Azure 應(yīng)用服務(wù)混合連接,使用azure開發(fā)應(yīng)用程序

Azure 應(yīng)用服務(wù)混合連接

混合連接既是 Azure 中的一個服務(wù)，也是 Azure 應(yīng)用服務(wù)中的一項功能。作為服務(wù)，它的用途和功能超越了應(yīng)用服務(wù)中使用的功能。若要詳細(xì)了解混合連接及其在應(yīng)用服務(wù)外部的用途，請參閱Azure 中繼混合連接。

在應(yīng)用服務(wù)中，混合連接可用于訪問任何網(wǎng)絡(luò)中的應(yīng)用程序資源，這些網(wǎng)絡(luò)可以通過端口 443 對 Azure 進(jìn)行出站調(diào)用。混合連接提供從應(yīng)用到 TCP 終結(jié)點的訪問權(quán)限，而不會啟用新的訪問應(yīng)用的方式。在應(yīng)用服務(wù)中使用時，每個混合連接與單個 TCP 主機和端口組合相關(guān)聯(lián)。這樣，應(yīng)用就可以訪問任何 OS 上的資源，前提是它是 TCP 終結(jié)點。混合連接功能不知道、也不關(guān)心應(yīng)用程序協(xié)議或者要訪問的內(nèi)容是什么。它只提供網(wǎng)絡(luò)訪問。

工作原理

混合連接要求將中繼代理部署到可以同時到達(dá)所需終結(jié)點和 Azure 的位置。中繼代理混合連接管理器 (HCM) 通過端口 443 調(diào)用 Azure 中繼。在 Web 應(yīng)用站點上，應(yīng)用服務(wù)基礎(chǔ)結(jié)構(gòu)還代表應(yīng)用程序連接到 Azure 中繼。通過已聯(lián)接的連接，應(yīng)用可以訪問所需的終結(jié)點。連接使用 TLS 1.2 來確保安全，使用共享訪問簽名 (SAS) 密鑰進(jìn)行身份驗證和授權(quán)。

如果應(yīng)用發(fā)出了與配置的混合連接終結(jié)點匹配的 DNS 請求，則會通過混合連接重定向出站 TCP 流量。

備注

這意味著，始終應(yīng)該盡量為混合連接使用 DNS 名稱。如果終結(jié)點使用 IP 地址，某些客戶端軟件不會執(zhí)行 DNS 查找。

應(yīng)用服務(wù)混合連接的優(yōu)勢

混合連接功能提供許多優(yōu)勢，包括：

應(yīng)用可以訪問本地系統(tǒng)和服務(wù)。

該功能不需要可訪問 Internet 的終結(jié)點。

設(shè)置過程快速而輕松。無需網(wǎng)關(guān)

每個混合連接與單個“主機:端口”組合匹配，這非常有利于安全性。

通常不需要在防火墻中開放端口。連接全部是通過標(biāo)準(zhǔn) Web 端口建立的。

由于該功能在網(wǎng)絡(luò)級別運行，它并不知道應(yīng)用使用的語言以及終結(jié)點使用的技術(shù)。

可以通過單個應(yīng)用使用它在多個網(wǎng)絡(luò)中提供訪問。

它在適用于 Windows 應(yīng)用和 Linux 應(yīng)用的 GA 中受支持。Windows 容器應(yīng)用不支持該功能。

混合連接無法提供的功能

無法通過混合連接執(zhí)行的操作包括：

裝載驅(qū)動器。

使用 UDP。

訪問使用動態(tài)端口（例如 FTP 被動模式或擴展被動模式）的基于 TCP 的服務(wù)。

支持 LDAP，因為它可能需要 UDP。

支持 Active Directory，因為無法將應(yīng)用服務(wù)輔助角色加入域。

在應(yīng)用中添加和創(chuàng)建混合連接

若要創(chuàng)建混合連接，請轉(zhuǎn)到Azure 門戶，并選擇應(yīng)用。選擇“網(wǎng)絡(luò)”  “配置混合連接終結(jié)點”。在此處，可以看到為應(yīng)用配置的混合連接。

