Zabezpečené připojení k back-endovým prostředkům ze služby App Service Environment
Důležité
Tento článek se týká služby App Service Environment v1. App Service Environment verze 1 a v2 se od 31. srpna 2024 vyřadí z provozu. Existuje nová verze služby App Service Environment, která se snadněji používá a běží na výkonnější infrastruktuře. Další informace o nové verzi najdete v úvodu do služby App Service Environment. Pokud aktuálně používáte App Service Environment v1, postupujte podle kroků v tomto článku a proveďte migraci na novou verzi.
Od 31. srpna 2024 se kredity sla (Service Level Agreement) a Service Credits již nevztahují na úlohy služby App Service Environment verze 1 a v2, které jsou nadále v produkčním prostředí, protože jsou vyřazené produkty. Vyřazování hardwaru služby App Service Environment v1 a v2 začalo a to může mít vliv na dostupnost a výkon vašich aplikací a dat.
Migraci do služby App Service Environment v3 musíte dokončit okamžitě nebo se můžou odstranit vaše aplikace a prostředky. Pokusíme se automaticky migrovat všechny zbývající služby App Service Environment v1 a v2 s využitím funkce místní migrace, ale Microsoft po automatické migraci neposkytuje žádné nároky ani záruky týkající se dostupnosti aplikací. Možná budete muset provést ruční konfiguraci pro dokončení migrace a optimalizovat výběr skladové položky plánu služby App Service tak, aby vyhovovala vašim potřebám. Pokud automatická migrace není proveditelná, odstraní se vaše prostředky a přidružená data aplikací. Důrazně vás vyzýváme, abyste se vyhnuli některým z těchto extrémních scénářů.
Pokud potřebujete další čas, můžeme vám nabídnout jednorázovou 30denní lhůtu pro dokončení migrace. Pokud potřebujete další informace a požádat o toto období odkladu, projděte si přehled období odkladu a pak přejděte na web Azure Portal a přejděte do okna Migrace pro každou službu App Service Environment.
Nejaktuálnější informace o vyřazení služby App Service Environment v1/v2 najdete v aktualizaci vyřazení služby App Service Environment v1 a v2.
Vzhledem k tomu, že služba App Service Environment je vždy vytvořená ve virtuální síti Azure Resource Manageru nebo virtuální síti modelu nasazení Classic, odchozí připojení ze služby App Service Environment k jiným back-endovým prostředkům můžou proudit výhradně přes virtuální síť. Od června 2016 je možné ase nasadit také do virtuálních sítí, které používají rozsahy veřejných adres nebo RFC1918 adresních prostorů (privátní adresy).
Na clusteru virtuálních počítačů s uzamčeným portem 1433 může být například spuštěný SQL Server. Koncový bod může být ALD, aby umožňoval přístup pouze z jiných prostředků ve stejné virtuální síti.
V dalším příkladu můžou citlivé koncové body spouštět místně a být připojené k Azure prostřednictvím připojení Site-to-Site nebo Azure ExpressRoute . V důsledku toho můžou místní koncové body přistupovat jenom prostředky ve virtuálních sítích připojených k tunelům Site-to-Site nebo ExpressRoute.
Pro všechny tyto scénáře se aplikace spuštěné ve službě App Service Environment můžou bezpečně připojit k různým serverům a prostředkům. Pokud odchozí provoz z aplikací běží ve službě App Service Environment do privátních koncových bodů ve stejné virtuální síti nebo je připojený ke stejné virtuální síti, bude tok pouze přes virtuální síť. Odchozí provoz do privátních koncových bodů nebude přetékat přes veřejný internet.
Jeden problém se týká odchozího provozu ze služby App Service Environment do koncových bodů ve virtuální síti. Služba App Service Environment nemůže dosáhnout koncových bodů virtuálních počítačů umístěných ve stejné podsíti jako App Service Environment. Toto omezení by obvykle nemělo být problém, pokud je služba App Service Environment nasazená do podsítě, která je vyhrazená výhradně pro použití ve službě App Service Environment.
Poznámka:
I když se tento článek týká webových aplikací, platí také pro aplikace API a mobilní aplikace.
Odchozí připojení a požadavky na DNS
Aby služba App Service Environment fungovala správně, vyžaduje odchozí přístup k různým koncovým bodům. Úplný seznam externích koncových bodů používaných službou ASE najdete v části Požadované síťové připojení v článku Konfigurace sítě pro ExpressRoute .
