Megosztás a következőn keresztül:

Az Azure App Service hibrid kapcsolatai

  • Cikk

A hibrid kapcsolatok az Azure szolgáltatása és a Azure-alkalmazás Szolgáltatás egyik funkciója is. Szolgáltatásként az App Service-ben használtnál több felhasználási és képességekkel rendelkezik. A hibrid kapcsolatokról és azok App Service-en kívüli használatáról az Azure Relay Hibrid kapcsolatok című témakörben olvashat bővebben.

Az App Service-ben a hibrid kapcsolatok bármely olyan hálózatban elérhetők az alkalmazáserőforrásokhoz, amelyek kimenő hívásokat indíthatnak az Azure-ba a 443-as porton keresztül. A hibrid kapcsolatok hozzáférést biztosítanak az alkalmazásból egy TCP-végponthoz. Nem teszi lehetővé az alkalmazás elérésének új módját. Az App Service-ben használt módon minden hibrid kapcsolat egyetlen TCP-gazdagéphez és portkombinációhoz kapcsolódik.

Ez a funkció lehetővé teszi az alkalmazások számára, hogy bármilyen operációs rendszeren hozzáférjenek az erőforrásokhoz, feltéve, hogy tcp-végpontról van szó. A Hibrid kapcsolatok funkció nem tudja vagy nem érdekli, hogy mi az alkalmazásprotokoll, vagy mit ér el. Egyszerűen hálózati hozzáférést biztosít.

Hogyan működik?

A hibrid kapcsolatokhoz egy továbbítóügynököt kell üzembe helyezni, ahol elérheti a kívánt végpontot és az Azure-t is. A továbbítási ügynök hibridkapcsolat-kezelő (HCM) a 443-as porton keresztül hívja fel az Azure Relayt. A webalkalmazás-webhelyről az App Service-infrastruktúra az alkalmazás nevében is csatlakozik az Azure Relayhez. Az összekapcsolt kapcsolatokon keresztül az alkalmazás hozzáférhet a kívánt végponthoz. A kapcsolat a TLS 1.2-es biztonsági és közös hozzáférésű jogosultságkód (SAS) kulcsait használja a hitelesítéshez és engedélyezéshez.

A hibrid kapcsolat magas szintű folyamatának diagramja.

Amikor az alkalmazás egy konfigurált hibrid kapcsolat végpontjának megfelelő DNS-kérést küld, a kimenő TCP-forgalom a hibrid kapcsolaton keresztül lesz átirányítva.

Feljegyzés

Ez azt jelenti, hogy mindig meg kell próbálnia DNS-nevet használni a hibrid kapcsolathoz. Egyes ügyfélszoftverek nem végeznek DNS-keresést, ha a végpont ehelyett IP-címet használ.

Az App Service hibrid kapcsolat előnyei

A hibrid kapcsolatok számos előnnyel járnak, például:

  • Az alkalmazások biztonságosan férhetnek hozzá a helyszíni rendszerekhez és szolgáltatásokhoz.
  • A szolgáltatáshoz nincs szükség internetről elérhető végpontra.
  • Gyorsan és egyszerűen beállítható. Nincs szükség átjárókra.
  • Minden hibrid kapcsolat egyetlen gazdagép:port kombinációval egyezik, ami a biztonság szempontjából hasznos.
  • Általában nem igényel tűzfallyukakat. A kapcsolatok mind szabványos webes portokon keresztül kimenők.
  • Mivel a szolgáltatás hálózati szintű, az alkalmazás által használt nyelv és a végpont által használt technológia nem megfelelő.
  • Használatával több hálózatban is biztosíthatja a hozzáférést egyetlen alkalmazásból.
  • Windows- és Linux-alkalmazások esetén a GA támogatja. A hibrid kapcsolatok nem támogatottak az egyéni Windows-tárolók esetében.

