, atualize as suas rotas de gateway VPN no local com os seus blocos de endereços ponto-a-local. Quando a VPN site-to-site é configurada pela primeira vez, os scripts utilizados para configurar as rotas devem configurar as rotas corretamente. Se adicionar os endereços ponto-a-local depois de criar a VPN do site, tem de atualizar as rotas manualmente. Detalhes sobre como fazer isso variam por gateway e não são descritos aqui. Não pode ter bGP configurado com uma ligação VPN site-to-site.

Não é necessária nenhuma configuração extra para que a funcionalidade de integração da rede virtual regional alcance através da sua rede virtual para recursos no local. Basta ligar a sua rede virtual aos recursos no local, utilizando o ExpressRoute ou uma VPN site-to-site.

Nota

A funcionalidade de integração de rede virtual exigida pelo gateway não integra uma aplicação com uma rede virtual que tem um gateway ExpressRoute. Mesmo que o gateway ExpressRoute esteja configurado em modo de coexistência, a integração da rede virtual não funciona. Se precisar de aceder a recursos através de uma ligação ExpressRoute, utilize o recurso regional de integração da rede virtual ou um Ambiente do Serviço de Aplicações, que funciona na sua rede virtual.

Peering

Se utilizar o espreitamento com a integração da rede virtual regional, não precisa de fazer mais configurações.

Se utilizar a integração de rede virtual exigida por gateways com o espreitamento, precisa de configurar mais alguns itens. Para configurar olhando para trabalhar com a sua aplicação:

  1. Adicione uma ligação de espreitar na rede virtual a que a sua aplicação se conecta. Quando adicionar a ligação de pares, ative o acesso à rede virtual e selecione Deixe o tráfego reencaminhado e permita o trânsito de gateway.
  2. Adicione uma ligação de observação na rede virtual que está a ser espreitada para a rede virtual a que está ligado. Quando adicionar a ligação de pares na rede virtual de destino, ative o acesso à rede virtual e selecione Permitir o tráfego reencaminhado e permitir gateways remotos.
  3. Vá para Serviço de Aplicações planear>a>integração do VNet em rede no portal. Selecione a rede virtual a que a sua aplicação se conecta. Na secção de encaminhamento, adicione o intervalo de endereços da rede virtual que está espreguiçadinha com a rede virtual a que a sua aplicação está ligada.

Gerir a integração de redes virtuais

A ligação e desconexão com uma rede virtual encontra-se ao nível da aplicação. As operações que podem afetar a integração da rede virtual em várias aplicações estão ao nível Serviço de Aplicações plano. A partir do portal de >integração VNetem rede deaplicações>, pode obter detalhes na sua rede virtual. Pode ver informações semelhantes ao nível do plano Serviço de Aplicações no portal de integração do plano> de Serviço de AplicaçõesNetworking>VNet.

A única operação que pode ter na visão da aplicação da sua instância de integração de rede virtual é desligar a sua aplicação da rede virtual a que está atualmente ligada. Para desligar a sua aplicação de uma rede virtual, selecione Disconnect. A sua aplicação é reiniciada quando desliga de uma rede virtual. Desligar não altera a sua rede virtual. A sub-rede ou gateway não é removida. Se quiser então eliminar a sua rede virtual, desligue primeiro a sua aplicação da rede virtual e elimine os recursos na sua rede, como os gateways.

O plano Serviço de Aplicações integração virtual da UI mostra-lhe todas as integrações virtuais de rede utilizadas pelas aplicações no seu plano Serviço de Aplicações. Para ver detalhes em cada rede virtual, selecione a rede virtual em que está interessado. Existem duas ações que pode realizar aqui para integração de rede virtual exigida por gateway:

  • Rede de sincronização: A operação da rede de sincronização é utilizada apenas para a funcionalidade de integração da rede virtual exigida pelo gateway. A realização de uma operação de rede de sincronização garante que os seus certificados e informações de rede estão sincronizados. Se adicionar ou alterar o DNS da sua rede virtual, efetue uma operação de rede de sincronização. Esta operação reinicia quaisquer aplicações que utilizem esta rede virtual. Esta operação não funcionará se estiver a utilizar uma aplicação e uma rede virtual pertencentes a diferentes subscrições.
  • Adicionar rotas: Adicionar rotas conduz o tráfego de saída para a sua rede virtual.

