将应用与 Azure 虚拟网络集成

小提示：您能找到这篇{将应用与 Azure 虚拟网络集成}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的将应用与 Azure 虚拟网络集成内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">本文介绍Azure应用服务VNet集成功能，并介绍如何为Azure应用服务中的应用设置此功能。使用Azure虚拟网络(VNet)可将多个Azure资源置于无法通过Internet路由的网络中。

< ">Azure应用服务有两种变体：

< ">支网络营销商业计划书持除独立定价计划以外的全部定价计划的多租户系统。

< ">部署到VNet中且支持独立定价计划应用的应用服务环境。

< ">VNet集成功能用于多租户应用。如果应用在应用服务环境中，则该应用已处于VNet中且不需要使用VNet集成功能来获取同一VNet中的资源。有关所有网络功能的详细信息，请参阅应用服务网络功能。

< ">VNet集成允许应用访问VNet中的资源，但不允许通过VNet对应用进行入站专用访问。专用站点访问指的是仅可从专用网络（例如Azure虚拟网络）对应用进行访问。VNet集成仅用来从应用对VNet进行出站调用。VNet集成功能可以用于同一区域中的VNet，也可用于其他区域中的VNet，这两种情况下的行为有所不同。VNet集成功能有两种变体：

< ">需要网关的VNet集成：连接到其他区域中的VNet或同一区域中的经典虚拟网络时，需要在目标VNet中预配Azure虚拟网关。

< ">VNet集成功能：

< ">需要“标准”、“高级”、“高级V2”或“弹性高级”定价计划。

< ">支持TCP和UDP。

< ">适用于Azure应用服务应用和函数应用。

< ">VNet集成不支持某些功能，例如：

< ">装载驱动器。

< ">Active Directory集成。

< ">NetBIOS。

< ">需要网关的VNet集成只允许访问目标VNet中的资源，或者访问通过对等互连或VPN连接到目标VNet的网络中的资源。需要网关的VNet集成不支持访问可通过Azure ExpressRoute连接使用的资源，也不适用于服务终结点。

< ">无论使用哪个版本，VNet集成都允许应用访问VNet中的资源，但不允许通过VNet对应用进行入站专用访问。专用站点访问指的是仅可从专用网络（例如Azure VNet）对应用进行访问。VNet集成只是为了从应用对VNet进行出站调用。

< ">启用VNet集成

< ">1.在应用服务门户中转到“网络”UI。在“VNet集成”下，选择“单击此处进行配置”。

< ">2.选择“添加VNet”。

< ">3.下拉列表包含订阅内位于相同区域中的所有Azure资源管理器虚拟网络。下面是所有其他区域中资源管理器虚拟网络的列表。选择要集成的VNet。

< ">若要选择另一区域中的VNet，必须已预配一个启用了点到站点连接的VNet网关。

< ">若要与经典VNet集成，请不要选择“虚拟网络”下拉列表，而应选择“单击此处连接到经典VNet”。选择所需的经典虚拟网络。目标VNet中必须已预配一个启用了点到站点连接的虚拟网关。

< ">在集成期间，应用会重启。完成集成后，将会看到与之集成的VNet的详细信息。

< ">需要网关的VNet集成

< ">需要网关的VNet集成支持连接到另一区域中的VNet，或连接到经典虚拟网络。需要网关的VNet集成：

< ">允许应用一次只连接到一个VNet。

< ">允许在一个应用服务计划中最多集成5个VNet。

< ">允许在应用服务计划中由多个应用使用同一个VNet，不影响可供应用服务计划使用的总数。如果有6个应用在使用同一应用服务计划中的同一VNet，则算作是使用了一个VNet。

< ">由于SLA是基于网关，因此可实现99.9%的SLA。

< ">允许应用使用配置给VNet的DNS。

< ">需要在基于虚拟网络路由的网关中配置SSTP点到站点VPN，然后才能将其连接到应用。

< ">需要网关的VNet集成不可用于：

< ">通过Azure ExpressRoute连接的VNet。

< ">从Linux应用

< ">访问服务终结点保护的资源。

< ">既支持ExpressRoute，也支持点到站点VPN或站点到站点VPN的共存网关。

< ">在Azure虚拟网络中设置网关

< ">若要创建网关，请执行以下操作：

< ">1.在VNet中创建网关子网。

< ">2.创建VPN网关。选择基于路由的VPN类型。

< ">3.设置点到站点地址。如果网关不在基本SKU中，则必须在点到站点配置中禁用IKEV2并选择SSTP。点到站点地址空间必须在RFC 1918地址块10.0.0.0/8、172.16.0.0/12和192.168.0.0/16中。

