Uygulamanızı bir Azure sanal ağı ile tümleştirme

Bu makalede Azure App Service VNet tümleştirme özelliği ve App Serviceuygulamalarla nasıl ayarlanacağı açıklanır. Azure sanal ağları (VNet 'ler) sayesinde, Azure kaynaklarınızın çoğunu internet 'e yönlendirilemeyen bir ağa yerleştirebilirsiniz. App Service VNet tümleştirme özelliği, uygulamalarınızın bir sanal ağ içindeki veya içindeki kaynaklara erişmesine olanak sağlar. Sanal Ağ tümleştirmesi, uygulamalarınıza özel olarak erişilmesine izin vermez.

App Service iki çeşitlemeye sahiptir:

• temel, standart, Premium, Premium v2 ve Premium v3 içeren adanmış işlem fiyatlandırma katmanları.
• Adanmış destekleme altyapısıyla doğrudan sanal ağınıza dağıtan ve yalıtılmış ve yalıtılmış v2 fiyatlandırma katmanlarını kullanan App Service Ortamı.

VNet tümleştirme özelliği Azure App Service adanmış işlem fiyatlandırma katmanlarında kullanılır. Uygulamanız bir App Service ortamıise, zaten bir sanal ağda bulunur ve aynı sanal ağdaki kaynaklara ulaşmak için VNET tümleştirme özelliğinin kullanılmasını gerektirmez. Tüm ağ özellikleri hakkında daha fazla bilgi için bkz. App Service ağ özellikleri.

Sanal Ağ tümleştirmesi, uygulamanızın sanal ağınızdaki kaynaklara erişmesini sağlar, ancak uygulamanıza sanal ağdan gelen özel erişim vermez. Özel site erişimi, bir uygulamayı yalnızca bir Azure sanal ağı içindeki gibi özel bir ağdan erişilebilir hale getirme anlamına gelir. Sanal Ağ tümleştirmesi yalnızca uygulamanızdan sanal ağınıza giden çağrılar yapmak için kullanılır. VNet tümleştirme özelliği, aynı bölgedeki ve diğer bölgelerdeki sanal ağlarla birlikte kullanıldığında farklı davranır. VNet tümleştirme özelliğinin iki çeşidi vardır:

• Bölgesel sanal ağ tümleştirmesi: aynı bölgedeki sanal ağlara bağlandığınızda, Tümleştirdiğiniz sanal ağda özel bir alt ağa sahip olmanız gerekir.
• Ağ Geçidi-gerekli sanal ağ tümleştirmesi: diğer bölgelerdeki sanal ağlara veya aynı bölgedeki klasik bir sanal ağa doğrudan bağlandığınızda, hedef sanal ağda oluşturulmuş bir Azure sanal ağ geçidi gerekir.

VNet tümleştirme özelliği:

• standart, Premium, Premium v2, Premium v3 veya elastik Premium App Service fiyatlandırma katmanı gerektirir.
• TCP ve UDP 'yi destekler.
• App Service uygulamalar ve işlev uygulamalarıyla çalışır.

Sanal ağ tümleştirmesinin desteklemediği bazı şeyler vardır, örneğin:

• Sürücü bağlama.
• Windows Server Active Directory tümleştirme.
• Tanımlaya.

Ağ Geçidi-gerekli sanal ağ tümleştirmesi, yalnızca hedef sanal ağdaki veya eşleme ya da VPN 'Ler ile hedef sanal ağa bağlı ağlarda bulunan kaynaklara erişim sağlar. Ağ Geçidi-gerekli sanal ağ tümleştirmesi, Azure ExpressRoute bağlantılarında kullanılabilen kaynaklara erişimi etkinleştirmez veya hizmet uç noktaları ile birlikte çalışabilir.

Hangi sürümün kullanıldığı, sanal ağ tümleştirmesi uygulamanızın sanal ağınızdaki kaynaklara erişmesine izin verir, ancak sanal ağdan uygulamanıza gelen özel erişim vermez. Özel site erişimi, uygulamanızı Azure sanal ağı içindeki gibi özel bir ağdan erişilebilir hale getirme anlamına gelir. Sanal Ağ tümleştirmesi yalnızca uygulamanızdan sanal ağınıza giden çağrılar yapmak içindir.

Sanal ağ tümleştirmesini nasıl etkinleştireceğiniziöğrenin.

Bölgesel sanal ağ tümleştirmesi

Bölgesel sanal ağ tümleştirmesi, aynı bölgedeki bir sanal ağa bağlanmayı destekler ve ağ geçidi gerektirmez. Bölgesel sanal ağ tümleştirmesinin kullanılması, uygulamanızın erişmesini sağlar:

• Tümleştirmiş olduğunuz sanal ağdaki kaynaklar.
• Sanal ağlarda bulunan sanal ağ ile ilişkilendirilen kaynaklar, genel eşleme bağlantıları dahil ile tümleşiktir.
• Azure ExpressRoute bağlantıları genelindeki kaynaklar.
• Hizmet uç noktası-güvenli hizmetler.
• Özel uç nokta etkin hizmetler.

