category
重要事项
本文介绍的是与独立应用服务计划一起使用的应用服务环境v2。应用服务环境v1和v2将于2024年8月31日退役。有一个新版本的App Service Environment,它更易于使用,可以在更强大的基础设施上运行。要了解有关新版本的更多信息,请从应用服务环境介绍开始。如果您当前使用的是App Service Environment v1,请按照本文中的步骤迁移到新版本。
自2024年8月31日起,服务水平协议(SLA)和服务信用不再适用于继续生产的App Service Environment v1和v2工作负载,因为它们是退役产品。App Service Environment v1和v2硬件的停用已经开始,这可能会影响您的应用程序和数据的可用性和性能。
您必须立即完成向App Service Environment v3的迁移,否则您的应用和资源可能会被删除。我们将尽最大努力使用就地迁移功能自动迁移任何剩余的App Service Environment v1和v2,但微软对自动迁移后的应用程序可用性不作任何声明或保证。您可能需要执行手动配置以完成迁移,并优化您的应用服务计划SKU选择以满足您的需求。如果自动迁移不可行,您的资源和相关应用程序数据将被删除。我们强烈敦促您立即采取行动,避免出现这两种极端情况。
如果您需要额外的时间,我们可以为您提供一次性30天的宽限期来完成迁移。有关更多信息和请求此宽限期,请查看宽限期概述,然后转到Azure门户并访问每个应用服务环境的迁移刀片。
有关App Service Environment v1/v2退役的最新信息,请参阅App Service Environment v1和v2退役更新。
应用服务环境(ASE)有许多外部依赖关系,需要访问这些依赖关系才能正常运行。ASE位于客户Azure虚拟网络中。客户必须允许ASE依赖流量,这对于希望锁定其虚拟网络所有出口的客户来说是一个问题。
有许多入站端点用于管理ASE。入站管理流量无法通过防火墙设备发送。此流量的源地址是已知的,并在应用服务环境管理地址文档中发布。还有一个名为AppServiceManagement的服务标签,它可以与网络安全组(NSG)一起使用,以保护入站流量。
ASE出站依赖关系几乎完全由FQDN定义,FQDN后面没有静态地址。缺少静态地址意味着网络安全组不能用于锁定来自ASE的出站流量。地址经常发生变化,以至于人们无法根据当前的决议制定规则,并利用这些规则来创建核供应国集团。
保护出站地址的解决方案在于使用防火墙设备,该设备可以根据域名控制出站流量。Azure防火墙可以根据目标的FQDN限制出站HTTP和HTTPS流量。
系统架构
部署出站流量通过防火墙设备的ASE需要更改ASE子网上的路由。路由在IP级别运行。如果你在定义路由时不小心,你可以强制TCP回复流量从另一个地址来源。当您的回复地址与发送流量的地址不同时,该问题称为非对称路由,它会破坏TCP。
必须定义路由,以便ASE的入站流量可以以与流量相同的方式回复。必须为入站管理请求和入站应用程序请求定义路由。
进出ASE的交通必须遵守以下惯例
- 使用防火墙设备不支持Azure SQL、存储和事件中心的流量。此流量必须直接发送到这些服务。实现这一点的方法是为这三个服务配置服务端点。
- 必须定义路由表规则,将入站管理流量从其来源发送回。
- 必须定义路由表规则,将入站应用程序流量从其来源发送回。
- 所有其他离开ASE的流量都可以通过路由表规则发送到您的防火墙设备。
ASE与Azure防火墙连接流
锁定入站管理流量
如果您的ASE子网尚未分配NSG,请创建一个。在NSG内,设置第一条规则,允许来自端口454、455上名为AppServiceManagement的服务标签的流量。允许从AppServiceManagement标签访问的规则是管理ASE所需的唯一公共IP。该服务标签后面的地址仅用于管理Azure应用服务。流经这些连接的管理流量是加密的,并使用身份验证证书进行保护。此通道上的典型流量包括客户发起的命令和健康探测等。
通过具有新子网的门户创建的ASE是使用包含AppServiceManagement标签的允许规则的NSG创建的。
您的ASE还必须允许来自端口16001上的负载均衡器标签的入站请求。来自端口16001上的负载均衡器的请求是负载均衡器和ASE前端之间的保活检查。如果端口16001被阻塞,则ASE将不正常。
使用ASE配置Azure防火墙
使用Azure防火墙锁定现有ASE出口的步骤如下:
- 在ASE子网上启用SQL、存储和事件中心的服务端点。要启用服务端点,请进入网络门户>子网,然后选择Microsoft。微软事件中心。SQL和微软。从服务端点下拉列表中选择存储。当你为Azure SQL启用了服务端点时,你的应用程序所具有的任何Azure SQL依赖项也必须配置服务端点。
选择服务端点
- 在ASE所在的虚拟网络中创建一个名为AzureFirewallSubsnet的子网。按照Azure防火墙文档中的说明创建Azure防火墙。
- 从Azure防火墙UI>规则>应用程序规则集合中,选择添加应用程序规则集。提供名称、优先级并设置“允许”。在FQDN标签部分,提供一个名称,将源地址设置为*,然后选择应用服务环境FQDN标签和Windows Update。
添加应用程序规则
- 从Azure防火墙UI>规则>网络规则集合中,选择添加网络规则集合。提供名称、优先级并设置“允许”。在IP地址下的规则部分,提供一个名称,选择任意协议,将*设置为源地址和目标地址,并将端口设置为123。此规则允许系统使用NTP执行时钟同步。以与端口12000相同的方式创建另一条规则,以帮助对任何系统问题进行分类。
添加NTP网络规则
- 从Azure防火墙UI>规则>网络规则集合中,选择添加网络规则集合。提供名称、优先级并设置“允许”。在“服务标签”下的“规则”部分,提供一个名称,选择“任意”协议,将*设置为源地址,选择AzureMonitor服务标签,并将端口设置为80、443。此规则允许系统向Azure Monitor提供运行状况和指标信息。
添加NTP服务标签网络规则
- 为AppServiceManagement服务标签创建一个路由表,其中包含下一跳互联网的路由。此路由表条目是避免不对称路由问题所必需的。将虚拟设备路由添加到0.0.0.0/0的路由表中,下一跳是您的Azure防火墙专用IP地址。您应该使用服务标签而不是IP地址,以避免在管理地址更改时必须更新路由表。但是,如果您需要使用管理地址,您可以从App service Environment管理地址下载您正在使用的云的服务标签参考文件,并从这些地址创建路由。
- 将您创建的路由表分配给ASE子网。
在防火墙后部署ASE
在防火墙后部署ASE的步骤与使用Azure防火墙配置现有ASE的步骤相同,除了您需要创建ASE子网,然后按照前面的步骤进行操作。要在预先存在的子网中创建ASE,您需要使用资源管理器模板,如“使用资源管理者模板创建ASE”文档中所述。
应用程序流量
上述步骤使您的ASE能够正常运行。您仍然需要配置一些东西来满足您的应用程序需求。配置了Azure防火墙的ASE中的应用程序存在两个问题。
- 必须将应用程序依赖项添加到Azure防火墙或路由表中。
- 必须为应用程序流量创建路由,以避免不对称路由问题
如果您的应用程序有依赖关系,则需要将其添加到Azure防火墙中。创建应用程序规则以允许HTTP/HTTPS流量,并为其他所有内容创建网络规则。
当您知道应用程序请求流量来自的地址范围时,您可以将其添加到分配给ASE子网的路由表中。如果地址范围较大或未指定,则可以使用应用程序网关等网络设备为您提供一个地址以添加到路由表中。有关使用ILB ASE配置应用程序网关的详细信息,请阅读将ILB ASE与应用程序网关集成
应用程序网关的使用只是如何配置系统的一个示例。如果您确实遵循了这条路径,那么您需要向ASE子网路由表添加一条路由,以便发送到应用程序网关的回复流量直接到达那里。
日志
Azure防火墙可以将日志发送到Azure存储、事件中心或Azure监视器日志。若要将您的应用程序与任何受支持的目标集成,请转到Azure防火墙门户>诊断日志,并为您所需的目标启用日志。如果您与Azure Monitor日志集成,则可以看到发送到Azure防火墙的任何流量的日志记录。要查看被拒绝的流量,请打开您的日志分析工作区门户>日志,然后输入以下查询
库斯托
复制
AzureDiagnostics | where msg_s contains "Deny" | where TimeGenerated >= ago(1h)
当您不知道所有应用程序依赖关系时,首次使应用程序工作时,将Azure防火墙与Azure监视器日志集成非常有用。您可以从Azure Monitor中的分析日志数据了解有关Azure Monitor日志的更多信息。
使用ASE配置第三方防火墙
仅当您希望配置Azure防火墙以外的防火墙设备时,才需要以下信息。有关Azure防火墙,请参阅上面的部分。
在使用ASE部署第三方防火墙时,请考虑以下依赖关系:
- 支持服务端点的服务应配置服务端点。
- IP地址依赖关系适用于非HTTP/S流量(TCP和UDP流量)
- FQDN HTTP/HTTPS端点可以放置在防火墙设备中。
- 通配符HTTP/HTTPS端点是依赖关系,根据许多限定符,它们可能因ASE而异。
- 只有在将Linux应用程序部署到ASE中时,Linux依赖性才是一个问题。如果你没有将Linux应用程序部署到ASE中,那么这些地址就不需要添加到防火墙中。
支持服务端点的依赖关系
Endpoint |
---|
Azure SQL |
Azure Storage |
Azure Event Hubs |
IP地址依赖关系
Endpoint | Details |
---|---|
*:123 | NTP clock check. Traffic is checked at multiple endpoints on port 123 |
*:12000 | This port is used for some system monitoring. If blocked, then some issues are harder to triage but your ASE continues to operate |
40.77.24.27:80 | Needed to monitor and alert on ASE problems |
40.77.24.27:443 | Needed to monitor and alert on ASE problems |
13.90.249.229:80 | Needed to monitor and alert on ASE problems |
13.90.249.229:443 | Needed to monitor and alert on ASE problems |
104.45.230.69:80 | Needed to monitor and alert on ASE problems |
104.45.230.69:443 | Needed to monitor and alert on ASE problems |
13.82.184.151:80 | Needed to monitor and alert on ASE problems |
13.82.184.151:443 | Needed to monitor and alert on ASE problems |
With an Azure Firewall, you automatically get the following configured with the FQDN tags.
FQDN HTTP/HTTPS dependencies
Endpoint |
---|
