Azure ExpressRoute ile PowerApps için App Service Ortamı ağ yapılandırması ayrıntılarıNetwork configuration details for App Service Environment for PowerApps with Azure ExpressRoute

Müşteriler, şirket içi ağınızı Azure 'a genişletmek için bir Azure ExpressRoute devresini sanal ağ altyapısına bağlanabilir.Customers can connect an Azure ExpressRoute circuit to their virtual network infrastructure to extend their on-premises network to Azure. App Service Ortamı, sanal ağ altyapısının bir alt ağında oluşturulur.App Service Environment is created in a subnet of the virtual network infrastructure. App Service Ortamı üzerinde çalışan uygulamalar, yalnızca ExpressRoute bağlantısı üzerinden erişilebilen arka uç kaynaklarına güvenli bağlantılar kurar.Apps that run on App Service Environment establish secure connections to back-end resources that are accessible only over the ExpressRoute connection.

App Service Ortamı, bu senaryolarda oluşturulabilir:App Service Environment can be created in these scenarios:

  • Sanal ağları Azure Resource Manager.Azure Resource Manager virtual networks.
  • Klasik dağıtım modeli sanal ağları.Classic deployment model virtual networks.
  • Ortak adres aralıkları veya RFC1918 adres alanları (yani, özel adresler) kullanan sanal ağlar.Virtual networks that use public address ranges or RFC1918 address spaces (that is, private addresses).

Not

Bu makale web uygulamalarıyla ilgili olsa da, API uygulamaları ve mobil uygulamalara da uygulanır.Although this article refers to web apps, it also applies to API apps and mobile apps.

Gerekli ağ bağlantısıRequired network connectivity

App Service Ortamı, başlangıçta ExpressRoute 'a bağlı bir sanal ağda karşılanmamış olabilecek ağ bağlantısı gereksinimlerine sahiptir.App Service Environment has network connectivity requirements that initially might not be met in a virtual network that's connected to ExpressRoute.

App Service Ortamı aşağıdaki ağ bağlantısı ayarlarının düzgün şekilde çalışmasını gerektirir:App Service Environment requires the following network connectivity settings to function properly:

  • 80 numaralı bağlantı noktasında ve 443 numaralı bağlantı noktasında dünya çapındaki Azure depolama uç noktalarına giden ağ bağlantısı.Outbound network connectivity to Azure Storage endpoints worldwide on both port 80 and port 443. Bu uç noktalar App Service Ortamı aynı bölgede ve ayrıca diğer Azure bölgeleriyle bulunur.These endpoints are located in the same region as App Service Environment and also other Azure regions. Azure depolama uç noktaları şu DNS etki alanları altında çözümlenir: table.core.windows.net, blob.core.windows.net, queue.core.windows.net ve file.core.windows.net.Azure Storage endpoints resolve under the following DNS domains: table.core.windows.net, blob.core.windows.net, queue.core.windows.net, and file.core.windows.net.

  • 445 numaralı bağlantı noktasında Azure Files hizmetine giden ağ bağlantısı.Outbound network connectivity to the Azure Files service on port 445.

  • App Service Ortamı ile aynı bölgede bulunan Azure SQL veritabanı uç noktalarına giden ağ bağlantısı.Outbound network connectivity to Azure SQL Database endpoints that are located in the same region as App Service Environment. SQL veritabanı uç noktaları, 1433, 11000-11999 ve 14000-14999 bağlantı noktalarına açık erişim gerektiren database.windows.net etki alanı altında çözümlenmektedir.SQL Database endpoints resolve under the database.windows.net domain, which requires open access to ports 1433, 11000-11999, and 14000-14999. SQL Database V12 bağlantı noktası kullanımı hakkında daha fazla bilgi için bkz. ADO.NET 4,5 için 1433 üzerindeki bağlantı noktaları.For details about SQL Database V12 port usage, see Ports beyond 1433 for ADO.NET 4.5.