O IP privado atribuído ao caso é exposto através da variável ambiental WEBSITE_PRIVATE_IP. A UI da consola Kudu também mostra a lista de variáveis ambientais disponíveis para a aplicação web. Este IP é atribuído a partir do intervalo de endereços da sub-rede integrada. Para a integração regional da rede virtual, o valor de WEBSITE_PRIVATE_IP é um IP a partir do intervalo de endereços da sub-rede delegada. Para a integração de rede virtual exigida por gateway, o valor é um IP a partir da gama de endereços do conjunto de endereços ponto-a-local configurado no gateway de rede virtual. Este IP será utilizado pela aplicação web para se conectar aos recursos através da rede virtual Azure.

Nota

O valor do WEBSITE_PRIVATE_IP é obrigado a mudar. No entanto, será um IP dentro do intervalo de endereços da sub-rede de integração ou do intervalo de endereços ponto a local, pelo que terá de permitir o acesso a partir de toda a gama de endereços.

Encaminhamento de integração de rede virtual exigido pela Gateway

As rotas definidas na sua rede virtual são usadas para direcionar o tráfego para a sua rede virtual a partir da sua aplicação. Para enviar mais tráfego de saída para a rede virtual, adicione os blocos de endereços aqui. Esta capacidade funciona apenas com a integração de rede virtual exigida por gateways. As tabelas de rotas não afetam o tráfego da sua aplicação quando utiliza a integração de rede virtual exigida pelo gateway da forma que fazem com a integração regional da rede virtual.

Certificados de integração de rede virtual exigidos pelo Gateway

Quando a integração da rede virtual exigida pelo gateway está ativada, há uma troca obrigatória de certificados para garantir a segurança da ligação. Juntamente com os certificados estão a configuração de DNS, rotas e outras coisas semelhantes que descrevem a rede.

Se os certificados ou informações de rede forem alterados, selecione Sync Network. Quando seleciona a Sync Network, causa uma breve interrupção na conectividade entre a sua aplicação e a sua rede virtual. A sua aplicação não foi reiniciada, mas a perda de conectividade pode fazer com que o seu site não funcione corretamente.

Detalhes dos preços

A funcionalidade de integração da rede virtual regional não tem qualquer custo adicional para utilização para além dos Serviço de Aplicações taxas de preços do plano.

Três encargos estão relacionados com a utilização da funcionalidade de integração da rede virtual exigida por gateway:

  • Serviço de Aplicações planear os preços: As suas aplicações precisam de estar num plano de Serviço de Aplicações Básico, Standard, Premium, Premium ou Premium v3. Para obter mais informações sobre estes custos, consulte Serviço de Aplicações preços.
  • Custos de transferência de dados: Há um custo para a saída de dados, mesmo que a rede virtual esteja no mesmo datacenter. Esses encargos são descritos em detalhes de preços de transferência de dados.
  • Custos de gateway VPN: Há um custo para o gateway de rede virtual que é necessário para a VPN ponto-a-local. Para mais informações, consulte os preços da porta de entrada VPN.

Resolução de problemas

Nota

A integração de rede virtual não é suportada para cenários de Docker Compose em Serviço de Aplicações. As restrições de acesso são ignoradas se um ponto final privado estiver presente.

A funcionalidade é fácil de configurar, mas isso não significa que a sua experiência seja livre de problemas. Se encontrar problemas no acesso ao seu ponto final pretendido, existem alguns utilitários que pode utilizar para testar a conectividade a partir da consola da aplicação. Há duas consolas que podes usar. Uma é a consola Kudu, e a outra é a consola no portal do Azure. Para chegar à consola Kudu a partir da sua aplicação, vá ao Tools>Kudu. Também pode alcançar a consola Kudo em [sitename].scm.azurewebsites.net. Depois de carregar o site, vá ao separador de consola Debug. Para chegar à consola portal do Azure-hospedada da sua aplicação, vá ao Consola de Ferramentas>.

