Creare un ambiente del servizio app usando un modello di Azure Resource Manager

Panoramica

Importante

Questo articolo riguarda l'ambiente del servizio app v2, usato con i piani del servizio app Isolato. L'ambiente del servizio app v1 e v2 è stato ritirato il 31 agosto 2024. È disponibile una nuova versione dell'ambiente del servizio app più facile da usare, che viene eseguita in un'infrastruttura più potente. Per altre informazioni sulla nuova versione, vedere Introduzione all'ambiente del servizio app. Se al momento si usa l'ambiente del servizio app v1, seguire la procedura descritta in questo articolo per eseguire la migrazione alla nuova versione.

A partire dal 31 agosto 2024, il Contratto di servizio e i crediti di servizio non si applicano più ai carichi di lavoro dell'ambiente del servizio app v1 e v2 che continuano a essere in produzione, perché sono prodotti ritirati. È stata avviata la dismissione dell'hardware dell'ambiente del servizio app v1 e v2, il che può influire sulla disponibilità e sulle prestazioni di app e dati.

È necessario completare immediatamente la migrazione all'ambiente del servizio app v3 oppure è possibile che le app e le risorse vengano eliminate. Si tenterà con il massimo impegno di eseguire automaticamente la migrazione automatica di qualsiasi ambiente del servizio app v1 e v2 rimanente usando la funzionalità di migrazione sul posto, ma Microsoft non dichiara né garantisce la disponibilità delle applicazioni dopo la migrazione automatica. Può essere necessario eseguire una configurazione manuale per completare la migrazione e ottimizzare la scelta di SKU del piano di servizio app in base a specifiche esigenze. Se la migrazione automatica non è fattibile, le risorse e i dati delle app associati verranno eliminati. È consigliabile agire tempestivamente per evitare uno di questi scenari estremi.

Se è necessario più tempo, è possibile usufruire di un periodo di tolleranza di 30 giorni una tantum per completare la migrazione. Per altre informazioni e per richiedere questo periodo di tolleranza, vedere la panoramica del periodo di tolleranza, quindi passare al portale di Azure e visitare il pannello Migrazione per ogni ambiente del servizio app.

Per le informazioni più aggiornate sul ritiro dell'ambiente del servizio app v1/v2, vedere l'Aggiornamento sul ritiro dall'ambiente del servizio app v1 e v2.

È possibile creare gli ambienti del servizio app di Azure con un endpoint accessibile da Internet o un endpoint di un indirizzo interno di una rete virtuale di Azure. Quando viene creato con un endpoint interno, tale endpoint dispone di un componente Azure denominato servizio di bilanciamento del carico interno (ILB). L'ambiente del servizio app in un indirizzo IP interno è chiamato ambiente del servizio app con bilanciamento del carico interno. L'ambiente del servizio app con un endpoint pubblico è chiamato ambiente del servizio app esterno.

È possibile creare un ambiente del servizio app usando il portale di Azure o un modello di Azure Resource Manager. Questo articolo illustra i passaggi e la sintassi necessari per creare un ambiente del servizio app esterno o con bilanciamento del carico interno con i modelli di Resource Manager. Per informazioni su come creare un ambiente del servizio app v2 nel portale di Azure, vedere [Creare un ambiente del servizio app esterno][MakeExternalASE] o Creare un ambiente del servizio app con bilanciamento del carico interno.

Quando si crea un ambiente del servizio app nel portale di Azure, è possibile creare contemporaneamente la rete virtuale o scegliere una rete virtuale preesistente in cui eseguire la distribuzione.

Quando si crea un modello, è necessario iniziare con:

  • Una rete virtuale di Azure.
  • Una subnet nella rete virtuale. Per un ambiente del servizio app è consigliabile una subnet di dimensioni pari a /24 con 256 indirizzi per supportare le esigenze di crescita futura e scalabilità. Dopo che l'ambiente del servizio app è stato creato, non è possibile modificarne le dimensioni.
  • La sottoscrizione in cui si vuole eseguire la distribuzione.
  • La località in cui si vuole eseguire la distribuzione.

