Bagikan melalui

Koneksi Hibrid Azure App Service

  • Artikel

Koneksi Hibrid adalah layanan di Azure dan fitur di Azure App Service. Sebagai layanan, layanan ini memiliki penggunaan dan kemampuan di luar yang digunakan dalam App Service. Untuk mempelajari selengkapnya tentang Koneksi Hibrid dan penggunaannya di luar Azure App Service, lihat Koneksi Hibrid Azure Relay.

Dalam Azure App Service, Koneksi Hibrid dapat digunakan untuk mengakses sumber daya aplikasi di jaringan apa pun yang dapat melakukan panggilan keluar ke Azure melalui port 443. Koneksi Hibrid menyediakan akses dari aplikasi Anda ke titik akhir TCP. Ini tidak mengaktifkan cara baru untuk mengakses aplikasi Anda. Seperti yang digunakan dalam Azure App Service, setiap Koneksi Hibrid berkorelasi dengan satu host TCP dan kombinasi port.

Fitur ini memungkinkan aplikasi Anda mengakses sumber daya pada sistem operasi apa pun, asalkan ini adalah titik akhir TCP. Fitur Koneksi Hibrid tidak mengetahui atau peduli dengan protokol aplikasinya atau apa pun yang Anda akses. Ini hanya menyediakan akses jaringan.

Cara kerjanya

Koneksi Hibrid mengharuskan agen relai disebarkan di mana dapat mencapai titik akhir dan Azure yang diinginkan. Agen relai, Pengelola Koneksi Hibrid (HCM), memanggil Azure Relay melalui port 443. Dari situs aplikasi web, infrastruktur Azure App Service juga terhubung ke Azure Relay atas nama aplikasi Anda. Melalui koneksi yang digabungkan, aplikasi Anda dapat mengakses titik akhir yang diinginkan. Koneksi menggunakan TLS 1.2 untuk kunci keamanan dan tanda tangan akses bersama (SAS) untuk autentikasi dan otorisasi.

Diagram alur tingkat tinggi Koneksi Hibrid.

Saat aplikasi Anda membuat permintaan DNS yang cocok dengan titik akhir Koneksi Hibrid yang dikonfigurasi, lalu lintas TCP keluar dialihkan melalui Koneksi Hibrid.

Catatan

Fakta ini berarti Anda harus mencoba selalu menggunakan nama DNS untuk Koneksi Hibrid Anda. Beberapa perangkat lunak klien tidak melakukan pencarian DNS jika titik akhir menggunakan alamat IP sebagai gantinya.

Manfaat Koneksi Hibrid Azure App Service

Ada banyak manfaat untuk kemampuan Koneksi Hibrid, termasuk:

  • Aplikasi dapat mengakses sistem dan layanan lokal dengan aman.
  • Fitur ini tidak memerlukan titik akhir yang dapat diakses internet.
  • Cepat dan mudah disiapkan. Tidak memerlukan gateway.
  • Setiap Koneksi Hibrid cocok dengan satu kombinasi host:port, yang berguna untuk keamanan.
  • Biasanya tidak memerlukan lubang firewall. Semua koneksi keluar melalui port web standar.
  • Karena fitur ini adalah tingkat jaringan, ini agnostik untuk bahasa yang digunakan aplikasi Anda dan teknologi yang digunakan titik akhir.
  • Ini dapat digunakan untuk menyediakan akses di beberapa jaringan dari satu aplikasi.
  • Didukung di GA untuk aplikasi Windows dan aplikasi Linux. Koneksi Hibrid tidak didukung untuk kontainer kustom Windows.

Hal-hal yang tidak dapat Anda lakukan dengan Koneksi Hibrid

Hal-hal yang tidak dapat Anda lakukan dengan Koneksi Hibrid meliputi:

  • Memasang drive.
  • Menggunakan UDP.
  • Mengakses layanan berbasis TCP yang menggunakan port dinamis, seperti Mode Pasif FTP atau Mode Pasif yang Diperpanjang.
  • Mendukung LDAP, karena dapat memerlukan UDP.
  • Mendukung Active Directory, karena Anda tidak dapat bergabung dengan domain pekerja App Service.

Menambahkan dan Membuat Koneksi Hibrid di aplikasi Anda

Untuk membuat Koneksi Hibrid:

  1. Di portal Azure, pilih aplikasi Anda. Pilih Pengaturan>Jaringan.

  2. Di samping Koneksi hibrid, pilih tautan Tidak dikonfigurasi. Di sini Anda dapat melihat Koneksi Hibrid yang dikonfigurasi untuk aplikasi Anda.

