Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
С помощью параметров маршрутизации приложений или конфигурации можно настроить трафик, отправляемый через интеграцию виртуальной сети. Дополнительные сведения см. в разделе обзора.
Предварительные условия
Приложение уже интегрировано с помощью функции интеграции региональной виртуальной сети.
Настройка маршрутизации приложений
Маршрутизация приложений определяет, какой трафик направляется из приложения и в виртуальную сеть. Маршрутизация можно настроить на двух уровнях:
-
Маршрутизация всего трафика (
outboundVnetRouting.allTraffic): направляет весь исходящий трафик от вашего приложения через интеграцию с виртуальной сетью, включая трафик приложения и конфигурационный трафик (например, извлечение образа контейнера, доступ к общему контенту, операции резервного копирования и получение токена управляемого удостоверения). -
Только трафик приложения (
outboundVnetRouting.applicationTraffic): маршрутизирует только созданный приложением трафик через интеграцию виртуальной сети, а трафик конфигурации продолжает использовать общедоступный маршрут по умолчанию (если в разделе маршрутизации конфигурации не настроено по отдельности).
Мы рекомендуем использовать outboundVnetRouting.allTraffic свойство для включения маршрутизации всего трафика. Это свойство позволяет выполнять аудит поведения со встроенной политикой.
Замечание
Устаревшие vnetRouteAllEnabled параметры сайта и WEBSITE_VNET_ROUTE_ALL параметры приложения по-прежнему поддерживаются для обратной совместимости.
Настройка на портале Azure
Выполните следующие действия, чтобы настроить маршрутизацию трафика приложений в приложении на портале.
Перейдите к разделу Сеть>Интеграция виртуальной сети в портале вашего приложения.
Настройте параметр исходящего интернет-трафика :
-
Проверено: Маршрутизирует трафик приложений через виртуальную сеть (устанавливает
outboundVnetRouting.applicationTraffic=true). - Снят. Трафик приложения использует маршрут по умолчанию.
-
Проверено: Маршрутизирует трафик приложений через виртуальную сеть (устанавливает
Чтобы маршрутизировать трафик конфигурации (извлечение образа контейнера, хранилище содержимого, резервное копирование и восстановление), установите флажки маршрутизации конфигурации или настройте его с помощью Azure CLI.
Нажмите кнопку "Применить ", чтобы подтвердить.
Замечание
Портал не предоставляет прямой способ настройки outboundVnetRouting.allTraffic. Чтобы маршрутизировать весь трафик (приложение и конфигурация) через виртуальную сеть, используйте Azure CLI.
Настройка с помощью Azure CLI
Вы также можете настроить маршрутизацию исходящего трафика с помощью Azure CLI.
Маршрутизация всего трафика (приложения и конфигурации) через виртуальную сеть:
az resource update --resource-group <group-name> --name <app-name> --resource-type "Microsoft.Web/sites" --set properties.outboundVnetRouting.allTraffic=true
Маршрутизирует только трафик приложения через виртуальную сеть:
az resource update --resource-group <group-name> --name <app-name> --resource-type "Microsoft.Web/sites" --set properties.outboundVnetRouting.applicationTraffic=true
Отключите всю маршрутизацию трафика через виртуальную сеть:
az resource update --resource-group <group-name> --name <app-name> --resource-type "Microsoft.Web/sites" --set properties.outboundVnetRouting.allTraffic=false
Настройте маршрутизацию конфигурации
При использовании интеграции с виртуальной сетью можно настроить, как управляются отдельные части трафика конфигурации. По умолчанию трафик конфигурации передается непосредственно через общедоступный маршрут, но для упомянутых отдельных компонентов можно активно настроить его маршрутизацию через интеграцию виртуальной сети.
Замечание
Если вы включите outboundVnetRouting.allTraffic=true, весь трафик конфигурации автоматически направляется через виртуальную сеть, а параметры маршрутизации отдельных конфигураций не требуются. Отдельные параметры, описанные в следующем разделе, полезны, если вы хотите маршрутизировать только определенный трафик конфигурации через виртуальную сеть при сохранении outboundVnetRouting.applicationTraffic=true или при выборочной маршрутизации компонентов конфигурации.
Извлечение образа контейнера
Маршрутизацию загрузки образа контейнера посредством интеграции виртуальной сети можно настроить с помощью Azure CLI.
az resource update --resource-group <group-name> --name <app-name> --resource-type "Microsoft.Web/sites" --set properties.outboundVnetRouting.imagePullTraffic=true
Рекомендуется использовать свойство outboundVnetRouting.imagePullTraffic, чтобы настроить маршрутизацию трафика извлечения образов через интеграцию с виртуальной сетью. Использование этого свойства позволяет выполнять аудит поведения с помощью политики Azure.
Замечание
Для обратной совместимости устаревшие vnetImagePullEnabled свойства и WEBSITE_PULL_IMAGE_OVER_VNET параметры приложения со значением true по-прежнему поддерживаются.
Общий доступ к содержимому
Маршрутизацию общего доступа к содержимому через интеграцию с виртуальной сетью можно настроить с помощью Azure CLI. Помимо включения функции, необходимо также убедиться, что любой брандмауэр или группа безопасности сети, настроенная на трафик из подсети, разрешает трафик через порт 443 и 445.
az resource update --resource-group <group-name> --name <app-name> --resource-type "Microsoft.Web/sites" --set properties.outboundVnetRouting.contentShareTraffic=true
Рекомендуется использовать свойство outboundVnetRouting.contentShareTraffic для включения трафика совместного использования контента через интеграцию с виртуальной сетью. Использование этого свойства позволяет выполнять аудит поведения с помощью политики Azure.
Замечание
Для обратной совместимости устаревшие vnetContentShareEnabled свойства и WEBSITE_CONTENTOVERVNET параметры приложения со значением 1 по-прежнему поддерживаются.
Резервное копирование и восстановление
Маршрутизация трафика резервного копирования через интеграцию виртуальной сети можно настроить с помощью Azure CLI. Резервное копирование базы данных не поддерживается при интеграции виртуальной сети.
az resource update --resource-group <group-name> --name <app-name> --resource-type "Microsoft.Web/sites" --set properties.outboundVnetRouting.backupRestoreTraffic=true
Замечание
Для обратной совместимости данное устаревшее свойство по-прежнему поддерживается.
Манажируемая идентичность
Настроить маршрутизацию трафика получения токена управляемого удостоверения с использованием интеграции виртуальной сети можно с помощью Azure CLI. При включении запросы на получение токенов Microsoft Entra для управляемых удостоверений направляются через интеграцию с виртуальной сетью.
az resource update --resource-group <group-name> --name <app-name> --resource-type "Microsoft.Web/sites" --set properties.outboundVnetRouting.managedIdentityTraffic=true