Information om nätverkskonfiguration för App Service-miljön för Power Apps med Azure ExpressRoute

  • Artikel

Viktigt!

Den här artikeln handlar om App Service-miljön v1. App Service-miljön v1 går i pension den 31 augusti 2024. Det finns en ny version av App Service-miljön som är enklare att använda och köra på kraftfullare infrastruktur. Om du vill veta mer om den nya versionen börjar du med Introduktion till App Service-miljön. Om du för närvarande använder App Service-miljön v1 följer du stegen i den här artikeln för att migrera till den nya versionen.

Från och med den 29 januari 2024 kan du inte längre skapa nya App Service-miljön v1-resurser med någon av de tillgängliga metoderna, inklusive ARM/Bicep-mallar, Azure Portal, Azure CLI eller REST API. Du måste migrera till App Service-miljön v3 före den 31 augusti 2024 för att förhindra resursborttagning och dataförlust.

Kunder kan ansluta en Azure ExpressRoute-krets till sin virtuella nätverksinfrastruktur för att utöka sitt lokala nätverk till Azure. App Service-miljön skapas i ett undernät i den virtuella nätverksinfrastrukturen. Appar som körs på App Service-miljön upprätta säkra anslutningar till serverdelsresurser som endast är tillgängliga via ExpressRoute-anslutningen.

App Service-miljön kan skapas i följande scenarier:

  • Virtuella Azure Resource Manager-nätverk.
  • Virtuella nätverk för den klassiska distributionsmodellen.
  • Virtuella nätverk som använder offentliga adressintervall eller RFC1918 adressutrymmen (dvs. privata adresser).

Kommentar

Även om den här artikeln handlar om webbappar, så gäller den även för API-appar och mobilappar.

Nödvändig nätverksanslutning

App Service-miljön har krav på nätverksanslutning som till en början kanske inte uppfylls i ett virtuellt nätverk som är anslutet till ExpressRoute.

App Service-miljön kräver följande nätverksanslutningsinställningar för att fungera korrekt:

  • Utgående nätverksanslutning till Azure Storage-slutpunkter över hela världen på både port 80 och port 443. Dessa slutpunkter finns i samma region som App Service-miljön och även andra Azure-regioner. Azure Storage-slutpunkter matchar under följande DNS-domäner: table.core.windows.net, blob.core.windows.net, queue.core.windows.net och file.core.windows.net.

  • Utgående nätverksanslutning till Azure Files-tjänsten på port 445.

  • Utgående nätverksanslutning till Azure SQL Database-slutpunkter som finns i samma region som App Service-miljön. SQL Database-slutpunkter löses under domänen database.windows.net, vilket kräver öppen åtkomst till portarna 1433, 11000-11999 och 14000-14999. Mer information om SQL Database V12-portanvändning finns i Portar utöver 1433 för ADO.NET 4.5.

  • Utgående nätverksanslutning till Azure-hanteringsplanslutpunkterna (både den klassiska Azure-distributionsmodellen och Azure Resource Manager-slutpunkterna). Anslut ivity to these endpoints includes the management.core.windows.net and management.azure.com domains.

  • Utgående nätverksanslutning till domänerna ocsp.msocsp.com, mscrl.microsoft.com och crl.microsoft.com. Anslut för dessa domäner krävs för att stödja TLS-funktioner.

  • DNS-konfigurationen för det virtuella nätverket måste kunna matcha alla slutpunkter och domäner som nämns i den här artikeln. Om slutpunkterna inte kan matchas misslyckas App Service-miljön skapande. Alla befintliga App Service-miljön markeras som felaktiga.

  • Utgående åtkomst på port 53 krävs för kommunikation med DNS-servrar.

  • Om det finns en anpassad DNS-server i andra änden av en VPN-gateway måste DNS-servern kunna nås från det undernät som innehåller App Service-miljön.

  • Den utgående nätverkssökvägen kan inte färdas via interna företagsproxyservrar och kan inte tvingas att köra tunneltrafik lokalt. Dessa åtgärder ändrar den effektiva NAT-adressen för utgående nätverkstrafik från App Service-miljön. Ändringar i NAT-adressen för App Service-miljön utgående nätverkstrafik orsakar anslutningsfel till många av slutpunkterna. App Service-miljön skapande misslyckas. Alla befintliga App Service-miljön markeras som felaktiga.

  • Inkommande nätverksåtkomst till nödvändiga portar för App Service-miljön måste tillåtas. Mer information finns i Så här styr du inkommande trafik till App Service-miljön.

För att uppfylla DNS-kraven kontrollerar du att en giltig DNS-infrastruktur har konfigurerats och underhålls för det virtuella nätverket. Om DNS-konfigurationen ändras när App Service-miljön har skapats kan utvecklare tvinga App Service-miljön att hämta den nya DNS-konfigurationen. Du kan utlösa en omstart av en rullande miljö med hjälp av ikonen Starta om under App Service-miljön hantering i Azure-portalen. Omstarten gör att miljön hämtar den nya DNS-konfigurationen.

Om du vill uppfylla kraven för inkommande nätverksåtkomst konfigurerar du en nätverkssäkerhetsgrupp (NSG) i App Service-miljön undernät. NSG tillåter den åtkomst som krävs för att styra inkommande trafik till App Service-miljön.

Utgående nätverksanslutning

Som standard annonserar en nyskapad ExpressRoute-krets en standardväg som tillåter utgående Internetanslutning. App Service-miljön kan använda den här konfigurationen för att ansluta till andra Azure-slutpunkter.

En vanlig kundkonfiguration är att definiera sin egen standardväg (0.0.0.0/0), som tvingar utgående Internettrafik att flöda lokalt. Det här trafikflödet bryter alltid App Service-miljön. Den utgående trafiken blockeras antingen lokalt eller NAT'd till en oigenkännlig uppsättning adresser som inte längre fungerar med olika Azure-slutpunkter.

Lösningen är att definiera en (eller flera) användardefinierade vägar (UDR) i det undernät som innehåller App Service-miljön. En UDR definierar undernätsspecifika vägar som respekteras i stället för standardvägen.

Använd om möjligt följande konfiguration:

  • ExpressRoute-konfigurationen annonserar 0.0.0.0/0. Som standard tunnlar konfigurationen all utgående trafik lokalt.
  • UDR som tillämpas på det undernät som innehåller App Service-miljön definierar 0.0.0.0/0 med en nästa hopptyp av Internet. Ett exempel på den här konfigurationen beskrivs senare i den här artikeln.

Den kombinerade effekten av den här konfigurationen är att UDR på undernätsnivå har företräde framför ExpressRoute-tvingad tunneltrafik. Utgående internetåtkomst från App Service-miljön garanteras.

Viktigt!

Vägarna som definieras i en UDR måste vara tillräckligt specifika för att ha företräde framför alla vägar som annonseras av ExpressRoute-konfigurationen. Exemplet som beskrivs i nästa avsnitt använder det breda adressintervallet 0.0.0.0/0. Det här intervallet kan oavsiktligt åsidosättas av vägannonser som använder mer specifika adressintervall.

App Service-miljön stöds inte med ExpressRoute-konfigurationer som korsannonserar vägar från den offentliga peeringsökvägen till den privata peeringsökvägen. ExpressRoute-konfigurationer som har konfigurerad offentlig peering tar emot vägannonser från Microsoft för en stor uppsättning Ip-adressintervall för Microsoft Azure. Om dessa adressintervall korsannonseras på den privata peeringsökvägen tvingas alla utgående nätverkspaket från App Service-miljön undernätet att skickas via tunnel till kundens lokala nätverksinfrastruktur. Det här nätverksflödet stöds inte för närvarande med App Service-miljön. En lösning är att stoppa korsannonseringsvägar från den offentliga peeringvägen till den privata peeringvägen.

Bakgrundsinformation om användardefinierade vägar finns i Trafikdirigering för virtuella nätverk.

Information om hur du skapar och konfigurerar användardefinierade vägar finns i Dirigera nätverkstrafik med en routningstabell med hjälp av PowerShell.

UDR-konfiguration

Det här avsnittet visar ett exempel på UDR-konfiguration för App Service-miljön.

Förutsättningar

  • Installera Azure PowerShell från sidan Azure-nedladdningar. Välj en nedladdning med datumet juni 2015 eller senare. Under Kommandoradsverktyg>i Windows PowerShell väljer du Installera för att installera de senaste PowerShell-cmdletarna.

  • Skapa ett unikt undernät för exklusiv användning av App Service-miljön. Det unika undernätet säkerställer att de UDF:er som tillämpas på undernätet endast öppnar utgående trafik för App Service-miljön.

Viktigt!

Distribuera endast App Service-miljön när du har slutfört konfigurationsstegen. Stegen säkerställer att utgående nätverksanslutning är tillgänglig innan du försöker distribuera App Service-miljön.

Steg 1: Skapa en routningstabell

Skapa en routningstabell med namnet DirectInternetRouteTable i Azure-regionen USA, västra, enligt följande kodfragment:

New-AzureRouteTable -Name 'DirectInternetRouteTable' -Location uswest

Steg 2: Skapa vägar i tabellen

Lägg till vägar i routningstabellen för att aktivera utgående internetåtkomst.

Konfigurera utgående åtkomst till Internet. Definiera en väg för 0.0.0.0/0 enligt följande kodfragment:

Get-AzureRouteTable -Name 'DirectInternetRouteTable' | Set-AzureRoute -RouteName 'Direct Internet Range 0' -AddressPrefix 0.0.0.0/0 -NextHopType Internet

0.0.0.0/0 är ett brett adressintervall. Intervallet åsidosätts av adressintervall som annonseras av ExpressRoute som är mer specifika. En UDR med en 0.0.0.0/0-väg ska användas tillsammans med en ExpressRoute-konfiguration som endast annonserar 0.0.0.0/0.

Alternativt kan du ladda ned en aktuell, omfattande lista över CIDR-intervall som används av Azure. XML-filen för alla Azure IP-adressintervall är tillgänglig från Microsoft Download Center.

Kommentar

Azures IP-adressintervall ändras över tid. Användardefinierade vägar behöver regelbundna manuella uppdateringar för att hålla synkroniserade.

En enskild UDR har en övre standardgräns på 100 vägar. Du måste "sammanfatta" Azure IP-adressintervallen så att de passar inom gränsen på 100 routningar. UDR-definierade vägar måste vara mer specifika än vägar som annonseras av din ExpressRoute-anslutning.

Steg 3: Associera tabellen med undernätet

Associera routningstabellen till det undernät där du tänker distribuera App Service-miljön. Det här kommandot associerar tabellen DirectInternetRouteTable med det ASESubnet-undernät som ska innehålla App Service-miljön.

Set-AzureSubnetRouteTable -VirtualNetworkName 'YourVirtualNetworkNameHere' -SubnetName 'ASESubnet' -RouteTableName 'DirectInternetRouteTable'

Steg 4: Testa och bekräfta vägen

När routningstabellen är bunden till undernätet testar du och bekräftar vägen.

Distribuera en virtuell dator till undernätet och bekräfta följande villkor:

  • Utgående trafik till Azure- och icke-Azure-slutpunkter som beskrivs i den här artikeln flödar inte ned i ExpressRoute-kretsen. Om utgående trafik från undernätet framtvingas tunneltrafik lokalt misslyckas alltid App Service-miljön skapande.
  • DNS-sökningar för slutpunkterna som beskrivs i den här artikeln matchar alla korrekt.

När du har slutfört konfigurationsstegen och bekräftat vägen tar du bort den virtuella datorn. Undernätet måste vara "tomt" när App Service-miljön skapas.

Nu är du redo att distribuera App Service-miljön!

Nästa steg

Information om hur du kommer igång med App Service-miljön för Power Apps finns i Introduktion till App Service-miljön.