Azure ExpressRoute ile Power Apps için App Service Ortamı için ağ yapılandırma ayrıntıları

  • Makale

Önemli

Bu makale App Service Ortamı v1 hakkındadır. App Service Ortamı v1, 31 Ağustos 2024 tarihinde kullanımdan kaldırılacaktır. Kullanımı daha kolay olan ve daha güçlü bir altyapı üzerinde çalışan yeni bir App Service Ortamı sürümü vardır. Yeni sürüm hakkında daha fazla bilgi edinmek için App Service Ortamı giriş ile başlayın. Şu anda App Service Ortamı v1 kullanıyorsanız yeni sürüme geçmek için lütfen bu makaledeki adımları izleyin.

29 Ocak 2024 itibarıyla ARM/Bicep şablonları, Azure Portal, Azure CLI veya REST API gibi kullanılabilir yöntemlerden herhangi birini kullanarak yeni App Service Ortamı v1 kaynakları oluşturamıyabilirsiniz. Kaynak silme ve veri kaybını önlemek için 31 Ağustos 2024'e kadar App Service Ortamı v3'e geçmeniz gerekir.

Müşteriler, şirket içi ağlarını Azure'a genişletmek için bir Azure ExpressRoute bağlantı hattını sanal ağ altyapılarına bağlayabilir. App Service Ortamı, sanal ağ altyapısının bir alt ağında oluşturulur. App Service Ortamı üzerinde çalışan uygulamalar, yalnızca ExpressRoute bağlantısı üzerinden erişilebilen arka uç kaynaklarına güvenli bağlantılar kurar.

App Service Ortamı şu senaryolarda oluşturulabilir:

  • Azure Resource Manager sanal ağları.
  • Klasik dağıtım modeli sanal ağları.
  • Genel adres aralıkları veya RFC1918 adres alanları (özel adresler) kullanan sanal ağlar.

Not

Bu makale web uygulamalarıyla ilgili olsa da, API uygulamaları ve mobil uygulamalara da uygulanır.

Gerekli ağ bağlantısı

App Service Ortamı başlangıçta ExpressRoute'a bağlı bir sanal ağda karşılanmayabilecek ağ bağlantısı gereksinimleri vardır.

App Service Ortamı düzgün çalışması için aşağıdaki ağ bağlantısı ayarlarının yapılması gerekir:

  • Hem 80 numaralı bağlantı noktasında hem de 443 numaralı bağlantı noktasında dünya çapında Azure Depolama uç noktalarına giden ağ bağlantısı. Bu uç noktalar, App Service Ortamı ve diğer Azure bölgeleriyle aynı bölgede bulunur. Azure Depolama uç noktaları şu DNS etki alanları altında çözülür: table.core.windows.net, blob.core.windows.net, queue.core.windows.net ve file.core.windows.net.

  • Bağlantı noktası 445'te Azure Dosyalar hizmetine giden ağ bağlantısı.

  • App Service Ortamı ile aynı bölgede bulunan Azure SQL Veritabanı uç noktalarına giden ağ bağlantısı. SQL Veritabanı uç noktaları, 1433, 11000-11999 ve 14000-14999 bağlantı noktalarına açık erişim gerektiren database.windows.net etki alanı altında çözülür. SQL Veritabanı V12 bağlantı noktası kullanımı hakkında ayrıntılı bilgi için bkz. ADO.NET 4.5 için 1433'in ötesindeki bağlantı noktaları.

  • Azure yönetim düzlemi uç noktalarına giden ağ bağlantısı (hem Azure klasik dağıtım modeli hem de Azure Resource Manager uç noktaları). Bu uç noktaların Bağlan, management.core.windows.net ve management.azure.com etki alanlarını içerir.

  • ocsp.msocsp.com, mscrl.microsoft.com ve crl.microsoft.com etki alanlarına giden ağ bağlantısı. TLS işlevselliğini desteklemek için bu etki alanlarına Bağlan üretkenlik gerekir.

  • Sanal ağın DNS yapılandırmasının bu makalede bahsedilen tüm uç noktaları ve etki alanlarını çözümleyebilmesi gerekir. Uç noktalar çözümlenemiyorsa App Service Ortamı oluşturma işlemi başarısız olur. Mevcut tüm App Service Ortamı iyi durumda değil olarak işaretlenir.

  • DNS sunucularıyla iletişim için 53 numaralı bağlantı noktasında giden erişim gereklidir.

  • VPN ağ geçidinin diğer ucunda özel bir DNS sunucusu varsa, DNS sunucusuna App Service Ortamı içeren alt ağdan erişilebilir olmalıdır.

