Endereços de gerenciamento de Ambiente de Serviço de Aplicativo
Importante
Este artigo aborda o Ambiente do Serviço de Aplicativo v2, que é usado com planos do Serviço de Aplicativo Isolado. O Ambiente do Serviço de Aplicativo v2 será desativado em 31 de agosto de 2024. Há uma nova versão do Ambiente de Serviço de Aplicativo que é mais fácil de usar e é executado na infraestrutura mais avançada. Para saber mais sobre a nova versão, comece com Introdução ao Ambiente do Serviço de Aplicativo. Se você estiver usando o Ambiente do Serviço de Aplicativo v2, siga as etapas neste artigo para migrar para a nova versão.
A partir de 29 de janeiro de 2024, você não pode mais criar recursos do Ambiente do Serviço de Aplicativo v2 usando qualquer um dos métodos disponíveis, incluindo modelos do ARM/Bicep, portal do Azure, CLI do Azure ou API REST. Você deve migrar para o Ambiente do Serviço de Aplicativo v3 antes de 31 de agosto de 2024 para evitar a exclusão de recursos e a perda de dados.
Pré-requisitos
Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.
Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.
Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.
Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.
Resumo
O ASE (Ambiente do Serviço de Aplicativo) é uma implantação de locatário único do Serviço de Aplicativo do Azure executada em sua Rede Virtual do Azure. Embora o ASE seja executado em sua rede virtual, ele ainda deve estar acessível de diversos endereços IP dedicados usados pelo Serviço de Aplicativo do Azure para ser gerenciado. No caso de um ASE, o tráfego de gerenciamento atravessa a rede controlada pelo usuário. Se o tráfego estiver bloqueado ou estiver encaminhado erroneamente, o ASE será suspenso. Para obter mais informações sobre as dependências da rede do ASE, leia Considerações sobre a rede e o ambiente do Serviço de Aplicativo. Para obter informações gerais sobre o ASE, você pode começar com a Introdução ao Ambiente do Serviço de Aplicativo.
Todos os ASEs têm um VIP público no qual o tráfego de gerenciamento entra. O tráfego de gerenciamento de entrada desses endereços é proveniente das portas 454 e 455 no VIP público de seu ASE. Este documento lista os endereços de origem do Serviço de Aplicativo para o tráfego de gerenciamento para o ASE. Esses endereços também estão na Marca de serviço IP chamada AppServiceManagement.
Os endereços da marca de serviço AppServiceManagement podem ser configurados em uma tabela de rotas para evitar problemas de roteamento assimétrico com o tráfego de gerenciamento. Sempre que possível, você deve usar a marca de serviço em vez dos endereços individuais. As rotas agem sobre o tráfego no IP e não reconhecem a direção do tráfego ou se o tráfego faz parte de uma mensagem de resposta TCP. Se o endereço de resposta para uma solicitação TCP for diferente do endereço para o qual foi enviado, você terá um problema de roteamento assimétrico. Para evitar problemas de roteamento assimétrico com o tráfego de gerenciamento do ASE, você precisa garantir que as respostas sejam enviadas de volta do mesmo endereço para o qual foram enviadas. Para ver mais detalhes sobre como configurar o ASE para operar em um ambiente em que o tráfego de saída é enviado localmente, leia Configurar o ASE com o túnel forçado.
Lista de endereços de gerenciamento
Caso você precise ver os IPs para os endereços de gerenciamento, baixe a referência de marcas de serviço da sua região para ver a lista mais atualizada de endereços. Os endereços de gerenciamento do Ambiente do Serviço de Aplicativo são listados na marca de serviço AppServiceManagement.
| Region | Referência de marcas de serviço |
|---|---|
| Todas as regiões públicas | Intervalos de IP do Azure e marcas de serviço – Nuvem Pública |
| Microsoft Azure Governamental | Intervalos de IP do Azure e marcas de serviço – Nuvem do Governo dos EUA |
| Microsoft Azure operado pela 21Vianet | Intervalos de IP do Azure e marcas de serviço – Nuvem da China |
Configurando um Grupo de Segurança de Rede
Com Grupos de Segurança de Rede, você não precisa se preocupar com os endereços individuais nem em manter sua própria configuração. Há uma marca de serviço IP chamada AppServiceManagement que é mantida atualizada com todos os endereços. Para usar essa marca de serviço IP em seu NSG, acesse o portal, abra a interface do usuário dos Grupos de Segurança de Rede e selecione Regras de segurança de entrada. Caso tenha uma regra pré-existente para o tráfego de gerenciamento de entrada, edite-a. Se esse NSG não foi criado com o ASE ou se ele é novo, selecione Adicionar. No menu suspenso Origem, selecione Marca de Serviço. Na marca de serviço Origem, selecione AppServiceManagement. Defina os intervalos da porta de origem como *, o Destino como Qualquer, os Intervalos da porta de destino como 454-455, o Protocolo como TCP e a Ação como Permitir. Se você estiver criando a regra, precisará definir a Prioridade.
Configurando uma tabela de rotas
Os endereços de gerenciamento podem ser colocados em uma tabela de rotas com um próximo salto da Internet para garantir que todo o tráfego de gerenciamento de entrada possa percorrer novamente o mesmo caminho. Essas rotas são necessárias ao configurar o túnel forçado. Quando possível, use a marca de serviço AppServiceManagement em vez dos endereços individuais. Para criar a tabela de rotas, use o portal, o PowerShell ou a CLI do Azure. Os comandos para criar uma tabela de rotas usando a CLI do Azure em um prompt do PowerShell são mostrados abaixo.
$sub = "subscription ID"
$rg = "resource group name"
$rt = "route table name"
$location = "azure location"
az network route-table route create --subscription $sub -g $rg --route-table-name $rt -n 'AppServiceManagement' --address-prefix 'AppServiceManagement' --next-hop-type 'Internet'
Depois de criar a tabela de rotas, você precisará configurá-la na sub-rede do ASE.
Obter seus endereços de gerenciamento de API
Você pode listar os endereços de gerenciamento que correspondem ao seu ASE com a seguinte chamada à API.
get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01
A API retorna um documento JSON que inclui todos os endereços de entrada do ASE. A lista de endereços inclui os endereços de gerenciamento, o VIP usado pelo seu ASE e o intervalo de endereços de sub-rede do ASE em si.
Para chamar a API com o armclient use os seguintes comandos, mas substitua a ID da assinatura, o grupo de recursos e o nome do ASE.
armclient login
armclient get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01