azure - 连接同一 VNet 中的两个应用服务

Question

我有两个 NodeJS 应用服务。

他们可以使用默认为应用服务创建的 URL 毫无问题地相互连接。 (即通过公共(public)互联网。)

然后，我成功为这两个应用服务启用了 VNet 集成，并为它们分配了相同的 VNet 和子网。

现在我应该如何修改连接 URL 以从 appservice1 连接到 appservice2(不使用互联网上公开的 URL)？

我在 Azure 门户中找不到任何可以成功建立连接的主机名或 IP 地址信息。

感谢您的建议!

Answer 1

当您希望两个应用服务通过专用网络相互连接时，通常需要执行两个步骤才能正确设置。请注意，应用服务 URL 将始终保持不变，只是网络部分发生变化。

1. 两个应用服务都应启用 vnet 集成，这允许应用服务通过 vnet 路由其流量。

2. 如果您希望其他人(例如另一个应用服务)通过 vnet 连接到应用服务，您可以选择:

   a) 服务端点

   b) 私有(private)端点

阅读您的问题，我假设您正确完成了第一步。但您必须完成步骤 2a 或 2b 才能使其正常工作。我建议您选择服务端点，因为它们比使用私有(private)端点更简单。下面您将找到每个步骤的详细说明和注意事项。

<强>1。 Vnet集成

• 用作集成子网的子网必须是专用子网。这意味着它仅用于 vnet 集成。
• 此专用子网只能使用一项应用服务计划，该一项应用服务计划可能包含多项应用服务。
• 如果该子网附加了网络安全组，则需要允许出站流量。
• 如果您的 vnet 连接了 Azure 防火墙，并且您想要调用公共(public)端点，则它应该允许出站流量。
• 如果您希望所有出站流量都通过 Vnet 传输，则应启用 Vnet 全部路由。
• 如果您想阅读更多内容，我建议您阅读此文 documentation .
• 以下是如何通过选择专用子网来创建 vnet 集成的简单示例:

服务端点

• 服务端点允许您锁定对应用的入站访问，以便源地址必须来自您选择的一组子网。
• 当您启用对应用服务的访问限制时，Azure 会自动配置服务端点。
• 这是专用端点的更简单的替代方案。
• 不适用于您想要从本地网络连接到 Azure VNet 的大型网络。
• 您可以引用此documentation了解服务端点的所有功能和限制。
• 以下示例说明了如何通过创建访问限制来为应用服务启用服务端点:

私有(private)端点

• 专用端点也需要子网，但您可以将尽可能多的专用端点连接到子网，只要有可用的 IP 地址即可。
• 当您使用专用端点时，您还需要有一个专用 DNS 区域。否则，应用服务 URL 无法正确解析为 IP 地址。
• 由于额外的子网和 DNS 要求，专用端点比服务端点更复杂。
• 这是一个不错的 tutorial让您可以使用专用端点设置应用服务。
• 以下示例向您展示如何为您的应用服务创建专用端点。您可以选择让 azure 自动创建私有(private) DNS 区域，也可以手动执行此操作: