应用服务环境是一项 Azure 应用服务功能,可提供完全隔离和专用的环境,以便高度安全地运行应用服务应用。 与支持与其他客户共享基础结构的公共多租户产品/服务相比,应用服务环境提供增强的安全性、隔离和网络访问控制。 本文提供应用服务环境 v3 与应用服务的公共多租户产品/服务的不同功能之间的比较。
承载
| 功能 | 应用服务环境 v3 | 应用服务公共多租户 |
|---|---|---|
| 托管环境 | 完全隔离的专用环境 | 共享环境。 运行应用的辅助角色是专用的,但支持与其他客户共享基础结构。 |
| 硬件 | 虚拟机规模集 | 虚拟机规模集 |
| 可用的 SKU | 独立 V2 | 免费、基本、标准、高级 v2 |
| 专用主机组 | 可用 | 否 |
| 远程文件存储 | 完全专用于应用服务环境 | 应用程序的远程文件存储是专用的,但存储托管在共享文件服务器上 |
| 专用入站配置 | 是,使用 ILB 应用服务环境变体 | 是,通过专用终结点 |
| 计划内维护 | 提供手动升级首选项 | 由平台负责维护 |
| 聚合远程文件共享存储限制 | 1 TB(应用服务环境 v3 中的所有应用) | 250 GB(单个应用服务计划中的所有应用)。 500 GB(单个资源组中所有应用服务计划的所有应用)。 |
扩展
应用服务环境 v3 和公共多租户产品/服务均在虚拟机规模集上运行,这意味着这两种产品/服务都受益于规模集提供的功能。 但是,应用服务环境 v3 是一个专用环境,这意味着即使它可以横向扩展到比公共多租户产品/服务更多的实例,但横向扩展到多个实例的速度可能比公共多租户产品/服务慢。
| 功能 | 应用服务环境 v3 | 应用服务公共多租户 |
|---|---|---|
| 最大实例计数 | 每个应用服务计划 100 个实例。 单个应用服务环境 v3 中所有计划最多 200 个实例。 | 每个应用服务计划 30 个实例。 此限制是无法增加的硬限制。 |
| 缩放速度 | 由于环境的专用性质,缩放时间较慢 | 由于环境的共享性质,缩放时间较快 |
证书和域
| 功能 | 应用服务环境 v3 | 应用服务公共多租户 |
|---|---|---|
| 自定义域 | 可以向应用服务环境添加自定义域后缀,所有应用都继承该域后缀。 还可以将自定义域直接添加到应用中。 | 可以将自定义域直接添加到应用中。 |
| 专用 DNS 上的自定义域(无需域验证) | 是,在内部负载均衡器 (ILB) 应用服务环境中 | 否,自定义域需要通过公共 DNS 解析 |
| 入站 TLS | 是,可以直接在环境中管理 SSL 证书,包括上传和绑定自定义 SSL 证书的功能 | 是,可以自带证书或使用 Azure 提供的证书 |
| 使用私人证书颁发机构 (CA) 颁发的证书的入站 TLS | 支持 | 否 |
| 使用私人 CA 颁发的客户端证书的出站调用 | 仅支持基于 Windows 代码的应用中的自定义代码。 可以将自己的根 CA 证书加载到受信任的根存储中。 | 不支持基于源代码的部署。 如果使用 Windows 容器或 Linux 容器进行部署,则支持(可以在两个平台变体的自定义容器内安装任意依赖项,包括私人 CA 颁发的客户端证书)。 |
| 跨应用共享的证书 | 是 | 否,必须将证书上传到每个应用 |
| 公共证书限制 | 每个应用服务计划 1,000 个公共证书 | 每个应用服务计划 1,000 个公共证书 |
| 入站调用的端到端 TLS 加密 | 支持 | 在 Linux 上支持预览版,在 Windows 上不受支持 |
| 更改 TLS 密码套件顺序 | 支持 | 支持最低 TLS 密码套件功能 |
网络
| 功能 | 应用服务环境 v3 | 应用服务公共多租户 |
|---|---|---|
| 虚拟网络集成 | 是,应用服务环境 v3 默认部署到虚拟网络中的子网 | 支持,必须显式启用 |
| 专用终结点支持 | 是,必须在应用服务环境上显式启用 | 是,它必须显式启用 |
| 入站流量的 IP 访问限制 | 是,它必须显式启用 | 是,它必须显式启用 |
| 网络安全组 (NSG) 集成 | 支持入站和出站流量控制 | 可以使用 NSG 通过源自专用终结点 IP 的子网进行入站流量控制(注意:需要专用终结点)。 支持虚拟网络集成子网上的 NSG 的出站网络限制。 |
| UDR 集成 | 支持出站流量路由,必须显式启用 | 支持出站流量路由,必须显式启用 |
