Endereços de gerenciamento de Ambiente de Serviço de Aplicativo
Importante
Este artigo aborda o Ambiente do Serviço de Aplicativo v2, que é usado com planos do Serviço de Aplicativo Isolado. O Ambiente do Serviço de Aplicativo v1 e v2 foi desativado em 31 de agosto de 2024. Há uma nova versão do Ambiente de Serviço de Aplicativo que é mais fácil de usar e é executado na infraestrutura mais avançada. Para saber mais sobre a nova versão, comece com Introdução ao Ambiente do Serviço de Aplicativo. Se você estiver usando o Ambiente do Serviço de Aplicativo v1, siga as etapas neste artigo para migrar para a nova versão.
A partir de 31 de agosto de 2024, o Contrato de Nível de Serviço (SLA) e os Créditos de Serviço não se aplicarão mais às cargas de trabalho do Ambiente do Serviço de Aplicativo v1 e v2 que continuarem em produção, pois são produtos desativados. A desativação do hardware do Ambiente do Serviço de Aplicativo v1 e v2 foi iniciada, o que poderá afetar a disponibilidade e o desempenho de seus aplicativos e dados.
Você deve concluir a migração para o Ambiente do Serviço de Aplicativo v3 imediatamente ou seus aplicativos e recursos poderão ser excluídos. Tentaremos migrar automaticamente qualquer Ambiente do Serviço de Aplicativo v1 e v2 restantes com base no melhor esforço usando o recurso de migração in-loco. No enanto, a Microsoft não afirma ou garante a disponibilidade do aplicativo após a migração automática. Talvez seja necessário realizar a configuração manual para concluir a migração e otimizar a escolha de SKU do Plano do Serviço de Aplicativo para atender às suas necessidades. Se a migração automática não for viável, seus recursos e dados de aplicativo associados serão excluídos. Recomendamos fortemente que você tome uma atitude agora para evitar esses cenários extremos.
Se você precisar de mais tempo, podemos oferecer um período de carência único de 30 dias para concluir sua migração. Para mais informações e para solicitar este período de carência, confira a visão geral sobre o período de carência e, em seguida, acesse o portal do Azure e visite a painel de Migração para cada um dos seus Ambientes do Serviço de Aplicativo.
Para obter as informações mais atualizadas sobre a desativação do Ambiente do Serviço de Aplicativo v1/v2, consulte a Atualização de desativação do Ambiente do Serviço de Aplicativo v1 e v2.
Pré-requisitos
Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.
Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.
Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.
Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.
Resumo
O ASE (Ambiente do Serviço de Aplicativo) é uma implantação de locatário único do Serviço de Aplicativo do Azure executada em sua Rede Virtual do Azure. Embora o ASE seja executado em sua rede virtual, ele ainda deve estar acessível de diversos endereços IP dedicados usados pelo Serviço de Aplicativo do Azure para ser gerenciado. No caso de um ASE, o tráfego de gerenciamento atravessa a rede controlada pelo usuário. Se o tráfego estiver bloqueado ou estiver encaminhado erroneamente, o ASE será suspenso. Para obter mais informações sobre as dependências da rede do ASE, leia Considerações sobre a rede e o ambiente do Serviço de Aplicativo. Para obter informações gerais sobre o ASE, você pode começar com a Introdução ao Ambiente do Serviço de Aplicativo.
Todos os ASEs têm um VIP público no qual o tráfego de gerenciamento entra. O tráfego de gerenciamento de entrada desses endereços é proveniente das portas 454 e 455 no VIP público de seu ASE. Este documento lista os endereços de origem do Serviço de Aplicativo para o tráfego de gerenciamento para o ASE. Esses endereços também estão na Marca de serviço IP chamada AppServiceManagement.
