Anpassade konfigurationsinställningar för App Service-miljöer

Översikt

Eftersom App Service-miljöer är isolerade i en enda kund finns det vissa konfigurationsinställningar som kan användas exklusivt för App Service-miljöer. I den här artikeln beskrivs de olika anpassningar som är tillgängliga för App Service-miljöer.

Kommentar

Den här artikeln beskriver funktioner, fördelar och användningsfall för App Service-miljön v3, som används med App Service Isolated v2-planer.

Om du inte har någon App Service-miljön kan du läsa Skapa en App Service-miljön v3.

Du kan lagra App Service-miljöanpassningar med hjälp av en matris i det nya attributet clusterSettings. Det här attributet finns i ordlistan ”Egenskaper” för hostingEnvironments Azure Resource Manager-entiteten.

Följande förkortade Resource Manager-mallfragment visar attributet clusterSettings:

"resources": [
{
    "apiVersion": "2021-03-01",
    "type": "Microsoft.Web/hostingEnvironments",
    "name": ...,
    "location": ...,
    "properties": {
        "clusterSettings": [
            {
                "name": "nameOfCustomSetting",
                "value": "valueOfCustomSetting"
            }
        ],
        "internalLoadBalancingMode": ...,
        etc...
    }
}

Attributet clusterSettings kan ingå i en Resource Manager-mall för att uppdatera App Service-miljön.

Använda Azure Resource Explorer för att uppdatera en App Service-miljö

Du kan också uppdatera App Service-miljön med hjälp av Azure Resource Explorer.

  1. I Resource Explorer går du till noden för App Service-miljön (prenumerationer>{din prenumeration}>resourceGroups>{din resursgrupp}>providers>Microsoft.Web>hostingEnvironments). Klicka sedan på den specifika App Service-miljö du vill uppdatera.
  2. I den högra rutan klickar du på Läs/Skriv i det övre verktygsfältet för att tillåta interaktiv redigering i resursutofrskaren.
  3. Klicka på den blå redigeringsknappen att Resource Manager-mallen kan redigeras.
  4. Rulla längst ned i den högra rutan. Attributet clusterSettings är allra längst ned på sidan, där du kan ange eller uppdatera dess värde.
  5. Ange (eller kopiera och klistra in) matrisen med konfigurationsvärden som du vill ha i attributet clusterSettings.
  6. Klicka på den gröna knappen PUT (Placera) som finns högst upp i det högra fönstret för att genomföra ändringen i App Service-miljön.

Men du skickar ändringen, ändringen är inte omedelbar och det kan ta upp till 24 timmar innan ändringen börjar gälla fullt ut. Vissa inställningar har specifik information om tiden och effekten av att konfigurera den specifika inställningen.

Aktivera intern kryptering

App Service-miljön fungerar som ett svart box-system där du inte kan se de interna komponenterna eller kommunikationen i systemet. För att aktivera högre dataflöde är kryptering inte aktiverat som standard mellan interna komponenter. Systemet är säkert eftersom trafiken inte är tillgänglig för övervakning eller åtkomst. Om du har ett efterlevnadskrav som kräver fullständig kryptering av datasökvägen från slutpunkt till slutpunkt finns det ett sätt att aktivera kryptering av den fullständiga datasökvägen med ett klusterInställningar.

"clusterSettings": [
    {
        "name": "InternalEncryption",
        "value": "true"
    }
],

Om du anger InternalEncryption till true krypteras intern nätverkstrafik i din App Service-miljön mellan klientdelarna och arbetarna, krypterar sidfilen och krypterar även arbetsdiskarna. När InternalEncryption clusterSetting har aktiverats kan det påverka systemets prestanda. När du gör ändringen för att aktivera InternalEncryption är din App Service-miljön i ett instabilt tillstånd tills ändringen har spridits fullständigt. Det kan ta några timmar att slutföra en fullständig spridning av ändringen, beroende på hur många instanser du har i App Service-miljön. Vi rekommenderar starkt att du inte aktiverar InternalEncryption på en App Service-miljön medan den används. Om du behöver aktivera InternalEncryption på en aktivt använd App Service-miljön rekommenderar vi starkt att du omdirigerar trafik till en säkerhetskopieringsmiljö tills åtgärden har slutförts.

Inaktivera TLS 1.0 och TLS 1.1

Om du vill hantera TLS-inställningar separat för varje app kan du använda de riktlinjer som tillhandahålls med dokumentationen för att framtvinga TLS-inställningar.

Om du vill inaktivera all inkommande TLS 1.0- och TLS 1.1-trafik för alla appar i en App Service-miljön kan du ange följande klusterInställningar:

"clusterSettings": [
    {
        "name": "DisableTls1.0",
        "value": "1"
    }
],

Namnet på inställningen har värdet 1.0, men när den konfigureras inaktiverar den både TLS 1.0 och TLS 1.1.

Ändra ordning på TLS-chiffersvit

App Service-miljön stöder ändring av chiffersviten från standardinställningen. Standarduppsättningen med chiffer är samma uppsättning som används i App Service för flera klientorganisationer. Det går bara att ändra chiffersviten med App Service-miljön, erbjudandet för en enskild klientorganisation, inte erbjudandet för flera klientorganisationer, eftersom det påverkar hela App Service-distributionen om du ändrar det. Det finns två chiffersviter som krävs för en App Service-miljön: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 och TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Dessutom bör du inkludera följande chiffersviter som krävs för TLS 1.3: TLS_AES_256_GCM_SHA384 och TLS_AES_128_GCM_SHA256.

Om du vill konfigurera App Service-miljön att bara använda de chiffer som krävs ändrar du clusterSettings enligt följande exempel. Kontrollera att TLS 1.3-chiffer ingår i början av listan.

"clusterSettings": [
    {
        "name": "FrontEndSSLCipherSuiteOrder",
        "value": "TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
    }
],

Varning

Om felaktiga värden har angetts för chiffersviten som SChannel inte förstår kan all TLS-kommunikation till servern sluta fungera. I sådana fall måste du ta bort posten FrontEndSSLCipherSuiteOrder post från clusterSettings och skicka den uppdaterade Resource Manager-mallen för att återgå till standardchiffersvitinställningarna. Använd den här funktionen med försiktighet.

Kom igång

På mallwebbplatsen för Azure-snabbstarten för Resource Manager finns en mall med basdefinitionen för att skapa en App Service-miljö.