  • Giden ağ yolu iç şirket proxy'leri üzerinden geçemez ve şirket içinde zorlamalı tünel oluşturulamaz. Bu eylemler, App Service Ortamı giden ağ trafiğinin etkin NAT adresini değiştirir. Giden App Service Ortamı ağ trafiğinin NAT adresinde yapılan değişiklikler, uç noktaların çoğuna bağlantı hatalarına neden olur. App Service Ortamı oluşturma işlemi başarısız oluyor. Mevcut tüm App Service Ortamı iyi durumda değil olarak işaretlenir.

  • App Service Ortamı için gerekli bağlantı noktalarına gelen ağ erişimine izin verilmelidir. Ayrıntılar için bkz. App Service Ortamı gelen trafiği denetleme.

DNS gereksinimlerini karşılamak için, sanal ağ için geçerli bir DNS altyapısının yapılandırıldığından ve korundığından emin olun. App Service Ortamı oluşturulduktan sonra DNS yapılandırması değiştirilirse, geliştiriciler App Service Ortamı yeni DNS yapılandırmasını almaya zorlayabilir. Azure portalında App Service Ortamı yönetimi altındaki Yeniden Başlat simgesini kullanarak sıralı bir ortamın yeniden başlatılmasını tetikleyebilirsiniz. Yeniden başlatma, ortamın yeni DNS yapılandırmasını almasına neden olur.

Gelen ağ erişim gereksinimlerini karşılamak için, App Service Ortamı alt ağında bir ağ güvenlik grubu (NSG) yapılandırın. NSG, App Service Ortamı gelen trafiği denetlemek için gerekli erişime izin verir.

Giden ağ bağlantısı

Varsayılan olarak, yeni oluşturulan bir ExpressRoute bağlantı hattı giden İnternet bağlantısına izin veren varsayılan bir yolu tanıtır. App Service Ortamı bu yapılandırmayı kullanarak diğer Azure uç noktalarına bağlanabilir.

Yaygın bir müşteri yapılandırması, giden İnternet trafiğini şirket içinde akmaya zorlayan kendi varsayılan yolunu (0.0.0.0/0) tanımlamaktır. Bu trafik akışı her zaman App Service Ortamı bozar. Giden trafik şirket içinde engellenir veya NAT, artık çeşitli Azure uç noktalarıyla çalışmayan tanınmayan bir adres kümesine gider.

Çözüm, alt ağda App Service Ortamı içeren bir (veya daha fazla) kullanıcı tanımlı yol (UDR) tanımlamaktır. UDR, varsayılan yol yerine alt ağa özgü yolları tanımlar.

Mümkünse aşağıdaki yapılandırmayı kullanın:

  • ExpressRoute yapılandırması 0.0.0.0/0 tanıtıyor. Varsayılan olarak, yapılandırma zorlaması şirket içi tüm giden trafiğe tünel oluşturur.
  • App Service Ortamı içeren alt ağa uygulanan UDR, sonraki atlama türü İnternet olan 0.0.0.0/0'ı tanımlar. Bu yapılandırmanın bir örneği bu makalenin devamında açıklanmıştır.

Bu yapılandırmanın birleştirilmiş etkisi, alt ağ düzeyinde UDR'nin ExpressRoute zorlamalı tünelden öncelikli olmasıdır. App Service Ortamı giden İnternet erişimi garanti edilir.

Önemli

Bir UDR'de tanımlanan yolların ExpressRoute yapılandırması tarafından tanıtılan tüm yollardan öncelikli olacak kadar özel olması gerekir. Sonraki bölümde açıklanan örnek, geniş 0.0.0.0/0 adres aralığını kullanır. Bu aralık, daha belirli adres aralıkları kullanan yol tanıtımları tarafından yanlışlıkla geçersiz kılınabilir.

App Service Ortamı, ortak eşleme yolundan özel eşleme yoluna giden yolları çapraz tanıtan ExpressRoute yapılandırmalarında desteklenmez. Genel eşleme yapılandırılmış ExpressRoute yapılandırmaları, büyük bir Microsoft Azure IP adresi aralığı kümesi için Microsoft'tan yol tanıtımları alır. Bu adres aralıkları özel eşleme yolunda çapraz tanıtılıyorsa, App Service Ortamı alt ağından gelen tüm giden ağ paketleri, müşterinin şirket içi ağ altyapısına zorla tünellenir. Bu ağ akışı şu anda App Service Ortamı ile desteklenmiyor. Bir çözüm, genel eşleme yolundan özel eşleme yoluna çapraz reklam yollarını durdurmaktır.

Kullanıcı tanımlı yollar hakkında arka plan bilgileri için bkz . Sanal ağ trafiği yönlendirme.

