Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
App Service Environment — это функция Azure App Service, которая обеспечивает полностью изолированную и выделенную среду для безопасного запуска приложений службы приложений в большом масштабе. Настройки DNS для суффикса домена по умолчанию в App Service Environment не ограничивают доступ к вашим приложениям только этими именами. Функция суффикса личного домена , доступная во внутренней среде службы приложений подсистемы балансировки нагрузки (ILB), позволяет использовать собственный суффикс домена для доступа к приложениям в среде службы приложений.
Суффикс личного домена определяет корневой домен, используемый App Service Environment. В общедоступной версии Службы приложений Azure корневым доменом по умолчанию для всех веб-приложений является azurewebsites.net. Для сред службы приложений ILB корневой домен по умолчанию имеет значение appserviceenvironment.net. Так как среда службы приложений ILB является внутренней виртуальной сетью организации, пользователи могут использовать как стандартный, так и корневой домен, соответствующий внутренней виртуальной сети организации. Например, организация с именем Zava может использовать корневой домен internal.zava.com по умолчанию для приложений, которые предназначены только для разрешения и доступа в виртуальной сети Zava. Приложение в этой виртуальной сети может быть достигнуто путем доступа к APP-NAME.internal.zava.com URL-адресу.
В этой статье описывается настройка суффикса личного домена для среды службы приложений на портале Azure. Фрагменты JSON также предоставляются для использования шаблона Azure Resource Manager (шаблона ARM).
Требования
Вариант среды службы приложений версии 3. Если у вас нет среды службы приложений, см. статью "Создание среды службы приложений версии 3".
Допустимый СЕРТИФИКАТ SSL/TLS, удовлетворяющий следующим критериям:
Сертификат должен храниться в Azure Key Vault.
Сертификат должен быть меньше 20 кб.
Сертификат должен использовать формат Обмена персональными данными (PFX). Дополнительные сведения об использовании сертификатов с службой приложений см. в статье "Добавление TLS/SSL-сертификатов" в службе приложений Azure и управление ими. Сертификаты в формате расширенной почты конфиденциальности (PEM) в настоящее время не поддерживаются.
Для подключений на основе TLS подключение к конечной точке суффикса личного домена должно использовать указание имени сервера (SNI).
Важные замечания
Ознакомьтесь со следующими важными рекомендациями по работе с суффиксом личного домена:
Если сертификат, используемый для суффикса личного домена, содержит запись
*.scm.CUSTOM-DOMAINальтернативного имени субъекта (SAN), сайт scm также доступен изAPP-NAME.scm.CUSTOM-DOMAINURL-адреса. Доступ к scm можно получить только через личный домен с помощью базовой проверки подлинности. Единый вход возможен только с корневым доменом по умолчанию.В отличие от предыдущих версий службы приложений, конечные точки FTPS для приложений службы приложений в среде службы приложений версии 3 можно достичь только суффиксом домена по умолчанию.
Суффикс личного домена предназначен для App Service Environment. Эта функция отличается от привязки личного домена в приложении Службы приложений Azure. Дополнительные сведения о привязках личного домена см. в статье "Настройка существующего личного домена в службе приложений Azure".
Настройка управляемых идентификаторов
Управляемые удостоверения для ресурсов Azure используются для проверки подлинности в хранилище ключей Azure, где хранится сертификат SSL/TLS. Если в настоящее время у вас нет управляемой идентификации, связанной с вашей средой App Service, необходимо её настроить.
Вы можете использовать управляемое удостоверение, назначаемое системой или назначаемое пользователем. Чтобы создать управляемую идентичность, назначаемую пользователем, см. Управление назначаемыми пользователем управляемыми идентичностями на портале Azure. Если вы хотите использовать системно назначенное управляемое удостоверение и оно еще не назначено вашей среде App Service, портал для настройки пользовательского доменного суффикса поможет вам в процессе создания.
Подсказка
Вы можете создать управляемое удостоверение одновременно с созданием пользовательского суффикса домена.