graph.microsoft.com:443 |
login.live.com:443 |
login.windows.com:443 |
login.windows.net:443 |
login.microsoftonline.com:443 |
*.login.microsoftonline.com:443 |
*.login.microsoft.com:443 |
client.wns.windows.com:443 |
definitionupdates.microsoft.com:443 |
go.microsoft.com:80 |
go.microsoft.com:443 |
www.microsoft.com:80 |
www.microsoft.com:443 |
wdcpalt.microsoft.com:443 |
wdcp.microsoft.com:443 |
ocsp.msocsp.com:443 |
ocsp.msocsp.com:80 |
oneocsp.microsoft.com:80 |
oneocsp.microsoft.com:443 |
mscrl.microsoft.com:443 |
mscrl.microsoft.com:80 |
crl.microsoft.com:443 |
crl.microsoft.com:80 |
www.thawte.com:443 |
crl3.digicert.com:80 |
ocsp.digicert.com:80 |
ocsp.digicert.com:443 |
csc3-2009-2.crl.verisign.com:80 |
crl.verisign.com:80 |
ocsp.verisign.com:80 |
cacerts.digicert.com:80 |
azperfcounters1.blob.core.windows.net:443 |
azurewatsonanalysis-prod.core.windows.net:443 |
global.metrics.nsatc.net:80 |
global.metrics.nsatc.net:443 |
az-prod.metrics.nsatc.net:443 |
antares.metrics.nsatc.net:443 |
azglobal-black.azglobal.metrics.nsatc.net:443 |
azglobal-red.azglobal.metrics.nsatc.net:443 |
antares-black.antares.metrics.nsatc.net:443 |
antares-red.antares.metrics.nsatc.net:443 |
prod.microsoftmetrics.com:443 |
maupdateaccount.blob.core.windows.net:443 |
clientconfig.passport.net:443 |
packages.microsoft.com:443 |
schemas.microsoft.com:80 |
schemas.microsoft.com:443 |
management.core.windows.net:443 |
management.core.windows.net:80 |
management.azure.com:443 |
www.msftconnecttest.com:80 |
shavamanifestcdnprod1.azureedge.net:443 |
validation-v2.sls.microsoft.com:443 |
flighting.cp.wd.microsoft.com:443 |
dmd.metaservices.microsoft.com:80 |
admin.core.windows.net:443 |
prod.warmpath.msftcloudes.com:443 |
prod.warmpath.msftcloudes.com:80 |
gcs.prod.monitoring.core.windows.net:80 |
gcs.prod.monitoring.core.windows.net:443 |
azureprofileruploads.blob.core.windows.net:443 |
azureprofileruploads2.blob.core.windows.net:443 |
azureprofileruploads3.blob.core.windows.net:443 |
azureprofileruploads4.blob.core.windows.net:443 |
azureprofileruploads5.blob.core.windows.net:443 |
azperfmerges.blob.core.windows.net:443 |
azprofileruploads1.blob.core.windows.net:443 |
azprofileruploads10.blob.core.windows.net:443 |
azprofileruploads2.blob.core.windows.net:443 |
azprofileruploads3.blob.core.windows.net:443 |
azprofileruploads4.blob.core.windows.net:443 |
azprofileruploads6.blob.core.windows.net:443 |
azprofileruploads7.blob.core.windows.net:443 |
azprofileruploads8.blob.core.windows.net:443 |
azprofileruploads9.blob.core.windows.net:443 |