    Cuplikan layar daftar Koneksi Hibrid tempat Anda dapat menambahkan dan mengelola koneksi.

  3. Untuk menambahkan Koneksi Hibrid baru, pilih Tambahkan koneksi hibrid. Anda melihat daftar Koneksi Hibrid yang sudah Anda buat. Untuk menambahkan satu atau beberapa dari mereka ke aplikasi Anda, pilih yang Anda inginkan, lalu pilih Tambahkan Koneksi Hibrid yang dipilih.

    Cuplikan layar halaman Koneksi Hibrid tempat Anda dapat menambahkan koneksi.

Jika Anda ingin membuat Koneksi Hibrid baru, pilih Buat koneksi hibrid baru. Tentukan nilai berikut:

  • Nama Koneksi Hibrid.
  • Nama host titik akhir.
  • Port titik akhir.
  • Namespace Azure Service Bus yang ingin Anda gunakan.

Cuplikan layar kotak dialog Buat koneksi hibrid baru.

Setiap Koneksi Hibrid terikat dengan namespace Bus Layanan. Setiap namespace Bus Layanan berada di wilayah Azure. Untuk menghindari latensi yang diinduksi jaringan, gunakan namespace Bus Layanan di wilayah yang sama dengan aplikasi Anda.

Jika Anda ingin menghapus Koneksi Hibrid dari aplikasi, klik kanan dan pilih Putuskan sambungan.

Saat Koneksi Hibrid ditambahkan ke aplikasi, Anda dapat melihat detailnya hanya dengan memilihnya.

Cuplikan layar detail koneksi Hibrid.

Membuat Koneksi Hibrid di portal Azure Relay

Selain pengalaman portal dari dalam aplikasi, Anda dapat membuat Koneksi Hibrid dari dalam portal Azure Relay. Agar Koneksi Hibrid dapat digunakan oleh Azure App Service, maka harus:

  • Memerlukan otorisasi klien.
  • Memiliki item metadata dan titik akhir bernama yang berisi kombinasi host:port sebagai nilai.

Paket Koneksi Hibrid dan Azure App Service

Koneksi Hibrid Azure App Service hanya tersedia dalam SKU harga Dasar, Standar, Premium, dan Terisolasi. Koneksi Hibrid tidak tersedia untuk aplikasi fungsi dalam paket Konsumsi. Ada batasan yang terkait dengan paket harga.

Paket harga Jumlah Koneksi Hibrid yang dapat digunakan dalam paket
Dasar 5 per paket
Standard 25 per paket
Premium (v1-v3) 220 per aplikasi
Terisolasi (v1-v2) 220 per aplikasi

UI paket Azure App Service menunjukkan kepada Anda berapa banyak Koneksi Hibrid yang digunakan dan oleh suatu aplikasi.

Cuplikan layar properti paket App Service.

Untuk melihat detailnya, pilih Koneksi Hibrid. Anda dapat melihat semua informasi yang Anda lihat di tampilan aplikasi. Anda juga dapat melihat berapa banyak aplikasi lain dalam paket yang sama yang menggunakan Koneksi Hibrid tersebut.

Ada batasan jumlah titik akhir Koneksi Hibrid yang dapat digunakan dalam paket App Service. Setiap Koneksi Hibrid yang digunakan dapat digunakan di sejumlah aplikasi dalam paket tersebut. Misalnya, satu Koneksi Hibrid yang digunakan dalam lima aplikasi terpisah dalam paket Azure App Service dihitung sebagai satu Koneksi Hibrid.

Harga

Selain ada persyaratan SKU paket App Service, ada biaya tambahan untuk menggunakan Koneksi Hibrid. Ada biaya untuk setiap pendengar yang digunakan Koneksi Hibrid. Pendengarnya adalah Manajer Koneksi Hibrid. Jika Anda memiliki lima Koneksi Hibrid yang didukung oleh dua Pengelola Sambungan Hibrid yang akan menjadi 10 pendengar. Untuk informasi selengkapnya, lihat Harga Azure Service Bus.

Manajer Koneksi Hibrid

Fitur Koneksi Hibrid memerlukan agen relai dalam jaringan yang menghosting titik akhir Koneksi Hibrid Anda. Agen relai itu disebut Manajer Koneksi Hibrid (HCM). Untuk mengunduh HCM:

  1. Di portal Azure, pilih aplikasi Anda. Pilih Pengaturan>Jaringan.
  2. Di samping Koneksi hibrid, pilih tautan untuk membuka halaman Koneksi hibrid.
  3. Pilih Unduh pengelola koneksi.

