Vytvoření a použití interního nástroje pro vyrovnávání zatížení App Service Environment
Důležité
Tento článek se týká služby App Service Environment v2, která se používá s plány izolované služby App Service. App Service Environment verze 1 a v2 se od 31. srpna 2024 vyřadí z provozu. Existuje nová verze služby App Service Environment, která se snadněji používá a běží na výkonnější infrastruktuře. Další informace o nové verzi najdete v úvodu do služby App Service Environment. Pokud aktuálně používáte App Service Environment v1, postupujte podle kroků v tomto článku a proveďte migraci na novou verzi.
Od 31. srpna 2024 se kredity sla (Service Level Agreement) a Service Credits již nevztahují na úlohy služby App Service Environment verze 1 a v2, které jsou nadále v produkčním prostředí, protože jsou vyřazené produkty. Vyřazování hardwaru služby App Service Environment v1 a v2 začalo a to může mít vliv na dostupnost a výkon vašich aplikací a dat.
Migraci do služby App Service Environment v3 musíte dokončit okamžitě nebo se můžou odstranit vaše aplikace a prostředky. Pokusíme se automaticky migrovat všechny zbývající služby App Service Environment v1 a v2 s využitím funkce místní migrace, ale Microsoft po automatické migraci neposkytuje žádné nároky ani záruky týkající se dostupnosti aplikací. Možná budete muset provést ruční konfiguraci pro dokončení migrace a optimalizovat výběr skladové položky plánu služby App Service tak, aby vyhovovala vašim potřebám. Pokud automatická migrace není proveditelná, odstraní se vaše prostředky a přidružená data aplikací. Důrazně vás vyzýváme, abyste se vyhnuli některým z těchto extrémních scénářů.
Pokud potřebujete další čas, můžeme vám nabídnout jednorázovou 30denní lhůtu pro dokončení migrace. Pokud potřebujete další informace a požádat o toto období odkladu, projděte si přehled období odkladu a pak přejděte na web Azure Portal a přejděte do okna Migrace pro každou službu App Service Environment.
Nejaktuálnější informace o vyřazení služby App Service Environment v1/v2 najdete v aktualizaci vyřazení služby App Service Environment v1 a v2.
Prostředí služby Aplikace Azure je nasazení služby Aplikace Azure Service do podsítě ve virtuální síti Azure. Služba App Service Environment (ASE) se dá nasadit dvěma způsoby:
- Pomocí virtuální IP adresy na externí IP adresu – často se označuje jako externí služba ASE
- Pomocí virtuální IP adresy na interní IP adresu – často se označuje jako služba ASE s interním nástrojem pro vyrovnávání zatížení, protože interním koncovým bodem je interní nástroj pro vyrovnávání zatížení.
V tomto článku najdete postup vytvoření interního nástroje pro vyrovnávání zatížení ASE. Přehled služby ASE najdete v tématu Úvod do služby App Service Environment. Informace o vytvoření externí služby ASE najdete v tématu [Vytvoření externí služby ASE][MakeExternalASE].
Přehled
Můžete nasadit službu ASE s koncovým bodem s přístupem k internetu nebo s IP adresou ve vaší virtuální síti. Pokud chcete nastavit IP adresu na adresu ve virtuální síti, je potřeba nasadit službu ASE s interním nástrojem pro vyrovnávání zatížení. Když službu ASE nasadíte s interním nástrojem pro vyrovnávání zatížení, musíte zadat název služby ASE. Název vaší služby ASE se používá v příponě domény pro aplikace ve vaší službě ASE. Přípona domény pro službu ASE s interním nástrojem pro vyrovnávání zatížení je <název> ASE.appserviceenvironment.net. Aplikace vytvořené ve službě ASE s interním nástrojem pro vyrovnávání zatížení se neumisťují do veřejného DNS.
Starší verze služby ASE s interním nástrojem pro vyrovnávání zatížení vyžadovaly, abyste zadali příponu domény a výchozí certifikát pro připojení HTTPS. Přípona domény se už při vytváření služby ASE s interním nástrojem pro vyrovnávání zatížení neshromažďuje a už se neshromažďuje výchozí certifikát. Když teď vytvoříte službu ASE s interním nástrojem pro vyrovnávání zatížení, poskytne microsoft výchozí certifikát a prohlížeč ho považuje za důvěryhodný. Pro aplikace ve vaší službě ASE stále můžete nastavit vlastní názvy domén a pro tyto vlastní názvy domén nastavit certifikáty.
Pomocí služby ASE s interním nástrojem pro vyrovnávání zatížení můžete provádět například tyto akce:
- Hostujte intranetové aplikace bezpečně v cloudu, ke kterým přistupujete přes site-to-site nebo ExpressRoute.
- Ochrana aplikací pomocí zařízení WAF
- Hostovat v cloudu aplikace, které nejsou uvedené na veřejných serverech DNS
- Vytvářet back-endové aplikace izolované od internetu, které umožňují zabezpečenou integraci vašich front-endových aplikací
Zakázané funkce
Služba ASE s interním nástrojem pro vyrovnávání zatížení neumožňuje některé kroky:
- Použijte vazbu TLS/SSL založenou na protokolu IP.
