管理 Azure 应用服务虚拟网络集成路由

通过应用程序路由或配置路由选项,可以配置通过虚拟网络集成发送的流量。 有关详细信息,请参阅概述部分

先决条件

应用已使用区域虚拟机集成功能进行集成。

配置应用程序路由

应用程序路由定义从应用路由的流量以及路由到虚拟网络的流量。 建议使用“vnetRouteAllEnabled”站点设置来启用所有流量的路由。 通过此配置设置,你可以使用内置策略来审核行为。 现有的 WEBSITE_VNET_ROUTE_ALL 应用设置仍可使用,你可以使用任一设置启用所有流量路由。

在 Azure 门户中配置

按照以下步骤操作,通过门户在应用中禁用出站 Internet 流量路由。

Screenshot that shows enabling outbound internet traffic.

  1. 转到应用门户中“网络”>“虚拟网络集成” 。

  2. 取消选中“出站 Internet 流量”设置。

    Screenshot that shows disabling outbound internet traffic.

  3. 选择“应用”进行确认。

使用 Azure CLI 配置

还可以使用 Azure CLI 配置“出站 Internet 流量” 。

az resource update --resource-group <group-name> --name <app-name> --resource-type "Microsoft.Web/sites" --set properties.vnetRouteAllEnabled=[true|false]

配置配置路由

使用虚拟网络集成时,可以配置如何管理部分配置流量。 默认情况下,配置流量直接走公共路由,但对于提到的单个组件,可以主动将其配置为通过虚拟网络集成进行路由。

容器映像拉取

可以使用 Azure CLI 配置通过虚拟网络集成路由容器映像拉取。

az resource update --resource-group <group-name> --name <app-name> --resource-type "Microsoft.Web/sites" --set properties.vnetImagePullEnabled=[true|false]

建议使用站点属性通过虚拟网络集成启用路由映像拉取流量。 通过此配置设置,你可以使用 Azure Policy 来审核行为。 仍可使用值为 true 的现有 WEBSITE_PULL_IMAGE_OVER_VNET 应用设置,并且可以使用任一设置启用通过虚拟网络的路由。

内容共享

可以使用 Azure CLI 配置通过虚拟网络集成路由内容共享。 除了启用该功能外,还必须确保在子网流量上配置的任何防火墙或网络安全组都允许流量流向端口 443 和 445。

az resource update --resource-group <group-name> --name <app-name> --resource-type "Microsoft.Web/sites" --set properties.vnetContentShareEnabled=[true|false]

建议使用站点属性通过虚拟网络集成启用内容共享流量。 通过此配置设置,你可以使用 Azure Policy 来审核行为。 仍可使用值为 1 的现有 WEBSITE_CONTENTOVERVNET 应用设置,并且可以使用任一设置启用通过虚拟网络的路由。

备份/还原

关于通过虚拟网络集成来路由备份流量,可以使用 Azure CLI 对其进行配置。 不支持通过虚拟网络集成进行数据库备份。

az resource update --resource-group <group-name> --name <app-name> --resource-type "Microsoft.Web/sites" --set properties.vnetBackupRestoreEnabled=[true|false]

后续步骤