Bölgesel sanal ağ tümleştirmeyi kullandığınızda, aşağıdaki Azure ağ özelliklerini kullanabilirsiniz:

• Ağ güvenlik grupları (NSG 'ler): Tümleştirme alt ağınıza yerleştirilmiş bir NSG ile giden trafiği engelleyebilirsiniz. Uygulamanıza gelen erişim sağlamak için sanal ağ tümleştirmesini kullanamadığından gelen kuralları uygulanmaz.
• Yol tabloları (UDRs): istediğiniz yere giden trafik göndermek için tümleştirme alt ağına bir rota tablosu yerleştirebilirsiniz.

Bölgesel sanal ağ tümleştirmesinin çalışması

App Service uygulamalar çalışan rollerinde barındırılır. Bölgesel sanal ağ tümleştirmesi, sanal arabirimleri, temsilci alt ağında bulunan adreslere sahip çalışan rollerine bağlayarak işe yarar. Kimden adresi sanal ağınızda olduğundan, sanal ağınızda sanal ağınızdaki bir VM gibi her şeyi veya bu sanal ağınız aracılığıyla erişebilir. Ağ uygulama, sanal ağınızda bir VM çalıştırağından farklı. Bu özellik için bazı ağ özellikleri henüz kullanılamıyor.

Bölgesel sanal ağ tümleştirmesi etkinleştirildiğinde, uygulamanız sanal ağınız aracılığıyla giden çağrılar yapar. Uygulama özellikleri portalında listelenen giden adresler, uygulamanız tarafından halen kullanılan adreslerdir. Ancak, giden çağrınızdan tümleştirme sanal ağında veya eşlenmiş sanal ağda bulunan bir sanal makine veya özel uç nokta varsa, giden adres tümleştirme alt ağından bir adres olur. Bir örneğe atanan özel IP, WEBSITE_PRIVATE_IP ortam değişkeni aracılığıyla sunulur.

Tüm trafik yönlendirmesi etkinleştirildiğinde, tüm giden trafik sanal ağınıza gönderilir. Tüm trafik yönlendirmesi etkinleştirilmemişse, tümleştirme alt ağında yapılandırılan yalnızca özel trafik (RFC1918) ve hizmet uç noktaları sanal ağa gönderilir ve internet 'e giden trafik normal olarak aynı kanallara gider.

Özelliği, çalışan başına yalnızca bir sanal arabirimi destekler. Çalışan başına bir sanal arabirim, App Service plan başına bir bölgesel sanal ağ tümleştirmesi anlamına gelir. Aynı App Service planındaki tüm uygulamalar aynı sanal ağ tümleştirmesini kullanabilir. Başka bir sanal ağa bağlanmak için bir uygulamaya ihtiyacınız varsa, başka bir App Service planı oluşturmanız gerekir. Kullanılan sanal arabirim, müşterilerin doğrudan erişimine sahip olduğu bir kaynak değildir.

Bu teknolojinin nasıl çalıştığı doğası nedeniyle, sanal ağ tümleştirmesiyle kullanılan trafik Azure ağ Izleyicisi veya NSG akış günlüklerinde gösterilmez.

Alt ağ gereksinimleri

Sanal Ağ tümleştirmesi, ayrılmış bir alt ağa bağlıdır. Bir alt ağ oluşturduğunuzda, Azure alt ağı başlangıçtan itibaren beş IP 'yi kaybeder. Her plan örneği için tümleştirme alt ağından bir adres kullanılır. Uygulamanızı dört örneğe ölçeklendirirseniz dört adres kullanılır.

Boyutu ölçeği büyütme veya küçültme sırasında, kısa bir süre için gereken adres alanı iki katına çıkar. Bu değişiklik, belirli bir alt ağ boyutu için gerçek ve kullanılabilir desteklenen örnekleri etkiler. Aşağıdaki tabloda, her iki CıDR bloğu için kullanılabilir maksimum adres ve bu efekt yatay ölçekte gösterilmektedir.

^*Herhangi bir noktada boyut veya SKU 'da ölçeği büyütme veya küçültme yapmanız gerektiğini varsayar.

Alt ağ boyutu atamadan sonra değiştirilemediğinden, uygulamanızın ulaşabileceği ölçeği kapsayacak kadar büyük bir alt ağ kullanın. Alt ağ kapasitesine sahip herhangi bir sorunu önlemek için, /26 64 adres kullanın.

Planınızdaki uygulamalarınızın, başka bir plandaki uygulamalar tarafından zaten bağlanmış bir sanal ağa ulaşmasını istediğinizde, önceden var olan sanal ağ tümleştirmesi tarafından kullanılandan farklı bir alt ağ seçin.

Yollar

Bölgesel sanal ağ tümleştirmesini yapılandırırken göz önünde bulundurmanız gereken iki tür yönlendirme vardır. Uygulama yönlendirme, uygulamanızdan ve sanal ağa hangi trafiğin yönlendirileceğini tanımlar. Ağ yönlendirme, trafiğin sanal ağınızdan ve dışına nasıl yönlendirildiğini denetleme olanağıdır.