< ">如果创建用于应用服务VNet集成的网关，则不需要上传证书。创建网关可能需要30分钟。若要将应用与VNet集成，必须先预配网关。

< ">需要网关的VNet集成的工作原理

< ">需要网关的VNet集成基于点到站点VPN技术。点到站点VPN将网络访问限制于可托管应用的虚拟机。应用受到限制，只能通过混合连接或VNet集成向外发送流量至Internet。通过门户将应用配置为使用需要网关的VNet集成后，系统会代你管理复杂的协商，以便在网关上和应用程序端创建并分配证书。结果是，用于托管应用的辅助角色能够直接连接到所选VNet中的虚拟网关。

< ">访问本地资源

< ">应用可以通过与具备站点到站点连接的VNet集成来访问本地资源。如果使用需要网关的VNet集成，请使用点到站点地址块更新本地VPN网关路由。先设置站点到站点VPN，接着应通过用于配置该VPN的脚本来正确地设置路由。如果在创建站点到站点地址后才添加点到站点VPN，则需手动更新路由。操作详情取决于每个网关，在此不作说明。不能使用站点到站点VPN连接来配置BGP。

< ">本地连接。只需使用ExpressRoute或站点到站点VPN将VNet连接到本地。

< ">备注

< ">需要网关的VNet集成功能不将应用与包含ExpressRoute网关的VNet集成。即使以共存模式配置ExpressRoute网关，VNet别墅推广软文集成也不会生效。

< ">对等互连

< ">如果结合对等互连使用需要网关的VNet集成，则需要配置几个附加的项。若要配置对等互连以使用应用，请执行以下操作：

< ">1.在应用所连接的VNet上添加对等互连连接。在添加对等互连连接时，请启用“允许虚拟网络访问”并选择“允许转发流量”和“允许网关传输”。

< ">2.在与所连接的VNet对等互连的VNet上添加对等互连连接。在目标VNet上添加对等互连连接时，请启用“允许虚拟网络访问”并选择“允许转发流量”和“允许远程网关”。

< ">3.在门户中转到“应用服务计划”&gt;“网络”&gt;“VNet集成”UI。选择应用连接的VNet。在路由部分，添加与应用所连接的VNet对等互连的VNet的地址范围。

< ">管理VNet集成

< ">与VNet连接和断开连接都在应用级别进行的。可能影响多个应用的VNet集成的操作在应用服务计划级别执行。可以通过应用&gt;“网络”&gt;“VNet集成”门户获取VNet的详细信息。可以在“应用服务计划”&gt;“网络”&gt;“VNet集成”门户中查看应用服务计划级别的类似信息。

< ">在VNet集成实例的应用视图中，能够执行的唯一操作是断开应用与当前连接到的VNet的连接。若要断开应用与VNet的连接，请选择“断开连接”。断开与VNet的连接后，应用会重启。断开连接操作不会更改VNet。不会删除子网或网关。若要删除VNet，请先断开应用与该VNet的连接，然后删除该VNet中的资源，例如网关。

< ">应用服务计划VNet集成UI会显示应用服务计划中的应用使用的所有VNet集成。若要查看单个VNet的详细信息，请选择你感兴趣的VNet。在此处，可以针对需要网关的VNet集成执行两项操作：

< ">同步网络：同步网络操作仅用于网关相关的VNet集成功能。执行同步网络操作确保了证书与网络信息是同步的。如果添加或更改VNet的DNS，请执行同步网络操作。此操作重启使用此VNet的任何应用。如果你使用的是属于不同订阅的应用和VNet，此操作无效。

< ">添加路由：添加路由会促使出站流量进入VNet。

< ">需要网关的VNet集成路由

< ">在VNet中定义的路由用于将流量从应用导入VNet。若要将其他出站流量发送到VNet中，请在此处添加相关地址块。此功能只适用于网关所需的VNet集成。使用需要网关的VNet集成时，路由表不会影响应用流量。

< ">需要网关的VNet集成证书

< ">启用需要网关的VNet集成后，必须进行证书交换以确保连接的安全性。除了证书，还有DNS配置、路由以及其他类似的用于描述网络的内容。

< ">如果更改了证书或网络信息，请选择“同步网络”。选择“同步网络”会导致应用与VNet之间的连接出现短暂的中断。虽然应用不会重启，但失去连接会导致站点功能失常。

< ">定价详细信息

< ">使用需要网关的VNet集成功能会产生三项相关费用：

< ">应用服务计划定价层费用：应用必须属于“标准”、“高级”或“高级V2”应用服务计划。有关这些费用的详细信息，请参阅应用服务定价。

< ">数据传输费用：传出数据会产生费用，即使VNet位于同一数据中心也是如此。数据传输定价详细信息中对这些费用进行了说明。

< ">VPN网关费用：点到站点VPN所需的虚拟网关会产生费用。有关详细信息，请参阅VPN网关定价。

< ">疑难解答

< ">虽然此功能很容易设置，但这并不意味着你的体验不会遇到任何问题。如果在访问所需终结点时遇到问题，可以使用某些实用程序来测试从应用控制台发出的连接。可以使用两种控制台。一种是Kudu控制台，另一种是Azure门户中的控制台。若要访问应用中的Kudu控制台，请转到“工具”>“Kudu”。此外，还可以通过[sitename].scm.chinacloudsites.cn访问Kudo控制台。打开网站负载后，转到“调试控制台”选项卡。若要从应用访问Azure门户托管的控制台，请转到“工具”>“控制台”。

