问题[azure-web-apps](server)

我在 Azure 中有这个设置：

• 具有地址空间的 vnet：172.16.0.0/16
  • 具有 172.16.1.0/24 的子网名为 WebAppSubnet 并委托给 Microsoft.Web/serverFarms
  • 一个名为 GatewaySubnet 的 172.16.255.0/24 子网
• 地址空间为 172.18.96.76/32 的本地网关
• 与网关关联的公共 IP
• 使用自定义配置配置的连接
  • 使用 AES256、SHA256 和 DHG 1 的 IKE 阶段 1
  • 具有 AES256、SHA256 和无 PF 组的 IKE 阶段 2 (IPSec)
  • IPsec SA 生命周期（以千字节为单位）设置为 102400000
  • IPsec SA 生命周期（以秒为单位）设置为 28800
  • 禁用流量选择器
  • DPD 超时设置为 45
  • 禁用 BGP 和 Azure 专用 IP
  • IKE 协议是 IKEv2
• 一个虚拟网关，配置到 GatewaySubnet，与本地网关和连接连接
  • 未启用指向站点

所有资源都位于西欧和同一资源组中。

连接报告“已连接”，本地 IT 人员也可以看到它已连接。

我想将一个 webapp 连接到 VNET，以便它可以连接到位于 172.18.96.76 的本地 SQL 服务器。因此，我检查是否将 webapp 正确添加到 VNET：

太棒了。它有效：webapp 在 VNET 中。现在我想将我的连接字符串指向 onprem SQL。我使用这个连接字符串

服务器=172.18.96.76；数据库=AutodesktopMirror；用户ID=myuser；密码=mypass；

但我收到一个错误告诉我：

Win32Exception：访问被拒绝。

位置不明

SqlException：建立与 SQL Server 的连接时发生与网络相关或特定于实例的错误。服务器未找到或无法访问。验证实例名称是否正确以及 SQL Server 是否配置为允许远程连接。（提供者：命名管道提供者，错误：40 - 无法打开与 SQL Server 的连接）

所以，它没有找到本地 SQL 服务器，这就是我有点棘手的地方，因为：

1. 我无法 ping 网关
2. 我不能从 webapp 做 tracert

我还没有将 WEBSITE_VNET_ROUTE_ALL 添加到 webapp 设置中。我已经测试了有无它，它给了我相同的结果：拒绝访问，未知位置。

所以基本上我真的不知道我的流量是否正确路由。我所知道的是所有 RFC1918 流量都被路由到 VNET。我的 webapp 在 VNET 中，我的网关在 VNET 中。如果我查看网络图，我可以看到没有流量到达网关：

我已经将健康探测设置为每两分钟对 SQL 服务器执行一次 ping 操作 + 我尝试了各种调用。我还尝试对 VPN 网关上的连接进行故障排除，它告诉我：

我用谷歌搜索了我的 a**，我对“经典 VNET/点到站点与无点到站点”的混合感到非常困惑。serverfault 上的某个人甚至说它应该可以工作：https://serverfault.com/a/1046325/133202，因为当我的 web 应用程序位于带有网关的 VNET 上时，它应该能够调用 onprem 数据库。

我的设置中缺少什么吗？我没有指向站点，我应该有吗？我很高兴我能确认我的 Azure 设置是否正常，包括 VNET、网关和 IP 范围，因为我想我会更多地研究 onprem 的连接方式。也许他们需要更新一些东西。