Использование управляемого удостоверения, назначаемого системой
Чтобы использовать системно назначенное управляемое удостоверение для App Service Environment:
На портале Azure перейдите к ресурсу среды службы приложений.
В меню слева выберите «Параметры»>«Идентификация».
На вкладке "Назначаемая системой" установите Состояние на Включено.
Добавление управляемого удостоверения, назначаемого пользователем
Чтобы добавить управляемое удостоверение, назначаемое пользователем, в среду службы приложений:
На вкладке Назначено пользователем нажмите + Добавить.
В области «Добавление управляемого удостоверения, назначаемого пользователем» выберите вашу подписку.
Найдите и выберите управляемое удостоверение, назначаемое пользователем, и нажмите кнопку Добавить:
Обеспечение доступа к Azure Key Vault
После назначения управляемого удостоверения среде службы приложений убедитесь, что удостоверение имеет достаточные разрешения для хранилища ключей Azure. Вы можете использовать политику доступа к хранилищу или управление доступом на основе ролей Azure.
Используйте политику доступа к хранилищу
Если вы используете политику доступа к хранилищу, управляемое удостоверение должно иметь, по крайней мере, разрешение на получение доступа к секретам в хранилище ключей.
Проверьте назначение ресурса:
На портале Azure перейдите к ресурсу хранилища ключей Azure.
В меню слева выберите политики доступа.
На правой панели найдите назначенное управляемое удостоверение в списке результатов:
Использование управления доступом на основе ролей в Azure
Если вы решили использовать контроль доступа на основе ролей Azure для управления доступом к хранилищу ключей, необходимо предоставить управляемому удостоверению по крайней мере роль «Пользователь секретов Key Vault».
Проверьте назначение ресурса:
На портале Azure перейдите к ресурсу хранилища ключей Azure.
В меню слева выберите элемент управления доступом (IAM).
На вкладке Назначения ролей установите фильтр Роль для поиска на Пользователь секретов Key Vault.
В списке результатов найдите указанный управляемый идентификатор:
Проверка сертификата управляемого удостоверения
Среда службы приложений получает сертификат для суффикса пользовательского домена из назначенного управляемого удостоверения.
Сертификат должен соответствовать критериям, описанным в предварительных требованиях.
Сертификат должен быть универсальным сертификатом для выбранного пользовательского домена. Например, для домена
internal.contoso.comтребуется сертификат, который разрешает все возможные подключения.*.internal.contoso.comЕсли сертификат содержит запись SAN для
*.scm.CUSTOM-DOMAIN, сайт scm также доступен изAPP-NAME.scm.CUSTOM-DOMAINURL-адреса. Доступ к scm можно получить только через личный домен с помощью базовой проверки подлинности. Единый вход возможен только с корневым доменом по умолчанию.
Если вы обновите сертификат в Azure Key Vault, App Service Environment обнаружит изменение в течение 24 часов.
Настройка сетевого доступа к Azure Key Vault
Хранилище ключей можно получить общедоступным доступом или через частную конечную точку , доступную из подсети, в которой развернута среда службы приложений.
Сведения о настройке частной конечной точки см. в статье "Интеграция Key Vault с Приватным каналом Azure".
Если вы используете общедоступный доступ, вы можете защитить Key Vault так, чтобы он принимал трафик только от исходящего IP-адреса "App Service Environment". App Service Environment использует исходящий IP-адрес платформы в качестве исходного адреса при доступе к хранилищу ключей.
Найдите исходящий IP-адрес платформы:
На портале Azure перейдите к ресурсу среды службы приложений.
В меню слева выберите параметры>IP-адресов.
На правой панели в разделе Исходящие проверьте значение адресов исходящей платформы:
Настройка суффикса личного домена
Используйте следующую процедуру, чтобы создать и настроить суффикс личного домена для среды службы приложений на портале Azure. Если вы предпочитаете, можно использовать шаблон ARM.