| 通过虚拟网络路由出站流量 | 是,所有应用都位于同一子网中,所有出站流量都默认通过虚拟网络路由 | 支持 |
| 阻止非 HTTP 端口上托管的应用服务功能的入站流量 | 支持,NSG 可用于阻止非 HTTP 端口的入站流量 | 不支持。 在某些情况下(FTP 和远程调试),可以按应用程序显式禁用功能。 但是,由于基础应用服务平台托管基础结构拥有列出的端口,因此无法使用 NSG 阻止入站流量。 |
| 通过虚拟网络拉取 Docker 容器 | 支持,使用应用服务环境的子网 | 支持 |
| 通过虚拟网络访问 Azure Functions 存储帐户 | 支持,使用应用服务环境的子网 | 支持 |
| 通过虚拟网络备份/还原 | 支持,使用应用服务环境的子网 | 支持 |
| 每个虚拟机实例的最大出站 TCP/IP 连接数 | 16,000 | 每个 P1V3 实例 1,920 个。 每个 P2V3 实例 3,968 个。 |
| 每个虚拟机实例的最大 SNAT 端口数 | 动态:256 - 1,024,具体取决于实例总计数 | 每个实例 128 个 |
定价
由于基础结构的专用性质,应用服务环境 v3 往往比公共多租户产品/服务更昂贵。 对于这两种产品/服务,只需为使用的资源付费。 两种产品/服务均提供预留实例和节省计划,以节省长期承诺的费用。
| 功能 | 应用服务环境 v3 | 应用服务公共多租户 |
|---|---|---|
| 定价 | 按实例付费 | 按实例付费 |
| 预留实例 | 可用 | 可用 |
| 节省计划 | 可用 | 可用 |
| 可用性区域定价 | 最低收费为 18 个核心。 如果应用服务计划实例中有 18 个或更多核心,则可用性区域支持不收取额外的费用。 如果在区域冗余应用服务环境的应用服务计划中只有少于 18 个核心,则运行实例计数中 18 个核心和核心总和之间的的差值将作为 Windows I1v2 实例收费。 | 每个应用服务计划至少强制执行三个实例。 |
常见问题解答
- 如何知道哪个产品/服务适合我?
- 是否可以同时使用应用服务环境 v3 和公共多租户产品/服务?
- 是否可以从公共多租户产品/服务迁移到应用服务环境 v3?
- 是否可以将应用服务环境 v3 用于开发和测试环境?
- 如何开始使用应用服务环境 v3?
- 如何开始使用应用服务公共多租户产品/服务?
如何知道哪个产品/服务适合我?
在应用服务环境 v3 和公共多租户产品/服务之间做出选择取决于你的特定要求。 在两个产品/服务之间做出选择时,需要考虑几个关键因素。 以下是一些常见方案,可帮助你确定哪种产品/服务适合你。
如果需要一个完全隔离的专用环境来运行应用,则应用服务环境 v3 是适合你的选择。 如果你不需要完全隔离的环境,并且你同意与其他客户共享支持基础结构,那么公共多租户产品/服务是适合你的选择。
如果需要近乎即时的缩放时间,则公共多租户产品/服务是适合你的选择。 如果需要横向扩展到 30 个以上实例,则应用服务环境 v3 是适合你的选择。
如果需要使用私人 CA 颁发的客户端证书,则应用服务环境 v3 是适合你的选择。 如果需要使用私人 CA 颁发的客户端证书并使用 Windows 容器或 Linux 容器进行部署,则也可以选择公共多租户产品/服务。
如果要简化网络配置并让所有应用位于同一子网中,则应用服务环境 v3 是适合你的选择。 如果要使用虚拟网络集成、专用终结点或 IP 访问限制,则这两种产品/服务都适合你,但需要针对公共多租户产品/服务的每个应用启用这些功能。
是否可以同时使用应用服务环境 v3 和公共多租户产品/服务?
是,可以同时使用应用服务环境 v3 和公共多租户产品/服务。 对于需要完全隔离的专用环境的关键应用,可以使用应用服务环境 v3。 对于不需要完全隔离环境的应用,可以使用公共多租户产品/服务。
是否可以从公共多租户产品/服务迁移到应用服务环境 v3?
是,可以从公共多租户产品/服务迁移到应用服务环境 v3,反之亦然。 可以使用备份和还原功能迁移应用。
是否可以将应用服务环境 v3 用于开发和测试环境?
是,可以将应用服务环境 v3 用于开发和测试环境。 不过,请记住,应用服务环境 v3 比公共多租户产品/服务更昂贵,因此你可能希望在开发和测试环境中使用公共多租户产品/服务以节省费用。
如何开始使用应用服务公共多租户产品/服务?
若要开始使用应用服务公共多租户产品/服务,请参阅 Azure 应用服务入门。