Aspekty síťové topologie a připojení akcelerátoru cílové zóny služby App Service

Tento článek obsahuje aspekty návrhu a doporučení pro topologii sítě a možnosti připojení, které můžete použít při použití akcelerátoru cílové zóny služby Aplikace Azure Service. Sítě jsou centrální pro téměř všechno v cílové zóně.

Aspekty síťové topologie a připojení pro tuto architekturu závisí na požadavcích hostovaných úloh a na požadavcích na zabezpečení a dodržování předpisů vaší organizace.

Aspekty návrhu

Když nasadíte řešení Služby App Service v Azure, musíte pečlivě zvážit požadavky na síť, abyste měli jistotu, že vaše aplikace funguje správně. Při plánování nasazení je potřeba zvážit několik klíčových faktorů:

• Určete požadavky na síť pro vaši aplikaci.

  • Příchozí provoz. Pokud vaše aplikace poskytuje webové služby, jako je web nebo rozhraní API, pravděpodobně musí být schopná přijímat příchozí provoz z internetu. Abyste měli jistotu, že vaše aplikace může přijímat příchozí připojení, musíte ji nakonfigurovat tak, aby naslouchala na příslušných portech.
  • Přístup k dalším prostředkům Azure Vaše aplikace může potřebovat přístup k prostředkům v Azure, jako jsou účty úložiště nebo databáze, pomocí svého privátního koncového bodu. Tyto prostředky se můžou nacházet ve virtuální síti Azure nebo v jiných službách Azure.
  • SSL/TLS. Pokud chcete pomoct zabezpečit komunikaci mezi vaší aplikací a jejími uživateli, musíte povolit šifrování SSL/TLS. Tím zajistíte, že se provoz mezi vaší aplikací a jejími uživateli zašifruje, což pomáhá chránit citlivé informace před zachycením třetími stranami.
  • Omezení IP adres. V závislosti na vašich požadavcích možná budete muset povolit nebo zablokovat přístup k aplikaci z konkrétních IP adres nebo rozsahů. Tím zajistíte lepší zabezpečení a omezíte přístup k aplikaci konkrétním uživatelům nebo umístěním.

• Zvolte úroveň plánu služby App Service. Pomocí síťových požadavků vaší aplikace určete odpovídající úroveň vašeho plánu služby App Service. Je vhodné si projít různé úrovně plánu služby App Service a jejich funkce a určit, která úroveň je pro vaše potřeby nejvhodnější.

Služba App Service s více tenanty

• Řešení služby App Service s více tenanty sdílí jednu příchozí IP adresu a několik odchozích IP adres s jinými prostředky služby App Service v jedné jednotce nasazení. Tyto IP adresy se můžou měnit z různých důvodů. Pokud potřebujete konzistentní odchozí IP adresy pro řešení App Service s více tenanty, můžete nakonfigurovat bránu NAT nebo použít integraci virtuální sítě.

• Pokud potřebujete vyhrazenou IP adresu pro vaše řešení App Service, můžete použít adresu přiřazenou aplikací, vytvořit frontu instance služby App Service se službou Application Gateway (která je přiřazena statickou IP adresu) nebo pomocí certifikátu SSL založeného na IP adrese přiřadit k aplikaci vyhrazenou IP adresu prostřednictvím platformy App Service.

• Pokud se potřebujete připojit z řešení Služby App Service k místním, privátním službám nebo službám s omezenými IP adresami, zvažte následující:

  • Při nasazení služby App Service s více tenanty může volání služby App Service pocházet z široké škály IP adres. Možná budete potřebovat integraci virtuální sítě.
  • Služby, jako je API Management a Application Gateway, můžete použít k proxy volání mezi hranicemi sítě. Tyto služby můžou poskytnout statickou IP adresu, pokud ji potřebujete.

• Pro nasazení služby App Service s více tenanty můžete použít privátní nebo veřejný koncový bod. Při použití privátního koncového bodu se veřejné vystavení řešení služby App Service eliminuje. Pokud potřebujete privátní koncový bod řešení App Service, aby byl přístupný přes internet, zvažte použití služby Application Gateway k zveřejnění řešení App Service.

• Nasazení služby App Service s více tenanty zveřejňuje sadu portů. Neexistuje způsob, jak blokovat nebo řídit přístup k těmto portům v nasazení služby App Service s více tenanty.