Uygulama yönlendirme

Uygulama yönlendirmeyi yapılandırırken, tüm trafiği ya da yalnızca özel trafiği ( RFC1918 trafiği olarak da bilinir) sanal ağınıza yönlendirebilirsiniz. Bu davranışı route All ayarı aracılığıyla yapılandırırsınız. Route All devre dışıysa, uygulamanız yalnızca özel trafiği sanal ağınıza yönlendirir. Tüm giden trafiğinizi sanal ağınıza yönlendirmek istiyorsanız yolun tümünün etkinleştirildiğinden emin olun.

Uygulama yönlendirmeyi yapılandırmayıöğrenin.

Tüm trafiğin yönlendirilmesini sağlamak için, Tüm yapılandırma ayarlarını yönlendir ' i kullanmanızı öneririz. Yapılandırma ayarını kullanmak, yerleşik bir ilkeyledavranışı denetlemenize olanak tanır. Mevcut WEBSITE_VNET_ROUTE_ALL uygulama ayarı hala kullanılabilir ve tüm trafik yönlendirmeyi her iki ayarla de etkinleştirebilirsiniz.

Ağ yönlendirme

Uygulama, giden trafiği uygulamanızdaki her yere yönlendirmek için yol tabloları ' nı kullanabilirsiniz. Rota tabloları hedef trafiğinizi etkiler. Yol tümü uygulama yönlendirmesindedevre dışı bırakıldığında, yalnızca özel trafik (RFC1918) yol Tablolarınızda etkilenir. Ortak hedefler, güvenlik duvarı cihazları veya ağ geçitleri içerebilir. Tümleştirme alt ağınızda ayarlanan yollar, gelen uygulama isteklerine olan yanıtları etkilemez.

Şirket içinde tüm giden trafiği yönlendirmek istediğinizde, tüm giden trafiği Azure ExpressRoute Gateway 'e göndermek için bir yol tablosu kullanabilirsiniz. Trafiği bir ağ geçidine yönlendirdiğinizde, dış ağdaki yolları, yanıtları geri gönderecek şekilde ayarlayın.

Sınır Ağ Geçidi Protokolü (BGP) rotaları de uygulama trafiğinizi etkiler. ExpressRoute ağ geçidine benzer bir şekilde BGP yollarınız varsa, uygulamanızın giden trafiği etkilenir. Kullanıcı tanımlı yollara benzer şekilde BGP yolları, yönlendirme kapsamı ayarlarınıza göre trafiği etkiler.

Ağ güvenlik grupları

Bölgesel sanal ağ tümleştirmesinin kullanıldığı bir uygulama, sanal ağınızdaki veya Internet 'teki kaynaklara giden trafiği engellemek için bir ağ güvenlik grubu kullanabilir. Ortak adreslere giden trafiği engellemek için, tüm sanal ağa yönlendirmeyi etkinleştirin. Route All etkin olmadığında NSG 'ler yalnızca RFC1918 trafiğe uygulanır.

Tümleştirme alt ağına uygulanan bir NSG, tümleştirme alt ağına uygulanan yol tablolarından bağımsız olarak etkili olur.

Sanal Ağ tümleştirmesi uygulamanızdan yalnızca giden trafiği etkilediği için NSG 'deki gelen kuralları uygulamanıza uygulanmaz. Uygulamanıza gelen trafiği denetlemek için erişim kısıtlamaları özelliğini kullanın.

Hizmet uç noktaları

Bölgesel sanal ağ tümleştirmesi, hizmet uç noktalarıyla güvenliği sağlanacak Azure hizmetlerine ulaşmanıza olanak sağlar. Uç nokta güvenliğine sahip bir hizmete erişmek için şu adımları izleyin:

1. Tümleştirme için belirli bir alt ağa bağlanmak üzere web uygulamanıza bölgesel sanal ağ tümleştirmesi yapılandırın.
2. Hedef hizmete gidin ve tümleştirme alt ağın hizmet uç noktalarını yapılandırın.

Özel uç noktalar

Özel uç noktalara çağrı yapmak içinDNS aramalarının özel uç noktasına çözümlene emin olun. Bu davranışı aşağıdaki yöntemlerden birini kullanabilirsiniz:

• Özel bölgelerle Azure DNS tümleştirin. Sanal ağ bir özel DNS sunucusuna sahip değilken, bölgeler sanal ağa bağlı olduğunda tümleştirme otomatik olarak yapılır.
• Uygulamanız tarafından kullanılan DNS sunucusundaki özel uç noktayı yönetin. Yapılandırmayı yönetmek için özel uç nokta IP adresini biliyor olun. Ardından A kaydı kullanarak bu adrese ulaşmaya çalıştığın uç noktayı işaret etmek.
• Kendi DNS sunucularınızı özel bölgelere ilet Azure DNS yapılandırabilirsiniz.

