Настраиваемые параметры конфигурации для сред службы приложений

Обзор

Поскольку среды службы приложений изолированы для одного клиента, существуют определенные параметры конфигурации, которые можно применить только для сред службы приложений. В этой статье описываются различные настройки, доступные для сред службы приложений.

Если у вас нет среды службы приложений, ознакомьтесь с материалом Создание среды службы приложений версии 3.

Настройки среды службы приложений можно сохранить с помощью массива в новом атрибуте clusterSettings . Этот атрибут можно найти в словаре "Свойства" сущности hostingEnvironments Azure Resource Manager.

В следующем сокращенном фрагменте шаблона Resource Manager показан атрибут clusterSettings .

"resources": [
{
    "apiVersion": "2021-03-01",
    "type": "Microsoft.Web/hostingEnvironments",
    "name": ...,
    "location": ...,
    "properties": {
        "clusterSettings": [
            {
                "name": "nameOfCustomSetting",
                "value": "valueOfCustomSetting"
            }
        ],
        "internalLoadBalancingMode": ...,
        etc...
    }
}

Атрибут clusterSettings можно включить в шаблон Resource Manager для обновления среды службы приложений.

Обновление среды службы приложений с помощью обозревателя ресурсов Azure

Среду службы приложений можно также обновлять с помощью обозревателя ресурсов Azure.

1. В Обозревателе ресурсов перейдите к узлу для Среды службы приложений (subscriptions>{ваша подписка}>resourceGroups>{ваша группа ресурсов}>providers>Microsoft.Web>hostingEnvironments). Затем щелкните ту среду службы приложений, которую хотите обновить.
2. В области справа, в верхней панели инструментов щелкните Чтение/запись , чтобы разрешить интерактивное редактирование в обозревателе ресурсов.
3. Нажмите синюю кнопку Изменить , чтобы сделать шаблон Resource Manager доступным для редактирования.
4. Прокрутите область справа в нижнюю часть. В самом низу области находится атрибут clusterSettings. Здесь можно ввести или обновить его значение.
5. Введите (или скопируйте и вставьте) массив значений параметров конфигурации в атрибут clusterSettings .
6. Нажмите зеленую кнопку РАЗМЕСТИТЬ, которая находится в верхней части области справа, чтобы применить изменения в среду службы приложений.

Тем не менее, как бы вы ни отправили изменение, изменение не вступает в силу немедленно и может занять до 24 часов, чтобы оно полностью вступило в силу. Некоторые параметры содержат конкретные сведения о времени и влиянии настройки конкретного параметра.

Включение внутреннего шифрования

Среда службы приложений работает по принципу "черного ящика", т. е. в ней не отображаются внутренние компоненты или обмен данными в системе. Чтобы обеспечить более высокую пропускную способность, по умолчанию шифрование между внутренними компонентами отключено. Система защищена за счет того, что трафик недоступен для отслеживания или доступа. Если у вас есть требования к соответствию, предусматривающие полное шифрование пути данных из точки в точку, вы можете обеспечить шифрование всего пути данных с помощью параметра clusterSetting.

"clusterSettings": [
    {
        "name": "InternalEncryption",
        "value": "true"
    }
],

Присвоив параметру InternalEncryption значение true, вы обеспечите шифрование внутреннего сетевого трафика в Среде службы приложений между фронт-эндами и рабочими узлами, шифрование файла подкачки, а также шифрование рабочих дисков. Включение InternalEncryption в качестве clusterSetting может повлиять на производительность системы. Когда вы внесете изменения, чтобы включить InternalEncryption, Среда службы приложений будет пребывать в нестабильном состоянии, пока изменения не распространятся полностью. Распространение изменений полностью может занять несколько часов, исходя из количества экземпляров в вашей Среде службы приложений. Мы настоятельно рекомендуем не включать параметр InternalEncryption в Среде службы приложений, пока она используется. Если вам нужно включить InternalEncryption для активно используемой Среды службы приложений, мы настоятельно рекомендуем перенаправлять трафик в резервную среду до завершения операции.

Отключение TLS 1.0 и TLS 1.1

Если вы хотите управлять параметрами TLS на основе отдельных приложений, следуйте рекомендациям, указанным в документации Enforce TLS settings.

Чтобы запретить весь входящий трафик TLS 1.0 и TLS 1.1 для всех приложений в Среде службы приложений, укажите следующую запись clusterSettings:

"clusterSettings": [
    {
        "name": "DisableTls1.0",
        "value": "1"
    }
],

В параметрах указана версия 1.0, но при настройке отключаются TLS 1.0 и TLS 1.1.

Порядок изменения комплекта шифров TLS

Среда службы приложений поддерживает изменение набора шифров по умолчанию. Набор шифров по умолчанию совпадает с набором, используемым в мультитенантной Службе приложений. Изменение набора шифров возможно только в App Service Environment, предложении с одним арендатором, а не предложении с несколькими арендаторами, поскольку это влияет на всю службу развертывания приложений. Существует два набора шифров, необходимых для среды выполнения приложений: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 и TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Кроме того, необходимо включить следующие наборы шифров, необходимые для TLS 1.3: TLS_AES_256_GCM_SHA384 и TLS_AES_128_GCM_SHA256.

Чтобы настроить Среду службы приложений так, чтобы она использовала только необходимые шифры, измените кластерSettings, как показано в следующем примере. Убедитесь, что шифры TLS 1.3 включены в начало списка.

"clusterSettings": [
    {
        "name": "FrontEndSSLCipherSuiteOrder",
        "value": "TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
    }
],

Начало работы

На сайте шаблонов быстрого запуска Azure Resource Manager есть шаблон с базовым определением для создания среды службы приложений.