  • Azure Yönetim düzlemi uç noktalarına giden ağ bağlantısı (hem Azure klasik dağıtım modeli hem de Azure Resource Manager uç noktaları).Outbound network connectivity to the Azure management-plane endpoints (both Azure classic deployment model and Azure Resource Manager endpoints). Bu uç noktalara yönelik bağlantı management.core.windows.net ve management.azure.com etki alanlarını içerir.Connectivity to these endpoints includes the management.core.windows.net and management.azure.com domains.

  • Ocsp.msocsp.com, mscrl.microsoft.com ve crl.microsoft.com etki alanlarına giden ağ bağlantısı.Outbound network connectivity to the ocsp.msocsp.com, mscrl.microsoft.com, and crl.microsoft.com domains. Bu etki alanlarına bağlantı, TLS işlevselliğini desteklemek için gereklidir.Connectivity to these domains is needed to support TLS functionality.

  • Sanal ağın DNS yapılandırması, bu makalede bahsedilen tüm uç noktaları ve etki alanlarını çözümleyebilmelidir.The DNS configuration for the virtual network must be able to resolve all endpoints and domains mentioned in this article. Uç noktalar çözümlenemiyorsa App Service Ortamı oluşturma başarısız olur.If the endpoints can't be resolved, App Service Environment creation fails. Mevcut App Service Ortamı, sağlıksız olarak işaretlenir.Any existing App Service Environment is marked as unhealthy.

  • DNS sunucularıyla iletişim için 53 numaralı bağlantı noktası üzerinden giden erişim gereklidir.Outbound access on port 53 is required for communication with DNS servers.

  • Bir VPN ağ geçidinin diğer ucunda özel bir DNS sunucusu varsa, DNS sunucusuna App Service Ortamı içeren alt ağdan erişilebilir olması gerekir.If a custom DNS server exists on the other end of a VPN gateway, the DNS server must be reachable from the subnet that contains App Service Environment.

  • Giden ağ yolu, iç kurumsal proxy 'lerde gezinemiyorum ve şirket içi tünellere zorlamalı olarak ayarlanamaz.The outbound network path can't travel through internal corporate proxies and can't be force tunneled on-premises. Bu eylemler giden ağ trafiğinin etkin NAT adresini App Service Ortamı olarak değiştirir.These actions change the effective NAT address of outbound network traffic from App Service Environment. Giden ağ trafiği App Service Ortamı NAT adresinde yapılan değişiklikler bağlantı hatalarının çok sayıda uç nokta olmasına neden olur.Changes to the NAT address of App Service Environment outbound network traffic cause connectivity failures to many of the endpoints. App Service Ortamı oluşturma başarısız oluyor.App Service Environment creation fails. Mevcut App Service Ortamı, sağlıksız olarak işaretlenir.Any existing App Service Environment is marked as unhealthy.

  • App Service Ortamı için gerekli bağlantı noktalarına gelen ağ erişimine izin verilmelidir.Inbound network access to required ports for App Service Environment must be allowed. Ayrıntılar için bkz. App Service ortamı gelen trafiği denetleme.For details, see How to control inbound traffic to App Service Environment.

DNS gereksinimlerini karşılamak için, sanal ağ için geçerli bir DNS altyapısının yapılandırıldığından ve korunduğundan emin olun.To fulfill the DNS requirements, make sure a valid DNS infrastructure is configured and maintained for the virtual network. App Service Ortamı oluşturulduktan sonra DNS yapılandırması değiştirilirse, geliştiriciler App Service Ortamı yeni DNS yapılandırmasını çekmeye zorlayabilir.If the DNS configuration is changed after App Service Environment is created, developers can force App Service Environment to pick up the new DNS configuration. Azure portalApp Service ortamı yönetimi altında Yeniden Başlat simgesini kullanarak bir sıralı ortam yeniden başlatması tetikleyebilirsiniz.You can trigger a rolling environment reboot by using the Restart icon under App Service Environment management in the Azure portal. Yeniden başlatma, ortamın yeni DNS yapılandırmasını almasına neden olur.The reboot causes the environment to pick up the new DNS configuration.

