Azure ExpressRoute ile App Service Ortamı için ağ Power Apps ayrıntıları Azure ExpressRoute

Müşteriler şirket içi a Azure ExpressRoute Azure'a genişletmek için sanal ağ altyapısına bir bağlantı hattı bağlarına sahip olabilir. App Service Ortamı, sanal ağ altyapısının bir alt ağına oluşturulur. Üzerinde çalıştırıl App Service Ortamı, yalnızca ExpressRoute bağlantısı üzerinden erişilebilen arka uç kaynaklarına güvenli bağlantılar kurmanızı sağlar.

App Service Ortamı senaryolarda oluşturulabilir:

  • Azure Resource Manager ağları kullanın.
  • Klasik dağıtım modeli sanal ağları.
  • Genel adres aralıkları veya RFC1918 adres alanları (yani özel adresler) kullanan sanal ağlar.

Not

Bu makale web uygulamalarıyla ilgili olsa da, API uygulamaları ve mobil uygulamalara da uygulanır.

Gerekli ağ bağlantısı

App Service Ortamı ExpressRoute'a bağlı bir sanal ağ içinde başlangıçta karşılanmaz ağ bağlantısı gereksinimleri vardır.

App Service Ortamı çalışması için aşağıdaki ağ bağlantısı ayarlarının gerekli olması gerekir:

  • Azure'a giden ağ bağlantısı Depolama 80 ve 443 bağlantı noktası üzerinde uç noktaları destekler. Bu uç noktalar, diğer Azure bölgelerine App Service Ortamı aynı bölgede bulunur. Azure Depolama uç noktaları şu DNS etki alanları altında çözümle: table.core.windows.net, blob.core.windows.net, queue.core.windows.net ve file.core.windows.net.

  • Bağlantı noktası 445'Azure Dosyalar giden ağ bağlantısı.

  • Bağlantı noktasıyla aynı Azure SQL Veritabanı bulunan uç noktalara giden ağ App Service Ortamı. SQL Veritabanı uç noktaları, 1433, 11000-11999 ve 14000-14999 bağlantı noktalarına açık erişim gerektiren database.windows.net etki alanı altında çözüme sahiptir. V12 bağlantı SQL Veritabanı hakkında ayrıntılı bilgi için bkz. 4.5 için 1433'ADO.NET bağlantı noktaları.

  • Azure yönetim düzlemi uç noktalarına giden ağ bağlantısı (hem Azure klasik dağıtım modeli hem de Azure Resource Manager uç noktaları). Bu uç noktalara bağlantı, etki management.core.windows.net ve management.azure.com içerir.

  • Ocsp.msocsp.com, mscrl.microsoft.com ve crl.microsoft.com giden ağ bağlantısı. TLS işlevselliğini desteklemek için bu etki alanlarına bağlantı gerekir.

  • Sanal ağ için DNS yapılandırması, bu makalede belirtilen tüm uç noktaları ve etki alanlarını çözümleyene kadar olmalıdır. Uç noktalar çözümlenemiyorsa, App Service Ortamı başarısız olur. Mevcut App Service Ortamı iyi durumda değil olarak işaretlenir.

  • DNS sunucularıyla iletişim için 53 bağlantı noktası üzerinden giden erişim gereklidir.

  • VPN ağ geçidinin diğer ucunda özel bir DNS sunucusu varsa, DNS sunucusuna ağ geçidini içeren alt ağdan App Service Ortamı.

  • Giden ağ yolu, şirket içi şirket içinden geçerek geçemektedir ve şirket içinde zorlamalı tünele izin verilenemmektedir. Bu eylemler, giden ağ trafiğinin etkin NAT adresini App Service Ortamı. Giden ağ trafiğinin NAT App Service Ortamı, uç noktaların çoğunda bağlantı hatalarına neden olur. App Service Ortamı oluşturulamaz. Mevcut App Service Ortamı iyi durumda değil olarak işaretlenir.

  • Gerekli bağlantı noktalarına gelen ağ erişimine App Service Ortamı izin verilmiyor olmalıdır. Ayrıntılar için bkz. App Service Ortamı'a gelen trafiği denetleme.

