Vlastní nastavení konfigurace pro službu App Service Environment

Přehled

Vzhledem k tomu, že prostředí App Service Environment jsou izolovaná pro jednoho zákazníka, existují určitá nastavení konfigurace, která se dají použít výhradně ve službě App Service Environment. Tento článek popisuje různá specifická přizpůsobení, která jsou k dispozici pro app Service Environment.

Pokud nemáte službu App Service Environment, přečtěte si téma Vytvoření služby App Service Environment v3.

Přizpůsobení služby App Service Environment můžete uložit pomocí pole v novém atributu clusterSettings . Tento atribut se nachází ve slovníku Properties entity hostEnvironments Azure Resource Manageru.

Následující zkrácený fragment šablony Resource Manageru ukazuje atribut clusterSettings :

"resources": [
{
    "apiVersion": "2021-03-01",
    "type": "Microsoft.Web/hostingEnvironments",
    "name": ...,
    "location": ...,
    "properties": {
        "clusterSettings": [
            {
                "name": "nameOfCustomSetting",
                "value": "valueOfCustomSetting"
            }
        ],
        "internalLoadBalancingMode": ...,
        etc...
    }
}

Atribut clusterSettings lze zahrnout do šablony Resource Manageru pro aktualizaci služby App Service Environment.

Použití Azure Resource Exploreru k aktualizaci služby App Service Environment

Alternativně můžete službu App Service Environment aktualizovat pomocí Azure Resource Exploreru.

1. V Průzkumníku prostředků přejděte do uzlu služby App Service Environment (předplatná>{vaše předplatná}>resourceGroups>{vaše skupina prostředků}>poskytovatelé>Microsoft.Web>hostingEnvironments). Potom klikněte na konkrétní službu App Service Environment, kterou chcete aktualizovat.
2. V pravém podokně klikněte na tlačítko Číst/Zapisovat na horním panelu nástrojů, aby se povolily interaktivní úpravy v Průzkumníku prostředků.
3. Kliknutím na modré tlačítko Upravit můžete šablonu Resource Manageru upravit.
4. Posuňte se do dolní části pravého podokna. Atribut clusterSettings je úplně dole, kde můžete zadat nebo aktualizovat jeho hodnotu.
5. Zadejte (nebo zkopírujte a vložte) pole požadovaných hodnot konfigurace v atributu clusterSettings .
6. Kliknutím na zelené tlačítko PUT umístěné v horní části pravého podokna potvrďte změnu do služby App Service Environment.

Změnu však odešlete, změna není okamžitá a může trvat až 24 hodin, než se změna plně projeví. Některá nastavení obsahují konkrétní podrobnosti o čase a dopadu konfigurace konkrétního nastavení.

Povolení interního šifrování

App Service Environment funguje jako systém černé skříňky, kde nevidíte interní komponenty ani komunikaci v systému. Pokud chcete povolit vyšší propustnost, šifrování není ve výchozím nastavení povolené mezi interními komponentami. Systém je zabezpečený, protože provoz je nepřístupný pro monitorování nebo přístup. Pokud máte požadavek na dodržování předpisů, který vyžaduje úplné šifrování cesty k datům od konce do konce, existuje způsob, jak povolit šifrování úplné cesty k datům pomocí clusterSetting.

"clusterSettings": [
    {
        "name": "InternalEncryption",
        "value": "true"
    }
],

Nastavení InternalEncryption na true šifruje interní síťový provoz ve službě App Service Environment mezi front-endy a pracovními procesy, zašifruje stránkovací soubor a také šifruje pracovní disky. Po povolení internalEncryption clusterSetting může mít vliv na výkon vašeho systému. Když provedete změnu pro povolení InternalEncryption, bude vaše služba App Service Environment v nestabilním stavu, dokud se tato změna plně nešíší. Dokončení rozšíření změny může trvat několik hodin v závislosti na tom, kolik instancí ve službě App Service Environment máte. Důrazně doporučujeme nepovolovat internalEncryption ve službě App Service Environment, když se používá. Pokud potřebujete povolit InternalEncryption v aktivně používaném prostředí App Service Environment, důrazně doporučujeme převést provoz do prostředí zálohování, dokud se operace nedokončí.

Zákaz protokolu TLS 1.0 a TLS 1.1

Pokud chcete spravovat nastavení protokolu TLS v aplikaci podle aplikace, můžete použít pokyny uvedené v dokumentaci k vynucení nastavení protokolu TLS.

Pokud chcete zakázat veškerý příchozí provoz TLS 1.0 a TLS 1.1 pro všechny aplikace ve službě App Service Environment, můžete nastavit následující položku clusterSettings :

"clusterSettings": [
    {
        "name": "DisableTls1.0",
        "value": "1"
    }
],

Název nastavení říká 1.0, ale při konfiguraci zakáže protokol TLS 1.0 i TLS 1.1.

Změna pořadí šifrovacích sad TLS

App Service Environment podporuje změnu šifrovací sady z výchozího nastavení. Výchozí sada šifer je stejná sada, která se používá ve službě App Service s více tenanty. Změna sady šifer je možná jenom se službou App Service Environment, nabídkou s jedním tenantem, nikoli s více tenanty, protože změna ovlivňuje celé nasazení služby App Service. Pro službu App Service Environment se vyžadují dvě šifrovací sady: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 a TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Kromě toho byste měli zahrnout následující šifrovací sady, které jsou vyžadovány pro protokol TLS 1.3: TLS_AES_256_GCM_SHA384 a TLS_AES_128_GCM_SHA256.

Pokud chcete nakonfigurovat službu App Service Environment tak, aby používala jenom šifry, které vyžaduje, upravte nastavení clusteru , jak je znázorněno v následující ukázce. Ujistěte se, že jsou na začátku seznamu zahrnuté šifry TLS 1.3.

"clusterSettings": [
    {
        "name": "FrontEndSSLCipherSuiteOrder",
        "value": "TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
    }
],

Začínáme

Web šablony Resource Manageru pro rychlý start Azure obsahuje šablonu se základní definicí pro vytvoření služby App Service Environment.