Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Managed Instance sur Azure App Service (préversion) est une option d’hébergement délimitée par plan pour les applications web Windows qui ont besoin de personnalisation du système d’exploitation, d’une mise en réseau privée facultative et d’une intégration sécurisée avec les ressources Azure. Il cible les charges de travail héritées ou dépendantes de l’infrastructure (COM(Component Object Model), le Registre, Microsoft/Windows Installer (MSI)) tout en conservant les fonctionnalités de mise à jour corrective, de mise à l’échelle, de diagnostic et d’identité gérées d’App Service.
Important
Managed Instance est disponible en préversion, disponible pour les applications web Windows dans certaines régions, et limitée aux plans tarifaires Pv4 et Pmv4. Autres régions à suivre. Linux et conteneurs ne sont pas pris en charge.
Fonctionnalités clés
Le tableau suivant récapitule les principales fonctionnalités proposées par Managed Instance :
| Catégorie | Capacité |
|---|---|
| Isolation du réseau | Intégration de réseau virtuel au niveau du plan (facultatif, peut être ajoutée après la création) : • Points de terminaison privés et routage personnalisé • Prise en charge des groupes de sécurité réseau (NSG), des passerelles NAT et des tables de routage • Serveur de noms de domaine privé (DNS) pour la résolution de noms interne |
| Isolation du calcul | • Isolation délimitée par un plan avec contrôle total sur les limites du réseau • Calcul dédié pour des performances prévisibles |
| Prise en charge des composants personnalisés | Scripts d’installation de PowerShell pour : • Composants COM • Valeurs de registre et valeurs de registre persistantes • Configuration et listes de contrôle d’accès des services Internet (IIS Server) • Programmes d’installation MSI • Composants et services Windows non-Microsoft • Installations du Global Assembly Cache (GAC) • Fonctionnalités Windows (client MSMQ, rôles serveur) • Infrastructures personnalisées (mise à jour corrective gérée par le client) |
| Adaptateurs de Registre | Clés de Registre sauvegardées par Azure Key Vault pour une configuration sécurisée |
| Flexibilité du stockage | • Azure Files avec l’intégration de Key Vault • Chemins UNC et accès au partage réseau • Cartographie des lecteurs par script • Stockage temporaire local (2 Go, non persistant) |
| Identité managée | • Identités système et utilisateur assignées au niveau du plan • Authentification sans clé pour les ressources Azure |
| Efficacité opérationnelle | Équilibrage de charge géré par la plateforme, mise à jour corrective et mise à l’échelle : • Mise à l’échelle automatique horizontale (toutes les instances) • Échelle verticale (Pv4/Pmv4 uniquement) |
| Protocole RDP (Remote Desktop Protocol) | • RDP juste-à-temps via Azure Bastion (nécessite un réseau virtuel) • Accès aux journaux, à l’Observateur d’événements et au Gestionnaire IIS |
| Sécurité et authentification | • Domaines TLS et personnalisés avec liaison de certificat • Authentification App Service avec l'identifiant Microsoft Entra |
| Prise en charge du runtime | • Préinstallé : .NET Framework 3.5, 4.8 et .NET 8 • Runtimes personnalisés via des scripts d’installation |
| Intégration CI/CD | GitHub Actions, Azure DevOps, déploiement zip, déploiement de package, exécution à partir du package |
Options de configuration
Managed Instance fournit une configuration au niveau du plan via :
Scripts de configuration (installation) : chargez des scripts PowerShell compressés dans Stockage Azure (accessible via une identité managée). Les scripts s’exécutent au démarrage pour la configuration persistante.
- Les modifications de session RDP sont temporaires et perdues après le redémarrage ou la maintenance de la plateforme.
- Les journaux d’exécution de script s’affichent dans les journaux de la console App Service et peuvent être diffusés en continu vers Azure Monitor.
Adaptateurs de Registre Windows : définissez des clés de Registre au niveau du plan avec des valeurs secrètes stockées dans Azure Key Vault.
Points de montage du stockage : mappez le stockage à l’aide de lettres de lecteur personnalisées avec Azure Files ou de chemins UNC personnalisés. Le stockage local est également disponible, mais limité à 2 Go et n’est pas conservé après les redémarrages.
Accès RDP : Bureau à distance à la demande via Azure Bastion (requiert une intégration au réseau virtuel).
Journalisation et résolution des problèmes
- Les journaux d’activité de Managed Instance sont créés au niveau du plan App Service et non au niveau de l’application.
- Les événements de montage du stockage et d'adaptateur de registre sont enregistrés dans les journaux de la plateforme App Service. Ces journaux peuvent être diffusés en continu via Logstream ou intégrés à Azure Monitor.
- Les journaux de script de configuration (installation) sont disponibles dans les journaux de console App Service et sur l’instance (par exemple, C :\InstallScripts<scriptName>\Install.log). Utilisez Logstream ou Azure Monitor pour l’accès centralisé.
- L’accès RDP nécessite l’intégration d’Azure Bastion et de réseau virtuel. Le Gestionnaire IIS et l’Observateur d’événements sont recommandés pour les diagnostics.
Choix de l’option d’hébergement appropriée
Utilisez Managed Instance lorsque vous avez besoin des éléments suivants :
Compatibilité avec les anciennes versions de Windows
- Composants COM, modifications de Registre et programmes d’installation MSI
- Accès au Gestionnaire IIS et RDP pour les diagnostics
- Partages réseau via chemins UNC ou mappage de lecteur
Migration avec refactorisation minimale
- « Relever et améliorer » les applications .NET Framework héritées
- Modernisation progressive sans réécriture complète
- Isolation du réseau au niveau du plan pour les exigences de conformité
Personnalisation spécifique à Windows
- Scripts d’installation de PowerShell pour la configuration de démarrage
- Fonctionnalités Windows telles que MSMQ ou rôles serveur
- Composants non-Microsoft personnalisés dans le GAC
Utilisez App Service standard lorsque vous avez besoin des éléments suivants :
Développement moderne natif dans le cloud
- Prise en charge des applications multi-langages (Python, Node.js, Java, PHP, etc.)
- Charges de travail Linux ou conteneurisées
- Infrastructure gérée par la plateforme sans personnalisation du système d’exploitation
- Options d’exécution et d’infrastructure plus larges
Utilisez App Service Environment (ASE) quand vous avez besoin des éléments suivants :
Isolation à l’échelle de l’entreprise
- Infrastructure entièrement isolée et dédiée
- Déploiements prenant en charge 100 applications+
- Contrôle de limite réseau complet
Limitations actuelles (préversion)
| Limitation | Détails |
|---|---|
| Plateforme | • Windows uniquement (sans Linux/conteneurs) • Non disponible dans ASE |
| Références SKU | Pv4 et Pmv4 uniquement |
| Regions | Asie Est, USA Centre Ouest, Europe Nord, USA Est |
| Authentification | Entra ID et Identité managée uniquement (aucune jointure de domaine/NTLM/Kerberos) |
| Charges de travail | Applications web uniquement (pas de webJobs, TCP/NetPipes) |
| Configuration | Les modifications persistantes nécessitent des scripts (RDP est diagnostic uniquement) |
Meilleures pratiques
- Utilisez des scripts de configuration (scripts d’installation) pour la configuration persistante.
- Centraliser les secrets à l’aide de Key Vault.
- Valider la configuration de la journalisation dans les environnements en préversion.
- Tester les scripts de configuration (installer) en préproduction avant le déploiement de production.
- Aligner les règles réseau avec les inventaires de dépendances.
- Surveillez avec Microsoft Defender pour Cloud pour détecter les menaces.