Azure DNS bölgeleri

Uygulama sanal ağınız ile tümleştirdikten sonra, sanal ağ için yapılandırılan DNS sunucusunu kullanır. Özel DNS belirtilmezse, Azure varsayılan DNS'yi ve sanal ağa bağlı özel bölgeleri kullanır.

Sınırlamalar

Bölgesel sanal ağ tümleştirmesi kullanmayla ilgili bazı sınırlamalar vardır:

• Bu özellik, v2 ve App Service v3'Premium tüm ölçek Premium kullanılabilir. Standart olarak da kullanılabilir, ancak yalnızca daha yeni ölçek App Service kullanılabilir. Daha eski bir ölçek birimi kullanıyorsanız, bu özelliği yalnızca Premium v2 App Service kullanabilirsiniz. Bu özelliği Standart App Service planında kullanabileceğinize emin olmak için Premium v3 App Service oluşturun. Bu planlar yalnızca en yeni ölçek birimlerimizde de desteklemektedir. Plan oluşturulduktan sonra ölçeği 30'a 000'e kadar 200 abd'den fazla olacak şekilde ölçeklendirin.
• Bu özellik, bir uygulamanın içinde yer alan yalıtılmış plan uygulamaları App Service Ortamı.
• Klasik sanal ağlarla eşleme bağlantılarında kaynaklara erişesiniz.
• Bu özellik, bir sanal ağda IPv4 bloğu veya daha /28 büyük olan kullanılmayan bir Azure Resource Manager gerektirir.
• Uygulama ve sanal ağ aynı bölgede olmalıdır.
• Tümleştirme sanal ağına tanımlanmış IPv6 adres alanları yok.
• Tümleştirme alt ağın hizmet uç noktası ilkeleri etkinleştirilememektedir.
• Tümleştirme alt ağı yalnızca tek bir App Service kullanılabilir.
• Tümleşik bir uygulamayla sanal ağı silemezsiniz. Sanal ağı smeden önce tümleştirmeyi kaldırın.
• Sanal makine planı başına yalnızca bir bölgesel sanal ağ tümleştirmesi App Service olabilir. Aynı sanal App Service birden çok uygulama aynı sanal ağı kullanabilir.
• Bölgesel sanal ağ tümleştirmesi kullanan bir uygulama varken bir uygulamanın veya planın aboneliğini değiştiremezsiniz.

Ağ geçidi için gerekli sanal ağ tümleştirmesi

Ağ geçidine gereken sanal ağ tümleştirmesi, başka bir bölgedeki bir sanal ağa veya klasik bir sanal ağa bağlanmayı destekler. Ağ geçidi için gerekli sanal ağ tümleştirmesi:

• Bir uygulamanın aynı anda yalnızca bir sanal ağa bağlanmasına olanak sağlar.
• Bir sanal makine planında en fazla beş sanal a App Service sağlar.
• Aynı sanal ağın bir App Service planı tarafından kullanılmaktadır toplam sayı etkilemeden birden çok uygulama tarafından App Service sağlar. Aynı sanal ağ planında aynı sanal ağı kullanan altı App Service varsa bu, kullanılan bir sanal ağ olarak sayılır.
• Ağ geçidi üzerindeki SLA, genel SLA'yı etkiler.
• Uygulamalarınızı sanal ağın yapılandırılan DNS'lerini kullanmalarını sağlar.
• Uygulamaya bağlanamadan önce SSTP noktadan siteye VPN ile yapılandırılmış bir sanal ağ yolu tabanlı ağ geçidi gerektirir.

Ağ geçidi için gerekli sanal ağ tümleştirmesi kullanasanız:

• ExpressRoute ile bağlı bir sanal ağ ile.
• Linux uygulamasından.
• Bir kapsayıcıdan Windows.
• Hizmet uç noktası ile güvenliği sağlanacak kaynaklara erişmek için.
• Hem ExpressRoute hem de noktadan siteye veya siteden siteye VPN'leri destekleyen bir birlikte var olan ağ geçidi ile.

Azure sanal ağ geçidinizi ayarlama

Ağ geçidi oluşturmak için:

1. VPN ağ geçidini ve alt ağın oluşturun. Rota tabanlı bir VPN türü seçin.

2. Noktadan siteye adreslerini ayarlayın. Ağ geçidi temel SKU'da değilse noktadan siteye yapılandırmada IKEV2 devre dışı bırakılmıştır ve SSTP seçilmelidir. Noktadan siteye adres alanı RFC 1918 adres bloklarında 10.0.0.0/8, 172.16.0.0/12 ve 192.168.0.0/16'da yer alanı.

Ağ geçidini ağ geçidi için gerekli sanal ağ tümleştirmesi ile kullanmak üzere oluşturmanız, bir sertifikayı karşıya yüklemeniz gerekmez. Ağ geçidinin oluşturulması 30 dakika sürebilir. Ağ geçidi oluşturulana kadar, uygulamalarınızı sanal ağınız ile tümleştiresiniz.

Ağ geçidine gereken sanal ağ tümleştirmesi nasıl çalışır?

