【 App Service】创建和使用内部负载平衡器应用程序服务环境

语言 Chinese, Simplified

SEO Title

App Service - Create and use an Internal Load Balancer App Service Environment

category

Microsoft专栏

重要事项

本文介绍的是与独立应用服务计划一起使用的应用服务环境v2。应用服务环境v1和v2将于2024年8月31日退役。有一个新版本的App Service Environment，它更易于使用，可以在更强大的基础设施上运行。要了解有关新版本的更多信息，请从应用服务环境介绍开始。如果您当前使用的是App Service Environment v1，请按照本文中的步骤迁移到新版本。

自2024年8月31日起，服务水平协议（SLA）和服务信用不再适用于继续生产的App Service Environment v1和v2工作负载，因为它们是退役产品。App Service Environment v1和v2硬件的停用已经开始，这可能会影响您的应用程序和数据的可用性和性能。

您必须立即完成向App Service Environment v3的迁移，否则您的应用和资源可能会被删除。我们将尽最大努力使用就地迁移功能自动迁移任何剩余的App Service Environment v1和v2，但微软对自动迁移后的应用程序可用性不作任何声明或保证。您可能需要执行手动配置以完成迁移，并优化您的应用服务计划SKU选择以满足您的需求。如果自动迁移不可行，您的资源和相关应用程序数据将被删除。我们强烈敦促您立即采取行动，避免出现这两种极端情况。

如果您需要额外的时间，我们可以为您提供一次性30天的宽限期来完成迁移。有关更多信息和请求此宽限期，请查看宽限期概述，然后转到Azure门户并访问每个应用服务环境的迁移刀片。

有关App Service Environment v1/v2退役的最新信息，请参阅App Service Environment v1和v2退役更新。

Azure应用服务环境是将Azure应用服务部署到Azure虚拟网络（Azure virtual network）VNET中的子网中。部署应用服务环境（ASE）有两种方法：

在外部IP地址上有一个VIP，通常称为外部ASE。
VIP位于内部IP地址上，通常称为ILB ASE，因为内部端点是内部负载均衡器（ILB）。

本文将向您展示如何创建ILB ASE。有关ASE的概述，请参阅应用服务环境简介。要了解如何创建外部ASE，请参阅[创建外部ASE][MakeExternalASE]。

概述

您可以部署具有互联网可访问端点的ASE，也可以在Contoso中部署具有IP地址的ASE。要将IP地址设置为ExpressRoute地址，ASE必须与ILB一起部署。当您使用ILB部署ASE时，必须提供ASE的名称。ASE的名称用于ASE中应用程序的域后缀。ILB ASE的域后缀是<ASE name>.appserviceenvironment.net。在ILB ASE中制作的应用程序不会放在公共DNS中。

早期版本的ILB ASE要求您为HTTPS连接提供域后缀和默认证书。在ILB ASE创建时不再收集域后缀，也不再收集默认证书。现在创建ILB ASE时，默认证书由Microsoft提供，并受浏览器信任。您仍然可以在ASE中的应用程序上设置自定义域名，并在这些自定义域名上设置证书。

使用ILB ASE，您可以执行以下操作：

在云中安全地托管intranet应用程序，您可以通过站点到站点或ExpressRoute访问这些应用程序。
使用WAF设备保护应用程序
托管云中未在公共DNS服务器中列出的应用程序。
创建与互联网隔离的后端应用程序，您的前端应用程序可以安全地与之集成。

禁用功能

当你使用ILB ASE时，有些事情是你不能做的：

使用基于IP的TLS/SSL绑定。
为特定应用程序分配IP地址。
通过Azure门户购买并使用应用程序的证书。您可以直接从证书颁发机构获取证书，并将其用于您的应用程序。您无法通过Azure门户获取它们。

创建ILB ASE

要创建ILB ASE，请参阅使用Azure资源管理器模板创建ASE。

注：

应用服务环境名称不得超过36个字符。

在ILB ASE中创建应用程序

您在ILB ASE中创建应用程序的方式与在ASE中正常创建应用程序相同。

在Azure门户中，选择创建资源>Web>Web应用程序。
输入应用程序的名称。
选择订阅。
选择或创建资源组。
选择您的发布、运行时堆栈和操作系统。
选择一个位置，该位置是现有的ILB ASE。
选择或创建应用服务计划。
选择“查看并创建”，然后在准备就绪后选择“创建”。

Web作业、功能和ILB ASE

ILB ASE支持函数和web作业，但门户要使用它们，您必须具有SCM站点的网络访问权限。这意味着您的浏览器必须位于虚拟网络中或连接到虚拟网络的主机上。如果您的ILB ASE的域名不以appserviceenvironment.net结尾，您需要让浏览器信任您的scm站点使用的HTTPS证书。