azureprofilerfrontdoor.cloudapp.net:443 |
settings-win.data.microsoft.com:443 |
maupdateaccount2.blob.core.windows.net:443 |
maupdateaccount3.blob.core.windows.net:443 |
dc.services.visualstudio.com:443 |
gmstorageprodsn1.blob.core.windows.net:443 |
gmstorageprodsn1.file.core.windows.net:443 |
gmstorageprodsn1.queue.core.windows.net:443 |
gmstorageprodsn1.table.core.windows.net:443 |
rteventservice.trafficmanager.net:443 |
ctldl.windowsupdate.com:80 |
ctldl.windowsupdate.com:443 |
global-dsms.dsms.core.windows.net:443 |
Wildcard HTTP/HTTPS dependencies
Endpoint |
---|
gr-prod-*.cloudapp.net:443 |
gr-prod-*.azurewebsites.windows.net:443 |
*.management.azure.com:443 |
*.update.microsoft.com:443 |
*.windowsupdate.microsoft.com:443 |
*.identity.azure.net:443 |
*.ctldl.windowsupdate.com:80 |
*.ctldl.windowsupdate.com:443 |
*.prod.microsoftmetrics.com:443 |
*.dsms.core.windows.net:443 |
*.prod.warm.ingest.monitor.core.windows.net:443 |
Linux dependencies
Endpoint |
---|
wawsinfraprodbay063.blob.core.windows.net:443 |
registry-1.docker.io:443 |
auth.docker.io:443 |
production.cloudflare.docker.com:443 |
download.docker.com:443 |
us.archive.ubuntu.com:80 |
download.mono-project.com:80 |
packages.treasuredata.com:80 |
security.ubuntu.com:80 |
oryx-cdn.microsoft.io:443 |
*.cdn.mscr.io:443 |
*.data.mcr.microsoft.com:443 |
mcr.microsoft.com:443 |
*.data.mcr.microsoft.com:443 |
packages.fluentbit.io:80 |
packages.fluentbit.io:443 |
apt-mo.trafficmanager.net:80 |
apt-mo.trafficmanager.net:443 |
azure.archive.ubuntu.com:80 |
azure.archive.ubuntu.com:443 |
changelogs.ubuntu.com:80 |
13.74.252.37:11371 |
13.75.127.55:11371 |
13.76.190.189:11371 |
13.80.10.205:11371 |
13.91.48.226:11371 |
40.76.35.62:11371 |
104.215.95.108:11371 |
在美国政府区域使用ASE配置防火墙
对于美国政府地区的ASE,请按照本文档“使用ASE配置Azure防火墙”一节中的说明,使用ASE配置一个Azure防火墙。
当你想在美国政府中使用第三方防火墙时,你需要考虑以下依赖关系:
支持服务端点的服务应配置服务端点。
FQDN HTTP/HTTPS端点可以放置在防火墙设备中。
通配符HTTP/HTTPS端点是依赖关系,根据许多限定符,它们可能因ASE而异。
Linux在美国政府地区不可用,因此未被列为可选配置。
Service Endpoint capable dependencies
Endpoint |
---|
Azure SQL |
Azure Storage |
Azure Event Hubs |
IP Address dependencies
Endpoint | Details |
---|---|
*:123 | NTP clock check. Traffic is checked at multiple endpoints on port 123 |
*:12000 | This port is used for some system monitoring. If blocked, then some issues are harder to triage but your ASE continues to operate |
40.77.24.27:80 | Needed to monitor and alert on ASE problems |
40.77.24.27:443 | Needed to monitor and alert on ASE problems |
13.90.249.229:80 | Needed to monitor and alert on ASE problems |