Ferramentas

Nas aplicações nativas do Windows, as ferramentas ping, nslookup e tracert não funcionam através da consola devido a restrições de segurança (funcionam em recipientes personalizados do Windows). Para preencher o vazio, são adicionadas duas ferramentas separadas. Para testar a funcionalidade DNS, adicionámos uma ferramenta chamada nameresolver.exe. A sintaxe é:

nameresolver.exe hostname [optional: DNS Server]

Pode utilizar o nomeresolver para verificar os nomes de anfitriões de que a sua aplicação depende. Desta forma pode testar se tem alguma coisa mal configurada com o seu DNS ou talvez não tenha acesso ao seu servidor DNS. Pode ver o servidor DNS que a sua aplicação utiliza na consola, olhando para as variáveis ambientais WEBSITE_DNS_SERVER e WEBSITE_DNS_ALT_SERVER.

Nota

A ferramenta nameresolver.exe não funciona atualmente em recipientes Windows personalizados.

Pode utilizar a próxima ferramenta para testar a conectividade TCP a uma combinação de hospedeiro e porta. Esta ferramenta chama-se tcpping e a sintaxe é:

tcpping.exe hostname [optional: port]

O utilitário de tcpping diz-lhe se pode chegar a um hospedeiro e porta específicos. Só pode mostrar sucesso se houver uma aplicação a ouvir na combinação de anfitriões e portas, e há acesso à rede da sua aplicação para o anfitrião especificado e porta.

Depurg acesso a recursos hospedados em rede virtual

Uma série de coisas pode impedir que a sua app chegue a um anfitrião e porto específicos. A maior parte do tempo é uma destas coisas:

  • Uma firewall está no caminho. Se tiver uma firewall no caminho, atinge o tempo limite da TCP. O tempo limite de TCP é de 21 segundos neste caso. Utilize a ferramenta de tcpping para testar a conectividade. Os intervalos de tempo TCP podem ser causados por muitas coisas além das firewalls, mas começam por aí.
  • O DNS não está acessível. O tempo limite de DNS é de 3 segundos por servidor DNS. Se tiver dois servidores DNS, o tempo limite é de 6 segundos. Use o nome de consolação para ver se o DNS está a funcionar. Não podes usar o nslookup, porque isso não usa o DNS com que a tua rede virtual está configurada. Se for inacessível, pode ter uma firewall ou NSG bloqueando o acesso ao DNS ou pode estar em baixo.

Se esses itens não responderem aos seus problemas, procure primeiro coisas como:

Integração de rede virtual regional

  • O seu destino é um endereço não-RFC1918 e não tem Rota All ativada?
  • Existe uma saída de bloqueio da NSG da sua sub-rede de integração?
  • Se vai atravessar o Azure ExpressRoute ou uma VPN, o seu portal no local está configurado para encaminhar o tráfego de volta para Azure? Se conseguir chegar aos pontos finais da sua rede virtual, mas não no local, verifique as suas rotas.
  • Tem permissões suficientes para definir a delegação na sub-rede de integração? Durante a configuração regional de integração da rede virtual, a sua sub-rede de integração é delegada no Microsoft.Web/serverFarms. A integração VNet UI delega a sub-rede para Microsoft.Web/serverFarms automaticamente. Se a sua conta não tiver permissões de networking suficientes para definir a delegação, precisará de alguém que possa definir atributos na sua sub-rede de integração para delegar a sub-rede. Para delegar manualmente a sub-rede de integração, vá à sub-rede Azure Rede Virtual UI e deslote a delegação para Microsoft.Web/serverFarms.

Integração de rede virtual exigida pelo Gateway

  • É o intervalo de endereços ponto-a-local nas gamas RFC 1918 (10.0.0.0-10.255.255.255 / 172.16.00.0-172.31.255.255 / 192.168.0.0-192.168.255.255)?
  • O portal mostra-se como estando no portal? Se o seu portal está em baixo, então traga-o de volta.
  • Os certificados mostram estar sincronizados ou suspeita que a configuração da rede foi alterada? Se os seus certificados estiverem dessincronizados ou suspeitar que foi feita uma alteração à sua configuração de rede virtual que não foi sincronizada com os seus ASPs, selecione Sync Network.
  • Se vai atravessar uma VPN, o portal no local está configurado para encaminhar o tráfego de volta para Azure? Se conseguir chegar aos pontos finais da sua rede virtual, mas não no local, verifique as suas rotas.
  • Está a tentar usar uma porta de entrada de coexistência que suporta tanto o ponto para o local como o ExpressRoute? As portas de coexistência não são suportadas com a integração virtual da rede.

