Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mithilfe der Optionen für das Anwendungs- oder Konfigurationsrouting können Sie konfigurieren, welcher Datenverkehr über die Integration des virtuellen Netzwerks gesendet wird. Weitere Informationen finden Sie im Übersichtsabschnitt.
Voraussetzungen
Ihre App ist bereits mithilfe des Features für die Integration eines regionalen virtuellen Netzwerks integriert.
Konfigurieren von Anwendungsrouting
Mit Anwendungsrouting wird definiert, welcher Datenverkehr von Ihrer App an das virtuelle Netzwerk weitergeleitet wird. Sie können Routing auf zwei Ebenen konfigurieren:
-
Traffic-Routing aller Datenströme (
outboundVnetRouting.allTraffic): Leitet den gesamten ausgehenden Datenverkehr Ihrer App über die Integration des virtuellen Netzwerks weiter, einschließlich des Anwendungs- und Konfigurationsdatenverkehrs (wie etwa Container-Image-Pulls, Inhaltsfreigabezugriff und Sicherungsoperationen). -
Nur Anwendungsdatenverkehr (
outboundVnetRouting.applicationTraffic): Leitet nur anwendungsgenerierten Datenverkehr über die Integration des virtuellen Netzwerks weiter, während der Konfigurationsdatenverkehr standardmäßig die öffentliche Route verwendet (es sei denn, im Konfigurationsroutingabschnitt einzeln konfiguriert).
Es wird empfohlen, die outboundVnetRouting.allTraffic Eigenschaft zum Aktivieren des Routings aller Datenverkehrs zu verwenden. Mithilfe dieser Eigenschaft können Sie das Verhalten mit einer integrierten Richtlinie überwachen.
Hinweis
Die Legacy-Website-Einstellung vnetRouteAllEnabled und die Legacy-App-Einstellung WEBSITE_VNET_ROUTE_ALL werden weiterhin aus Gründen der Abwärtskompatibilität unterstützt.
Konfigurieren im Azure-Portal
Führen Sie die folgenden Schritte aus, um das Routing von Anwendungsdatenverkehr in Ihrer App über das Portal zu konfigurieren.
Navigieren Sie in Ihrem App-Portal zu Netzwerk>Integration des virtuellen Netzwerks.
Konfigurieren Sie die Einstellung für ausgehenden Internetdatenverkehr :
-
Aktiviert: Leitet den Anwendungsdatenverkehr über das virtuelle Netzwerk weiter (Sets
outboundVnetRouting.applicationTraffic=true). - Deaktiviert: Der Anwendungsdatenverkehr verwendet die Standardroute.
-
Aktiviert: Leitet den Anwendungsdatenverkehr über das virtuelle Netzwerk weiter (Sets
Verwenden Sie zum Weiterleiten des Konfigurationsdatenverkehrs (Abruf von Container-Images, Inhaltespeicherung, Sicherung/Wiederherstellung) die Kontrollkästchen Configuration routing oder konfigurieren Sie dies über die Azure CLI.
Wählen Sie Anwenden aus, um dies zu bestätigen.
Hinweis
Das Portal bietet keine direkte Möglichkeit zum Konfigurieren outboundVnetRouting.allTraffic. Um den gesamten Datenverkehr (Anwendung und Konfiguration) über das virtuelle Netzwerk weiterzuleiten, verwenden Sie die Azure CLI.
Konfigurieren mit der Azure CLI
Sie können auch ausgehendes Datenverkehrsrouting mithilfe der Azure CLI konfigurieren.