• Naplánujte správně podsítě pro integraci odchozích virtuálních sítí a zvažte požadovaný počet IP adres. Integrace virtuální sítě závisí na vyhrazené podsíti. Když zřídíte podsíť Azure, Azure si vyhrazuje pět IP adres. Jedna IP adresa se používá z podsítě integrace pro každou instanci plánu služby App Service. Když aplikaci škálujete na čtyři instance, například se použijí čtyři IP adresy. Při vertikálním navýšení nebo snížení kapacity se požadovaný adresní prostor po krátkou dobu zdvojnásobí. To má vliv na dostupné podporované instance pro danou velikost podsítě.

• Vzhledem k tomu, že po přiřazení nemůžete změnit velikost podsítě, musíte použít podsíť, která je dostatečně velká, aby vyhovovala škálování, ke kterému se vaše aplikace může dostat. Pokud se chcete vyhnout problémům s kapacitou podsítě, použijte adresu /26 s 64 adresami pro integraci virtuální sítě.

• Pokud se připojujete k řešení App Service s více tenanty a potřebujete vyhrazenou odchozí adresu, použijte bránu NAT.

App Service Environment (jeden tenant)

• Rozhodněte se o návrhu sítě služby App Service Environment: externí nebo interní nástroj pro vyrovnávání zatížení. Pokud potřebujete přímý přístup z internetu, použijte externí nasazení. Použití interního nasazení nástroje pro vyrovnávání zatížení k zveřejnění přístupu pouze z virtuální sítě, ve které je nasazená služba App Service Environment. Druhé nasazení poskytuje další úroveň zabezpečení a kontrolu nad síťovým přístupem k aplikacím.
• Služba App Services ve službě App Service Environment získá statické vyhrazené IP adresy pro příchozí a odchozí komunikaci po celou dobu životnosti služby App Service Environment.
• Pokud se potřebujete připojit z prostředí App Service Environment k místním, privátním službám nebo službám s omezenými IP adresami, služba App Service Environment se spouští v kontextu virtuální sítě.
• Při nasazování služby App Service Environment zvolíte velikost podsítě. Velikost nemůžete později změnit. Doporučujeme velikost /24, která má 256 adres a dokáže zpracovat maximální velikost služby App Service Environment a případné potřeby škálování.

Doporučení k návrhu

Následující osvědčené postupy platí pro jakékoli nasazení služby App Service.

• Připojení řešení služby App Service:
  • Před řešením App Service implementujte firewall webových aplikací Azure. K poskytování této ochrany založené na OWASP použijte Azure Front Door, Application Gateway nebo partnerská služba. Pro jednu oblast můžete použít Azure Front Door nebo Application Gateway, nebo obojí pro více oblastí. Pokud potřebujete směrování cesty v dané oblasti, použijte službu Application Gateway. Pokud potřebujete vyrovnávání zatížení ve více oblastech a firewall webových aplikací, použijte Azure Front Door.
  • Pomocí privátního koncového bodu služby App Service můžete k aplikaci přistupovat přes privátní koncový bod založený na síti, a ne k veřejnému internetovému koncovému bodu. Když používáte privátní koncový bod, můžete přístup k aplikaci omezit jenom na uživatele ve vaší virtuální síti, která poskytuje další vrstvu zabezpečení pro vaši aplikaci, nižší náklady na výchozí přenos dat a vyšší výkon.
  • Pomocí omezení přístupu se ujistěte, že řešení App Service je dostupné jenom z platných umístění. Pokud například nasazení služby App Service s více tenanty hostuje rozhraní API a je předsunuto službou API Management, nastavte omezení přístupu tak, aby k řešení Služby App Service bylo možné přistupovat pouze ze služby API Management.
• Připojení z řešení App Service:
  • Pokud potřebujete privátní připojení k jiným službám Azure, použijte Azure Private Link , pokud je službami podporovaná.
• K řešení problémů se sítí použijte integrované nástroje.
• Vyhněte se vyčerpání portů SNAT pomocí fondů připojení. Opakované vytváření připojení ke stejnému hostiteli a portu může způsobit problémy s pomalými odezvami, přerušovanými chybami 5xx, vypršením časových limitů nebo problémy s připojením externího koncového bodu.
• Postupujte podle doporučení uvedených v části Zabezpečení sítě standardních hodnot zabezpečení Azure pro App Service.

Cílem síťových topologií a aspektů připojení akcelerátoru cílové zóny služby App Service je poskytnout šablonu vysoké úrovně pro implementaci škálovatelného a odolného prostředí pro nasazení App Services. Tato šablona se zaměřuje na síťovou architekturu a připojení a může vám pomoct rychle a efektivně nastavit cílovou zónu v Azure pro hostování řešení App Services.