Azure应用服务服务端点配置

Question

谁能向我建议如何在VNET上配置两个应用程序服务（或其他方式），以便App Service“ A”可以提供静止的API和Service“ B”，而无需经历SNAT端口耗尽，可以反复致电API？

我们当前的设置仅为2个无VNET的应用程序服务（一个呼叫另一个）。两者都可以公开访问，我想以这种方式保留它1）进行调试，以及2）其他服务器可能连接到服务器“ A”。问题在于我们在端口耗尽...

在B上的服务器A和VNET集成上的“私有端点”似乎很容易配置，但这会使A在Internet上变得无法使用。

我尝试在虚拟网络中使用子网和服务终点选项，但无济于事。我还尝试了“端点服务策略”功能，但这似乎只让我选择Microsoft存储资源...

任何提示或建议都将不胜感激。

谢谢

Answer 1

任何人都可以建议我如何在VNET上配置两个应用程序
（或其他）以便应用程序服务“ a”可以提供静止的API，并且
服务“ b”反复致电API而不经历SNAT
端口耗尽？

解决方法之一，您可以关注
请检查发现是否正确： -

通过V-NET集成和一个私人链接传达了两个应用程序服务。如果您只使用V-NET集成而不是私有链接。然后出站请求是可能的，但入站请求不可能。这就是为什么应用程序无法彼此通信的原因。

私有端点具有VNET集成： - 私有端点将独特的IP地址分配给您的应用程序，以专门用于入站流量。它可以防止您的应用程序在网络中拨出呼叫。如果您想在VNET中拥有所有入站和出站流量，则必须在两个单独的子网上同时使用私人端点和区域VNET集成。您可以通过私人端点来确保入站流量，以及通过VNET集成的排出流量。

这是如何 v-net Intemration 使用应用服务：

有关更多信息，请参阅下面的链接： -

• 因此，线程 | Azure App Service通过私人链接 ＆amp;

• Microsoft文档 | 使用私人端点用于Azure Web App ＆amp; 使用IHTTPCLIENTFACTORY实现弹性HTTP请求 。

Answer 2

您在这里达到了Azure App Services的限制。公共应用服务（具有VNET集成）仅预先分配了128个SNAT端口。在某些情况下，这可能还不够。如详细描述的在这里可以通过使用：

1. 连接池：通过汇总连接，您避免打开通话的新网络连接，以通往同一地址和端口。

   。

2. 服务终点：您对使用服务端点确保的服务没有SNAT端口。

3. 私人端点：您没有限制使用私人端点的服务的SNAT端口。

4. nat Gateway ：使用NAT网关，您有64K出站SNAT端口，这些端口可由通过它发送流量的资源可用。

如果我将这些建议的解决方案应用于您的特定方案，我认为唯一的选择是解决方案1（连接池）和4（Azure Firewall）：

1. ，我肯定会建议使用连接池。这是应用程序服务中运行的代码的较小更改。如果您是高级程序员，则可能已经正确实施了。

2. 在您的情况下，您希望应用程序服务保持公开，因此使用服务端点是不是一个选项。

3. 在您的情况下，您希望应用程序服务保持公开，因此使用私人端点也是不是选项。

4. 如果仅连接池是不够的，那么您唯一的选择是实现NAT网关或Azure防火墙。 Azure防火墙本身提供2,496个SNAT端口（）每个公共IP地址配置。 Azure防火墙很漂亮昂贵 。简而言之，您必须执行以下操作：

   • 创建带有一些子网的VNET。
   • 应专用用于VNET集成的子网。
   • 也应专用于Azure防火墙的子网。
   • 创建一个Azure防火墙。
   • 创建路由表和NSG（如果适用）。
   • 启用VNET集成与VNET“ Route All”选项。