A hibrid kapcsolatokhoz nem használható műveletek

A hibrid kapcsolatokhoz nem használható műveletek a következők:

  • Meghajtó csatlakoztatása.
  • Használja az UDP-t.
  • Dinamikus portokat használó TCP-alapú szolgáltatások elérése, például ftp passzív mód vagy kiterjesztett passzív mód.
  • Támogatja az LDAP-t, mert UDP-t igényelhet.
  • Támogatja az Active Directoryt, mert nem lehet tartományhoz csatlakozni egy App Service-feldolgozóhoz.

Hibrid kapcsolatok hozzáadása és létrehozása az alkalmazásban

Hibrid kapcsolat létrehozása:

  1. Az Azure Portalon válassza ki az alkalmazást. Válassza a Beállítások>hálózatkezelés lehetőséget.

  2. A hibrid kapcsolatok mellett válassza a Nem konfigurált hivatkozást. Itt láthatja az alkalmazáshoz konfigurált hibrid kapcsolatokat.

    Képernyőkép a hibrid kapcsolatok listájáról, ahol kapcsolatokat vehet fel és kezelhet.

  3. Új hibrid kapcsolat hozzáadásához válassza a Hibrid kapcsolat hozzáadása lehetőséget. Megjelenik a már létrehozott hibrid kapcsolatok listája. Ha egy vagy több példányt szeretne hozzáadni az alkalmazáshoz, jelölje ki a kívántakat, majd válassza a Kiválasztott hibrid kapcsolat hozzáadása lehetőséget.

    A Hibrid kapcsolat lap képernyőképe, amelyen felvehet egy kapcsolatot.

Ha új hibrid kapcsolatot szeretne létrehozni, válassza az Új hibrid kapcsolat létrehozása lehetőséget. Adja meg az alábbi értékeket:

  • Hibrid kapcsolat neve.
  • Végpont állomásneve.
  • Végpontport.
  • A használni kívánt Service Bus-névtér.

Képernyőkép az Új hibrid kapcsolat létrehozása párbeszédpanelről.

Minden hibrid kapcsolat egy Service Bus-névtérhez van kötve. Minden Service Bus-névtér egy Azure-régióban található. A hálózati késés elkerülése érdekében használjon Service Bus-névteret az alkalmazással azonos régióban.

Ha el szeretné távolítani a hibrid kapcsolatot az alkalmazásból, kattintson rá a jobb gombbal, és válassza a Leválasztás lehetőséget.

Amikor hibrid kapcsolatot ad hozzá az alkalmazáshoz, a részletek csak a kijelölésével láthatók.

A hibrid kapcsolatok részleteinek képernyőképe.

Hibrid kapcsolat létrehozása az Azure Relay portálon

Az alkalmazáson belüli portálélmény mellett hibrid kapcsolatokat is létrehozhat az Azure Relay portálon. Ahhoz, hogy az App Service hibrid kapcsolatot használjon, a következőnek kell lennie:

  • Ügyfélengedély megkövetelése.
  • Rendelkezik egy metaadatelemsel és egy elnevezett végponttal, amely egy gazdagép:port kombinációt tartalmaz értékként.

Hibrid kapcsolatok és App Service-csomagok

Az App Service hibrid kapcsolatai csak alapszintű, standard, prémium és izolált díjszabású termékváltozatokban érhetők el. A hibrid kapcsolatok nem érhetők el a használatalapú csomagokban lévő függvényalkalmazásokhoz. A tarifacsomaghoz kötött korlátozások vannak.

Tarifacsomag A csomagban használható hibrid kapcsolatok száma
Alap Csomagonként 5
Standard Tervenként 25
Prémium (v1-v3) Alkalmazásonként 220
Izolált (v1-v2) Alkalmazásonként 220

Az App Service-csomag felhasználói felülete megmutatja, hogy hány hibrid kapcsolatot használ, és milyen alkalmazások.

Képernyőkép az App Service-csomag tulajdonságairól.

