Sdílet prostřednictvím


Plánování doručování aplikací

Tato část se zabývá klíčovými doporučeními pro poskytování interních a externích aplikací zabezpečeným, vysoce škálovatelným a vysoce dostupným způsobem.

Aspekty návrhu:

  • Azure Load Balancer (interní a veřejné) poskytuje vysokou dostupnost pro doručování aplikací na regionální úrovni.

  • Azure Application Gateway umožňuje zabezpečené doručování aplikací HTTP/S na regionální úrovni.

  • Azure Front Door umožňuje zabezpečené doručování vysoce dostupných aplikací HTTP/S napříč oblastmi Azure.

  • Azure Traffic Manager umožňuje doručování globálních aplikací.

Doporučení návrhu:

  • Proveďte doručování aplikací v cílových zónách pro interní i externí aplikace.

    • Zacházejte s Application Gateway jako s komponentou aplikace a nasaďte ji do paprskové virtuální sítě, a ne jako sdílený prostředek v centru.
    • Pokud chcete interpretovat Web Application Firewall výstrahy, obvykle potřebujete důkladnou znalost aplikace, abyste se mohli rozhodnout, jestli jsou zprávy, které tyto výstrahy aktivují, legitimní.
    • K problémům s řízením přístupu na základě role může dojít, pokud nasadíte Application Gateway v centru, když týmy spravují různé aplikace, ale používají stejnou instanci Application Gateway. Každý tým pak má přístup k celé konfiguraci Application Gateway.
    • Pokud Application Gateway považujete za sdílený prostředek, můžete překročit limity Azure Application Gateway.
    • Další informace najdete v tématu Síť nulové důvěryhodnosti pro webové aplikace.
  • Pokud chcete bezpečně doručovat aplikace HTTP/S, použijte Application Gateway v2 a ujistěte se, že je povolená ochrana a zásady WAF.

  • Pokud nemůžete použít Application Gateway v2 pro zabezpečení aplikací HTTP/S, použijte partnerské síťové virtuální zařízení.

  • Nasaďte Azure Application Gateway v2 nebo partnerská síťová virtuální zařízení, která se používají pro příchozí připojení HTTP/S v rámci virtuální sítě cílové zóny a s aplikacemi, které zajišťují.

  • Pro všechny veřejné IP adresy v cílové zóně použijte standardní plán ochrany DDoS.

  • Použití služby Azure Front Door se zásadami WAF k poskytování a ochraně globálních aplikací HTTP/S, které pokrývají oblasti Azure.

  • Pokud používáte Službu Front Door a Application Gateway k ochraně aplikací HTTP/S, použijte zásady WAF ve službě Front Door. Uzamkněte Application Gateway, aby se provoz přijímal jenom ze služby Front Door.

  • Traffic Manager slouží k doručování globálních aplikací, které zahrnují jiné protokoly než HTTP/S.