Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Среда службы приложений — это компонент службы приложений Azure, предоставляющий полностью изолированную и выделенную среду для безопасного выполнения приложений службы приложений в большом масштабе. Параметры DNS для суффикса домена по умолчанию вашей Среды службы приложений не ограничивают получение доступа к приложениям только по этим именам. Суффикс личного домена — это функция Среды службы приложений внутренней подсистемы балансировки нагрузки (ILB), которая позволяет использовать собственный суффикс домена для доступа к приложениям в Среде службы приложений.
Если у вас нет среды службы приложений, см. статью Создание среды службы приложений версии 3.
Суффикс пользовательского домена определяет корневой домен, используемый Средой службы приложений. В общедоступной версии службы приложений Azure корневой домен по умолчанию для всех веб-приложений — azurewebsites.net. Для Среды службы приложений ILB корневой домен по умолчанию — appserviceenvironment.net. Однако, так как Среда службы приложений ILB является внутренней для виртуальной сети клиента, клиенты могут использовать корневой домен в дополнение к домену по умолчанию, который имеет смысл использовать во внутренней виртуальной сети компании. Например, гипотетическая корпорация Contoso может использовать корневой домен по умолчанию internal.contoso.com для приложений, предназначенных только для разрешения и доступа в виртуальной сети Contoso. Приложение в этой виртуальной сети может быть достигнуто путем доступа к APP-NAME.internal.contoso.com.
Суффикс пользовательского домена предназначен для App Service Environment. Эта функция отличается от привязки личного домена в Службе приложений. Дополнительные сведения о привязке личных доменов см. в разделе Сопоставление существующего настраиваемого DNS-имени со Службой приложений Azure.
Если сертификат, используемый для суффикса личного домена, содержит запись альтернативного имени субъекта (SAN) для *.scm.CUSTOM-DOMAIN, сайт scm также доступен по адресу APP-NAME.scm.CUSTOM-DOMAIN. Доступ к scm можно получить только через личный домен с помощью базовой проверки подлинности. Единый вход возможен только с корневым доменом по умолчанию.
В отличие от предыдущих версий, конечные точки FTPS для служб приложений в среде App Service Environment версии 3 можно достичь только с использованием доменного суффикса по умолчанию.
Подключение к конечной точке суффикса личного домена должно использовать указание имени сервера (SNI) для подключений на основе TLS.
Требования
- Вариант ILB версии 3 для Среды службы приложений.
- Допустимый сертификат SSL/TLS должен храниться в Azure Key Vault в формате .PFX. Дополнительные сведения об использовании сертификатов со Службой приложений см. в разделе Добавление TLS/SSL-сертификата в Службу приложений Azure.
- Сертификат должен быть меньше 20 кб.
Управляемое удостоверение
Управляемое удостоверение используется для проверки подлинности в Azure Key Vault, где хранится сертификат SSL/TLS. Если у вас нет управляемого удостоверения, связанного с вашим окружением службы приложений, необходимо настроить это.
Вы можете использовать управляемое удостоверение, назначаемое либо системой, либо пользователем. Чтобы создать управляемое удостоверение, назначаемое пользователем, см. управление пользовательскими управляемыми удостоверениями. Если вы хотите использовать управляемое удостоверение, назначаемое системой, и у вас еще нет его, назначенного для среды службы приложений, интерфейс портала для настройки суффикса пользовательского домена поможет вам в процессе создания. Кроме того, вы можете перейти на страницу Удостоверение вашей среды службы приложений (App Service Environment), чтобы настроить и назначить управляемые удостоверения.
Чтобы включить управляемое удостоверение, назначаемое системой, задайте для свойства "Состояние" значение "Вкл".
Чтобы назначить управляемое удостоверение, назначаемое пользователем, выберите "Добавить и найти управляемое удостоверение, которое вы хотите использовать.
После назначения управляемого удостоверения для Среды службы приложений убедитесь, что у него достаточно разрешений для Azure Key Vault. Вы можете использовать политику доступа к хранилищу или управление доступом на основе ролей Azure.
Если вы используете политику доступа к хранилищу, управляемое удостоверение должно иметь, по крайней мере, разрешение на получение доступа к секретам в хранилище ключей.
Если вы решили использовать управление доступом на основе ролей Azure для управления доступом к хранилищу ключей, необходимо предоставить вашему управляемому удостоверению как минимум роль "Пользователь секретов Key Vault".