Kullanıcı tanımlı yollar oluşturmayı ve yapılandırmayı öğrenmek için bkz . PowerShell kullanarak ağ trafiğini yönlendirme tablosuyla yönlendirme.

UDR yapılandırması

Bu bölümde App Service Ortamı için örnek bir UDR yapılandırması gösterilmektedir.

Önkoşullar

  • Azure İndirmeleri sayfasından Azure PowerShell'i yükleyin. Haziran 2015 veya sonraki bir tarihe sahip bir indirme seçin. En son PowerShell cmdlet'lerini yüklemek için Komut satırı araçları>Windows PowerShell'in altında Yükle'yi seçin.

  • App Service Ortamı tarafından özel kullanım için benzersiz bir alt ağ oluşturun. Benzersiz alt ağ, alt ağa uygulanan UDR'lerin yalnızca App Service Ortamı giden trafiği açmasını sağlar.

Önemli

yalnızca yapılandırma adımlarını tamamladıktan sonra App Service Ortamı dağıtın. Adımlar, App Service Ortamı dağıtmaya çalışmadan önce giden ağ bağlantısının kullanılabilir olmasını sağlar.

1. Adım: Yol tablosu oluşturma

Bu kod parçacığında gösterildiği gibi Batı ABD Azure bölgesinde DirectInternetRouteTable adlı bir yol tablosu oluşturun:

New-AzureRouteTable -Name 'DirectInternetRouteTable' -Location uswest

2. Adım: Tabloda yollar oluşturma

Giden İnternet erişimini etkinleştirmek için rota tablosuna yollar ekleyin.

İnternet'e giden erişimi yapılandırın. Bu kod parçacığında gösterildiği gibi 0.0.0.0/0 için bir yol tanımlayın:

Get-AzureRouteTable -Name 'DirectInternetRouteTable' | Set-AzureRoute -RouteName 'Direct Internet Range 0' -AddressPrefix 0.0.0.0/0 -NextHopType Internet

0.0.0.0/0 geniş bir adres aralığıdır. Aralık, ExpressRoute tarafından tanıtılan ve daha belirgin olan adres aralıkları tarafından geçersiz kılındı. 0.0.0.0/0 yolu olan bir UDR, yalnızca 0.0.0.0/0'ı tanıtan bir ExpressRoute yapılandırmasıyla birlikte kullanılmalıdır.

Alternatif olarak, Azure tarafından kullanılan CIDR aralıklarının güncel, kapsamlı bir listesini indirin. Tüm Azure IP adresi aralıkları için XML dosyası Microsoft İndirme Merkezi'nden edinilebilir.

Not

Azure IP adresi aralıkları zaman içinde değişir. Kullanıcı tanımlı yolların eşitlenmiş durumda kalması için düzenli aralıklarla el ile güncelleştirmeler gerekir.

Tek bir UDR'nin varsayılan üst sınırı 100 rotadır. Azure IP adresi aralıklarını 100 yol sınırına sığacak şekilde "özetlemeniz" gerekir. UDR tanımlı yolların ExpressRoute bağlantınız tarafından tanıtılan yollardan daha belirgin olması gerekir.

3. Adım: Tabloyu alt ağ ile ilişkilendirme

Rota tablosunu, App Service Ortamı dağıtmayı planladığınız alt ağ ile ilişkilendirin. Bu komut DirectInternetRouteTable tablosunu App Service Ortamı içeren ASESubnet alt ağıyla ilişkilendirir.

Set-AzureSubnetRouteTable -VirtualNetworkName 'YourVirtualNetworkNameHere' -SubnetName 'ASESubnet' -RouteTableName 'DirectInternetRouteTable'

4. Adım: Yolu test edin ve onaylayın

Yol tablosu alt ağa bağlandıktan sonra, yolu test edin ve onaylayın.

Alt ağa bir sanal makine dağıtın ve şu koşulları onaylayın:

  • Bu makalede açıklanan Azure ve Azure dışı uç noktalara giden trafik ExpressRoute bağlantı hattından aşağı akış yapmaz . Alt ağdan giden trafik şirket içinde tünel oluşturmaya zorlanırsa App Service Ortamı oluşturma işlemi her zaman başarısız olur.
  • Bu makalede açıklanan uç noktalar için DNS aramalarının tümü düzgün bir şekilde çözülür.

Yapılandırma adımlarını tamamladıktan ve yolu onayladıktan sonra sanal makineyi silin. App Service Ortamı oluşturulduğunda alt ağın "boş" olması gerekir.

Artık App Service Ortamı dağıtmaya hazırsınız!

Sonraki adımlar

Power Apps için App Service Ortamı kullanmaya başlamak için bkz. App Service Ortamı giriş.