DNS gereksinimlerini karşılamak için, sanal ağ için geçerli bir DNS altyapısının yapılandırıldığından ve koruna olduğundan emin olun. Dns yapılandırması, App Service Ortamı sonra değiştirilirse, geliştiriciler App Service Ortamı DNS yapılandırmasını almaya zorlar. ortamındaki uygulama yönetimi altındaki Yeniden Başlat simgesini kullanarak bir App Service Ortamı ortamı yeniden başlatmayı Azure portal. Yeniden başlatma, ortamın yeni DNS yapılandırmasını toplamasını sağlar.

Gelen ağ erişim gereksinimlerini karşılamak için alt ağda bir ağ güvenlik grubu (NSG) App Service Ortamı yapılandırın. NSG, gelen trafiği kontrol etmek için gereken erişime izin App Service Ortamı.

Giden ağ bağlantısı

Varsayılan olarak, yeni oluşturulan bir ExpressRoute bağlantı hattı, giden İnternet bağlantısına izin veren varsayılan bir yol sunar. App Service Ortamı azure uç noktalarına bağlanmak için bu yapılandırmayı kullanabilirsiniz.

Yaygın müşteri yapılandırması, giden internet trafiğini şirket içi akışa zorlayarak kendi varsayılan yollarını (0.0.0.0/0) tanımlamaktır. Bu trafik akışı sürekli olarak App Service Ortamı. Giden trafik, artık çeşitli Azure uç noktalarıyla çalışmayan tanınmayan bir adres kümesine şirket içinde veya NAT'de engellenir.

Çözüm, ağ arabirimini içeren alt ağda bir (veya daha fazla) kullanıcı tanımlı yol (UDR) App Service Ortamı. UDR, varsayılan yol yerine geçerli olan alt ağlara özgü yolları tanımlar.

Mümkünse aşağıdaki yapılandırmayı kullanın:

  • ExpressRoute yapılandırması 0.0.0.0/0'ın tanıtımını sağlar. Varsayılan olarak, yapılandırma zorlaması şirket içi tüm giden trafiğe tüneller.
  • App Service Ortamı alt ağın uygulandığı UDR, sonraki atlama türü İnternet olan 0.0.0.0/0'ı tanımlar. Bu yapılandırmanın bir örneği bu makalenin devamlarında açıklanmıştır.

Bu yapılandırmanın birleşik etkisi, alt ağ düzeyinde UDR'nin ExpressRoute zorlamalı tüneline göre öncelikli olduğu şeklindedir. İnternet üzerinden giden App Service Ortamı garantidir.

Önemli

Bir UDR'de tanımlanan yollar, ExpressRoute yapılandırması tarafından tanıtilen tüm yollardan öncelikli olacak kadar özel olmalı. Sonraki bölümde açıklanan örnekte geniş 0.0.0.0/0 adres aralığı lanmıştır. Bu aralık, daha belirli adres aralıkları kullanan yol tanıtımları tarafından yanlışlıkla geçersiz kılınabilir.

App Service Ortamı, genel eşleme yolundan özel eşleme yoluna giden yolları çapraz tanıtan ExpressRoute yapılandırmaları ile birlikte desteklenmiyor. Yapılandırılmış ortak eşlemesi olan ExpressRoute yapılandırmaları, ip adresi aralıklarının büyük bir kümesi için Microsoft'tan Microsoft Azure tanıtımları alır. Bu adres aralıkları özel eşleme yolunda çapraz tanıtıldı ise, App Service Ortamı alt ağına giden tüm giden ağ paketleri, müşterinin şirket içi ağ altyapısına zorlamalı tünele sahiptir. Bu ağ akışı şu anda App Service Ortamı. Çözümlerden biri, genel eşleme yolundan özel eşleme yoluna giden çapraz reklam yollarını durdurmaktır.

Kullanıcı tanımlı yollar hakkında arka plan bilgileri için bkz. Sanal ağ trafiği yönlendirme.

Kullanıcı tanımlı yolları oluşturma ve yapılandırma hakkında bilgi edinmek için bkz. PowerShell kullanarak bir yol tablosuyla ağ trafiğini yönlendirme.

UDR yapılandırması

Bu bölümde, veritabanı için örnek bir UDR App Service Ortamı.