Ağ geçidi için gerekli sanal ağ tümleştirmesi noktadan siteye VPN teknolojisi üzerine inşa edilmiştir. Noktadan siteye VPN'ler, uygulamayı barındıran sanal makineye ağ erişimini sınırlandırıyor. Uygulamalar yalnızca karma bağlantılar veya sanal ağ tümleştirmesi aracılığıyla İnternet'e trafik göndermek için sınırlıdır. Uygulamanız portal ile ağ geçidi için gerekli sanal ağ tümleştirmesi kullanmak üzere yapılandırıldığında, ağ geçidinde ve uygulama tarafında sertifika oluşturmak ve atamak için sizin adına karmaşık bir anlaşma yönetilir. Sonuç olarak, uygulamalarınızı barındırmak için kullanılan çalışanlar seçilen sanal ağ geçidine doğrudan bağlanabilirsiniz.

Şirket içi kaynaklara erişme

Uygulamalar, siteden siteye bağlantıları olan sanal ağlarla tümleştirerek şirket içi kaynaklara erişebilirsiniz. Ağ geçidi için gerekli sanal ağ tümleştirmesi kullanıyorsanız, şirket içi VPN ağ geçidi yollarınızı noktadan siteye adres bloklarla güncelleştirin. Siteden siteye VPN ilk kez ayarlanırsa, bunu yapılandırmak için kullanılan betikler yolları düzgün ayarlamalı. Noktadan siteye VPN'nizi oluşturduk sonra noktadan siteye adreslerini eklersiniz, yolları el ile güncelleştirmeniz gerekir. Bunu ağ geçidine göre değişiklik gösterir ve burada açıklanmıştır. BGP'yi siteden siteye VPN bağlantısıyla yapılandıramazsanız.

Bölgesel sanal ağ tümleştirme özelliğinin sanal ağınız üzerinden şirket içi kaynaklara ulaşacak olması için ek yapılandırma gerekmez. ExpressRoute veya siteden siteye VPN kullanarak sanal ağın şirket içi kaynaklarına bağlanması gerekir.

Eşleme

Eşlemeyi bölgesel sanal ağ tümleştirmesi ile kullanıyorsanız, başka yapılandırmaya ihtiyacınız yok.

Eşleme ile ağ geçidine gereken sanal ağ tümleştirmesi kullanıyorsanız, birkaç öğe daha yapılandırmanız gerekir. Eşlemeyi uygulamanıza çalışacak şekilde yapılandırmak için:

1. Uygulamanın bağlandığı sanal ağa bir eşleme bağlantısı ekleyin. Eşleme bağlantısını eklerken Sanal ağ erişimine izin ver'i etkinleştirin ve Ileten trafiğe izin ver'i ve Ağ geçidi geçişe izin ver'i seçin.
2. Bağlantınız olan sanal ağ ile eşilen sanal ağa bir eşleme bağlantısı ekleyin. Hedef sanal ağa eşleme bağlantısını eklerken Sanal ağ erişimine izin ver'i etkinleştirin ve Ileten trafiğe izin ver'i ve Uzak ağ geçitlerine izin ver'i seçin.
3. Portalda App Service ağ > sanal ağ > tümleştirmesi planına gidin. Uygulamanın bağlandığı sanal ağı seçin. Yönlendirme bölümünün altına, uygulamanın bağlı olduğu sanal ağ ile eşilen sanal ağın adres aralığını ekleyin.

Sanal ağ tümleştirmeyi yönetme

Sanal ağ ile bağlantı ve bağlantı kesme uygulama düzeyindedir. Birden çok uygulama arasında sanal ağ tümleştirmesini etkileyebilecek işlemler, App Service düzeyindedir. Ağ sanal > > portalını kullanarak sanal ağınız hakkında ayrıntılı bilgi edinebilirsiniz. Ağ sanal ağı tümleştirme portalında App Service planı düzeyinde App Service > > bilgileri bulabilirsiniz.

Sanal ağ tümleştirme örneğinizin uygulama görünümünde tek işlem, uygulamanın o anda bağlı olduğu sanal ağ ile bağlantısını kesmektir. Uygulamanın sanal ağ bağlantısını kesmek için Bağlantıyı Kes'i seçin. Sanal ağ bağlantısını kesdikten sonra uygulamanız yeniden başlatılır. Bağlantıyı kesme, sanal ağın bağlantısını kesmez. Alt ağ veya ağ geçidi kaldırılmış değil. Daha sonra sanal ağın bağlantısını silmek için önce uygulamanın sanal ağ bağlantısını kesin ve ağ geçitleri gibi bu ağ geçidinde yer alan kaynakları silin.