Leiten Sie den gesamten Datenverkehr (Anwendung und Konfiguration) über das virtuelle Netzwerk weiter:
az resource update --resource-group <group-name> --name <app-name> --resource-type "Microsoft.Web/sites" --set properties.outboundVnetRouting.allTraffic=true
Leiten Sie nur den Anwendungsdatenverkehr über das virtuelle Netzwerk weiter:
az resource update --resource-group <group-name> --name <app-name> --resource-type "Microsoft.Web/sites" --set properties.outboundVnetRouting.applicationTraffic=true
Deaktivieren Sie das gesamte Datenverkehrsrouting über das virtuelle Netzwerk:
az resource update --resource-group <group-name> --name <app-name> --resource-type "Microsoft.Web/sites" --set properties.outboundVnetRouting.allTraffic=false
Konfigurieren von Konfigurationsrouting
Wenn Sie die VNet-Integration verwenden, können Sie konfigurieren, wie Teile des Konfigurationsdatenverkehrs verwaltet werden. Standardmäßig wird Konfigurationsdatenverkehr direkt über die öffentliche Route geleitet, aber für die genannten einzelnen Komponenten können Sie aktiv konfigurieren, dass er über die Integration in ein virtuelles Netzwerk geleitet wird.
Hinweis
Wenn Sie diese Option aktivieren outboundVnetRouting.allTraffic=true, wird der gesamte Konfigurationsdatenverkehr automatisch über das virtuelle Netzwerk weitergeleitet, und die einzelnen Konfigurationsroutingeinstellungen werden nicht benötigt. Die einzelnen Einstellungen, die im folgenden Abschnitt beschrieben werden, sind nützlich, wenn Sie nur bestimmten Konfigurationsverkehr über das virtuelle Netzwerk weiterleiten möchten oder wenn Sie Konfigurationskomponenten selektiv routen und outboundVnetRouting.applicationTraffic=true beibehalten.
Pullen eines Containerimages
Das Routing des Containerimagepulls über die Integration eines virtuellen Netzwerks kann mithilfe der Azure CLI konfiguriert werden.
az resource update --resource-group <group-name> --name <app-name> --resource-type "Microsoft.Web/sites" --set properties.outboundVnetRouting.imagePullTraffic=true
Es wird empfohlen, die outboundVnetRouting.imagePullTraffic-Eigenschaft zu verwenden, um das Routing des Datenverkehrs für Imagepullvorgänge über die Integration des virtuellen Netzwerks zu aktivieren. Mithilfe dieser Eigenschaft können Sie das Verhalten mit Azure-Richtlinien prüfen.
Hinweis
Aus Gründen der Abwärtskompatibilität werden die Legacyeigenschaft vnetImagePullEnabled und die WEBSITE_PULL_IMAGE_OVER_VNET App-Einstellung mit dem Wert true weiterhin unterstützt.
Inhaltsfreigabe
Das Routing der Inhaltsfreigabe über die Integration eines virtuellen Netzwerks kann mithilfe der Azure CLI konfiguriert werden. Zusätzlich zur Aktivierung des Features müssen Sie auch sicherstellen, dass jede Firewall oder Netzwerksicherheitsgruppe, die für Datenverkehr aus dem Subnetz konfiguriert ist, Datenverkehr an Port 443 und 445 zulässt.
az resource update --resource-group <group-name> --name <app-name> --resource-type "Microsoft.Web/sites" --set properties.outboundVnetRouting.contentShareTraffic=true
Es wird empfohlen, die outboundVnetRouting.contentShareTraffic-Eigenschaft zu verwenden, um Datenverkehr für die Inhaltsfreigabe über die Integration des virtuellen Netzwerks zu aktivieren. Mithilfe dieser Eigenschaft können Sie das Verhalten mit Azure Policy auditieren.
Hinweis
Aus Gründen der Abwärtskompatibilität werden die Legacyeigenschaft vnetContentShareEnabled und die WEBSITE_CONTENTOVERVNET App-Einstellung mit dem Wert 1 weiterhin unterstützt.
Sichern/Wiederherstellen
Das Routing des Backup-Datenverkehrs über die Integration eines virtuellen Netzwerks kann mithilfe der Azure CLI konfiguriert werden. Die Datenbanksicherung wird nicht über die Integration virtueller Netzwerke unterstützt.
az resource update --resource-group <group-name> --name <app-name> --resource-type "Microsoft.Web/sites" --set properties.outboundVnetRouting.backupRestoreTraffic=true
Hinweis
Aus Gründen der Abwärtskompatibilität wird die Legacyeigenschaft vnetBackupRestoreEnabled weiterhin unterstützt.