若要添加新的混合連接，請選擇“[+] 添加混合連接”。此時會顯示已創(chuàng)建的混合連接的列表。要將其中的一個或多個混合連接添加到應(yīng)用，請選擇所需的混合連接，然后選擇“添加選定的混合連接”。

如果想要創(chuàng)建新的混合連接，請選擇“創(chuàng)建新的混合連接”。指定：

混合連接名稱。

終結(jié)點主機名。

終結(jié)點端口。

要使用的服務(wù)總線命名空間。

每個混合連接已綁定到服務(wù)總線命名空間，每個服務(wù)總線命名空間在 Azure 區(qū)域中。請盡量使用應(yīng)用所在的同一區(qū)域中的服務(wù)總線命名空間，這一點非常重要，目的是避免網(wǎng)絡(luò)造成的延遲。

如果想要從應(yīng)用中刪除混合連接，請右鍵單擊該混合連接，并選擇“斷開連接”。

將混合連接添加到應(yīng)用后，選擇該混合連接即可查看其詳細(xì)信息。

在 Azure 中繼門戶中創(chuàng)建混合連接

除了使用應(yīng)用內(nèi)部的門戶體驗以外，還可以在 Azure 中繼門戶中創(chuàng)建混合連接。要使混合連接可供應(yīng)用服務(wù)使用，必須：

要求客戶端授權(quán)。

提供一個名為 endpoint 的元數(shù)據(jù)項，其中包含“主機:端口”的組合作為值。

混合連接和應(yīng)用服務(wù)計劃

應(yīng)用服務(wù)混合連接只能在“基本”、“標(biāo)準(zhǔn)”、“高級”和“隔離”定價 SKU 中使用。定價計劃沒有相關(guān)的限制。

混合連接和應(yīng)用服務(wù)計劃定價計劃在計劃中可以使用的混合連接數(shù)

基本	每個計劃 5 個
標(biāo)準(zhǔn)	每個計劃 25 個
PremiumV2	每個應(yīng)用 200 個
隔離	每個應(yīng)用 200 個

應(yīng)用服務(wù)計劃 UI 會顯示使用了多少個混合連接以及是由哪些應(yīng)用使用的。

選擇該混合連接可查看詳細(xì)信息。可以看到應(yīng)用視圖中顯示的所有信息。還可以查看同一計劃中還有其他多少個應(yīng)用正在使用該混合連接。

可在一個應(yīng)用服務(wù)計劃中使用的混合連接終結(jié)點數(shù)目有限制。但是，所用的每個混合連接可在該計劃中任意數(shù)目的應(yīng)用中使用。例如，在一個應(yīng)用服務(wù)計劃下的 5 個單獨應(yīng)用中共同使用的單個混合連接，僅算作 1 個混合連接。

定價

除了要求使用應(yīng)用服務(wù)計劃 SKU 外，使用混合連接還需要額外付費。需要為混合連接使用的每個偵聽器付費。偵聽器是混合連接管理器。如果你有由兩個混合連接管理器支持的五個混合連接，則將有 10 個偵聽器。有關(guān)詳細(xì)信息，請參閱服務(wù)總線定價。

混合連接管理器

混合連接功能要求在網(wǎng)絡(luò)中安裝一個中繼代理用于托管混合連接終結(jié)點。該中繼代理稱為混合連接管理器 (HCM)。若要下載 HCM，請在Azure 門戶上的應(yīng)用中，選擇“網(wǎng)絡(luò)”  “配置混合連接終結(jié)點”。

此工具可在 Windows Server 2012 和更高版本上運行。HCM 作為服務(wù)運行，并且在端口 443 上出站連接到 Azure 中繼。

安裝 HCM 后，可以運行 HybridConnectionManagerUi.exe 來使用該工具的 UI。此文件位于混合連接管理器的安裝目錄中。在 Windows 10 上，也可以在搜索框中搜索“混合連接管理器 UI”即可。