Per automatizzare la creazione dell'ambiente del servizio app, seguire le linee guida delle sezioni seguenti. Se si crea un ambiente del servizio app con bilanciamento del carico interno v2 con dnsSuffix personalizzato (ad esempio internal.contoso.com), è necessario eseguire altre operazioni.

  1. Dopo avere creato l'ambiente del servizio app con bilanciamento del carico interno con dnsSuffix personalizzato, dovrebbe essere caricato un certificato TLS/SSL corrispondente al dominio di tale ambiente.

  2. Il certificato TLS/SSL caricato viene assegnato all'ambiente del servizio app con servizio di bilanciamento del carico interno come certificato TLS/SSL "predefinito". Questo certificato viene usato per il traffico TLS/SSL diretto alle app nell'ambiente del servizio app con servizio di bilanciamento del carico interno quando usano il dominio radice comune assegnato all'ambiente del servizio app, ad esempio https://someapp.internal.contoso.com.

Creare l'ambiente del servizio app

Un modello di Resource Manager che crea un ambiente del servizio app e il file dei parametri associati sono disponibili in GitHub per l'ambiente del servizio app v2.

Per creare un ambiente del servizio app, usare questo esempio di ambiente del servizio app v2 basato su modello di Resource Manager. La maggior parte dei parametri del file azuredeploy.parameters.json è comune alla creazione degli ambienti del servizio app con bilanciamento del carico interno e degli ambienti del servizio app esterni. L'elenco seguente indica parametri importanti o specifici per la creazione di un ambiente del servizio app con bilanciamento del carico interno con una subnet esistente.

Parametri

  • aseName: questo parametro definisce un nome univoco dell'ambiente del servizio app.
  • location: questo parametro definisce la posizione dell'ambiente del servizio app.
  • existingVirtualNetworkName: questo parametro definisce il nome della rete virtuale e della subnet esistenti in cui risiederà l'ambiente del servizio app.
  • existingVirtualNetworkResourceGroup: questo parametro definisce il nome del gruppo di risorse della rete virtuale e della subnet esistenti in cui risiederà l'ambiente del servizio app.
  • subnetName: questo parametro definisce il nome della subnet della rete virtuale e della subnet in cui risiederà l'ambiente del servizio app.
  • internalLoadBalancingMode: impostare nella maggior parte dei casi su 3, a indicare che sia il traffico HTTP/HTTPS sulle porte 80/443 che le porte dei canali di controllo/dati ascoltate dal servizio FTP nell'ambiente del servizio app saranno associati a un indirizzo interno della rete virtuale allocato dall'ILB. Se questa proprietà viene impostata su 2, solo le porte correlate al servizio FTP (canali di controllo e dati) vengono associate a un indirizzo del servizio di bilanciamento del carico interno. Se questa proprietà è impostata su 0, il traffico HTTP/HTTPS resta nell'indirizzo VIP pubblico.
  • dnsSuffix: questo parametro indica il dominio radice predefinito che viene assegnato all'ambiente del servizio app. Nella variante pubblica del servizio app di Azure, il dominio radice predefinito per tutte le app Web è azurewebsites.net. Poiché un ambiente del servizio app con servizio di bilanciamento del carico interno è interno alla rete virtuale di un cliente, non ha senso usare il dominio radice predefinito del servizio pubblico. Un ambiente del servizio app con servizio di bilanciamento del carico interno deve invece avere un dominio radice predefinito appropriato per la rete virtuale interna dell'azienda. Un'azienda Contoso Corporation potrebbe ad esempio usare un dominio radice predefinito internal-contoso.com per le app che devono essere risolvibili e accessibili solo nella rete virtuale di Contoso. Per specificare un dominio radice personalizzato, è necessario usare la versione dell'API 2018-11-01 o precedente.
  • ipSslAddressCount: questo parametro viene automaticamente impostato sul valore predefinito 0 nel file azuredeploy.json perché gli ambienti del servizio app con servizio di bilanciamento del carico interno hanno un solo indirizzo del servizio di bilanciamento del carico interno. Non esistono indirizzi IP SSL per un ambiente del servizio app con bilanciamento del carico interno. Il pool di indirizzi IP SSL per un ambiente del servizio app con bilanciamento del carico interno deve quindi essere impostato su zero. In caso contrario, si verifica un errore di provisioning.