Gelen ağ erişim gereksinimlerini yerine getirmek için App Service Ortamı alt ağında bir ağ güvenlik grubu (NSG) yapılandırın.To fulfill the inbound network access requirements, configure a network security group (NSG) on the App Service Environment subnet. NSG, App Service ortamı gelen trafiği denetlemek içingerekli erişime izin verir.The NSG allows the required access to control inbound traffic to App Service Environment.

Giden ağ bağlantısıOutbound network connectivity

Varsayılan olarak, yeni oluşturulan bir ExpressRoute devresi, giden internet bağlantısına izin veren bir varsayılan yol tanıtır.By default, a newly created ExpressRoute circuit advertises a default route that allows outbound internet connectivity. App Service Ortamı, bu yapılandırmayı diğer Azure uç noktalarına bağlanmak için kullanabilir.App Service Environment can use this configuration to connect to other Azure endpoints.

Ortak bir müşteri yapılandırması, giden internet trafiğini şirket içi akışa zorlayan kendi varsayılan yolunu (0.0.0.0/0) tanımlamaktır.A common customer configuration is to define their own default route (0.0.0.0/0), which forces outbound internet traffic to flow on-premises. Bu trafik, App Service Ortamı bağımsız olarak akış ayırır.This traffic flow invariably breaks App Service Environment. Giden trafik, şirket içi veya NAT, artık çeşitli Azure uç noktalarıyla çalışmayan tanınmayan bir adres kümesine engellenir.The outbound traffic is either blocked on-premises or NAT'd to an unrecognizable set of addresses that no longer work with various Azure endpoints.

Çözüm, App Service Ortamı içeren alt ağda bir (veya daha fazla) Kullanıcı tanımlı yollar (UDRs) tanımlamaktır.The solution is to define one (or more) user-defined routes (UDRs) on the subnet that contains App Service Environment. UDR, varsayılan yol yerine, alt ağa özgü yolları tanımlar.A UDR defines subnet-specific routes that are honored instead of the default route.

Mümkünse, aşağıdaki yapılandırmayı kullanın:If possible, use the following configuration:

  • ExpressRoute yapılandırması 0.0.0.0/0 tanıtır.The ExpressRoute configuration advertises 0.0.0.0/0. Varsayılan olarak, yapılandırma zorlaması Şirket içindeki tüm giden trafiği tüneller.By default, the configuration force tunnels all outbound traffic on-premises.
  • App Service Ortamı içeren alt ağa uygulanan UDR, Internet 'in bir sonraki atlama türüyle 0.0.0.0/0 tanımlıyor.The UDR applied to the subnet that contains App Service Environment defines 0.0.0.0/0 with a next hop type of internet. Bu yapılandırmanın bir örneği, bu makalenin ilerleyen kısımlarında açıklanmıştır.An example of this configuration is described later in this article.

Bu yapılandırmanın Birleşik etkisi, alt ağ düzeyi UDR 'nin ExpressRoute zorlamalı tünelinin üzerinde öncelikli hale gelir.The combined effect of this configuration is that the subnet-level UDR takes precedence over the ExpressRoute force tunneling. App Service Ortamı giden Internet erişimi garanti edilir.Outbound internet access from App Service Environment is guaranteed.

Önemli

Bir UDR 'de tanımlanan yolların, ExpressRoute yapılandırması tarafından tanıtılan tüm rotalardan öncelikli olması için yeterince özel olması gerekir.The routes defined in a UDR must be specific enough to take precedence over any routes that are advertised by the ExpressRoute configuration. Sonraki bölümde açıklanan örnek, geniş 0.0.0.0/0 adres aralığını kullanır.The example described in the next section uses the broad 0.0.0.0/0 address range. Bu Aralık, daha belirli adres aralıklarını kullanan rota tanıtımlarında yanlışlıkla geçersiz kılınabilir.This range can accidentally be overridden by route advertisements that use more specific address ranges.

