Konfigurace integrace virtuální sítě vyžadované bránou

Integrace virtuální sítě vyžadovaná bránou podporuje připojení k virtuální síti v jiné oblasti nebo klasické virtuální síti. Integrace virtuální sítě vyžadovaná bránou funguje jenom pro plány Windows. K integraci s virtuálními sítěmi doporučujeme použít místní integraci virtuálních sítí.

Integrace virtuální sítě vyžadovaná bránou:

  • Umožňuje aplikaci připojit se pouze k jedné virtuální síti najednou.
  • Umožňuje integraci až pěti virtuálních sítí do plánu služby App Service.
  • Umožňuje, aby stejnou virtuální síť používalo více aplikací v plánu služby App Service, aniž by to mělo vliv na celkový počet, který může plán služby App Service používat. Pokud máte šest aplikací, které používají stejnou virtuální síť ve stejném plánu služby App Service, který se počítá jako jedna použitá virtuální síť.
  • Smlouva SLA na bráně může ovlivnit celkovou smlouvu SLA.
  • Umožňuje aplikacím používat DNS, se kterým je virtuální síť nakonfigurovaná.
  • Před připojením k aplikaci vyžaduje bránu založenou na směrování virtuální sítě nakonfigurovanou s vpn typu point-to-site SSTP.

Nemůžete použít integraci virtuální sítě vyžadované bránou:

  • S virtuální sítí připojenou k ExpressRoute.
  • Z linuxové aplikace.
  • Z kontejneru Windows.
  • Přístup k prostředkům zabezpečeným koncovým bodem služby
  • Pokud chcete vyřešit nastavení aplikace odkazující na službu Key Vault chráněnou sítí.
  • S koexistence brány, která podporuje ExpressRoute i vpn typu point-to-site nebo site-to-site.

Integrace regionálních virtuálních sítí snižuje výše uvedená omezení.

Nastavení brány ve virtuální síti Azure

Vytvoření brány:

  1. Vytvořte bránu VPN a podsíť. Vyberte typ sítě VPN založený na směrování.

  2. Nastavte adresy typu point-to-site. Pokud brána není v základní SKU, musí být v konfiguraci point-to-site zakázán protokol IKEV2 a musí být vybrán protokol SSTP. Adresní prostor typu point-to-site musí být v blocích adresy RFC 1918 10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16.

Pokud vytvoříte bránu pro použití s integrací virtuální sítě vyžadovanou bránou, nemusíte nahrávat certifikát. Vytvoření brány může trvat 30 minut. Aplikaci nebudete moct integrovat s virtuální sítí, dokud se nevytvořila brána.

Jak funguje integrace virtuální sítě vyžadovaná bránou

Integrace virtuální sítě vyžadovaná bránou je založená na technologii VPN typu point-to-site. Sítě VPN typu point-to-site omezují síťový přístup k virtuálnímu počítači, který je hostitelem aplikace. Aplikace jsou omezené tak, aby odesílaly provoz do internetu jenom prostřednictvím hybridních připojení nebo integrace virtuální sítě. Když je vaše aplikace nakonfigurovaná na portálu tak, aby používala integraci virtuální sítě vyžadované bránou, je vaším jménem spravováno komplexní vyjednávání za účelem vytvoření a přiřazení certifikátů na bráně a straně aplikace. Výsledkem je, že pracovní procesy používané k hostování aplikací se můžou přímo připojit k bráně virtuální sítě ve vybrané virtuální síti.

Diagram znázorňující, jak funguje integrace virtuální sítě vyžadovaná bránou

Přístup k místním prostředkům

Aplikace mají přístup k místním prostředkům díky integraci s virtuálními sítěmi, které mají připojení typu site-to-site. Pokud používáte integraci virtuální sítě s požadovanou bránou, aktualizujte trasy místní brány VPN pomocí bloků adres typu point-to-site. Při prvním nastavení vpn typu site-to-site by měly skripty používané ke konfiguraci správně nastavit trasy. Pokud po vytvoření sítě VPN typu site-to-site přidáte adresy typu point-to-site, budete muset trasy aktualizovat ručně. Podrobnosti o tom, jak to udělat, se liší podle brány a nejsou zde popsány.