Služba App Service Environment vyžaduje platnou infrastrukturu DNS nakonfigurovanou pro virtuální síť. Pokud se konfigurace DNS po vytvoření služby App Service Environment změní, můžou vývojáři vynutit, aby služba App Service Environment vyzvedá novou konfiguraci DNS. V horní části okna správy služby App Service Environment na portálu vyberte ikonu Restartovat a aktivujte restartování prostředí, které způsobí, že prostředí vyzvedne novou konfiguraci DNS.
Před vytvořením služby App Service Environment se také doporučuje nastavit všechny vlastní servery DNS ve virtuální síti předem. Pokud se během vytváření služby App Service Environment změní konfigurace DNS virtuální sítě, dojde k selhání procesu vytváření služby App Service Environment. Pokud na druhém konci brány VPN existuje vlastní server DNS, který je nedostupný nebo nedostupný, proces vytvoření služby App Service Environment také selže.
Připojení k SQL Serveru
Běžná konfigurace SQL Serveru má koncový bod naslouchání na portu 1433:
Existují dva přístupy k omezení provozu na tento koncový bod:
- Seznamy řízení přístupu k síti (seznamy ACL sítě)
- Network Security Groups (Skupiny zabezpečení sítě)
Omezení přístupu pomocí seznamu ACL sítě
Port 1433 je možné zabezpečit pomocí seznamu řízení přístupu k síti. Následující příklad přidá oprávnění k přiřazení adres klientů pocházejících z virtuální sítě a zablokuje přístup ke všem ostatním klientům.
Všechny aplikace, které běží ve službě App Service Environment, ve stejné virtuální síti jako SQL Server, se mohou připojit k instanci SQL Serveru. Použijte interní IP adresu virtuální sítě pro virtuální počítač s SQL Serverem.
Příklad připojovací řetězec níže odkazuje na SQL Server s použitím jeho privátní IP adresy.
Server=tcp:10.0.1.6;Database=MyDatabase;User ID=MyUser;Password=PasswordHere;provider=System.Data.SqlClient
I když má virtuální počítač také veřejný koncový bod, pokusy o použití veřejné IP adresy budou odmítnuty kvůli seznamu ACL sítě.
Omezení přístupu pomocí skupiny zabezpečení sítě
Alternativním přístupem k zabezpečení přístupu je skupina zabezpečení sítě. Skupiny zabezpečení sítě se dají použít na jednotlivé virtuální počítače nebo na podsíť obsahující virtuální počítače.
Nejprve budete muset vytvořit skupinu zabezpečení sítě:
New-AzureNetworkSecurityGroup -Name "testNSGexample" -Location "South Central US" -Label "Example network security group for an app service environment"
Omezení přístupu pouze k internímu provozu virtuální sítě je jednoduché se skupinou zabezpečení sítě. Výchozí pravidla ve skupině zabezpečení sítě povolují přístup pouze z jiných síťových klientů ve stejné virtuální síti.
V důsledku toho je uzamčení přístupu k SQL Serveru jednoduché. Stačí použít skupinu zabezpečení sítě s výchozími pravidly na virtuální počítače s SQL Serverem nebo podsíť obsahující virtuální počítače.
Následující ukázka aplikuje skupinu zabezpečení sítě na podsíť obsahující:
Get-AzureNetworkSecurityGroup -Name "testNSGExample" | Set-AzureNetworkSecurityGroupToSubnet -VirtualNetworkName 'testVNet' -SubnetName 'Subnet-1'
Konečným výsledkem je sada pravidel zabezpečení, která blokují externí přístup a zároveň umožňují interní přístup virtuální sítě:
Začínáme
Pokud chcete začít pracovat se službou App Service Environment, přečtěte si téma Úvod do služby App Service Environment.
Podrobnosti o řízení příchozího provozu do služby App Service Environment najdete v tématu Řízení příchozího provozu do služby App Service Environment.
Poznámka:
Pokud chcete začít používat službu Azure App Service před registrací k účtu Azure, přejděte k možnosti Vyzkoušet službu App Service, kde můžete okamžitě vytvořit krátkodobou úvodní webovou aplikaci. Není vyžadována platební karta a nevzniká žádný závazek.