На портале Azure перейдите в среду службы приложений.
В левом меню выберите Параметры>суффикс личного домена.
Выберите "Добавить суффикс личного домена".
Введите имя личного домена, например
zava.com.Выберите управляемое удостоверение для среды службы приложений:
Выберите существующее управляемое удостоверение, назначаемое системой или назначаемое пользователем, или настройте новое управляемое удостоверение, нажав кнопку "Добавить удостоверение":
Определите сертификат для суффикса личного домена, выбрав "Выбрать сертификат":
В области выбора сертификата выберите подписку, хранилище ключей и сертификат. Чтобы применить изменения, нажмите кнопку "Выбрать".
Примечание.
Если вы используете частную конечную точку для доступа к хранилищу ключей, вы не можете использовать интерфейс портала для выбора сертификата. Так как сетевой доступ ограничен частной конечной точкой, необходимо вручную ввести URL-адрес сертификата.
В главной строке меню нажмите кнопку "Сохранить":
Для распространения изменений суффикса пользовательского домена системе может потребоваться несколько минут.
Проверьте состояние конфигурации, нажав кнопку "Обновить". Баннер в верхней части страницы обновляется последними изменениями в процессе.
После завершения обновления баннер указывает, что суффикс личного домена настроен:
Использование шаблона ARM для настройки суффикса
В качестве альтернативного подхода к порталу Azure можно настроить суффикс личного домена для среды службы приложений с помощью шаблона ARM. В файле шаблона укажите свойства вашей пользовательской конфигурации DNS-суффикса, режима ILB и управляемого удостоверения.
Чтобы использовать шаблон ARM, подготовьте конфигурацию:
Убедитесь, что конфигурация удовлетворяет предварительным требованиям , определенным в этой статье.
Убедитесь, что управляемое удостоверение и сертификат доступны.
Убедитесь, что у вас есть соответствующие разрешения для хранилища ключей Azure.
Использование назначенного пользователем управляемого удостоверения
В следующем фрагменте кода показан сокращенный шаблон ARM с конфигурациями для параметров управляемого удостоверения, назначенных пользователем. В файле JSON шаблона (.json) задайте следующие свойства:
| Недвижимость | Ценность |
|---|---|
identity > type |
UserAssigned |
identity > userAssignedIdentities |
Идентификатор, назначенный пользователем. |
customDnsSuffixConfiguration > dnsSuffix |
Суффикс DNS. |
customDnsSuffixConfiguration > certificateUrl |
URL-адрес сертификата. |
customDnsSuffixConfiguration > keyVaultReferenceIdentity |
Идентификатор хранилища ключей Azure. |
internalLoadBalancingMode |
Режим среды службы приложений ILB: Webили Publishingобоих. |
"resources": [
{
"apiVersion": "2022-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/asev3-cdns-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ase-cdns-managed-identity"
}
},
"properties": {
"customDnsSuffixConfiguration": {
"dnsSuffix": "antares-test.net",
"certificateUrl": "https://kv-sample-key-vault.vault.azure.net/secrets/wildcard-antares-test-net",
"keyVaultReferenceIdentity": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/asev3-cdns-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ase-cdns-managed-identity"
},
"internalLoadBalancingMode": "Web, Publishing",
etc...
}
}
Использование управляемого системой удостоверения
В следующем фрагменте кода показан сокращенный шаблон ARM с конфигурациями для параметров управляемого удостоверения, назначенных системой. В файле JSON шаблона (.json) задайте следующие свойства:
| Недвижимость | Ценность |
|---|---|
identity > type |
SystemAssigned |
customDnsSuffixConfiguration > dnsSuffix |
Ваш суффикс DNS. |
customDnsSuffixConfiguration > certificateUrl |
URL-адрес сертификата. |
customDnsSuffixConfiguration > keyVaultReferenceIdentity |
systemassigned |
internalLoadBalancingMode |
Режим для среды службы приложений ILB: Web, Publishing или оба. |
"resources": [
{
"apiVersion": "2022-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"identity": {
"type": "SystemAssigned"
}
"properties": {
"customDnsSuffixConfiguration": {
"dnsSuffix": "antares-test.net",
"certificateUrl": "https://kv-sample-key-vault.vault.azure.net/secrets/wildcard-antares-test-net",
"keyVaultReferenceIdentity": "systemassigned"
},
"internalLoadBalancingMode": "Web, Publishing",
etc...