Trasy protokolu BGP z místního prostředí se do služby App Service automaticky nerozšířou. Je potřeba je ručně rozšířit v konfiguraci point-to-site pomocí kroků v tomto dokumentu Inzerovat vlastní trasy pro klienty VPN typu point-to-site.

Poznámka:

Funkce integrace virtuální sítě vyžadovaná bránou neintegruje aplikaci s virtuální sítí, která má bránu ExpressRoute. I když je brána ExpressRoute nakonfigurovaná v režimu koexistence, integrace virtuální sítě nefunguje. Pokud potřebujete získat přístup k prostředkům prostřednictvím připojení ExpressRoute, použijte funkci integrace místní virtuální sítě nebo službu App Service Environment, která běží ve vaší virtuální síti.

Peering

Pokud používáte integraci virtuální sítě s partnerským vztahem vyžadovanou bránou, musíte nakonfigurovat několik dalších položek. Konfigurace partnerského vztahu pro práci s aplikací:

  1. Přidejte připojení peeringu do virtuální sítě, ke které se vaše aplikace připojuje. Když přidáte připojení peeringu, povolte povolit přístup k virtuální síti a vyberte Povolit přesměrovaný provoz a Povolit průchod bránou.
  2. Přidejte připojení peeringu do virtuální sítě, ke které se připojujete k virtuální síti, ke které jste připojení. Když do cílové virtuální sítě přidáte připojení peeringu, povolte Povolit přístup k virtuální síti a vyberte Povolit přesměrovaný provoz a Povolit vzdálené brány.
  3. Na portálu přejděte do plánu>sítě>VNet plánu služby App Service. Vyberte virtuální síť, ke které se vaše aplikace připojí. V části Směrování přidejte rozsah adres virtuální sítě, ke které je partnerský vztah s virtuální sítí, ke které je vaše aplikace připojená.

Správa integrace virtuální sítě

Připojení a odpojení virtuální sítě je na úrovni aplikace. Operace, které můžou ovlivnit integraci virtuální sítě napříč více aplikacemi, jsou na úrovni plánu služby App Service. Na portálu pro integraci virtuální sítě aplikací >>můžete získat podrobnosti o virtuální síti. Podobné informace najdete na úrovni plánu služby App Service na portálu pro integraci virtuální sítě s>plánem>služby App Service.

Jedinou operací, kterou můžete vzít v zobrazení aplikace instance integrace virtuální sítě, je odpojit aplikaci od virtuální sítě, ke které je aktuálně připojená. Pokud chcete aplikaci odpojit od virtuální sítě, vyberte Odpojit. Aplikace se restartuje, když se odpojíte od virtuální sítě. Odpojení nezmění vaši virtuální síť. Podsíť nebo brána se neodebere. Pokud pak chcete odstranit virtuální síť, nejprve odpojte aplikaci od virtuální sítě a odstraňte prostředky v ní, jako jsou brány.

Uživatelské rozhraní integrace virtuální sítě plánu služby App Service ukazuje všechny integrace virtuální sítě používané aplikacemi v plánu služby App Service. Pokud chcete zobrazit podrobnosti o jednotlivých virtuálních sítích, vyberte virtuální síť, kterou vás zajímá. Existují dvě akce, které můžete provést pro integraci virtuální sítě vyžadované bránou:

  • Synchronizační síť: Operace synchronizace sítě se používá jenom pro funkci integrace virtuální sítě vyžadované bránou. Provedení operace synchronizace sítě zajišťuje synchronizaci vašich certifikátů a informací o síti. Pokud přidáte nebo změníte DNS virtuální sítě, proveďte operaci synchronizace sítě. Tato operace restartuje všechny aplikace, které tuto virtuální síť používají. Tato operace nebude fungovat, pokud používáte aplikaci a virtuální síť patřící různým předplatným.
  • Přidání tras: Přidání tras řídí odchozí provoz do vaší virtuální sítě.

Privátní IP adresa přiřazená instanci je vystavena prostřednictvím proměnné prostředí WEBSITE_PRIVATE_IP. Uživatelské rozhraní konzoly Kudu také zobrazuje seznam proměnných prostředí dostupných pro webovou aplikaci. Tato IP adresa je IP adresa z rozsahu adres fondu adres typu point-to-site nakonfigurovaného v bráně virtuální sítě. Tuto IP adresu bude webová aplikace používat k připojení k prostředkům prostřednictvím virtuální sítě Azure.