Sanal App Service tümleştirme kullanıcı arabiriminde, uygulama planınız içinde uygulamalar tarafından kullanılan tüm sanal ağ tümleştirmeleri App Service gösterir. Her sanal ağ ile ilgili ayrıntıları görmek için ilgilendiğinizi sanal ağı seçin. Ağ geçidine gereken sanal ağ tümleştirmesi için burada gerçekleştirebilirsiniz iki eylem vardır:

• Eşitleme ağı: Eşitleme ağı işlemi yalnızca ağ geçidine gereken sanal ağ tümleştirme özelliği için kullanılır. Eşitleme ağı işlemi gerçekleştirmek, sertifika ve ağ bilgilerinizin eşitlenen bir şekilde çalışmasına yardımcı olur. Sanal ağ dns'nizi ekler veya değiştirirsiniz, bir eşitleme ağı işlemi gerçekleştirin. Bu işlem, bu sanal ağı kullanan tüm uygulamaları yeniden başlatıyor. Farklı aboneliklere ait bir uygulama ve sanal ağ kullanıyorsanız bu işlem çalışmaz.
• Yol ekleme: Rota eklemek, sanal ağınıza giden trafiği yönlendiren yollara yol gösterir.

Örneğine atanan özel IP, örnek için ortam değişkeni WEBSITE_PRIVATE_IP. Kudu konsol kullanıcı arabirimi web uygulamasında kullanılabilen ortam değişkenlerinin listesini de gösterir. Bu IP, tümleşik alt ağın adres aralığından atanır. Bölgesel sanal ağ tümleştirmesi için, WEBSITE_PRIVATE_IP temsilci alt ağının adres aralığından bir IP değeridir. Ağ geçidine gereken sanal ağ tümleştirmesi için değer, sanal ağ geçidi üzerinde yapılandırılan noktadan siteye adres havuzunun adres aralığındaki bir IP'dir. Bu IP, web uygulaması tarafından Azure sanal ağı üzerinden kaynaklara bağlanmak için kullanılır.

Ağ geçidi için gerekli sanal ağ tümleştirme yönlendirmesi

Sanal ağ içinde tanımlanan yollar, trafiği uygulamanıza sanal ağınıza yönlendirmek için kullanılır. Sanal ağa daha fazla giden trafik göndermek için bu adres bloklarını buraya ekleyin. Bu özellik yalnızca ağ geçidi için gerekli sanal ağ tümleştirmesi ile çalışır. Ağ geçidine gereken sanal ağ tümleştirmesini bölgesel sanal ağ tümleştirmesi ile olduğu gibi kullanıyorsanız yönlendirme tabloları uygulama trafiğinizi etkilemez.

Ağ geçidi için gerekli sanal ağ tümleştirme sertifikaları

Ağ geçidi için gerekli sanal ağ tümleştirmesi etkinleştirildiğinde, bağlantının güvenliğini sağlamak için gerekli bir sertifika değişimi vardır. Sertifikaların yanı sıra DNS yapılandırması, yolları ve ağı açıklayan benzer şeyler de vardır.

Sertifikalar veya ağ bilgileri değiştirilirse, Ağı Eşitle'yi seçin. Ağı Eşitle'yi seçerek, uygulama ile sanal ağınız arasında bağlantıda kısa bir kesintiye neden olur. Uygulamanız yeniden başlatılmadı ancak bağlantı kaybı, sitenin düzgün çalışmama neden olabilir.

Fiyatlandırma ayrıntıları

Bölgesel sanal ağ tümleştirme özelliği, fiyatlandırma katmanı ücretlendirmesi dışında App Service ek ücret ödemez.

Ağ geçidi için gerekli sanal ağ tümleştirme özelliğinin kullanımıyla ilgili üç ücret vardır:

• App Service fiyatlandırma katmanı ücretleri: Uygulamalarınızı Standart, Premium, Premium v2 veya Premium v3 App Service gerekir. Bu maliyetler hakkında daha fazla bilgi için bkz. App Service fiyatlandırması.
• Veri aktarımı maliyetleri: Sanal ağ aynı veri merkezinde olsa bile veri çıkış ücreti tahsil edilecektir. Bu ücretler Veri aktarımı fiyatlandırma ayrıntıları altında açıklanmıştır.
• VPN ağ geçidi maliyetleri: Noktadan siteye VPN için gerekli olan sanal ağ geçidinin bir maliyeti vardır. Daha fazla bilgi için bkz. VPN gateway fiyatlandırması.

Sorun giderme

Özelliği ayarlamak kolaydır ancak bu, deneyiminizin sorun yaşamayacak olduğu anlamına da değildir. İstediğiniz uç noktasına erişirken sorunlarla karşılaşırsanız, uygulama konsolundan bağlantı sınamak için kullanabileceğiniz bazı yardımcı programlar vardır. Kullanabileceğiniz iki konsol vardır. Biri Kudu konsolu, diğeri de Azure portal. Uygulamanıza bakarak Kudu konsoluna ulaşmak için Araçlar > Kudu'ya gidin. Kudo konsoluna [sitename].scm.azurewebsites.net sitesinden de ulaşabilirsiniz. Web sitesi yükleniyorsa Hata ayıklama konsolu sekmesine gidin. Uygulamanız tarafından Azure portal konsoluna gitmek için Araçlar Konsolu'nu > seçin.