App Service Ortamı, genel eşleme yolundan özel eşleme yoluna giden yolları çapraz duyuran ExpressRoute yapılandırmalarında desteklenmez.App Service Environment isn't supported with ExpressRoute configurations that cross-advertise routes from the public peering path to the private peering path. Ortak eşlemeye sahip ExpressRoute yapılandırmalarında, büyük bir Microsoft Azure IP adresi aralığı kümesi için Microsoft 'tan yol reklamları alın.ExpressRoute configurations that have public peering configured receive route advertisements from Microsoft for a large set of Microsoft Azure IP address ranges. Bu adres aralıkları özel eşleme yolunda çapraz tanıtılırsa, App Service Ortamı alt ağdan gelen tüm giden ağ paketleri müşterinin Şirket içi ağ altyapısına tünel uygulamaya zorlanır.If these address ranges are cross-advertised on the private peering path, all outbound network packets from the App Service Environment subnet are force tunneled to the customer's on-premises network infrastructure. Bu ağ akışı şu anda App Service Ortamı ile desteklenmiyor.This network flow isn't currently supported with App Service Environment. Bir çözüm, genel eşleme yolundan özel eşleme yoluna yönelik çapraz reklam yollarını durdurmaktır.One solution is to stop cross-advertising routes from the public peering path to the private peering path.

Kullanıcı tanımlı rotalar hakkında arka plan bilgileri için bkz. sanal ağ trafiği yönlendirme.For background information about user-defined routes, see Virtual network traffic routing.

Kullanıcı tanımlı yollar oluşturma ve yapılandırma hakkında bilgi edinmek için bkz. PowerShell kullanarak ağ trafiğini yönlendirme tablosuyla yönlendirme.To learn how to create and configure user-defined routes, see Route network traffic with a route table by using PowerShell.

UDR yapılandırmasıUDR configuration

Bu bölümde App Service Ortamı için bir örnek UDR yapılandırması gösterilmektedir.This section shows an example UDR configuration for App Service Environment.

ÖnkoşullarPrerequisites

  • Azure İndirmeleri sayfasındanAzure PowerShell ' i yükler.Install Azure PowerShell from the Azure Downloads page. Haziran 2015 veya üzeri bir tarih içeren bir indirme seçin.Choose a download with a date of June 2015 or later. > En son PowerShell cmdlet 'lerini yüklemek için komut satırı araçları Windows PowerShell altında, yüklemek ' ı seçin.Under Command-line tools > Windows PowerShell, select Install to install the latest PowerShell cmdlets.

  • App Service Ortamı tarafından özel kullanım için benzersiz bir alt ağ oluşturun.Create a unique subnet for exclusive use by App Service Environment. Benzersiz alt ağ, alt ağa uygulanan UDRs 'nin yalnızca App Service Ortamı için giden trafiği açmasını sağlar.The unique subnet ensures that the UDRs applied to the subnet open outbound traffic for App Service Environment only.

Önemli

Yapılandırma adımlarını tamamladıktan sonra yalnızca App Service Ortamı dağıtın.Only deploy App Service Environment after you complete the configuration steps. Adımları App Service Ortamı dağıtmayı denemeden önce giden ağ bağlantısının kullanılabilir olmasını sağlar.The steps ensure outbound network connectivity is available before you try to deploy App Service Environment.

1. Adım: yol tablosu oluşturmaStep 1: Create a route table

Batı ABD Azure bölgesinde, bu kod parçacığında gösterildiği gibi Directınternetroutetable adlı bir yol tablosu oluşturun:Create a route table named DirectInternetRouteTable in the West US Azure region, as shown in this snippet:

New-AzureRouteTable -Name 'DirectInternetRouteTable' -Location uswest

2. Adım: tabloda yollar oluşturmaStep 2: Create routes in the table

Giden internet erişimini etkinleştirmek için yol tablosuna yollar ekleyin.Add routes to the route table to enable outbound internet access.

İnternet 'e giden erişimi yapılandırın.Configure outbound access to the internet. 0.0.0.0/0 için bu kod parçacığında gösterildiği gibi bir yol tanımlayın:Define a route for 0.0.0.0/0 as shown in this snippet:

Get-AzureRouteTable -Name 'DirectInternetRouteTable' | Set-AzureRoute -RouteName 'Direct Internet Range 0' -AddressPrefix 0.0.0.0/0 -NextHopType Internet

0.0.0.0/0, geniş bir adres aralığıdır.0.0.0.0/0 is a broad address range. Aralık, daha belirgin olan ExpressRoute tarafından tanıtılan adres aralıkları tarafından geçersiz kılınır.The range is overridden by address ranges advertised by ExpressRoute that are more specific. 0.0.0.0/0 rotasına sahip bir UDR yalnızca 0.0.0.0/0 tanıtan bir ExpressRoute yapılandırması ile birlikte kullanılmalıdır.A UDR with a 0.0.0.0/0 route should be used in conjunction with an ExpressRoute configuration that advertises 0.0.0.0/0 only.