Poznámka:

Hodnota WEBSITE_PRIVATE_IP je vázána na změnu. Bude to ale IP adresa v rozsahu adres typu point-to-site, takže budete muset povolit přístup z celého rozsahu adres.

Směrování integrace virtuální sítě vyžadované bránou

Trasy definované ve vaší virtuální síti slouží k směrování provozu do vaší virtuální sítě z vaší aplikace. Pokud chcete do virtuální sítě odesílat více odchozích přenosů, přidejte sem tyto bloky adres. Tato funkce funguje jenom s integrací virtuální sítě vyžadovanou bránou. Směrovací tabulky nemají vliv na provoz vaší aplikace při použití integrace virtuální sítě vyžadované bránou.

Certifikáty integrace virtuální sítě vyžadované bránou

Pokud je povolená integrace virtuální sítě vyžadovaná bránou, je potřeba vyměnit certifikáty, aby se zajistilo zabezpečení připojení. Spolu s certifikáty jsou konfigurace DNS, trasy a další podobné věci, které popisují síť.

Pokud se změní certifikáty nebo informace o síti, vyberte Synchronizovat síť. Když vyberete Možnost Synchronizovat síť, způsobíte krátký výpadek připojení mezi vaší aplikací a virtuální sítí. Vaše aplikace se nerestartuje, ale ztráta připojení může způsobit, že web nebude správně fungovat.

Obnovení certifikátu

Certifikát používaný integrací virtuální sítě vyžadované bránou má životnost 8 let. Pokud máte aplikace s integracemi virtuální sítě vyžadovanými bránou, které jsou déle aktivní, budete muset certifikát obnovit. Na stránce Integrace virtuální sítě na webu Azure Portal můžete ověřit, jestli vypršela platnost vašeho certifikátu nebo jestli jeho platnost vypršela méně než 6 měsíců.

Snímek obrazovky znázorňující certifikát integrace virtuální sítě s téměř ukončenou platností

Certifikát můžete obnovit, když se na portálu zobrazí blížící se vypršení platnosti nebo vypršení platnosti certifikátu. Pokud chcete obnovit certifikát, musíte virtuální síť odpojit a znovu připojit. Opětovné připojení způsobí krátký výpadek připojení mezi vaší aplikací a vaší virtuální sítí. Vaše aplikace se nerestartuje, ale ztráta připojení může způsobit, že web nebude správně fungovat.

Podrobnosti o cenách

K použití funkce integrace virtuální sítě vyžadované bránou se účtují tři poplatky:

  • Poplatky za cenovou úroveň plánu služby App Service: Vaše aplikace musí být v plánu Basic, Standard, Premium, Premium v2 nebo Premium v3 App Service. Další informace o těchto nákladech najdete v tématu Ceny služby App Service.
  • Náklady na přenos dat: Za výchozí přenos dat se účtují poplatky, i když je virtuální síť ve stejném datacentru. Tyto poplatky jsou popsány v podrobnostech o cenách přenosu dat.
  • Náklady na bránu VPN: Pro bránu virtuální sítě, která se vyžaduje pro síť VPN typu point-to-site, jsou náklady. Další informace najdete v tématu o cenách služby VPN Gateway.

Řešení problému

Mnoho věcí může zabránit tomu, aby se vaše aplikace dostala k určitému hostiteli a portu. Většinou je to jedna z těchto věcí:

  • Brána firewall je v cestě. Pokud máte bránu firewall tak, že dojde k vypršení časového limitu protokolu TCP. Časový limit protokolu TCP je v tomto případě 21 sekund. K otestování připojení použijte nástroj tcpping. Vypršení časového limitu protokolu TCP může být způsobeno mnoha věcmi mimo brány firewall, ale začněte tam.
  • DNS není přístupný. Časový limit DNS je 3 sekundy na server DNS. Pokud máte dva servery DNS, časový limit je 6 sekund. Pomocí nameresolver zjistěte, jestli DNS funguje. Nemůžete použít nslookup, protože to nepoužívá DNS, se kterou je vaše virtuální síť nakonfigurovaná. Pokud je nepřístupný, můžete mít bránu firewall nebo skupinu zabezpečení sítě blokující přístup k DNS nebo může být mimo provoz.