13.90.249.229:443 | Needed to monitor and alert on ASE problems |
104.45.230.69:80 | Needed to monitor and alert on ASE problems |
104.45.230.69:443 | Needed to monitor and alert on ASE problems |
13.82.184.151:80 | Needed to monitor and alert on ASE problems |
13.82.184.151:443 | Needed to monitor and alert on ASE problems |
FQDN HTTP/HTTPS dependencies
Endpoint |
---|
admin.core.usgovcloudapi.net:80 |
azperfmerges.blob.core.windows.net:80 |
azperfmerges.blob.core.windows.net:80 |
azprofileruploads1.blob.core.windows.net:80 |
azprofileruploads10.blob.core.windows.net:80 |
azprofileruploads2.blob.core.windows.net:80 |
azprofileruploads3.blob.core.windows.net:80 |
azprofileruploads4.blob.core.windows.net:80 |
azprofileruploads5.blob.core.windows.net:80 |
azprofileruploads6.blob.core.windows.net:80 |
azprofileruploads7.blob.core.windows.net:80 |
azprofileruploads8.blob.core.windows.net:80 |
azprofileruploads9.blob.core.windows.net:80 |
azureprofilerfrontdoor.cloudapp.net:80 |
azurewatsonanalysis.usgovcloudapp.net:80 |
cacerts.digicert.com:80 |
client.wns.windows.com:80 |
crl.microsoft.com:80 |
crl.verisign.com:80 |
crl3.digicert.com:80 |
csc3-2009-2.crl.verisign.com:80 |
ctldl.windowsupdate.com:80 |
definitionupdates.microsoft.com:80 |
download.windowsupdate.com:80 |
fairfax.warmpath.usgovcloudapi.net:80 |
flighting.cp.wd.microsoft.com:80 |
gcwsprodgmdm2billing.queue.core.usgovcloudapi.net:80 |
gcwsprodgmdm2billing.table.core.usgovcloudapi.net:80 |
global.metrics.nsatc.net:80 |
go.microsoft.com:80 |
gr-gcws-prod-bd3.usgovcloudapp.net:80 |
gr-gcws-prod-bn1.usgovcloudapp.net:80 |
gr-gcws-prod-dd3.usgovcloudapp.net:80 |
gr-gcws-prod-dm2.usgovcloudapp.net:80 |
gr-gcws-prod-phx20.usgovcloudapp.net:80 |
gr-gcws-prod-sn5.usgovcloudapp.net:80 |
login.live.com:80 |
login.microsoftonline.us:80 |
management.core.usgovcloudapi.net:80 |
management.usgovcloudapi.net:80 |
maupdateaccountff.blob.core.usgovcloudapi.net:80 |
mscrl.microsoft.com:80 |
ocsp.digicert.com:80 |
ocsp.verisign.com:80 |
rteventse.trafficmanager.net:80 |
settings-n.data.microsoft.com:80 |
shavamafestcdnprod1.azureedge.net:80 |
shavanifestcdnprod1.azureedge.net:80 |
v10ortex-win.data.microsoft.com:80 |
wp.microsoft.com:80 |
dcpalt.microsoft.com:80 |
www.microsoft.com:80 |
www.msftconnecttest.com:80 |
www.thawte.com:80 |
admin.core.usgovcloudapi.net:443 |
azperfmerges.blob.core.windows.net:443 |
azperfmerges.blob.core.windows.net:443 |
azprofileruploads1.blob.core.windows.net:443 |
azprofileruploads10.blob.core.windows.net:443 |