A részletek megtekintéséhez válassza ki a hibrid kapcsolatot. Az alkalmazásnézetben látható összes információ megjelenik. Azt is láthatja, hogy az ugyanabban a csomagban lévő alkalmazások közül hány használja ezt a hibrid kapcsolatot.

Az App Service-csomagokban használható hibrid kapcsolati végpontok száma korlátozott. Minden használt hibrid kapcsolat tetszőleges számú alkalmazásban használható az adott csomagban. Egy App Service-csomag öt különálló alkalmazásában használt egyetlen hibrid kapcsolat például egy hibrid kapcsolatnak számít.

Díjszabás

Az App Service-csomag termékváltozatára vonatkozó követelmény mellett további költségekkel jár a hibrid kapcsolatok használata. A hibrid kapcsolat által használt figyelőknek díjat kell fizetnie. A figyelő a hibridkapcsolat-kezelő. Ha öt hibrid kapcsolatot támogat két hibridkapcsolat-kezelő, amelyek 10 figyelőt jelentenek. További információkért lásd a Service Bus díjszabását.

hibridkapcsolat-kezelő

A Hibrid kapcsolatok funkcióhoz a hibrid kapcsolat végpontját üzemeltető hálózaton egy továbbítóügynökre van szükség. A továbbítóügynök neve hibridkapcsolat-kezelő (HCM). A HCM letöltése:

  1. Az Azure Portalon válassza ki az alkalmazást. Válassza a Beállítások>hálózatkezelés lehetőséget.
  2. A hibrid kapcsolatok mellett válassza a hivatkozást a Hibrid kapcsolatok lap megnyitásához.
  3. Válassza a Kapcsolatkezelő letöltése lehetőséget.

Ez az eszköz Windows Server 2012 és újabb rendszereken fut. A HCM szolgáltatásként fut, és a 443-as porton csatlakozik az Azure Relayhez.

A HCM telepítése után futtathat HybridConnectionManagerUi.exe az eszköz felhasználói felületének használatához. Ez a fájl a hibridkapcsolat-kezelő telepítési könyvtárban található. A Windows 10-ben a keresőmezőben hibridkapcsolat-kezelő felhasználói felületre is kereshet.

Képernyőkép a hibridkapcsolat-kezelő.

A HCM felhasználói felületének indításakor először egy táblázat jelenik meg, amely felsorolja a HCM ezen példányával konfigurált összes hibrid kapcsolatot. Ha bármilyen módosítást szeretne végezni, először hitelesítse magát az Azure-ral.

Egy vagy több hibrid kapcsolat hozzáadása a HCM-hez:

  1. Indítsa el a HCM felhasználói felületét.

  2. Válassza az Új hibrid kapcsolat hozzáadása lehetőséget.

    Az új hibrid kapcsolatok konfigurálásának képernyőképe.

  3. Jelentkezzen be az Azure-fiókjával, hogy elérhetővé tehesse hibrid kapcsolatait az előfizetéseivel. A HCM nem használja tovább az Azure-fiókját ezen a lépésen túl.

  4. Válasszon előfizetést.

  5. Válassza ki azokat a hibrid kapcsolatokat, amelyeket a HCM továbbít.

    Képernyőkép a hibridkapcsolat-kezelő kapcsolatairól.

  6. Válassza a Mentés lehetőséget.

Most már láthatja a hozzáadott hibrid kapcsolatokat. A részletek megtekintéséhez a konfigurált hibrid kapcsolatot is kiválaszthatja.

A hibrid kapcsolat részleteinek képernyőképe.

Az általa konfigurált hibrid kapcsolatok támogatásához a HCM-nek a következőre van szüksége:

  • TCP-hozzáférés az Azure-hoz a 443-as porton keresztül.
  • TCP-hozzáférés a hibrid kapcsolat végponthoz.
  • DNS-keresések elvégezhetők a végpont gazdagépén és a Service Bus-névtéren. Más szóval az Azure Relay-kapcsolat állomásnevének feloldhatónak kell lennie a HCM-et üzemeltető gépről.

Feljegyzés

Az Azure Relay a webes szoftvercsatornákra támaszkodik a kapcsolatokhoz. Ez a funkció csak Windows Server 2012 vagy újabb rendszereken érhető el. Emiatt a HCM nem támogatott a Windows Server 2012-nél korábbi rendszereken.

Redundancia

Minden HCM több hibrid kapcsolatot is támogat. Több HCM bármilyen hibrid kapcsolatot támogat. Az alapértelmezett viselkedés az, hogy a forgalmat az adott végpont konfigurált HCM-jei között irányítja át. Ha magas rendelkezésre állást szeretne a hibrid kapcsolatokon a hálózatról, futtasson több HCM-et külön gépeken. A Relay szolgáltatás által a FORGALOM HCM-ekhez való elosztásához használt terheléselosztási algoritmus véletlenszerű hozzárendelés.

Hibrid kapcsolat manuális hozzáadása

Ha engedélyezni szeretné, hogy az előfizetésén kívüli személy egy HCM-példányt üzemeltetjen egy adott hibrid kapcsolathoz, ossza meg velük a hibrid kapcsolat átjárójának kapcsolati sztring. Az átjáró kapcsolati sztring az Azure Portal hibrid kapcsolat tulajdonságai között látható. A sztring használatához válassza a HCM-ben a Manuális beírás lehetőséget, majd illessze be az átjáró kapcsolati sztring.

Képernyőkép a párbeszédpanelről, ahol manuálisan adhat hozzá hibrid kapcsolatot.

Frissítés

Az hibridkapcsolat-kezelő rendszeres frissítéseket végeznek a problémák megoldásához vagy a fejlesztések biztosításához. A frissítések kiadásakor megjelenik egy párbeszédpanel a HCM felhasználói felületén. A frissítés alkalmazása alkalmazza a módosításokat, és újraindítja a HCM-et.

Hibrid kapcsolat hozzáadása az alkalmazáshoz programozott módon

Az Azure CLI támogatja a hibrid kapcsolatokat. A megadott parancsok az alkalmazás és az App Service csomag szintjén is működnek. Az alkalmazásszintű parancsok a következők:

az webapp hybrid-connection

Group
    az webapp hybrid-connection : Methods that list, add and remove hybrid-connections from webapps.
        This command group is in preview. It may be changed/removed in a future release.
Commands:
    add    : Add a hybrid-connection to a webapp.
    list   : List the hybrid-connections on a webapp.
    remove : Remove a hybrid-connection from a webapp.

Az App Service-csomag parancsaival beállíthatja, hogy melyik kulcsot használja egy adott hibrid kapcsolat. Minden hibrid kapcsolathoz két kulcs van beállítva, egy elsődleges és egy másodlagos. Az elsődleges vagy másodlagos kulcsot az alábbi parancsokkal használhatja. Ez a beállítás lehetővé teszi a kulcsok közötti váltást arra az időre, amikor rendszeresen újra szeretné létrehozni a kulcsokat.

az appservice hybrid-connection --help

Group
    az appservice hybrid-connection : A method that sets the key a hybrid-connection uses.
        This command group is in preview. It may be changed/removed in a future release.
Commands:
    set-key : Set the key that all apps in an appservice plan use to connect to the hybrid-
                connections in that appservice plan.

Hibrid kapcsolatok védelme

Minden olyan felhasználó, aki rendelkezik az Azure Service Bus Relay megfelelő engedélyével, hozzáadhat egy meglévő hibrid kapcsolatot az adott továbbítóhoz más App Service-webalkalmazásokhoz. Ha meg szeretné akadályozni, hogy mások ugyanazt a hibrid kapcsolatot újrahasználják, zárolja az Azure Service Bus Relay hozzáférését. Ez a helyzet akkor fordulhat elő, ha a célerőforrás olyan szolgáltatás, amely nem rendelkezik más biztonsági intézkedésekkel a jogosulatlan hozzáférés megakadályozása érdekében.