Pokud tyto položky neodpovídají na vaše problémy, hledejte napřed tyto věci:

  • Je rozsah adres typu point-to-site v rozsahech RFC 1918 (10.0.0.0-10.255.255.255 / 172.16.16.10.0-172.31.255.255 / 192.168.0.0-192.168.255.255)?
  • Zobrazuje se brána jako na portálu? Pokud je vaše brána dole, vraťte ji zpět.
  • Zobrazují se certifikáty jako synchronizované nebo máte podezření, že došlo ke změně konfigurace sítě? Pokud vaše certifikáty nejsou synchronizované nebo máte podezření, že došlo ke změně konfigurace vaší virtuální sítě, která nebyla synchronizována s vašimi poskytovateli asPs, vyberte Možnost Synchronizovat síť.
  • Pokud procházíte přes síť VPN, je místní brána nakonfigurovaná tak, aby směrovala provoz do Azure? Pokud se můžete připojit ke koncovým bodům ve virtuální síti, ale ne místně, zkontrolujte trasy.
  • Pokoušíte se použít koexistující bránu, která podporuje point-to-site i ExpressRoute? Integrace bran koexistence se nepodporuje s integrací virtuální sítě.

Ladění problémů se sítěmi je náročné, protože nevidíte, co blokuje přístup ke konkrétní kombinaci hostitel:port. Mezi příčiny patří:

  • Na hostiteli máte bránu firewall, která brání přístupu k portu aplikace z rozsahu IP adres typu point-to-site. Přecházení podsítí často vyžaduje veřejný přístup.
  • Váš cílový hostitel je dole.
  • Vaše aplikace je dole.
  • Měli jste nesprávnou IP adresu nebo název hostitele.
  • Vaše aplikace naslouchá na jiném portu, než jste očekávali. ID procesu můžete spárovat s portem naslouchání pomocí příkazu netstat -aon na hostiteli koncového bodu.
  • Skupiny zabezpečení sítě se konfigurují tak, aby zabránily přístupu k hostiteli vaší aplikace a portu z rozsahu IP adres typu point-to-site.

Nevíte, jakou adresu vaše aplikace skutečně používá. Může se jednat o libovolnou adresu v rozsahu adres typu point-to-site, takže potřebujete povolit přístup z celého rozsahu adres.

Mezi další kroky ladění patří:

  • Připojte se k virtuálnímu počítači ve virtuální síti a zkuste se připojit k hostiteli prostředků:port odtud. K otestování přístupu přes protokol TCP použijte příkaz Prostředí PowerShell Test-NetConnection. Syntaxe je:
Test-NetConnection hostname [optional: -Port]
  • Vyvolání aplikace na virtuálním počítači a otestování přístupu k danému hostiteli a portu z konzoly z vaší aplikace pomocí příkazu tcpping.

Místní prostředky

Pokud se vaše aplikace nemůže spojit s místním prostředkem, zkontrolujte, jestli se k prostředku dostanete z vaší virtuální sítě. Ke kontrole přístupu tcp použijte příkaz PowerShellu Test-NetConnection. Pokud se váš virtuální počítač nemůže spojit s vaším místním prostředkem, možná není správně nakonfigurované připojení VPN nebo ExpressRoute.

Pokud se váš virtuální počítač hostovaný virtuální sítí může spojit s místním systémem, ale vaše aplikace nemůže, příčinou je pravděpodobně jeden z následujících důvodů:

  • Vaše trasy nejsou nakonfigurované s vaší podsítí nebo rozsahy adres typu point-to-site ve vaší místní bráně.
  • Vaše skupiny zabezpečení sítě blokují přístup k rozsahu IP adres typu point-to-site.
  • Vaše místní brány firewall blokují provoz z rozsahu IP adres typu point-to-site.
  • Pokoušíte se spojit s adresou, která není adresou RFC 1918, pomocí funkce integrace regionální virtuální sítě.

Další informace najdete v průvodci odstraňováním potíží s integrací virtuální sítě.