Araçlar

Yerel Windows uygulamalarda araçlar , nslookup ve tracert'ye ping işlemi, güvenlik kısıtlamaları nedeniyle konsolunda çalışmaz (özel uygulama kapsayıcılarında Windows çalışır). Boşluğu doldurmak için iki ayrı araç eklenir. DNS işlevselliğini test etmek içinnameresolver.exe adlı bir araç ekledik. Söz dizimi aşağıdaki gibidir:

nameresolver.exe hostname [optional: DNS Server]

Nameresolver kullanarak, uygulamanıza bağlı olan konak adlarını kontrol edin. Bu şekilde, DNS'niz ile yanlış yapılandırılmış bir şey olup olmadığını veya DNS sunucunuza erişiminizin olup olmadığını test etmek için kullanabilirsiniz. Uygulamanın konsolda kullandığı DNS sunucusunu, uygulamanın ortam değişkenlerine ve WEBSITE_DNS_SERVER WEBSITE_DNS_ALT_SERVER.

Bir konak ve bağlantı noktası bileşimine TCP bağlantısını test etmek için sonraki aracı kullanabilirsiniz. Bu araç tcpping olarak ve söz dizimi şu şekildedir:

tcpping.exe hostname [optional: port]

tcpping yardımcı programı, belirli bir ana bilgisayar ve bağlantı noktasına ulaşarak ulaşabilirsiniz. Yalnızca konak ve bağlantı noktası bileşimini dinleyen bir uygulama varsa ve uygulamanın belirtilen konak ve bağlantı noktasına ağ erişimi varsa başarıyı gösterebilir.

Sanal ağ tarafından barındırılan kaynaklara erişimde hata ayıklama

Bir dizi şey, uygulamanın belirli bir ana bilgisayar ve bağlantı noktasına ulaşmasını önlenebilir. Çoğu zaman şu şeylerden biri olur:

• Güvenlik duvarının yolu açık. Bu sırada bir güvenlik duvarınız varsa TCP zaman aşımına uyabilirsiniz. Bu durumda TCP zaman aşımı 21 saniyedir. Tcpping aracını kullanarak bağlantıları test edin. TCP zaman aşımına güvenlik duvarının ötesinde birçok şey neden olabilir, ancak orada başlayabilirsiniz.
• DNS'ye erişilemez. DNS zaman aşımı, DNS sunucusu başına 3 saniyedir. İki DNS sunucusu varsa zaman aşımı 6 saniyedir. DNS'nin çalışsa da çalışmay olduğunu görmek için nameresolver kullanın. Nslookup'u kullanamazsanız, bu sanal ağ için yapılandırılan DNS'yi kullanmaz. Erişilemezse, DNS'ye erişimi engelleyen bir güvenlik duvarınız veya NSG'miz olabilir ya da bu güvenlik duvarı devre dışı olabilir.

Bu öğeler sorunlarınızı yanıt vermiyorsa, önce şöyle şeyler olup olmadığını bakın:

Bölgesel sanal ağ tümleştirmesi

• Hedefiniz RFC1918 olmayan bir adres mi ve Tüm Yolları etkinleştirmiş değil misiniz?
• Tümleştirme alt ağdan çıkış engelleyen bir NSG var mı?
• Şirket içi ağ geçidiniz Azure ExpressRoute azure'a geri yönlendiren bir vpn mi yapılandırıldı? Sanal ağ içinde uç noktalara ulaşıyorsanız ancak şirket içi uç noktalara ulaşa biliyorsanız yollarınızı kontrol edin.
• Tümleştirme alt ağın temsilci seçmesini ayarlamak için yeterli izinlere sahip misiniz? Bölgesel sanal ağ tümleştirme yapılandırması sırasında tümleştirme alt ağınız Microsoft.Web/serverFarms'a devredildi. Sanal ağ tümleştirme kullanıcı arabirimi, alt ağı otomatik olarak Microsoft.Web/serverFarms'a devreder. Hesabınız temsilci seçmeyi ayarlamak için yeterli ağ izinlerine sahip değilse, alt ağı temsilci olarak ayarlamak için tümleştirme alt ağ üzerinde öznitelikler ayarlayacak birine ihtiyacınız vardır. Tümleştirme alt ağına el ile temsilci seçme için Azure Sanal Ağ alt ağı kullanıcı arabirimine gidin ve Microsoft.Web/serverFarms temsilci seçmeyi ayarlayın.

Ağ geçidi için gerekli sanal ağ tümleştirmesi

• RFC 1918 aralıklarında noktadan siteye adres aralığı mı (10.0.0.0-10.255.255.255 / 172.16.16 0.0-172.31.255.255 / 192.168.0.0-192.168.255.255)?
• Ağ geçidi portalda var olarak mı? Ağ geçidiniz kapatıyorsa yeniden getirin.
• Sertifikalar eşitlenen olarak mı yoksa ağ yapılandırmasının değiştirdiğini mi gösteriyor? Sertifikalarınızı eşitlemiyorsanız veya SANAL ağ yapılandırmanıza ASP'lerle eşitlenen bir değişiklik yapılmış olduğunu şüpheleniyorsanız, Ağı Eşitle'yi seçin.
• VPN üzerinden geçiş yapacaksanız şirket içi ağ geçidi trafiği Azure'a geri yönlendiracak şekilde mi yapılandırılmış? Sanal ağ içinde uç noktalara ulaşıyorsanız ancak şirket içi uç noktalara ulaşa biliyorsanız yollarınızı kontrol edin.
• Hem noktadan siteye hem de ExpressRoute'u destekleyen bir birlikte kullanım ağ geçidi mi kullanmaya çalışıyorsunuz? Birlikte var olan ağ geçitleri, sanal ağ tümleştirmesi ile birlikte kullanılabilir.