Сертификат
Сертификат для суффикса личного домена должен храниться в Azure Key Vault. Сертификат должен быть загружен в формате .PFX и иметь размер меньше 20 кб. Сертификаты в формате .PEM в настоящее время не поддерживаются. Среда службы приложений использует управляемое удостоверение, выбранное для получения сертификата.
Ваш сертификат должен быть сертификатом с подстановочным знаком для выбранного пользовательского доменного имени. Например, internal.contoso.com потребуется сертификат, охватывающий *.internal.contoso.com. Если сертификат, используемый суффиксом личного домена, содержит запись альтернативного имени субъекта (SAN), например *.scm.internal.contoso.com, сайт scm также доступен с помощью суффикса личного домена.
При смене сертификата в Azure Key Vault Среда службы приложений выбирает изменение в течение 24 часов.
Сетевой доступ к Key Vault
Хранилище ключей можно получить общедоступным доступом или через частную конечную точку, доступную из подсети, в которую развертывается Среда службы приложений. Сведения о настройке частной конечной точки см. в статье "Интеграция Key Vault с Приватный канал Azure". Если вы используете общедоступный доступ, вы можете защитить хранилище ключей только для приема трафика из исходящего IP-адреса Среда службы приложений. Среда службы приложений использует исходящий IP-адрес платформы в качестве исходного адреса при доступе к хранилищу ключей. IP-адрес можно найти на странице IP-адресов в портал Azure.
Использование портала Azure для настройки суффикса личного домена
- На портале Azure перейдите на страницу Суффикс настраиваемого домена для вашей Среды службы приложений.
- введите имя личного домена.
- Выберите управляемое удостоверение, которое вы определяете для вашей среды служб приложений. Вы можете использовать управляемое удостоверение, назначенное системой или пользователем. Вы можете настроить управляемое удостоверение, если вы этого еще не сделали. Управляемое удостоверение можно настроить непосредственно на странице суффикса личного домена с помощью параметра "Добавить удостоверение" в поле выбора управляемого удостоверения.
- Выберите сертификат для суффикса личного домена.
- Если вы используете частную конечную точку для доступа к хранилищу ключей, так как сетевой доступ ограничен частной конечной точкой, вы не можете использовать интерфейс портала для выбора сертификата. Необходимо вручную ввести URL-адрес сертификата.
- Щелкните "Сохранить" в верхней части страницы. Чтобы просмотреть последние обновления конфигурации, обновите страницу.
- Чтобы настроить конфигурацию суффикса личного домена, потребуется несколько минут. Проверьте состояние, нажав кнопку "Обновить" в верхней части страницы. Баннер обновляется с последними изменениями. После завершения процесса на баннере будет указано, что суффикс личного домена настроен.
Настройка суффикса личного домена с помощью Azure Resource Manager
Чтобы настроить пользовательский суффикс домена для среды приложений с использованием шаблона Azure Resource Manager, необходимо включить следующие свойства. Убедитесь, что выполнены предварительные требования, и что управляемое удостоверение и сертификат доступны и имеют соответствующие разрешения для Azure Key Vault.
Необходимо настроить управляемое удостоверение и убедиться, что оно существует перед назначением удостоверения в шаблоне. Дополнительные сведения об управляемых удостоверениях см. в разделе Обзор управляемых удостоверений.
Использование управляемой идентичности, назначенной пользователем
"resources": [
{
"apiVersion": "2022-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/asev3-cdns-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ase-cdns-managed-identity"
}
},
"properties": {
"customDnsSuffixConfiguration": {
"dnsSuffix": "antares-test.net",
"certificateUrl": "https://kv-sample-key-vault.vault.azure.net/secrets/wildcard-antares-test-net",
"keyVaultReferenceIdentity": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/asev3-cdns-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ase-cdns-managed-identity"
},
"internalLoadBalancingMode": "Web, Publishing",
etc...
}
}
Использование управляемого удостоверения, назначаемого системой
"resources": [
{
"apiVersion": "2022-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"identity": {
"type": "SystemAssigned"
}
"properties": {
"customDnsSuffixConfiguration": {
"dnsSuffix": "antares-test.net",
"certificateUrl": "https://kv-sample-key-vault.vault.azure.net/secrets/wildcard-antares-test-net",
"keyVaultReferenceIdentity": "systemassigned"
},
"internalLoadBalancingMode": "Web, Publishing",
etc...
