Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica la configuración básica de un App Service Environment (ASE) con un equilibrador de carga interno (ILB) para los clientes que utilizan el Punto de Acceso a la Nube (CAP) de la Agencia de Sistemas de Información de Defensa (DISA) para conectarse a Azure Government.
Configuración de entorno
Supuestos
Ha implementado un ASE con un ILB y ha implementado una conexión de ExpressRoute al CAP de DISA.
Tabla de rutas
Al crear el ASE a través del portal de Azure Government, se crea una tabla de rutas con una ruta predeterminada de 0.0.0.0/0 y el próximo salto "Internet". Sin embargo, dado que DISA anuncia una ruta predeterminada fuera del circuito ExpressRoute, la ruta definida por el usuario (UDR) debe eliminarse o quitar la ruta predeterminada a Internet.
Deberá crear nuevas rutas en la UDR para que las direcciones de gestión mantengan ASE en estado correcto. Para los rangos de Azure Government, consulte Direcciones de administración de App Service Environment.
- 23.97.29.209/32 -> Internet
- 13.72.53.37/32 -> Internet
- 13.72.180.105/32 -> Internet
- 52.181.183.11/32 -> Internet
- 52.227.80.100/32 -> Internet
- 52.182.93.40/32 -> Internet
- 52.244.79.34/32 -> Internet
- 52.238.74.16/32 -> Internet
Asegúrese de que la UDR se aplica a la subred en la que se implementa el ASE.
Grupo de seguridad de red (NSG)
El ASE se creará con las siguientes reglas de seguridad de entrada y salida. Las reglas de seguridad de entrada deben permitir los puertos 454-455 con un rango de puertos de origen efímero (*). Las imágenes siguientes describen las reglas de NSG predeterminadas generadas durante la creación de ASE. Para obtener más información, vea Consideraciones sobre redes para un Entorno de Servicio de Aplicaciones.
Puntos de conexión del servicio
En función del almacenamiento que use, debe habilitar los puntos de conexión de servicio para Azure SQL Database y Azure Storage para acceder a ellos sin pasar por el CAP de DISA nuevamente. También necesita habilitar el punto de conexión de servicio de Event Hubs para los registros de ASE. Para obtener más información, consulte Consideraciones sobre redes para App Service Environment: Puntos de conexión de servicio.
Preguntas más frecuentes
¿Cuánto tiempo tardará en surtir efecto los cambios de configuración?
Algunos cambios de configuración pueden tardar tiempo en ser efectivos. Espere varias horas para que los cambios en el enrutamiento, los NSG, el estado de ASE, etc., se propaguen y surtan efecto. De lo contrario, puede reiniciar opcionalmente el ASE.
ejemplo de plantilla de Azure Resource Manager
Nota:
Para implementar direcciones IP que no sean RFC 1918 en el portal, debe preconfigurar la red virtual y la subred del ASE. También puede usar una plantilla de Azure Resource Manager para implementar el ASE con direcciones IP no RFC1918.
Esta plantilla implementa un ILB ASE en las regiones de Azure Government o DoD.
Pasos siguientes
- Regístrate para la prueba de Azure Government
- Adquirir y acceder a Azure Government
- Formular preguntas a través de la etiqueta azure-gov en Stack Overflow
- Azure Government blog
- Información general sobre Azure Government
- Seguridad de Azure Government
- cumplimiento de Azure Government
- Arquitectura informática de Azure secure
- Información general sobre Azure Policy
- Iniciativas integradas de cumplimiento normativo de Azure Policy
- Servicios de Azure Government por ámbito de auditoría
- Lineamientos de aislamiento de Azure Government para cargas de trabajo del Nivel de Impacto 5
- Introducción a Azure Government DoD