Bárki, aki Reader hozzáfér a Relayhez , láthatja a hibrid kapcsolatot, ha megpróbálja hozzáadni a webalkalmazáshoz az Azure Portalon. Nem tudják hozzáadni, mert nem rendelkeznek a továbbítási kapcsolat létrehozásához használt kapcsolati sztring lekéréséhez szükséges engedélyekkel. A hibrid kapcsolat hozzáadásához rendelkezniük kell az listKeys engedéllyel (Microsoft.Relay/namespaces/hybridConnections/authorizationRules/listKeys/action). A Contributor Relayben ezt az engedélyt tartalmazó szerepkör vagy bármely más szerepkör lehetővé teszi a felhasználók számára a hibrid kapcsolat használatát és a saját Web Appshez való hozzáadását.

Hibrid kapcsolatok kezelése

Ha módosítania kell a hibrid kapcsolat végpontgazda-állomását vagy portát, kövesse az alábbi lépéseket:

  1. A hibridkapcsolat-kezelő válassza ki a kapcsolatot a részletek ablakának megtekintéséhez. Ezután válassza az Eltávolítás lehetőséget.
  2. Az Azure Portalon válassza ki az alkalmazást. Válassza a Beállítások>hálózatkezelés lehetőséget.
  3. A hibrid kapcsolatok mellett válassza a Konfigurált hivatkozást.
  4. Hibrid kapcsolatok esetén kattintson a jobb gombbal a kapcsolatra, és válassza a Leválasztás lehetőséget.
  5. Lépjen a frissíteni kívánt végpont relayjéhez. A navigációs menü Entitások területén válassza a Hibrid kapcsolatok lehetőséget az Entitások területen.
  6. Válassza ki a hibrid kapcsolatot. A navigációs menü Beállítások csoportjában válassza a Tulajdonságok lehetőséget.
  7. Végezze el a módosításokat, és válassza a Módosítások mentése lehetőséget.
  8. Térjen vissza az App Service Hibrid kapcsolatok beállításaihoz, és adja hozzá újra a hibrid kapcsolatot. Győződjön meg arról, hogy a végpont a kívánt módon frissült. Ha nem látja a hibrid kapcsolatot a listában, frissítsen 5–10 perc alatt.
  9. Térjen vissza a helyi gép hibridkapcsolat-kezelő, és adja hozzá újra a kapcsolatot.

Hibaelhárítás

A csatlakoztatott állapot azt jelenti, hogy legalább egy HCM konfigurálva van ezzel a hibrid kapcsolattal, és képes elérni az Azure-t. Ha a hibrid kapcsolat állapota nem azt mondja, hogy csatlakoztatva van, a hibrid kapcsolat nincs konfigurálva az Azure-hoz hozzáféréssel rendelkező HCM-eken. Ha a HCM nem csatlakoztatott állapotot jelenít meg, néhány dolgot ellenőrizni kell:

  • A gazdagép kimenő hozzáféréssel rendelkezik az Azure-hoz a 443-as porton? A HCM-gazdagépen a PowerShell paranccsal Test-NetConnection Destination -P Porttesztelhet.

  • Lehetséges, hogy a HCM rossz állapotban van? Próbálja meg újraindítani az Azure hibridkapcsolat-kezelő Service helyi szolgáltatását.

  • Van telepítve ütköző szoftver? hibridkapcsolat-kezelő nem lehet együtt létezni a Biztalk hibridkapcsolat-kezelő vagy a Service Bus for Windows Server szolgáltatással. A HCM telepítésekor először el kell távolítania a csomagok bármelyik verzióját.

  • Rendelkezik tűzfallal a HCM-gazdagép és az Azure között? Ha igen, engedélyeznie kell a kimenő hozzáférést mind a Service Bus-végpont URL-címéhez, mind a hibrid kapcsolatot kiszolgáló Service Bus-átjárókhoz.