- Nemůžete přiřadit IP adresy konkrétním aplikacím.
- Nemůžete zakoupit certifikát prostřednictvím portálu Azure a používat ho s určitou aplikací. Certifikáty můžete získat přímo od certifikační autority a potom je můžete používat ve svých aplikacích. Nemůžete je ale získat na portálu Azure.
Vytvoření služby ASE s interním nástrojem pro vyrovnávání zatížení
Pokud chcete vytvořit službu ASE s interním nástrojem pro vyrovnávání zatížení, přečtěte si téma Vytvoření služby ASE pomocí šablony Azure Resource Manageru.
Poznámka:
Název služby App Service Environment nesmí být delší než 36 znaků.
Vytvoření aplikace ve službě ASE s interním nástrojem pro vyrovnání zatížení
Aplikaci ve službě ASE s interním nástrojem pro vyrovnání zatížení vytvoříte stejným způsobem jako v běžné službě ASE.
Na webu Azure Portal vyberte Vytvořit webovou>aplikaci prostředku.>
Zadejte název aplikace.
Vyberte předplatné.
Vyberte nebo vytvořte skupinu prostředků.
Vyberte svůj publikovat, zásobník modulu runtime a operační systém.
Vyberte umístění, kde je umístění existující službou ASE s interním nástrojem pro vyrovnávání zatížení.
Vyberte nebo vytvořte plán služby App Service.
Vyberte Zkontrolovat a Vytvořit a pak vyberte Vytvořit , až budete připraveni.
Webové úlohy, služba Functions a služba ASE s interním nástrojem pro vyrovnávání zatížení
Služba ASE s interním nástrojem pro vyrovnávání zatížení podporuje službu Functions i webové úlohy, ale nepodporuje portál pro práci s nimi, a potřebujete síťový přístup k webu SCM. To znamená, že váš prohlížeč musí mít hostitele, který buď je ve virtuální síti, nebo je k ní připojený. Pokud má vaše služba ASE s interním nástrojem pro vyrovnávání zatížení název domény, který nekončí na appserviceenvironment.net, budete muset nastavit svůj prohlížeč tak, aby důvěřoval certifikátu HTTPS, který používá váš web SCM.
Konfigurace DNS
Při použití externí služby ASE se aplikace vytvořené ve službě ASE zaregistrují v Azure DNS. V externí službě ASE nejsou žádné další kroky, aby vaše aplikace byly veřejně dostupné. V případě služby ASE s interním nástrojem pro vyrovnávání zatížení musíte spravovat vlastní službu DNS. Můžete to udělat na vlastním serveru DNS nebo v privátních zónách Azure DNS.
Konfigurace DNS na vlastním serveru DNS pomocí služby ASE s interním nástrojem pro vyrovnávání zatížení:
- vytvoření zóny pro <název> ASE.appserviceenvironment.net
- vytvoření záznamu A v této zóně, který odkazuje * na IP adresu interního nástroje pro vyrovnávání zatížení
- vytvoření záznamu A v této zóně, který odkazuje na IP adresu interního nástroje pro vyrovnávání zatížení
- vytvoření zóny v ase <name.appserviceenvironment.net> pojmenovaném scm
- vytvoření záznamu A v zóně scm, která odkazuje * na IP adresu interního nástroje pro vyrovnávání zatížení
Konfigurace DNS v privátních zónách Azure DNS:
- vytvoření privátní zóny Azure DNS s názvem <ASE name.appserviceenvironment.net>
- vytvoření záznamu A v této zóně, který odkazuje * na IP adresu interního nástroje pro vyrovnávání zatížení
- vytvoření záznamu A v této zóně, který odkazuje na IP adresu interního nástroje pro vyrovnávání zatížení
- vytvoření záznamu A v této zóně, který odkazuje *.scm na IP adresu interního nástroje pro vyrovnávání zatížení
Nastavení DNS pro výchozí příponu domény ASE neomezí vaše aplikace jenom na to, aby tyto názvy byly přístupné. Vlastní název domény můžete nastavit bez ověření aplikací ve službě ASE s interním nástrojem pro vyrovnávání zatížení. Pokud pak chcete vytvořit zónu s názvem contoso.net, můžete to udělat a nasměrovat ji na IP adresu interního nástroje pro vyrovnávání zatížení. Vlastní název domény funguje pro požadavky aplikací, ale ne pro web scm. Web scm je k dispozici pouze na <webu appname.scm>.<asename.appserviceenvironment.net>.