啟動 HCM UI 時，出現(xiàn)的第一個界面是一個表格，其中列出了為此 HCM 實例配置的所有混合連接。如果想要進(jìn)行任何更改，請先在 Azure 中完成身份驗證。

要將一個或多個混合連接添加到 HCM，請執(zhí)行以下操作：

啟動 HCM UI。

選擇“配置另一個混合連接”。

使用 Azure 帳戶登錄，以使你的訂閱可以使用混合連接。除此之外，HCM 不會繼續(xù)使用你的 Azure 帳戶。

選擇訂閱。

選擇 HCM 要中繼的混合連接。

選擇“保存” 。

現(xiàn)在，可以看到已添加的混合連接。還可以選擇配置的混合連接查看詳細(xì)信息。

若要支持配置的混合連接，HCM 需要：

通過端口 443 對 Azure 進(jìn)行 TCP 訪問。

對混合連接終結(jié)點進(jìn)行 TCP 訪問。

能夠在終結(jié)點主機和服務(wù)總線命名空間中執(zhí)行 DNS 查找。

備注

Azure 中繼的連接性依賴于 Web 套接字。此功能僅適用于 Windows Server 2012 或更高版本。因此，低于 Windows Server 2012 的版本將不支持 HCM。

冗余

每個 HCM 可以支持多個混合連接。此外，多個 HCM 可以支持任一給定的混合連接。默認(rèn)行為是在為任一給定終結(jié)點配置的 HCM 之間路由流量。如果希望從網(wǎng)絡(luò)建立的混合連接具有高可用性，可在單獨的計算機上運行多個 HCM。中繼服務(wù)用來將流量分配給各個 HCM 的負(fù)載分配算法是隨機分配。

手動添加混合連接

若要讓訂閱外部的某人托管給定混合連接的 HCM 實例，可與他（她）共享該混合連接的網(wǎng)關(guān)連接字符串。可以在Azure 門戶的“混合連接”屬性中看到網(wǎng)關(guān)連接字符串。要使用該字符串，請在 HCM 中選擇“手動輸入”，并粘貼網(wǎng)關(guān)連接字符串。

升級

我們會定期發(fā)布混合連接管理器更新來修復(fù)問題或提供改進(jìn)。當(dāng)發(fā)布升級時，一個彈出窗口將顯示在 HCM UI 中。應(yīng)用升級將應(yīng)用所做的更改并重啟 HCM。

以編程方式將混合連接添加到你的應(yīng)用

Azure CLI 支持混合連接。提供的命令可在應(yīng)用和應(yīng)用服務(wù)計劃級別上運行。應(yīng)用級命令為：

Azure CLI

azwebapphybridconnectionGroupazwebapphybridconnection:Methodsthatlist,addandremovehybridconnectionsfromwebapps.Thiscommandgroupisinpreview.Itmaybechanged/removedinafuturerelease.Commands:add:Addahybridconnectiontoawebapp.list:Listthehybridconnectionsonawebapp.remove:Removeahybridconnectionfromawebapp.

利用應(yīng)用服務(wù)計劃命令，你可以設(shè)置給定混合連接將使用的密鑰。每個混合連接上都設(shè)置了兩個密鑰，一個主密鑰和一個輔助密鑰。可以選擇通過以下命令使用主密鑰或輔助密鑰。這樣，你就可以在需要定期再生成密鑰時切換密鑰。

Azure CLI

azappservicehybridconnectionhelpGroupazappservicehybridconnection:Amethodthatsetsthekeyahybridconnectionuses.Thiscommandgroupisinpreview.Itmaybechanged/removedinafuturerelease.Commands:setkey:Setthekeythatallappsinanappserviceplanusetoconnecttothehybridconnectionsinthatappserviceplan.

保護(hù)混合連接

任何在基礎(chǔ) Azure 服務(wù)總線中繼上有足夠權(quán)限的用戶都可以將現(xiàn)有的混合連接添加到應(yīng)用服務(wù) Web 應(yīng)用。這意味著，如果必須阻止他人重復(fù)使用這個相同的混合連接（例如，如果目標(biāo)資源是一項沒有設(shè)置任何其他的安全措施來防止未經(jīng)授權(quán)的訪問的服務(wù)，則必須這樣做），則必須鎖定對 Azure 服務(wù)總線中繼的訪問。

可以通過Reader訪問權(quán)限來訪問中繼的任何人都將能夠看到混合連接（在嘗試通過 Azure 門戶將它添加到 Web 應(yīng)用時），但卻無法添加它，因為缺少檢索用于建立中繼連接的連接字符串的權(quán)限。若要成功添加混合連接，他們必須具有l(wèi)istKeys權(quán)限 (Microsoft.Relay/namespaces/hybridConnections/authorizationRules/listKeys/action)。Contributor角色或者任何其他包含此權(quán)限（在中繼上）的角色都會允許用戶使用混合連接并將其添加到自己的 Web 應(yīng)用。

故障排除

“已連接”狀態(tài)表示，至少有一個 HCM 配置了該混合連接，且可以訪問 Azure。如果混合連接狀態(tài)未顯示“已連接”，則表示未在任何可訪問 Azure 的 HCM 上配置該混合連接。當(dāng) HCM 顯示 未連接 時，請注意以下幾點：

你的主機是否有到端口443上的 Azure 的出站訪問權(quán)限？可以使用 PowerShell 命令Testnetconnection DestinationP 端口從 HCM 主機進(jìn)行測試

你的 HCM 是否可能處于錯誤的狀態(tài)？嘗試重啟 Azure 混合連接管理器服務(wù) 本地服務(wù)。

如果狀態(tài)顯示為 已連接，但應(yīng)用無法訪問終結(jié)點，請執(zhí)行以下操作：

請確保在混合連接中使用 DNS 名稱。如果使用 IP 地址，則可能不會進(jìn)行所需的客戶端 DNS 查找。如果在 web 應(yīng)用中運行的客戶端未執(zhí)行 DNS 查找，則混合連接將不起作用

檢查混合連接中使用的 DNS 名稱能否從 HCM 主機解析。使用Nslookup EndpointDNSname檢查分辨率，其中 EndpointDNSname 是與混合連接定義中使用的內(nèi)容完全匹配。

使用 PowerShell 命令Testnetconnection EndpointDNSnameP 端口測試從你的 HCM 主機到你的終結(jié)點的訪問權(quán)限。如果無法從 HCM 主機訪問終結(jié)點，請檢查兩個主機（包括目標(biāo)主機上的任何基于主機的防火墻）之間的防火墻。

在應(yīng)用服務(wù)中，可以從 高級工具 (Kudu) 控制臺調(diào)用tcpping命令行工具。此工具可以告知你是否能夠訪問 TCP 終結(jié)點，但不會告知你是否能夠訪問混合連接終結(jié)點。在控制臺中針對混合連接終結(jié)點使用此工具時，只能確認(rèn)混合連接是否使用了“主機:端口”組合。

如果你有終結(jié)點的命令行客戶端，則可以從應(yīng)用控制臺測試連接。例如，可以使用 curl 測試對 Web 服務(wù)器終結(jié)點的訪問。

文章推薦
Google開發(fā)者賬號及關(guān)聯(lián)被封后怎么解決,google開發(fā)者賬號
從瑞士進(jìn)口二手檢測儀器報關(guān)代理公司 舊設(shè)備進(jìn)口,瑞士二手儀器進(jìn)口報關(guān)行
Google Cloud SSH 連接配置,你的設(shè)備不支持google play
Azure運行狀況監(jiān)視服務(wù)與Serverless360,azure服務(wù)器使用教程

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。