}
}
Настройка суффикса личного домена с помощью обозревателя ресурсов Azure
Среду службы приложений ILB можно также обновлять с помощью обозревателя ресурсов Azure.
- В Обозревателе ресурсов перейдите к узлу для Среды службы приложений (subscriptions>{ваша подписка}>resourceGroups>{ваша группа ресурсов}>providers>Microsoft.Web>hostingEnvironments). Затем выберите ту Среду службы приложений, которую хотите обновить.
- В верхней панели инструментов щелкните Чтение/запись, чтобы разрешить интерактивное редактирование в обозревателе ресурсов.
- Нажмите кнопку Изменить, чтобы сделать шаблон Resource Manager доступным для редактирования.
- Прокрутите область справа до самого низа. Атрибут customDnsSuffixConfiguration находится внизу.
- Введите значения атрибутов dnsSuffix, certificateUrl и keyVaultReferenceIdentity.
- Перейдите к атрибуту identity и введите сведения, связанные с используемым управляемым удостоверением.
- Нажмите кнопку PUT наверху, чтобы зафиксировать изменение в среду службы приложений.
- ПодготовкаState в customDnsSuffixConfiguration предоставляет состояние обновления конфигурации.
DNS configuration (Настройка DNS)
Чтобы получить доступ к своим приложениям в среде App Service с суффиксом пользовательского домена, необходимо либо настроить собственный DNS-сервер, либо настроить DNS в частной зоне DNS Azure для вашего пользовательского домена.
Если нужно использовать собственный DNS-сервер, необходимо добавить следующие записи:
- Создайте зону для личного домена.
- Создайте в этой зоне запись A, которая указывает на входящий IP-адрес, используемый вашей средой службы приложений.
- Создайте в этой зоне запись A, которая указывает @ на входящий IP-адрес, используемый вашей Средой приложений App Service.
- По желанию создайте зону для поддомена scm с записью типа * A, указывающей на входящий IP-адрес, используемый средой службы приложений.
Чтобы настроить DNS в частных зонах Azure DNS, выполните следующие действия:
- Создайте частную зону Azure DNS с именем личного домена. В следующем примере пользовательский домен — internal.contoso.com.
- Создайте в этой зоне запись A, которая указывает на входящий IP-адрес, используемый вашей Средой службы приложений.
- Создайте в этой зоне запись A, которая указывает @ на входящий IP-адрес, используемый вашей службой App Service Environment.
- Свяжите частную зону Azure DNS с виртуальной сетью Среды службы приложений.
- При необходимости опционально создайте запись A в этой зоне, которая направляет *.scm на входящий IP-адрес, используемый в Среде службы приложений.
Дополнительные сведения о настройке DNS для домена см. в статье Использование Среды службы приложений.
Примечание.
Помимо настройки DNS для суффикса личного домена, следует также настроить DNS для суффикса домена по умолчанию, чтобы все функции службы приложений работали должным образом.
Доступ к приложениям
После настройки суффикса личного домена и DNS для Среды службы приложений можно перейти на страницу Личные домены для одного из приложений Службы приложений в Среде службы приложений и подтвердить добавление назначенного личного домена для приложения.
Доступ к приложениям в Среде службы приложений ILB можно безопасно получать по протоколу HTTPS, переходя в настроенный личный домен или домен по умолчанию appserviceenvironment.net, как на предыдущем изображении. Доступ к приложениям с помощью домена Среды службы приложений по умолчанию и личного домена является уникальной возможностью, которая поддерживается только в Среде службы приложений версии 3.
Однако так же, как и приложения, работающие в общедоступной мультитенантной службе, можно также настроить пользовательские имена узлов для отдельных приложений, а затем настроить уникальные привязки SSL-сертификата SNI для отдельных приложений.
Устранение неполадок
Платформа службы приложений периодически проверяет, может ли ваша среда службы приложений получить доступ к хранилищу ключей и удостоверяется, что сертификат действителен. Если разрешения или параметры сети для управляемой учетной записи, хранилища ключей или среды службы приложений не заданы соответствующим образом или недавно изменены, вы не сможете настроить суффикс пользовательского домена. Вы получите ошибку, аналогичную примеру, показанном на снимке экрана. Проверьте предварительные требования, чтобы убедиться, что настроены необходимые разрешения. Вы также увидите аналогичное сообщение об ошибке, если платформа Служба приложений обнаруживает, что сертификат ухудшается или истек.