DNS配置

当您使用外部ASE时，在ASE中创建的应用程序将向Azure DNS注册。在外部ASE中，您的应用程序不需要额外的步骤即可公开使用。使用ILB ASE，您必须管理自己的DNS。您可以在自己的DNS服务器或Azure DNS专用区域中执行此操作。

要使用ILB ASE在自己的DNS服务器中配置DNS，请执行以下操作：

为<ASE name>创建一个区域。appserviceenvironment.net
在该区域中创建一条指向ILB IP地址的A记录
在该区域中创建一个A记录，将@指向ILB IP地址
在<ASE name>.appserviceenvironment.net中创建一个名为scm的区域
在scm区域中创建一个指向ILB IP地址的A记录

要在Azure DNS专用区域中配置DNS，请执行以下操作：

创建一个名为<ASE name>的Azure DNS专用区域。appserviceenvironment.net
在该区域中创建一条指向ILB IP地址的A记录
在该区域中创建一个A记录，将@指向ILB IP地址
在该区域中创建一条A记录，将*.scm指向ILB IP地址

ASE默认域后缀的DNS设置不会限制您的应用程序只能通过这些名称访问。您可以在ILB ASE中设置自定义域名，而无需对应用程序进行任何验证。如果您想创建一个名为contoso.net的区域，可以这样做并将其指向ILB IP地址。自定义域名适用于应用程序请求，但不适用于scm站点。scm站点仅在<appname>.scm上可用<asename>.appserviceenvironment.net。

命名的区域<asename>.appserviceenvironment.net是全球唯一的。在2019年5月之前，客户可以指定ILB ASE的域名后缀。如果你想使用contoso.com作为域后缀，你可以这样做，这将包括scm站点。该模式存在挑战，包括：；管理默认的TLS/SSL证书，缺少与scm站点的单点登录，以及使用通配符证书的要求。ILB ASE默认证书升级过程也会造成中断，并导致应用程序重新启动。为了解决这些问题，ILB ASE行为被更改为使用基于ASE名称的域后缀和Microsoft拥有的后缀。ILB ASE行为的变化仅影响2019年5月之后的ILB ASE。现有的ILB ASE仍必须管理ASE的默认证书及其DNS配置。

使用ILB ASE发布

对于创建的每个应用程序，都有两个端点。在ILB ASE中，您有<app name><ILB ASE域>和<应用程序名称>.scm<ILB ASE域>。

SCM站点名称将带您进入Azure门户中的Kudu控制台，称为高级门户。Kudu控制台允许您查看环境变量、探索磁盘、使用控制台等等。有关更多信息，请参阅Azure应用服务的Kudu控制台。

如果构建代理可通过互联网访问，并且与ILB ASE位于同一网络上，则基于互联网的CI系统（如GitHub和Azure DevOps）仍将与ILB ASE一起工作。因此，在Azure DevOps的情况下，如果构建代理是在与ILB ASE相同的VNET上创建的（不同的子网也可以），它将能够从Azure DevOps git中提取代码并部署到ILB ASE。如果你不想创建自己的构建代理，你需要使用一个使用拉取模型的CI系统，比如Dropbox。

ILB ASE中应用程序的发布终结点使用创建ILB ASE时使用的域。此域显示在应用程序的发布配置文件和应用程序的门户刀片中（概述>基本内容和属性）。如果您有一个域名后缀为<ASE name>.appserviceenvironment.net的ILB ASE，以及一个名为mytest的应用程序，请使用mytest<ASE名称>.appserviceenvironment.net用于FTP，mytest.scm.contoso.net用于MSDeploy部署。

使用WAF设备配置ILB ASE

您可以将web应用程序防火墙（WAF）设备与ILB ASE结合使用，只将您想要的应用程序暴露在互联网上，并使其余应用程序只能从ExpressRoute中访问。这使您能够构建安全的多层应用程序等。

要了解有关如何使用WAF设备配置ILB ASE的更多信息，请参阅使用您的App Service环境配置web应用程序防火墙。本文展示了如何将Barracuda虚拟设备与ASE一起使用。另一种选择是使用Azure应用程序网关。应用程序网关使用OWASP核心规则来保护其背后的任何应用程序。有关应用程序网关的更多信息，请参阅Azure web应用程序防火墙介绍。

2019年5月之前提交的ILB ASE

2019年5月之前创建的ILB ASE要求您在创建ASE时设置域后缀。他们还要求您上传基于该域名后缀的默认证书。此外，使用较旧的ILB ASE，您无法使用该ILB ASE中的应用程序对Kudu控制台进行单点登录。为较旧的ILB ASE配置DNS时，需要在与域后缀匹配的区域中设置通配符A记录。创建或更改具有自定义域后缀的ILB ASE需要您使用Azure资源管理器模板和2019年之前的api版本。最后支持的api版本是2018-11-01。