Freigeben über

Planen für die Anwendungsbereitstellung

  • Artikel

Dieser Abschnitt enthält wichtige Empfehlungen zum Bereitstellen von internen und öffentlichen Anwendungen, wobei höchste Sicherheit, hohe Skalierbarkeit und Hochverfügbarkeit gewährleistet werden.

Überlegungen zum Entwurf:

  • Azure Load Balancer (intern und öffentlich) bietet Hochverfügbarkeit für die Bereitstellung von Anwendungen auf regionaler Ebene.

  • Azure Application Gateway ermöglicht die sichere Bereitstellung von HTTP/S-Anwendungen auf regionaler Ebene.

  • Azure Front Door ermöglicht die sichere regionsübergreifende Bereitstellung von hochverfügbaren HTTP/S-Anwendungen in Azure.

  • Azure Traffic Manager ermöglicht die Bereitstellung von globalen Anwendungen.

Entwurfsempfehlungen:

  • Führen Sie die Anwendungsbereitstellung innerhalb von Zielzonen sowohl für interne als auch für öffentliche Anwendungen durch.

    • Behandeln Sie das Application Gateway als Anwendungskomponente, und stellen Sie es in einem virtuellen Spoke-Netzwerk und nicht als freigegebene Ressource im Hub bereit.
    • Um Web Application Firewall-Warnungen zu interpretieren, benötigen Sie in der Regel ein fundiertes Wissen über die Anwendung, um zu entscheiden, ob die Nachrichten, die diese Warnungen auslösen, legitim sind.
    • Sie können Probleme mit der rollenbasierten Zugriffssteuerung bekommen, wenn Sie Application Gateway im Hub bereitstellen, wenn Teams verschiedene Anwendungen verwalten, aber dieselbe Instanz von Application Gateway verwenden. Jedes Team hat dann Zugriff auf die gesamte Application Gateway-Konfiguration.
    • Wenn Sie Application Gateway als gemeinsam genutzte Ressource behandeln, werden unter Umständen Application Gateway-Grenzwerte überschritten.
    • Weitere Informationen hierzu finden Sie unter Zero-Trust-Netzwerk für Webanwendungen.

  • Verwenden Sie Application Gateway v2 für die sichere Bereitstellung von HTTP/S-Anwendungen, und stellen Sie sicher, dass WAF-Schutz und -Richtlinien aktiviert sind.

  • Verwenden Sie ein Partner-NVA, wenn Sie Application Gateway v2 nicht für die Sicherheit von HTTP/S-Anwendungen verwenden können.

  • Stellen Sie Azure Application Gateway v2 oder für eingehende HTTP/S-Verbindungen verwendete Partner-NVAs in virtuellen Netzwerk der Zielzone und mit den sichernden Anwendungen bereit.

  • Verwenden Sie für alle öffentlichen IP-Adressen in einer Zielzone einen DDoS-Standardschutzplan.

  • Verwenden Sie Azure Front Door mit WAF-Richtlinien, um globale HTTP/S-Anwendungen, die mehrere Azure-Regionen umfassen, bereitzustellen und zu schützen.

  • Wenn Sie Front Door und Application Gateway zum Schutz von HTTP/S-Anwendungen nutzen, verwenden Sie WAF-Richtlinien in Front Door. Sperren Sie Application Gateway, um nur Datenverkehr von Front Door zu empfangen.

  • Mithilfe von Traffic Manager können Sie globale Anwendungen bereitstellen, die andere Protokolle als HTTP/S umfassen.