}
}
DNS configuration (Настройка DNS)
Чтобы получить доступ к приложениям в среде службы приложений с помощью суффикса личного домена, необходимо настроить собственный DNS-сервер или настроить DNS в частной зоне DNS Azure для личного домена.
Использование собственного DNS-сервера
Если нужно использовать собственный DNS-сервер, необходимо добавить следующие записи:
Создайте зону для личного домена.
AСоздайте запись в этой зоне, которая указывает*(подстановочный знак звездочки) на входящий IP-адрес, используемый средой службы приложений.AСоздайте запись в той же зоне, которая указывает@(символ @) на входной IP-адрес, используемый вашим средой App Service.(Необязательно) Создайте зону для
scmподдомена с записью*(подстановочный знак звездочка)A, которая указывает на входящий IP-адрес, используемый средой службы приложений.
Настройка частных зон DNS
Чтобы настроить частные зоны DNS Azure, выполните следующие действия.
Создайте частную зону DNS с именем личного домена, например
internal-zava.com.AСоздайте запись в зоне, которая указывает*(подстановочный знак звездочки) на входящий IP-адрес, используемый средой службы приложений.AСоздайте запись в зоне, которая указывает@(символ) на входящий IP-адрес, используемый средой службы приложений:На портале Azure можно просмотреть записи частной зоны DNS, выбравнаборы записей> DNS:
Свяжите частную зону DNS с виртуальной сетью для среды службы приложений:
На портале Azure можно проверить ссылку виртуальной сети, выбрав управление DNS>ссылки виртуальной сети:
(Необязательно)
AСоздайте запись в зоне, которая указывает*.scm(на scm) на входящий IP-адрес, используемый средой службы приложений.
Дополнительные сведения о настройке DNS для вашего домена см. в разделе "Использование среды службы приложений".
Примечание.
При настройке DNS для суффикса личного домена рекомендуется также настроить DNS для суффикса домена по умолчанию. Это действие помогает обеспечить правильность работы всех функций службы приложений.
Проверка доступа к домену для приложений
После настройки суффикса личного домена и DNS для среды службы приложений можно проверить веб-приложения и подтвердить добавление назначенного личного домена.
На портале Azure перейдите к приложению в среде службы приложений.
В меню слева выберите "Параметры>".
Приложения в среде службы приложений ILB безопасно доступны по протоколу HTTPS, перейдя в настраиваемый домен или домен appserviceenvironment.netпо умолчанию, как показано на изображении. Возможность доступа к приложениям с помощью домена среды службы приложений по умолчанию и личного домена является уникальной функцией для среды службы приложений версии 3.
Аналогично приложениям, работающим в общедоступной мультитенантной службе, можно также настроить пользовательские имена узлов для отдельных приложений, а затем настроить уникальные привязки SSL-сертификата SNI для отдельных приложений.
Устранение неполадок
Платформа службы приложений периодически проверяет, может ли среда службы приложений получить доступ к хранилищу ключей Azure и если сертификат действителен. Если разрешения или параметры сети для управляемого удостоверения, хранилища ключей или среды службы приложений не заданы соответствующим образом или они недавно изменены, вы не можете настроить суффикс. На портале Azure баннер отображает ошибку, аналогичную следующему примеру:
Проверьте предварительные требования , чтобы убедиться, что настроены необходимые разрешения. Вы также увидите аналогичное сообщение об ошибке, если платформа Служба приложений обнаруживает, что сертификат ухудшается или истек.