Alternatif olarak, Azure tarafından kullanılan geçerli ve kapsamlı bir CıDR aralığı listesini indirin.As an alternative, download a current, comprehensive list of CIDR ranges in use by Azure. Tüm Azure IP adresi aralıklarına yönelik XML dosyası, Microsoft Indirme merkezi' nden kullanılabilir.The XML file for all Azure IP address ranges is available from the Microsoft Download Center.

Not

Azure IP adresi aralıkları zaman içinde değişir.The Azure IP address ranges change over time. Kullanıcı tanımlı yolların eşitlenmiş halde tutulması için düzenli el ile güncelleştirmeleri olması gerekir.User-defined routes need periodic manual updates to keep in sync.

Tek bir UDR 'nin varsayılan 100 rotasıyla üst limiti vardır.A single UDR has a default upper limit of 100 routes. 100 yol sınırına sığacak şekilde Azure IP adresi aralıklarını "özetleyin".You need to "summarize" the Azure IP address ranges to fit within the 100-route limit. UDR tanımlı yolların, ExpressRoute bağlantınızın tanıtıldığı rotalardan daha belirgin olması gerekir.UDR-defined routes need to be more specific than routes that are advertised by your ExpressRoute connection.

3. Adım: tabloyu alt ağla IlişkilendirmeStep 3: Associate the table to the subnet

Yol tablosunu App Service Ortamı dağıtmayı planladığınız alt ağ ile ilişkilendirin.Associate the route table to the subnet where you intend to deploy App Service Environment. Bu komut Directınternetroutetable tablosunu App Service ortamı Içerecek asesubnet alt ağıyla ilişkilendirir.This command associates the DirectInternetRouteTable table to the ASESubnet subnet that will contain App Service Environment.

Set-AzureSubnetRouteTable -VirtualNetworkName 'YourVirtualNetworkNameHere' -SubnetName 'ASESubnet' -RouteTableName 'DirectInternetRouteTable'

4. Adım: rotayı test etme ve onaylamaStep 4: Test and confirm the route

Yol tablosu alt ağa bağlandıktan sonra, yolu test edin ve onaylayın.After the route table is bound to the subnet, test and confirm the route.

Bir sanal makineyi alt ağa dağıtın ve şu koşulları onaylayın:Deploy a virtual machine into the subnet and confirm these conditions:

  • Bu makalede açıklanan Azure ve Azure dışı uç noktalara giden trafik, ExpressRoute bağlantı hattını göstermez.Outbound traffic to the Azure and non-Azure endpoints described in this article does not flow down the ExpressRoute circuit. Alt ağdan giden trafiğe Zorlamalı tünel uygulandığında App Service Ortamı oluşturma işlemi her zaman başarısız olur.If outbound traffic from the subnet is force tunneled on-premises, App Service Environment creation always fails.
  • Bu makalede açıklanan uç noktalar için DNS aramaları düzgün şekilde çözümlenir.DNS lookups for the endpoints described in this article all resolve properly.

Yapılandırma adımlarını tamamladıktan ve yolu doğruladıktan sonra, sanal makineyi silin.After you complete the configuration steps and confirm the route, delete the virtual machine. App Service Ortamı oluşturulduğunda alt ağın "boş" olması gerekir.The subnet needs to be "empty" when App Service Environment is created.

Artık App Service Ortamı dağıtmaya hazırsınız!Now you're ready to deploy App Service Environment!

Sonraki adımlarNext steps

PowerApps için App Service Ortamı kullanmaya başlamak için bkz. App Service ortamı giriş.To get started with App Service Environment for PowerApps, see Introduction to App Service Environment.