< ">工具

< ">由于存在安全约束，因此无法通过控制台运行ping、nslookup和tracert工具。为了填补此空白，我们添加了两个单独的工具。我们添加了名为nameresolver.exe的工具，用于测试DNS功能。语法为：

< ">控制台

< ">nameresolver.exe hostname[optional:DNS Server]

< ">可以使用nameresolver来检查应用所需的主机名。可以通过这种方式来测试DNS是否配置错误，或者测试你是否有权访问DNS服务器。若要了解可供应用在控制台中使用的DNS服务器，请查看环境变量WEBSITE_DNS_SERVER和WEBSITE_DNS_ALT_SERVER。

< ">可以使用下一工具测试与主机的TCP连接情况，以及端口组合情况。该工具名为tcpping，语法为：

< ">控制台

< ">tcpping.exe hostname[optional:port]

< ">tcpping实用程序会告知是否可访问特定主机和端口。只有满足以下条件才会显示成功：存在侦听主机和端口组合的应用程序，且可从应用对指定主机和端口进行网络访问。

< ">调试对虚拟网络托管的资源的访问

< ">许多因素可能会阻止应用访问特定的主机和端口。大多数情况下为以下因素之一：

< ">存在防火墙。如果存在防火墙，则会发生TCP超时。本例中的TCP超时为21秒。使用tcpping工具测试连接性。除了防火墙外，还有多种原因可能导致TCP超时。

< ">DNS不可访问。每个DNS服务器的DNS超时为3秒。如果具有2个DNS服务器，则超时为6秒。使用nameresolver查看DNS是否正常工作。不能使用nslookup，因为它不使用为虚拟网络配置的DNS。如果无法访问，则表明可能有防火墙或NSG在阻止对DNS的访问，或者该DNS可能已停机。

< ">如果这些方法未解决问题，请首先检查以下因素：

< ">需要网关的VNet集成

< ">点到站点地址范围是否在RFC 1918范围内(10.0.0.0-10.255.255.255/172.16.0.0-172.31.255.255/192.168.0.0-192.168.255.255)？

< ">网关在门户中是否显示为已启动？如果网关处于关闭状态，则将其重新启动。

< ">证书是否显示正在同步？或者，你是否怀疑网络配置已更改？如果证书未同步，或者你怀广告 视频大全疑对虚拟网络配置做出了与ASP不同步的更改，请选择“同步网络”。

< ">如果通过VPN传输，本地网关是否配置为将流量路由回Azure？如果可以访问虚拟网络中的终结点，但不能访问本地的终结点，请检查路由。

< ">你是否正在尝试使用一个既支持点到站点连接，又支持ExpressRoute的共存网关？VNet集成不支持共存网关。

< ">调试网络问题很有难度，因为你看不到哪些因素在阻止访问特定的“主机:端口”组合。部分原因包括：

< ">在主机上开启了防火墙，导致无法从点到站点IP范围访问应用程序端口。跨子网通常需要公共访问权限。

< ">目标主机已关闭。

< ">应用程序已关闭。

< ">IP或主机名错误。

< ">应用程序所侦听的端口与你预期的端口不同。可以使用终结点主机上的“netstat-aon”匹配进程ID和侦听端口。

< ">网络安全组的配置方式导致无法从点到站点IP范围访问应用程序主机和端口。

< ">你不知道应用实际使用的地址。它可能是集成子网中或点到站点地址范围内的任意地址，因此你需要允许从整个地址范围进行访问。

< ">其他调试步骤包括：

< ">连接到虚拟网络中的某个VM，尝试在该处访问资源主机:端口。若要针对TCP访问权限进行测试，请使用PowerShell命令test-netconnection。语法为：

< ">PowerShell

< ">test-netconnection hostname[optional:-Port]

< ">在某个VM中启动应用程序，然后使用tcpping测试能否在应用的控制台中访问该主机和端口。

< ">本地资源

< ">如果应用无法访问本地资源，请检查是否能够通过虚拟网络访问该资源。请使用test-netconnection PowerShell命令来针对TCP访问权限进行测试。如果VM无法访问本地资源，原因可能是未正确配置VPN或ExpressRoute连接。

< ">如果虚拟网络托管的VM能够访问本地系统但应用无法访问，则可能是由于以下某个原因：

< ">在本地网关中未使用子网或点到站点地址范围配置路由。

< ">网络安全组阻止点到站点IP范围的访问。

< ">本地防火墙阻止来自点到站点IP范围的流量。