azprofileruploads2.blob.core.windows.net:443 |
azprofileruploads3.blob.core.windows.net:443 |
azprofileruploads4.blob.core.windows.net:443 |
azprofileruploads5.blob.core.windows.net:443 |
azprofileruploads6.blob.core.windows.net:443 |
azprofileruploads7.blob.core.windows.net:443 |
azprofileruploads8.blob.core.windows.net:443 |
azprofileruploads9.blob.core.windows.net:443 |
azureprofilerfrontdoor.cloudapp.net:443 |
azurewatsonanalysis.usgovcloudapp.net:443 |
cacerts.digicert.com:443 |
client.wns.windows.com:443 |
crl.microsoft.com:443 |
crl.verisign.com:443 |
crl3.digicert.com:443 |
csc3-2009-2.crl.verisign.com:443 |
ctldl.windowsupdate.com:443 |
definitionupdates.microsoft.com:443 |
download.windowsupdate.com:443 |
fairfax.warmpath.usgovcloudapi.net:443 |
gcs.monitoring.core.usgovcloudapi.net:443 |
flighting.cp.wd.microsoft.com:443 |
gcwsprodgmdm2billing.queue.core.usgovcloudapi.net:443 |
gcwsprodgmdm2billing.table.core.usgovcloudapi.net:443 |
global.metrics.nsatc.net:443 |
prod.microsoftmetrics.com:443 |
go.microsoft.com:443 |
gr-gcws-prod-bd3.usgovcloudapp.net:443 |
gr-gcws-prod-bn1.usgovcloudapp.net:443 |
gr-gcws-prod-dd3.usgovcloudapp.net:443 |
gr-gcws-prod-dm2.usgovcloudapp.net:443 |
gr-gcws-prod-phx20.usgovcloudapp.net:443 |
gr-gcws-prod-sn5.usgovcloudapp.net:443 |
login.live.com:443 |
login.microsoftonline.us:443 |
management.core.usgovcloudapi.net:443 |
management.usgovcloudapi.net:443 |
maupdateaccountff.blob.core.usgovcloudapi.net:443 |
mscrl.microsoft.com:443 |
ocsp.digicert.com:443 |
ocsp.msocsp.com:443 |
ocsp.msocsp.com:80 |
oneocsp.microsoft.com:80 |
oneocsp.microsoft.com:443 |
ocsp.verisign.com:443 |
rteventservice.trafficmanager.net:443 |
settings-win.data.microsoft.com:443 |
shavamanifestcdnprod1.azureedge.net:443 |
shavamanifestcdnprod1.azureedge.net:443 |
v10.vortex-win.data.microsoft.com:443 |
wdcp.microsoft.com:443 |
wdcpalt.microsoft.com:443 |
www.microsoft.com:443 |
www.msftconnecttest.com:443 |
www.thawte.com:443 |
global-dsms.dsms.core.usgovcloudapi.net:443 |
Wildcard HTTP/HTTPS dependencies
Endpoint |
---|
*.ctldl.windowsupdate.com:80 |
*.management.usgovcloudapi.net:80 |
*.update.microsoft.com:80 |
*ctldl.windowsupdate.com:443 |
*.management.usgovcloudapi.net:443 |
*.update.microsoft.com:443 |
*.prod.microsoftmetrics.com:443 |
*.prod.warm.ingest.monitor.core.usgovcloudapi.net:443 |
- 登录 发表评论
- 3 次浏览
Tags
最新内容
- 8 hours ago
- 10 hours 43 minutes ago
- 10 hours 59 minutes ago
- 3 days ago
- 3 days 9 hours ago
- 3 days 10 hours ago
- 3 days 10 hours ago
- 3 days 10 hours ago
- 1 week ago
- 1 week ago