我不是网络管理员，所以在 VPN 设置方面我有点不知所措。

所有这些都由 ARM 提供。

更新

设置图

客户端 VPN：Fortigate FortiOS 6.2

解决方案

1. 如果 VNET 和 webapps 在同一区域，则不需要站点到站点。如果网关在 VNET 中，并且连接正常，则所有流量都通过此引导
2. 请记住，只有所有 RFC1918 流量默认路由到 VNET
3. 您需要按照此处所述设置网关：https ://docs.microsoft.com/en-us/azure/network-watcher/network-watcher-diagnose-on-premises-connectivity#scenario
4. 检查您的防火墙规则 :) 然后再次检查它们
5. 如果您使用 GatewaySubnet 和 WebAppSubnet 设置 VNET，并且将本地网关正确映射到在 onprem 网关中配置的 onprem 地址空间，这将起作用。您不需要：网关上的点到站点，或 webapp 配置中的 WEBSITE_VNET_ROUTE_ALL（如果您遵循 RFC1918 地址间距）

非常感谢 Massimo，https://serverfault.com/users/6352/massimo！！

我正在尝试创建一个免费的 linux 应用服务计划。但是 ARM 一直告诉我：

此订阅已达到可在该区域创建的 1 个免费 Linux 应用服务计划的限制。请选择不同的 sku 或地区。

然而，这具有误导性，因为没有单一的应用服务计划。不是免费的，资源组和整个订阅中都没有。

很可能之前有一个免费的基于 linux/windows 的应用程序服务计划，但在某个时候被删除了。Azure 会记录这些吗？

任何人都可以在这里分享一些关于何时使用 Azure WAF 或 Azure 防火墙的想法和意见。我已经拥有 Azure ExpressRoute，因此我的 Azure VM 可以 ping 我的 OnPremise 服务器，反之亦然。

我的目的是能够安全地发布访问我的 OnPremise SQL 服务器上的数据库的 Azure Web 应用程序和 API。

我的 Azure WebApps 实例（在 Tomcat、Linux 上运行）已经运行了 9 个月。最近有几个小时的停机时间，根据 Microsoft 支持工程师的说法，这是由以下原因引起的：

在此实例上重新启动存储文件服务器，并且在您手动重新启动之前，Web 应用程序无法启动，Web 应用程序卡住了。为了避免这个孩子的问题，你可以坚持最佳实践

1. 始终使用 2 个实例
   这些实例位于不同的升级域中，因此不会同时升级。当一个工作实例正在升级时，另一个仍处于活动状态以服务 Web 请求。Web 应用程序当前配置为仅在一个实例上运行。由于您只有一个实例，因此您可能会遇到停机时间，因为升级应用服务平台时，运行 Web 应用的实例也会升级。因此，您的 Web 应用程序进程将重新启动并经历停机时间。

2. 使用健康检查
   此功能会自动从轮换中移除故障实例，从而提高可用性。此功能将每 2 分钟在您的 Web 应用程序的所有实例上 ping 指定的健康检查路径。如果一个实例在 10 分钟（5 次 ping）内没有响应，则该实例被确定为不健康，我们的服务将停止向其路由请求。强烈建议生产应用程序利用此功能并最大限度地减少由于故障实例导致的任何潜在停机时间。注意：健康检查功能仅适用于托管在多个实例上的应用程序。有关更多信息，请查看以下文档。 https://github.com/projectkudu/kudu/wiki/Health-Check-（预览）

所以我知道我可以通过遵循最佳实践来避免这类罕见事件。但是我想知道是否还有其他问题，因为问题是从那时起，每当我重新启动 WebApp（通过 Azure 门户）时，它都会遭受 2 到 5 小时的停机时间，然后它会自动修复。