    • A Service Bus-végpont URL-címét a hibridkapcsolat-kezelő felhasználói felületén találja.

      Képernyőkép a Hibrid kapcsolat Service Bus-végpontról.

    • A Service Bus-átjárók azok az erőforrások, amelyek elfogadják a kérést a hibrid kapcsolatba, és továbbítják azt az Azure Relayen keresztül. Engedélyeznie kell az átjárók mind a 128-at. Az átjárók formátuma: G#-prod-[stamp]-sb.servicebus.windows.net. A számjel egy 0 és 127 közötti szám, #és stamp annak a példánynak a neve az Azure-adatközpontban, ahol a Service Bus-végpont létezik.

    • Ha helyettesítő karaktert is használhat, engedélyezheti a *.servicebus.windows.net.

    • Ha nem tud helyettesítő karaktert használni, engedélyeznie kell mind a 128 átjáró használatát.

      A bélyeget a Service Bus-végpont URL-címének nslookup használatával derítheti ki.

      Képernyőkép a terminálról, amelyen látható, hogy hol található a Service Bus bélyegneve.

      Ebben a példában a bélyeg a következő sn3-010: . A Service Bus-átjárók engedélyezéséhez a következő bejegyzésekre van szükség:

      G0-prod-sn3-010-sb.servicebus.windows.net
      G1-prod-sn3-010-sb.servicebus.windows.net
      G2-prod-sn3-010-sb.servicebus.windows.net
      G3-prod-sn3-010-sb.servicebus.windows.net
      ... G126-prod-sn3-010-sb.servicebus.windows.net
      G127-prod-sn3-010-sb.servicebus.windows.net

Ha az állapot a Csatlakoztatott állapotot jelzi, de az alkalmazás nem tudja elérni a végpontot, akkor:

  • Győződjön meg arról, hogy DNS-nevet használ a hibrid kapcsolatban. HA IP-címet használ, előfordulhat, hogy a szükséges ügyfél DNS-keresés nem fog megtörténni. Ha a webalkalmazásban futó ügyfél nem végez DNS-keresést, akkor a hibrid kapcsolat nem működik.
  • Ellenőrizze, hogy a hibrid kapcsolatban használt DNS-név feloldható-e a HCM-gazdagépről. Ellenőrizze a felbontást nslookup EndpointDNSname használatával, ahol az EndpointDNSname pontosan megegyezik a hibrid kapcsolat definíciójában használt értékekkel.
  • Tesztelje a HCM-gazdagépről a végponthoz való hozzáférést a PowerShell-paranccsal Test-NetConnection EndpointDNSname -P Port. Ha nem tudja elérni a végpontot a HCM-gazdagépről, ellenőrizze a két gazdagép közötti tűzfalakat, beleértve a cél gazdagépen található gazdagépen található gazdagépek tűzfalait is.
  • Ha Az App Service-t Linuxon használja, győződjön meg arról, hogy nem végpontgazdaként használja localhost . Ehelyett használja a gép nevét, ha kapcsolatot próbál létrehozni egy erőforrással a helyi gépen.

Az App Service-ben a tcpping parancssori eszköz meghívható a Speciális eszközök (Kudu) konzolról. Ez az eszköz meg tudja állapítani, hogy rendelkezik-e TCP-végponttal, de nem árulja el, hogy rendelkezik-e hozzáféréssel a hibrid kapcsolat végpontjához. Ha hibrid kapcsolati végponton használja az eszközt a konzolon, csak azt ellenőrzi, hogy gazdagép:port kombinációt használ-e.

Ha rendelkezik parancssori ügyfélprogramtal a végponthoz, tesztelheti a kapcsolatot az alkalmazáskonzolon. Például a curl használatával tesztelheti a webkiszolgáló végpontjaihoz való hozzáférést.