Depurar problemas de networking é um desafio porque você não pode ver o que está bloqueando o acesso a uma combinação específica de anfitrião:port. Algumas causas incluem:

  • Tem uma firewall no seu anfitrião que impede o acesso à porta de aplicação a partir da sua gama IP ponto-a-local. Cruzar sub-redes requer frequentemente acesso público.
  • O seu anfitrião-alvo está em baixo.
  • A sua candidatura está em baixo.
  • Enganou-se no IP ou no nome de anfitrião.
  • A sua aplicação está a ouvir numa porta diferente do que esperava. Pode combinar o seu ID de processo com a porta de audição utilizando "netstat -aon" no anfitrião do ponto final.
  • Os seus grupos de segurança de rede estão configurados de forma a impedir o acesso ao seu anfitrião de aplicações e à porta a partir da sua gama IP ponto-a-local.

Não sabe que endereço a sua aplicação realmente utiliza. Pode ser qualquer endereço na sub-rede de integração ou no intervalo de endereços ponto a local, pelo que tem de permitir o acesso a partir de toda a gama de endereços.

Os passos mais depuros incluem:

  • Ligue-se a um VM na sua rede virtual e tente contactar o seu anfitrião de recursos:porta a partir daí. Para testar o acesso à TCP, utilize o comando PowerShell Test-NetConnection. A sintaxe é:
Test-NetConnection hostname [optional: -Port]
  • Apresentar uma aplicação num VM e testar o acesso a esse anfitrião e porta a partir da consola a partir da sua aplicação, utilizando tcpping.

Recursos no local

Se a sua aplicação não conseguir chegar a um recurso no local, verifique se consegue contactar o recurso a partir da sua rede virtual. Utilize o comando PowerShell Test-NetConnection para verificar se há acesso à TCP. Se o seu VM não conseguir chegar ao seu recurso no local, a sua ligação VPN ou ExpressRoute pode não estar configurada corretamente.

Se o seu VM virtual hospedado em rede pode chegar ao seu sistema no local, mas a sua aplicação não pode, a causa é provavelmente uma das seguintes razões:

  • As suas rotas não estão configuradas com as gamas de endereços da sua sub-rede ou ponto a local no seu gateway no local.
  • Os seus grupos de segurança de rede estão a bloquear o acesso para o seu intervalo ip ponto-a-local.
  • As suas firewalls no local estão a bloquear o tráfego da sua gama IP ponto-a-local.
  • Está a tentar chegar a um endereço não RFC 1918 usando o recurso regional de integração da rede virtual.

Eliminar o plano de Serviço de Aplicações ou aplicação web antes de desligar a integração VNet

Se eliminar a aplicação web ou o plano de Serviço de Aplicações sem desligar primeiro a integração VNet, não poderá fazer nenhuma atualização/apagar operações na rede virtual ou na sub-rede que foi utilizada para a integração com o recurso eliminado. Uma delegação de sub-redes 'Microsoft.Web/serverFarms' permanecerá atribuída à sua sub-rede e impedirá as operações de atualização/eliminação.

Para atualizar/eliminar novamente a sub-rede ou a rede virtual, é necessário recriar a integração VNet e, em seguida, desconectá-la:

  1. Re-crie o plano de Serviço de Aplicações e aplicação web (é obrigatório usar o mesmo nome de aplicação web de antes).
  2. Navegue até à lâmina 'Networking' na aplicação web e configue a integração VNet.
  3. Depois de configurar a integração VNet, selecione o botão 'Desligar'.
  4. Elimine o plano de Serviço de Aplicações ou aplicação web.
  5. Atualizar/Eliminar a sub-rede ou a rede virtual.

Se ainda encontrar problemas com a integração do VNet depois de seguir os passos acima, contacte Suporte da Microsoft.