Belirli bir ana bilgisayar:bağlantı noktası bileşimine erişimi engelleyen şeyi görenemlik nedeniyle ağ sorunlarda hata ayıklamak zor olabilir. Bazı nedenler şunlardır:

• Konakta noktadan siteye IP aralığından uygulama bağlantı noktasına erişimi engelleyen bir güvenlik duvarınız var. Alt ağları geçmek için genellikle genel erişim gerekir.
• Hedef ana bilgisayarnız yok.
• Uygulamanız yok.
• Yanlış IP veya ana bilgisayar adı kullandınız.
• Uygulamanız, beklenenden farklı bir bağlantı noktası üzerinde dinliyor. Uç nokta ana bilgisayarı üzerinde "netstat -aon" kullanarak işlem kimliğinizi dinleme bağlantı noktasıyla eşebilirsiniz.
• Ağ güvenlik gruplarınız, noktadan siteye IP aralığından uygulama ana bilgisayar ve bağlantı noktanıza erişimi önleyen şekilde yapılandırılır.

Uygulamanın gerçekte hangi adresi kullandığını bilmiyorsanız. Tümleştirme alt ağı veya noktadan siteye adres aralığındaki herhangi bir adres olabilir, bu nedenle tüm adres aralığından erişime izin vermelisiniz.

Diğer hata ayıklama adımları şunlardır:

• Bağlan sanal ağınız içinde bir VM'ye bağlanarak kaynak ana bilgisayar:bağlantı noktasına ulaşmayı denemeniz gerekir. TCP erişimini test etmek için test-netconnection PowerShell komutunu kullanın. Söz dizimi aşağıdaki gibidir:

  test-netconnection hostname [optional: -Port]
  

• Tcpping kullanarak sanal makinede bir uygulama getirin ve bu ana bilgisayar ve bağlantı noktasına erişimi uygulamanıza konsolundan test edin.

Şirket içi kaynaklar

Uygulamanız şirket içi bir kaynağa ulaşamaysa, sanal ağınız üzerinden kaynağa ulaş olup olmadığını kontrol edin. TCP erişimini kontrol etmek için test-netconnection PowerShell komutunu kullanın. VM'niz şirket içi kaynağınıza ulaşamazsanız VPN veya ExpressRoute bağlantınız düzgün yapılandırılmamış olabilir.

Sanal ağ üzerinde barındırılan VM'niz şirket içi sisteminize ulaşabiliyorsa ama uygulamanız ulaşaabiliyorsa, bunun nedeni büyük olasılıkla aşağıdaki nedenlerden biri olabilir:

• Yollarınız, şirket içi ağ geçidinizin alt ağı veya noktadan siteye adres aralıkları ile yapılandırılmaz.
• Ağ güvenlik gruplarınız noktadan siteye IP aralığınız için erişimi engelliyor.
• Şirket içi güvenlik duvarlarınız noktadan siteye IP aralığınıza gelen trafiği engelliyor.
• Bölgesel sanal ağ tümleştirme özelliğini kullanarak RFC 1918 olmayan bir adrese ulaşmaya çalışıyorsanız.

Sanal App Service bağlantısını kesmeden önce uygulama planını veya web uygulamasını silme

Önce sanal ağ tümleştirmesini kesmeden web uygulamasını veya App Service planını sildikten sonra, silinen kaynakla tümleştirme için kullanılan sanal ağda veya alt ağda herhangi bir güncelleştirme/silme işlemi yapmak mümkün olmayacaktır. 'Microsoft.Web/serverFarms' alt ağınıza atanmış olarak kalır ve güncelleştirme/silme işlemlerini önler.

Alt ağı veya sanal ağı yeniden güncelleştirmek/silmek için sanal ağ tümleştirmesini yeniden oluşturmanız ve bağlantısını kesmeniz gerekir:

1. Uygulama planını ve App Service uygulamasını yeniden oluşturun (öncekiyle tam olarak aynı web uygulaması adını kullanmak zorunludur).
2. Web uygulamasında 'Ağ' dikey penceresine gidin ve sanal ağ tümleştirmesini yapılandırabilirsiniz.
3. Sanal ağ tümleştirmesi yapılandırıldıktan sonra 'Bağlantıyı Kes' düğmesini seçin.
4. Uygulama planını App Service web uygulamasını silin.
5. Alt ağı veya sanal ağı güncelleştirin/silin.

Yukarıdaki adımları takip ettikten sonra sanal ağ tümleştirmesi ile ilgili sorun devam ediyorsanız lütfen sanal Microsoft Desteği.