Alat ini berjalan pada Windows Server 2012 dan yang lebih baru. HCM berjalan sebagai layanan dan menghubungkan keluar ke Azure Relay pada port 443.

Setelah menginstal HCM, Anda dapat menjalankan HybridConnectionManagerUi.exe untuk menggunakan UI untuk alat ini. Berkas ini ada di dalam direktori pemasangan Manajer Koneksi Hibrid. Di Windows 10, Anda juga dapat mencari hybrid Pengelola Sambungan UI di kotak pencarian Anda.

Cuplikan layar Pengelola Sambungan Hibrid.

Saat Anda memulai UI HCM, hal pertama yang Anda lihat adalah tabel yang mencantumkan semua Koneksi Hibrid yang dikonfigurasi dengan instans HCM ini. Jika Anda ingin membuat perubahan apa pun, pertama-tama otentikasi dengan Azure.

Untuk menambahkan satu atau beberapa Koneksi Hibrid ke HCM Anda:

  1. Mulai UI HCM.

  2. Pilih Tambahkan Koneksi Hibrid baru.

    Cuplikan layar Konfigurasi Koneksi Hibrid Baru.

  3. Masuk dengan akun Azure Anda untuk mendapatkan Koneksi Hibrid Anda tersedia dengan langganan Anda. HCM tidak terus menggunakan akun Azure Anda di luar langkah ini.

  4. Pilih langganan.

  5. Pilih Koneksi Hibrid yang Anda inginkan untuk disampaikan HCM.

    Cuplikan layar koneksi dalam Pengelola Sambungan Hibrid.

  6. Pilih Simpan.

Sekarang Anda dapat melihat Koneksi Hibrid yang Anda tambahkan. Anda juga dapat memilih Koneksi Hibrid yang dikonfigurasi untuk melihat detailnya.

Cuplikan layar Detail Koneksi Hibrid.

Untuk mendukung Koneksi Hibrid yang dikonfigurasi dengannya, HCM memerlukan:

  • Akses TCP ke Azure melalui port 443.
  • Akses TCP ke titik akhir Koneksi Hibrid.
  • Kemampuan untuk melakukan pencarian DNS pada host titik akhir dan namespace Azure Service Bus. Dengan kata lain, nama host di koneksi relai Azure harus dapat diselesaikan dari komputer yang menghosting HCM.

Catatan

Azure Relay mengandalkan Web Socket untuk konektivitas. Kemampuan ini hanya tersedia pada Windows Server 2012 atau yang lebih baru. Karena fakta ini, HCM tidak didukung pada sistem yang lebih lama dari Windows Server 2012.

Redundansi geografis

Setiap HCM dapat mendukung beberapa Koneksi Hibrid. Beberapa HCM dapat mendukung Koneksi Hibrid apa pun. Perilaku default adalah merutekan lalu lintas melintasi HCM yang dikonfigurasi untuk titik akhir tertentu. Jika Anda menginginkan ketersediaan tinggi pada Koneksi Hibrid dari jaringan, jalankan beberapa HCM pada mesin terpisah. Algoritma distribusi muatan yang digunakan oleh layanan Relay untuk mendistribusikan lalu lintas ke HCM adalah penugasan acak.

Menambahkan Koneksi Hibrid secara manual

Untuk memungkinkan seseorang di luar langganan Anda untuk menghosting instans HCM untuk Koneksi Hibrid tertentu, bagikan string koneksi gateway untuk Koneksi Hibrid dengan mereka. Anda bisa melihat string koneksi gateway di properti Koneksi Hibrid di portal Microsoft Azure. Untuk menggunakan string tersebut, pilih Masukkan Secara Manual di HCM, dan tempelkan di string koneksi gateway.

Cuplikan layar kotak dialog tempat Anda menambahkan Koneksi Hibrid secara manual.

Mutakhirkan

Ada pembaruan berkala untuk Manajer Koneksi Hibrid untuk memperbaiki masalah atau memberikan penyempurnaan. Saat peningkatan dirilis, kotak dialog muncul di UI HCM. Menerapkan peningkatan menerapkan perubahan dan menghidupkan ulang HCM.

Menambahkan Koneksi Hibrid ke aplikasi Anda secara terprogram

Ada dukungan Azure CLI untuk Koneksi Hibrid. Perintah yang disediakan beroperasi di aplikasi dan tingkat paket Azure App Service. Perintah tingkat aplikasi adalah:

az webapp hybrid-connection

Group
    az webapp hybrid-connection : Methods that list, add and remove hybrid-connections from webapps.
        This command group is in preview. It may be changed/removed in a future release.
Commands:
    add    : Add a hybrid-connection to a webapp.
    list   : List the hybrid-connections on a webapp.
    remove : Remove a hybrid-connection from a webapp.

Perintah paket App Service memungkinkan Anda mengatur kunci mana yang digunakan koneksi hibrid tertentu. Ada dua tombol yang diatur pada setiap Koneksi Hibrid, primer dan sekunder. Anda dapat memilih untuk menggunakan kunci primer atau sekunder dengan perintah berikut. Opsi ini memungkinkan Anda untuk beralih kunci saat Anda ingin meregenerasi kunci Anda secara berkala.

az appservice hybrid-connection --help

Group
    az appservice hybrid-connection : A method that sets the key a hybrid-connection uses.
        This command group is in preview. It may be changed/removed in a future release.
Commands:
    set-key : Set the key that all apps in an appservice plan use to connect to the hybrid-
                connections in that appservice plan.

Mengamankan Koneksi Hibrid Anda

Setiap pengguna yang memiliki izin yang memadai di Azure Bus Layanan Relay dapat menambahkan Koneksi Hibrid yang ada untuk relai tersebut ke aplikasi web App Service lainnya. Untuk mencegah orang lain menggunakan kembali Koneksi Hibrid yang sama, kunci akses ke Azure Bus Layanan Relay. Situasi ini mungkin terjadi ketika sumber daya target adalah layanan yang tidak memiliki langkah-langkah keamanan lain untuk mencegah akses yang tidak sah.

Siapa pun yang memiliki Reader akses ke Relay dapat melihat Koneksi Hibrid jika mereka mencoba menambahkannya ke Aplikasi Web mereka di portal Azure. Mereka tidak dapat menambahkannya karena tidak memiliki izin untuk mengambil string koneksi yang digunakan untuk membuat koneksi relai. Untuk menambahkan Koneksi Hibrid, mereka harus memiliki listKeys izin (Microsoft.Relay/namespaces/hybridConnections/authorizationRules/listKeys/action). Peran Contributor atau peran lain yang menyertakan izin ini pada Relay memungkinkan pengguna untuk menggunakan Koneksi Hibrid dan menambahkannya ke Web Apps mereka sendiri.

Mengelola Koneksi Hibrid

Jika Anda perlu mengubah host atau port titik akhir untuk Koneksi Hibrid, gunakan langkah-langkah berikut:

  1. Di Pengelola Sambungan Hibrid, pilih koneksi untuk melihat jendela detailnya. Lalu pilih Hapus.
  2. Di portal Azure, pilih aplikasi Anda. Pilih Pengaturan>Jaringan.
  3. Di samping Koneksi hibrid, pilih tautan Dikonfigurasi .
  4. Di Koneksi hibrid, klik kanan koneksi dan pilih Putuskan sambungan.
  5. Navigasi ke Relay untuk titik akhir yang perlu Anda perbarui. Di menu navigasi, di bawah Entitas, pilih Koneksi Hibrid di bawah Entitas.
  6. Pilih Koneksi Hibrid. Di menu navigasinya, di bawah Pengaturan, pilih Properti.
  7. Buat perubahan Anda dan pilih Simpan perubahan.
  8. Kembali ke pengaturan Koneksi Hibrid untuk App Service Anda dan tambahkan Koneksi Hibrid lagi. Pastikan titik akhir diperbarui sesuai keinginan. Jika Anda tidak melihat Koneksi Hibrid dalam daftar, refresh dalam 5-10 menit.
  9. Kembali ke Pengelola Koneksi Hibrid di komputer lokal dan tambahkan koneksi lagi.

Pemecahan Masalah

Status Tersambung berarti bahwa setidaknya satu HCM dikonfigurasi dengan Koneksi Hibrid tersebut, dan dapat mencapai Azure. Jika status Koneksi Hibrid Anda tidak menampilkan Terhubung, Koneksi Hibrid Anda tidak dikonfigurasi di HCM apa pun yang memiliki akses ke Azure. Saat HCM Anda menunjukkan Tidak Tersambung, ada beberapa hal yang perlu diperiksa:

  • Apakah tuan rumah Anda memiliki akses keluar ke Azure pada port 443? Anda dapat menguji dari host HCM Anda menggunakan perintah Test-NetConnection Destination -P PortPowerShell .