Önkoşullar

  • Yükleme Azure PowerShell Azure İndirmeleri sayfasından yükleyin. Haziran 2015 veya sonraki bir tarihe sahip bir indirme seçin. Komut satırı araçları altında Windows PowerShell'yi > seçerek en son PowerShell cmdlet'lerini yükleyin.

  • Uygulama tarafından özel olarak kullanmak üzere benzersiz bir App Service Ortamı. Benzersiz alt ağ, alt ağ için uygulanan UDR'lerin giden trafiği yalnızca App Service Ortamı sağlar.

Önemli

Yalnızca App Service Ortamı adımlarını tamamlandıktan sonra dağıtın. Adımlar, ağ bağlantısı dağıtmayı denemeden önce giden ağ bağlantısının kullanılabilir olmasını App Service Ortamı.

1. Adım: Yol tablosu oluşturma

Bu kod parçacığında gösterildiği gibi Azure bölgesinde DirectInternetRouteTable Batı ABD yönlendirme tablosu oluşturun:

New-AzureRouteTable -Name 'DirectInternetRouteTable' -Location uswest

2. Adım: Tabloda yollar oluşturma

Giden İnternet erişimini etkinleştirmek için yol tablosuna yollar ekleyin.

İnternet'e giden erişimi yapılandırma. Bu kod parçacığında gösterildiği gibi 0.0.0.0/0 için bir yol tanımlayın:

Get-AzureRouteTable -Name 'DirectInternetRouteTable' | Set-AzureRoute -RouteName 'Direct Internet Range 0' -AddressPrefix 0.0.0.0/0 -NextHopType Internet

0.0.0.0/0 geniş bir adres aralığıdır. Aralık, ExpressRoute tarafından daha belirli olan adres aralıkları tarafından geçersiz kılınır. 0.0.0.0/0 yolu olan bir UDR, yalnızca 0.0.0.0/0 tanıtan bir ExpressRoute yapılandırmasıyla birlikte kullanılmalıdır.

Alternatif olarak, Azure tarafından kullanımda olan CIDR aralıklarının güncel ve kapsamlı bir listesini indirin. Tüm Azure IP adresi aralıkları için XML dosyasını Microsoft İndirme Merkezi'nden edinebilirsiniz.

Not

Azure IP adresi aralıkları zaman içinde değişir. Kullanıcı tanımlı yolların eşitlemede tutmak için düzenli aralıklarla el ile güncelleştirmeler gerekir.

Tek bir UDR'nin varsayılan üst sınırı 100 rotadır. Azure IP adresi aralıklarını 100 yol sınırına sığacak şekilde "özetlemeniz" gerekir. UDR tanımlı yolların ExpressRoute bağlantınız tarafından tanıtilen yollardan daha belirli olması gerekir.

3. Adım: Tabloyu alt ağ ile ilişkilendirme

Rota tablosu ile dağıtım yapmak istediğiniz alt ağ ile App Service Ortamı. Bu komut DirectInternetRouteTable tabloyu, alt ağı içeren ASESubnet alt ağıyla App Service Ortamı.

Set-AzureSubnetRouteTable -VirtualNetworkName 'YourVirtualNetworkNameHere' -SubnetName 'ASESubnet' -RouteTableName 'DirectInternetRouteTable'

4. Adım: Yolu test edin ve onaylayın

Yol tablosu alt ağ ile sınır olduktan sonra yolu test etmek ve onaylamak.

Alt ağda bir sanal makine dağıtın ve şu koşulları onaylayın:

  • Bu makalede açıklanan Azure ve Azure dışı uç noktalara giden trafik ExpressRoute bağlantı hattında aşağı doğru akmaz. Alt ağdan giden trafik şirket içinde zorlamalı tünele sahipse, App Service Ortamı her zaman başarısız olur.
  • Bu makalede açıklanan uç noktaların DNS aramaları düzgün çözümlemektedir.

Yapılandırma adımlarını tamamlandıktan ve yolu onaylandıktan sonra sanal makineyi silin. Ağ oluşturulurken alt ağın "App Service Ortamı" olması gerekir.

Artık dağıtıma hazır App Service Ortamı!

Sonraki adımlar

Daha fazla App Service Ortamı için Power Apps için bkz.App Service Ortamı.