Microsoft 支持工程师的回应是，这是由于临时目录已满。

临时文件空间使用几乎用尽。该应用程序可能会遇到稳定性和性能问题。

应用程序在内存处理期间使用临时文件，从 API 调用下载内容等。如果应用程序代码没有清理，临时空间就会被用完。

建议的操作要永久修复，请查看和分析此应用服务计划中托管的每个应用程序，并确定未执行正确清理例程的应用程序。

我查看了 \tmp 目录，它基本上是空的。WebApp 重启也应该清除临时目录，所以我不明白为什么我应该在重启后遇到问题。

与 Microsoft 的支持请求仍处于打开状态。我希望探索解决问题的其他可能性——因为它已经持续了两个星期。

以下是可能相关的部分日志（当 WebApp 离线时），其中的标识细节被混淆了。

码头工人

2020-09-22T16:09:57.514Z 错误 - 站点 examplewebapp__a81a 的容器 examplewebapp__ 未在预期的时间限制内启动。已用时间 = 600.9031978 秒 2020-09-22T16:09:57.515Z 错误 - 容器 examplewebapp__ 没有响应端口：80 上的 HTTP ping，站点启动失败。请参阅容器日志以进行调试。2020-09-22T16:09:57.544Z 信息 - 停止站点 examplewebapp__a81a，因为它在启动期间失败。2020-09-22T16:14:53.608Z 信息 - 从 Docker 中心拉取图像：mcr.microsoft.com/azure-app-service/tomcat:9.0-java11_200319054033 2020-09-22T16:14:53.687Z 信息 - 9.0-java11_200319054033从 azure-app-service/tomcat 2020-09-22T16:14:53.720Z 信息中提取 - 摘要：sha256:c2c5.......73d96 2020-09-22T16:14:53.722Z 信息 - 状态：图像是mcr.microsoft.com/azure-app-service/tomcat:9.0-java11_200319054033 2020-09-22T16 的最新版本：

2020-09-22T16:14:56.980Z 信息 - 为站点 examplewebapp__a81a 向容器 examplewebapp__aetete 发起预热请求 2020-09-22T16:15:17.526Z 信息 - 等待对容器 examplewebapp__aetete 的预热请求的响应。经过的时间 = 20.5455075 秒 2020-09-22T16:15:33.144Z 信息 - 等待对容器 examplewebapp__aetete 的预热请求的响应。经过时间 = 36.1635991 秒 2020-09-22T16:15:54.629Z 信息 - 等待对容器 examplewebapp__aetete 的预热请求的响应。经过的时间 = 57.6488951 秒 2020-09-22T16:16:09.914Z 信息 - 等待对容器 examplewebapp__aetete 的预热请求的响应。经过时间 = 72.9343365 秒 2020-09-22T16:16:25.080Z 信息 - 等待对容器 examplewebapp__aetete 的预热请求的响应。经过时间 = 88.1001723 秒 2020-09-22T16:16:40。281Z 信息 - 等待对容器 examplewebapp__aetete 的预热请求的响应。经过时间 = 103.3011586 秒

Default_Docker

2020-09-22T11:45:17.432527708Z / | / /| | /| | /\ / 2020-09-22T11:45:17.432531708Z _ |__ /_____ __ / | | ___ > 2020-09-22T11:45:17.432535708Z // / 2020-09-22T11:45:17.432539208ZAPPSERVICEONLINUX 2020-09-22T11:45:17.432542708Z 2020-09-22T11:45Z8:17 文档:4 / /aka.ms/webapp-linux 2020-09-22T11:45:17.432565208Z 2020-09-22T11:45:17.432568708Z 注意：/home 之外的任何文件或系统更改都不会持续到您的应用程序的当前会话之外。/home 是您的应用程序的持久存储，并在所有服务器实例之间共享。2020-09-22T11:45:17.432573808Z 2020-09-22T11:45:17.432576808Z 2020-09-22T11:45:17.432836008Z 设置 openrc ... 2020-09-22T11:45:20.01168.8823 缓存服务依赖项.. [ ok ] 2020-09-22T11:45:20.040479470Z 更新 /etc/ssh/sshd_config 以使用 PORT 2222 2020-09-22T11:45:20.056556396Z 正在启动 ssh 服务... 2020-09-22T11:45: 23.318735610Z ssh-keygen：生成新主机密钥：RSA DSA ECDSA ED25519 2020-09-22T11:45:27.654655866Z * 正在启动 sshd ... [ ok ] 2020-09-22T11:45:27.675340497Z ## 打印构建信息。 .. 2020-09-22T11:45:27.685373113Z
包装 | 版本 | 提交 2020-09-22T11:45:27.685419013Z
Microsoft.AppService.EasyAuthExtensionsJava |
1.0.011720002-alpha-793ad718 | 793ad718 2020-09-22T11:45:27.685426413Z Microsoft.AppService.WebsitesExtensionsJava |
1.0.011730003-alpha-53ae38d3 | 53ae38d3 2020-09-22T11:45:27.685430813Z 自我 | 1.0.011730002-alpha-c6f00046 | c6f00046 2020-09-22T11:45:27.687085515Z ## 完成打印构建信息。