  • Apakah HCM Anda berpotensi dalam keadaan buruk? Coba mulai ulang layanan lokal Azure Hybrid Pengelola Sambungan Service.

  • Apakah Anda memiliki perangkat lunak berkonflik yang terinstal? Hybrid Pengelola Sambungan tidak dapat hidup berdampingan dengan Biztalk Hybrid Pengelola Sambungan atau Bus Layanan untuk Windows Server. Saat menginstal HCM, Anda harus menghapus versi apa pun dari paket ini terlebih dahulu.

  • Apakah Anda memiliki firewall antara host HCM dan Azure? Jika demikian, Anda perlu mengizinkan akses keluar ke URL titik akhir Bus Layanan DAN gateway Bus Layanan yang melayani Koneksi Hibrid Anda.

    • Anda dapat menemukan URL titik akhir Bus Layanan di antarmuka pengguna hybrid Pengelola Sambungan.

      Cuplikan layar titik akhir Bus Layanan Koneksi Hibrid.

    • Gateway Bus Layanan adalah sumber daya yang menerima permintaan ke dalam Koneksi Hibrid dan meneruskannya melalui Azure Relay. Anda perlu mengizinkan 128 gateway. Gateway dalam format: G#-prod-[stamp]-sb.servicebus.windows.net. Tanda angka, #, adalah angka antara 0 dan 127 dan stamp merupakan nama instans dalam pusat data Azure Anda di mana titik akhir Bus Layanan Anda ada.

    • Jika Anda dapat menggunakan kartubebas, Anda dapat mengizinkan daftar *.servicebus.windows.net.

    • Jika Anda tidak dapat menggunakan kartubebas, Anda harus mengizinkan daftar semua 128 gateway.

      Anda dapat mengetahui stempel menggunakan nslookup pada URL titik akhir Bus Layanan.

      Cuplikan layar terminal memperlihatkan tempat menemukan nama stempel untuk Bus Layanan.

      Dalam contoh ini, stempelnya adalah sn3-010. Untuk mengizinkan gateway Bus Layanan, Anda memerlukan entri berikut:

      G0-prod-sn3-010-sb.servicebus.windows.net
      G1-prod-sn3-010-sb.servicebus.windows.net
      G2-prod-sn3-010-sb.servicebus.windows.net
      G3-prod-sn3-010-sb.servicebus.windows.net
      ... G126-prod-sn3-010-sb.servicebus.windows.net
      G127-prod-sn3-010-sb.servicebus.windows.net

Jika status Anda bertuliskan Tersambung tetapi aplikasi Anda tidak dapat mencapai titik akhir Anda, maka:

  • Pastikan Anda menggunakan nama DNS di Koneksi Hibrid Anda. Jika Anda menggunakan alamat IP, pencarian DNS klien yang diperlukan mungkin tidak terjadi. Jika klien yang berjalan di aplikasi web Anda tidak melakukan pencarian DNS, maka Koneksi Hibrid tidak berfungsi.
  • Periksa apakah nama DNS yang digunakan dalam Koneksi Hibrid Anda dapat diselesaikan dari host HCM. Periksa resolusi menggunakan nslookup EndpointDNSname di mana EndpointDNSname sama persis dengan apa yang digunakan dalam definisi Koneksi Hibrid Anda.
  • Uji akses dari host HCM Anda ke titik akhir Anda menggunakan perintah Test-NetConnection EndpointDNSname -P PortPowerShell . Jika Anda tidak dapat mencapai titik akhir dari host HCM Anda, periksa firewall antara kedua host termasuk firewall berbasis host apa pun di host tujuan.
  • Jika Anda menggunakan App Service di Linux, pastikan Anda tidak menggunakan localhost sebagai host titik akhir Anda. Sebagai gantinya, gunakan nama mesin Anda jika Anda mencoba membuat koneksi dengan sumber daya di mesin lokal Anda.

Di Azure App Service, alat command line tcpping dapat dipanggil dari konsol Advanced Tools (Kudu). Alat ini dapat menginformasikan apakah Anda memiliki akses ke titik akhir TCP, tetapi tidak memberi tahu Anda apakah Anda memiliki akses ke titik akhir Koneksi Hibrid. Jika Anda menggunakan alat di konsol terhadap titik akhir Koneksi Hibrid, Anda hanya perlu mengonfirmasi bahwa alat ini menggunakan kombinasi host:port.

Jika memiliki klien command line untuk endpoint, Anda dapat menguji konektivitas dari konsol aplikasi. Misalnya, Anda dapat menguji akses ke endpoint server web dengan menggunakan curl.