Os endereços da marca de serviço AppServiceManagement podem ser configurados em uma tabela de rotas para evitar problemas de roteamento assimétrico com o tráfego de gerenciamento. Sempre que possível, você deve usar a marca de serviço em vez dos endereços individuais. As rotas agem sobre o tráfego no IP e não reconhecem a direção do tráfego ou se o tráfego faz parte de uma mensagem de resposta TCP. Se o endereço de resposta para uma solicitação TCP for diferente do endereço para o qual foi enviado, você terá um problema de roteamento assimétrico. Para evitar problemas de roteamento assimétrico com o tráfego de gerenciamento do ASE, você precisa garantir que as respostas sejam enviadas de volta do mesmo endereço para o qual foram enviadas. Para ver mais detalhes sobre como configurar o ASE para operar em um ambiente em que o tráfego de saída é enviado localmente, leia Configurar o ASE com o túnel forçado.
Lista de endereços de gerenciamento
Caso você precise ver os IPs para os endereços de gerenciamento, baixe a referência de marcas de serviço da sua região para ver a lista mais atualizada de endereços. Os endereços de gerenciamento do Ambiente do Serviço de Aplicativo são listados na marca de serviço AppServiceManagement.
| Region | Referência de marcas de serviço |
|---|---|
| Todas as regiões públicas | Intervalos de IP do Azure e marcas de serviço – Nuvem Pública |
| Microsoft Azure Governamental | Intervalos de IP do Azure e marcas de serviço – Nuvem do Governo dos EUA |
| Microsoft Azure operado pela 21Vianet | Intervalos de IP do Azure e marcas de serviço – Nuvem da China |
Configurando um Grupo de Segurança de Rede
Com Grupos de Segurança de Rede, você não precisa se preocupar com os endereços individuais nem em manter sua própria configuração. Há uma marca de serviço IP chamada AppServiceManagement que é mantida atualizada com todos os endereços. Para usar essa marca de serviço IP em seu NSG, acesse o portal, abra a interface do usuário dos Grupos de Segurança de Rede e selecione Regras de segurança de entrada. Caso tenha uma regra pré-existente para o tráfego de gerenciamento de entrada, edite-a. Se esse NSG não foi criado com o ASE ou se ele é novo, selecione Adicionar. No menu suspenso Origem, selecione Marca de Serviço. Na marca de serviço Origem, selecione AppServiceManagement. Defina os intervalos da porta de origem como *, o Destino como Qualquer, os Intervalos da porta de destino como 454-455, o Protocolo como TCP e a Ação como Permitir. Se você estiver criando a regra, precisará definir a Prioridade.
Configurando uma tabela de rotas
Os endereços de gerenciamento podem ser colocados em uma tabela de rotas com um próximo salto da Internet para garantir que todo o tráfego de gerenciamento de entrada possa percorrer novamente o mesmo caminho. Essas rotas são necessárias ao configurar o túnel forçado. Quando possível, use a marca de serviço AppServiceManagement em vez dos endereços individuais. Para criar a tabela de rotas, use o portal, o PowerShell ou a CLI do Azure. Os comandos para criar uma tabela de rotas usando a CLI do Azure em um prompt do PowerShell são mostrados abaixo.
$sub = "subscription ID"
$rg = "resource group name"
$rt = "route table name"
$location = "azure location"
az network route-table route create --subscription $sub -g $rg --route-table-name $rt -n 'AppServiceManagement' --address-prefix 'AppServiceManagement' --next-hop-type 'Internet'
Depois de criar a tabela de rotas, você precisará configurá-la na sub-rede do ASE.
Obter seus endereços de gerenciamento de API
Você pode listar os endereços de gerenciamento que correspondem ao seu ASE com a seguinte chamada à API.
get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01
A API retorna um documento JSON que inclui todos os endereços de entrada do ASE. A lista de endereços inclui os endereços de gerenciamento, o VIP usado pelo seu ASE e o intervalo de endereços de sub-rede do ASE em si.
Para chamar a API com o armclient use os seguintes comandos, mas substitua a ID da assinatura, o grupo de recursos e o nome do ASE.
armclient login
armclient get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01