2020-09-22T11:55:23.212406842Z _____
2020-09-22T11:55:23.212435742Z / _ \ __________ _________ ____
2020-09-22T11:55:23.212440842Z / / \ ___ / | _ __ _/ __ \ 2020-09-22T11:55:23.212444742Z / | / /| | /| | /\ / 2020-09-22T11:55:23.212448142Z _ |__ /_____ _ / | | ___ >

我们正在寻找一种 Azure 解决方案，用于通过单个入口点将传入的 API 消息（基于微服务）路由到多个Azure Web App实例 (*.azurewebsites.net)，而不是多个虚拟机。

路由将基于 URL，因为 URL 部分包含微服务名称。之后，我们打算使用相同的服务进行负载均衡。

目前我们正在使用nginx带有 URL 重定向的自定义服务器来执行此操作，但我们想知道是否可以使用本机 Azure 服务。

到目前为止，它似乎Azure Application Gateway是面向 VM 的。

我们有一个 Azure 存储帐户，其中包含网站的静态 HTML 内容。不是在 Internet 上公开存储帐户 URL，而是创建了一个 Azure CDN 终结点https://ourendpoint.azureedge.net/公开给外界。

Azure CDN 是否带有我们的业务分析师声称的 Web 应用程序防火墙？我以为只有 Azure Front Door 和 Azure 应用程序网关有它？

我刚刚创建了一个免费的 Azure 帐户并创建了一个 Web 应用服务。然后我想启用“存档到存储帐户”的诊断设置，但问题是它没有显示我的任何存储帐户。我确实为它创建了一个专用的存储帐户。您能否看一下图片以获取更多详细信息。请注意，我可以在虚拟机实例中启用此诊断设置，但不适用于 Web 应用服务。

谢谢

存储帐户未显示

我试图弄清楚 Azure Function App（消费计划，所以没有 VNET）和 Azure SQL Server DB 之类的东西是如何连接在一起的。

我正在检查 SQL 审计日志，特别是client_id字段并尝试与outboundIpAddressesFunction App 匹配，但它们不同。

两者之间是否有任何网关，有机会获得此类网关的日志。

ps 想法是了解 Azure 中哪个 Function/App 连接到 DB

我正在尝试从 Azure 中的 Digicert 生成/请求新证书。我被指示从 Digicert 的商业层购买 EV SSL 证书。他们称其为 Secure Site EV SSL，但我看不到可以在门户中或通过 Powershell 指定证书类型的位置。门户网站在高级证书策略下有一个文本字段，我可以在其中指定这一点，但 Digicert 支持人员通知我这只能处理基本层证书请求。Powershell 文档似乎有同样的限制。

我们在应用程序网关后面使用 Azure 应用服务，所以我认为我将无法生成证书签名请求来直接从 Digicert 请求证书。

是否可以在 Azure 中生成或导入业务层 EV SSL 证书？

我正在将 Azure 上的单个 VM Web 服务器的功能拆分为同一 Vnet 上的两个 VM。

我想检查一下，我可以假设它们之间的流量是绝对隔离和私密的吗？

例如，一个将托管 SMTP 服务器，另一个将托管使用它的 Web 应用程序。

忽略 STARTTLS 并在它们之间简单地发送凭据是否完全安全？

如果是这样，您能否指出微软的某种声明来确认这种隐私？

情况似乎很明显，但我发现很难得到明确的解释。