Zóna s názvem .<asename.appserviceenvironment.net> je globálně jedinečný. Před květnem 2019 zákazníci mohli zadat příponu domény služby ASE s interním nástrojem pro vyrovnávání zatížení. Pokud jste chtěli použít .contoso.com pro příponu domény, mohli jste to udělat a to by zahrnovalo web scm. Došlo k problémům s tímto modelem, včetně; správa výchozího certifikátu TLS/SSL, nedostatek jednotného přihlašování s webem SCM a požadavek na použití certifikátu se zástupnými znaménkami Výchozí proces upgradu certifikátu ase s interním nástrojem pro vyrovnávání zatížení byl také rušivý a způsoboval restartování aplikace. Při řešení těchto problémů se chování služby ASE s interním nástrojem pro vyrovnávání zatížení změnilo tak, aby používalo příponu domény na základě názvu služby ASE a přípony vlastněné Společností Microsoft. Změna chování služby ASE s interním nástrojem pro vyrovnávání zatížení má vliv jenom na služby ASE interního nástroje pro vyrovnávání zatížení provedené po květnu 2019. Stávající ase s interním nástrojem pro vyrovnávání zatížení musí stále spravovat výchozí certifikát služby ASE a jejich konfiguraci DNS.
Publikování pomocí služby ASE s interním nástrojem pro vyrovnávání zatížení
Pro každou vytvořenou aplikaci existují dva koncové body. Ve službě ASE s interním nástrojem pro vyrovnávání zatížení máte <název> aplikace.<Doména> služby ASE s interním nástrojem pro vyrovnávání zatížení a <název> aplikace.scm<Doména> služby ASE s interním nástrojem pro vyrovnávání zatížení
Pomocí názvu webu SCM se dostanete do konzoly Kudu na portálu Azure s názvem Rozšířený portál. Konzola Kudu umožňuje zobrazit proměnné prostředí, prozkoumávat disk, používat konzolu a další možnosti. Další informace najdete v tématu Konzola Kudu pro službu Azure App Service.
Internetové systémy kontinuální integrace, například GitHub a Azure DevOps, budou nadále fungovat se službou ASE s interním nástrojem pro vyrovnávání zatížení, pokud je agent sestavení přístupný z internetu a nachází se ve stejné síti jako služba ASE s interním nástrojem pro vyrovnávání zatížení. Takže pokud se používá Azure DevOps a agent sestavení je vytvořený ve stejné virtuální síti jako služba ASE s interním nástrojem pro vyrovnávání zatížení (může být i v jiné podsíti), bude moct přijmout změny kódu z gitu Azure DevOps a nasadit ho do služby ASE s interním nástrojem pro vyrovnávání zatížení. Pokud si nechcete vytvořit vlastního agenta sestavení, budete muset použít systém kontinuální integrace (CI), který používá model vyžádání, například Dropbox.
Koncové body pro publikování pro aplikace ve službě ASE s interním nástrojem pro vyrovnávání zatížení používají doménu, pomocí které byla služba ASE s interním nástrojem pro vyrovnávání zatížení vytvořená. Tato doména se objevuje v profilu publikování aplikace a v okně portálu aplikace (Přehled>Essentials a také Vlastnosti). Pokud máte službu ASE s interním nástrojem pro vyrovnávání zatížení s příponou <domény ASE name.appserviceenvironment.net> a aplikaci s názvem mytest, použijte mytest.<ASE name.appserviceenvironment.net> pro nasazení PŘES FTP a mytest.scm.contoso.net pro nasazení MSDeploy.
Konfigurace služby ASE s interním nástrojem pro vyrovnávání zatížení se zařízením WAF
Zařízení firewallu webových aplikací (WAF) se službou ASE s interním nástrojem pro vyrovnávání zatížení můžete kombinovat, abyste zpřístupnili jenom aplikace, které chcete zpřístupnit na internetu, a ponechat zbytek přístupný jenom z virtuální sítě. To vám umožní mimo jiné vytvářet zabezpečené vícevrstvé aplikace.
Další informace o konfiguraci služby ASE s interním nástrojem pro vyrovnávání zatížení pro zařízení WAF najdete v tématu Konfigurace brány firewall webových aplikací ve službě App Service Environment. Tento článek vysvětluje, jak ve službě ASE používat virtuální zařízení Barracuda. Další možností je použít službu Azure Application Gateway. Služba Application Gateway dokáže pomocí základních pravidel OWASP zabezpečit všechny aplikace, které za ni umístíte. Další informace o službě Application Gateway najdete v tématu Úvod do brány firewall webových aplikací Azure.
Interní nástroje pro vyrovnávání zatížení vytvořené před květnem 2019
Ase s interním nástrojem pro vyrovnávání zatížení, které byly provedeny před květnem 2019, vyžadovaly, abyste během vytváření služby ASE nastavili příponu domény. Také vyžadovaly, abyste nahráli výchozí certifikát založený na příponě domény. Pomocí starší služby ASE s interním nástrojem pro vyrovnávání zatížení také nemůžete provádět jednotné přihlašování ke konzole Kudu s aplikacemi v této službě ASE s interním nástrojem pro vyrovnávání zatížení. Při konfiguraci DNS pro starší službu ASE s interním nástrojem pro vyrovnávání zatížení musíte v zóně, která odpovídá příponě domény, nastavit zástupný znak A. Vytvoření nebo změna služby ASE s interním nástrojem pro vyrovnávání zatížení s příponou vlastní domény vyžaduje použití šablon Azure Resource Manageru a verze rozhraní API před 2019. Poslední verze rozhraní API podpory je 2018-11-01
.
Začínáme
- Pokud chcete začít používat službu ASE, prostudujte si téma Úvod do služby App Service Environment.