Dopo la compilazione di azuredeploy.parameters.json, creare l'ambiente del servizio app usando il frammento di codice di PowerShell. Modificare i percorsi dei file per fare in modo che corrispondano alle posizioni dei file dei modelli di Resource Manager nel computer. Indicare i valori per il nome della distribuzione di Resource Manager e il nome del gruppo di risorse:

$templatePath="PATH\azuredeploy.json"
$parameterPath="PATH\azuredeploy.parameters.json"

New-AzResourceGroupDeployment -Name "CHANGEME" -ResourceGroupName "YOUR-RG-NAME-HERE" -TemplateFile $templatePath -TemplateParameterFile $parameterPath

La creazione dell'ambiente del servizio app richiede circa due ore. L'ambiente del servizio app viene quindi visualizzato nel portale nell'elenco di ambienti del servizio app per la sottoscrizione che ha attivato la distribuzione.

Caricare e configurare il certificato TLS/SSL "predefinito"

È necessario associare un certificato TLS/SSL all'ambiente del servizio app come certificato TLS/SSL "predefinito" usato per stabilire le connessioni TLS alle app. Se il suffisso DNS predefinito dell'ambiente del servizio app è internal-contoso.com, una connessione a https://some-random-app.internal.contoso.com richiede un certificato TLS/SSL valido per *.internal-contoso.com.

Ottenere un certificato TLS/SSL valido usando le autorità di certificazione interne, acquistando un certificato da un'autorità di certificazione esterna o usando un certificato autofirmato. Indipendentemente dall'origine del certificato TLS/SSL, è necessario configurare correttamente gli attributi del certificato seguenti:

  • Soggetto: questo attributo deve essere impostato su *.your-root-domain-here.com.
  • Subject Alternative Name: questo attributo deve includere sia .your-root-domain-here.com che*.scm.your-root-domain-here.com*. Le connessioni TLS al sito SCM/Kudu associato a ogni app usano un indirizzo nel formato your-app-name.scm.your-root-domain-here.com.

Dopo aver ottenuto un certificato TLS/SSL valido sono necessari altri due passaggi preliminari. Convertire/salvare il certificato TLS/SSL come file con estensione pfx. Tenere presente che il file con estensione pfx deve includere tutti i certificati intermedi e quelli radice. Proteggerlo con una password.

Il file con estensione pfx deve essere convertito in una stringa Base 64 perché il certificato TLS/SSL viene caricato usando un modello di Resource Manager. Poiché i modelli di Resource Manager sono file di testo, il file PFX deve essere convertito in una stringa Base 64. In questo modo può essere incluso come parametro del modello.

Usare il frammento di codice di PowerShell seguente per:

  • Generare un certificato autofirmato.
  • Esportare il certificato come file PFX.
  • Convertire il file PXF in una stringa con codifica Base 64.
  • Salvare la stringa con codifica Base 64 in un file separato.

Questo codice PowerShell per la codifica Base 64 è stato adattato dal blog di script di PowerShell:

$certificate = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "cert:\localMachine\my\" + $certificate.Thumbprint
$password = ConvertTo-SecureString -String "CHANGETHISPASSWORD" -Force -AsPlainText

$fileName = "exportedcert.pfx"
Export-PfxCertificate -cert $certThumbprint -FilePath $fileName -Password $password     

$fileContentBytes = get-content -encoding byte $fileName
$fileContentEncoded = [System.Convert]::ToBase64String($fileContentBytes)
$fileContentEncoded | set-content ($fileName + ".b64")

Dopo avere generato il certificato TLS/SSL e averlo convertito in una stringa con codifica Base 64, usare il modello di esempio di Resource Manager di esempio per configurare il certificato SSL predefinito in GitHub.

