Condividi tramite

Impostazioni di configurazione personalizzate per gli ambienti del servizio app

  • Articolo

Panoramica

Gli ambienti del servizio app sono specifici di un singolo cliente. Per questo motivo alcune impostazioni di configurazione possono essere applicate esclusivamente ad ambienti del servizio app. Questo articolo descrive le diverse personalizzazioni disponibili per gli ambienti del servizio app.

Nota

Questo articolo illustra le funzionalità, i vantaggi e i casi d'uso dell'ambiente del servizio app v3, usato con i piani del servizio app Isolato v2.

Se non si dispone di un ambiente del servizio app, vedere Come creare un ambiente del servizio app v3.

È possibile archiviare le personalizzazioni dell'ambiente del servizio app tramite una matrice nel nuovo attributo clusterSettings . Questo attributo si trova nel dizionario "Properties" dell'entità di Azure Resource Manager hostingEnvironments .

Il frammento di modello di Resource Manager abbreviato seguente illustra l'attributo clusterSettings :

"resources": [
{
    "apiVersion": "2021-03-01",
    "type": "Microsoft.Web/hostingEnvironments",
    "name": ...,
    "location": ...,
    "properties": {
        "clusterSettings": [
            {
                "name": "nameOfCustomSetting",
                "value": "valueOfCustomSetting"
            }
        ],
        "internalLoadBalancingMode": ...,
        etc...
    }
}

L'attributo clusterSettings può essere incluso in un modello di Resource Manager per aggiornare l'ambiente del servizio app.

Usare Esplora risorse di Azure per aggiornare un ambiente del servizio app

In alternativa, è possibile aggiornare l'ambiente del servizio app tramite Esplora risorse di Azure.

  1. In Esplora risorse passare al nodo per il ambiente del servizio app (sottoscrizioni>{sottoscrizione}>resourceGroups>{gruppo di risorse}>provider>Microsoft.Web>hostingEnvironments). quindi fare clic sull'ambiente del servizio app specifico che si vuole aggiornare.
  2. Nel riquadro a destra fare clic su Lettura/Scrittura nella barra degli strumenti superiore per consentire la modifica interattiva in Esplora risorse.
  3. Fare clic sul pulsante Modifica blu per rendere modificabile il modello di Resource Manager.
  4. Scorrere fino alla fine del riquadro destro. L'attributo clusterSettings si trova nella parte inferiore. Qui è possibile immettere o aggiornare il valore corrispondente.
  5. Digitare o copiare e incollare la matrice dei valori di configurazione voluti all'interno dell'attributo clusterSettings .
  6. Fare clic sul pulsante verde PUT situato nella parte superiore del riquadro destro per eseguire il commit della modifica nell'ambiente del servizio app.

Tuttavia, si invia la modifica, la modifica non è immediata e può richiedere fino a 24 ore affinché la modifica abbia effetto completo. Alcune impostazioni hanno dettagli specifici sul tempo e sull'impatto della configurazione dell'impostazione specifica.

Abilitare la crittografia interna

L'ambiente del servizio app funziona come un sistema di black box in cui non è possibile visualizzare i componenti interni o la comunicazione all'interno del sistema. Per consentire una velocità effettiva più elevata, la crittografia non è abilitata per impostazione predefinita tra i componenti interni. Il sistema è sicuro perché il traffico non è accessibile per il monitoraggio o l'accesso. Se si dispone di un requisito di conformità che richiede la crittografia completa del percorso dati dalla fine alla fine, è possibile abilitare la crittografia del percorso dati completo con un clusterSetting.

"clusterSettings": [
    {
        "name": "InternalEncryption",
        "value": "true"
    }
],

L'impostazione di InternalEncryption su true crittografa il traffico di rete interno nella ambiente del servizio app tra i front-end e i ruoli di lavoro, crittografa il file di paging e crittografa anche i dischi del ruolo di lavoro. Dopo aver abilitato l'impostazione InternalEncryption in clusterSetting, è possibile che si verifichino problemi in termini di prestazioni del sistema. Quando si apporta la modifica per abilitare InternalEncryption, il ambiente del servizio app sarà in uno stato instabile fino a quando la modifica non viene propagata completamente. Il completamento della propagazione della modifica può richiedere alcune ore, a seconda del numero di istanze presenti nel ambiente del servizio app. È consigliabile non abilitare InternalEncryption in un ambiente del servizio app mentre è in uso. Se è necessario abilitare InternalEncryption in un ambiente del servizio app usato attivamente, è consigliabile deviare il traffico a un ambiente di backup fino al completamento dell'operazione.

Disabilitare TLS 1.1 e TLS 1.0

Per gestire le impostazioni di TLS in ogni app, è quindi possibile usare le indicazioni fornite nella documentazione Applicare versioni di TLS.

Se si vuole disabilitare tutto il traffico TLS 1.0 e TLS 1.1 in ingresso per tutte le app in un ambiente del servizio app, è possibile impostare la voce clusterSettings seguente:

"clusterSettings": [
    {
        "name": "DisableTls1.0",
        "value": "1"
    }
],

Il nome dell'impostazione indica 1.0, ma quando è configurata, disabilita sia TLS 1.0 che TLS 1.1.

Modifica dell'ordine dei pacchetti di crittografia TLS

ambiente del servizio app supporta la modifica della suite di crittografia rispetto all'impostazione predefinita. Il set predefinito di crittografie è lo stesso set usato nella servizio app multi-tenant. La modifica della suite di crittografia è possibile solo con ambiente del servizio app, l'offerta a tenant singolo, non l'offerta multi-tenant, perché la modifica influisce sull'intera distribuzione servizio app. Esistono due suite di crittografia necessarie per un ambiente del servizio app: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. È inoltre necessario includere le suite di crittografia seguenti, necessarie per TLS 1.3: TLS_AES_256_GCM_SHA384 e TLS_AES_128_GCM_SHA256.

Per configurare il ambiente del servizio app in modo da usare solo le crittografie necessarie, modificare clusterSettings come illustrato nell'esempio seguente. Assicurarsi che le crittografie TLS 1.3 siano incluse all'inizio dell'elenco.

"clusterSettings": [
    {
        "name": "FrontEndSSLCipherSuiteOrder",
        "value": "TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
    }
],

Avviso

Se per il pacchetto di crittografia vengono impostati valori non corretti che non possono essere riconosciuti da SChannel, tutta la comunicazione TLS con il server potrebbe non funzionare. In tal caso, sarà necessario rimuovere la voce FrontEndSSLCipherSuiteOrder da clusterSettings e inviare il modello di Resource Manager aggiornato per ripristinare le impostazioni predefinite del pacchetto di crittografia. Usare questa funzionalità con cautela.

Operazioni preliminari

Il sito dei modelli di avvio rapido di Azure Resource Manager include un modello con la definizione di base per la creazione di un ambiente del servizio app.