I parametri del file azuredeploy.parameters.json sono elencati qui:

  • appServiceEnvironmentName: nome dell'ambiente del servizio app con servizio di bilanciamento del carico interno in fase di configurazione.
  • existingAseLocation: stringa di testo contenente l'area di Azure in cui è stato distribuito l'ambiente del servizio app con servizio di bilanciamento del carico interno. Ad esempio "Stati Uniti centro-meridionali".
  • pfxBlobString: rappresentazione del file con estensione pfx sotto forma di stringa con codifica Base 64. Usare il frammento di codice visualizzato prima e copiare la stringa contenuta in "exportedcert.pfx.b64". Incollarla come valore dell'attributo pfxBlobString.
  • password: password usata per la protezione del file con estensione pfx.
  • certificateThumbprint: identificazione personale del certificato. Se si recupera questo valore da PowerShell, ad esempio $certificate.Thumbprint dal frammento di codice precedente, è possibile usare il valore così com'è. Se si copia il valore dalla finestra di dialogo del certificato di Windows, rimuovere gli spazi estranei. Il valore di certificateThumbprint sarà simile a AF3143EB61D43F6727842115BB7F17BBCECAECAE.
  • certificateName: identificatore di stringa descrittivo scelto dall'utente per identificare il certificato. Il nome viene usato nell'ambito dell'identificatore univoco di Resource Manager per l'entità Microsoft.Web/certificates che rappresenta il certificato TLS/SSL. Il nome deve terminare con il suffisso seguente: _yourASENameHere_InternalLoadBalancingASE. Il portale di Azure usa questo suffisso per indicare che il certificato è usato per la protezione di un ambiente del servizio app abilitato al bilanciamento del carico interno.

Un esempio abbreviato di azuredeploy.parameters.json è illustrato qui:

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "appServiceEnvironmentName": {
      "value": "yourASENameHere"
    },
    "existingAseLocation": {
      "value": "East US 2"
    },
    "pfxBlobString": {
      "value": "MIIKcAIBAz...snip...snip...pkCAgfQ"
    },
    "password": {
      "value": "PASSWORDGOESHERE"
    },
    "certificateThumbprint": {
      "value": "AF3143EB61D43F6727842115BB7F17BBCECAECAE"
    },
    "certificateName": {
      "value": "DefaultCertificateFor_yourASENameHere_InternalLoadBalancingASE"
    }
  }
}

Dopo la compilazione di azuredeploy.parameters.json, configurare il certificato TLS/SSL predefinito usando il frammento di codice di PowerShell. Modificare i percorsi dei file per fare in modo che corrispondano al percorso dei file dei modelli di Resource Manager nel computer. Indicare i valori per il nome della distribuzione di Resource Manager e il nome del gruppo di risorse:

$templatePath="PATH\azuredeploy.json"
$parameterPath="PATH\azuredeploy.parameters.json"

New-AzResourceGroupDeployment -Name "CHANGEME" -ResourceGroupName "YOUR-RG-NAME-HERE" -TemplateFile $templatePath -TemplateParameterFile $parameterPath

L'applicazione della modifica richiede circa 40 minuti per ogni front-end dell'ambiente del servizio app. Per un ambiente del servizio app di dimensioni predefinite che usa due front-end, ad esempio, l'operazione richiede all'incirca un'ora e 20 minuti. Durante l'esecuzione del modello, l'ambiente del servizio app non può essere ridimensionato.

Quando il modello è completato, le app nell'ambiente del servizio app con bilanciamento del carico interno sono accessibili tramite HTTPS. Le connessioni vengono protette usando il certificato TLS/SSL predefinito. Il certificato TLS/SSL predefinito viene usato quando le app nell'ambiente del servizio app con servizio di bilanciamento del carico interno vengono indirizzate usando una combinazione di nome applicazione e nome host predefinito. Ad esempio, https://mycustomapp.internal.contoso.com usa il certificato TLS/SSL predefinito per *.internal-contoso.com.

Tuttavia, come per le app eseguite nel servizio multi-tenant pubblico, gli sviluppatori possono configurare nomi host personalizzati per le singole app. Possono anche configurare associazioni di certificati TLS/SSL basati su SNI univoche per le singole app.