Freigeben über


Netzwerk für SaaS-Workloads in Azure

Ihr Netzwerk bietet das Rückgrat für den Zugriff von Kunden auf Ihre SaaS-Anwendung und ermöglicht die Kommunikation zwischen den Komponenten Ihrer Lösung. Die Art und Weise, wie Sie Ihr Netzwerk entwerfen, wirkt sich direkt auf die Sicherheit, Vorgänge, Kosten, Leistung und Zuverlässigkeit Ihrer Lösung aus. Ein strukturierter Ansatz für Ihre Netzwerkstrategie wird noch wichtiger, wenn Ihre Cloudumgebung wächst.

Festlegen einer Netzwerkbereitstellungsstrategie und -topologie

SaaS-Lösungen haben einzigartige Netzwerkanforderungen. Wenn Sie mehr Kunden integrieren und ihre Nutzung steigt, ändern sich die Netzwerkanforderungen. Das Behandeln von Wachstum kann aufgrund begrenzter Ressourcen wie IP-Adressbereiche schwierig sein. Ihr Netzwerkdesign wirkt sich auf die Sicherheit und Kundenisolation aus. Durch die Planung Ihrer Netzwerkstrategie können Sie Wachstum verwalten, die Sicherheit verbessern und die Betriebskomplexität verringern.

Überlegungen zum Entwurf

  • Planen Sie Ihre Netzwerkbereitstellungsstrategie basierend auf Ihrem Mandantenmodell. Entscheiden Sie, ob Ihre Netzwerkressourcen für Kunden freigegeben werden, die einem einzelnen Kunden zugeordnet sind, oder eine Kombination. Diese Auswahl wirkt sich auf die Funktionalität, Sicherheit und Kundenisolation Ihrer Anwendung aus.

    Es ist üblich, Netzwerkressourcen wie virtuelle Netzwerke und Azure Front Door-Profile für mehrere Kunden gemeinsam zu nutzen. Dieser Ansatz reduziert Kosten und Betriebsaufwand. Außerdem wird die Konnektivität vereinfacht. Sie können die Ressourcen eines Kunden ganz einfach mit freigegebenen Ressourcen verbinden, z. B. freigegebene Speicherkonten oder eine Kontrollebene.

    Es kann jedoch erforderlich sein, dedizierte Netzwerkressourcen für jeden Kunden zu erstellen, um hohe Sicherheit und Compliance herzustellen. Um beispielsweise ein hohes Maß an Netzwerksegmentierung zwischen Kunden zu unterstützen, verwenden Sie virtuelle Netzwerke als Grenze. Dedizierte Ressourcen können erforderlich sein, wenn die Anzahl der Netzwerkressourcen für alle Kunden die Kapazität eines einzelnen freigegebenen Netzwerks überschreitet.

    Planen Sie die Anzahl der Netzwerkressourcen, die jeder Kunde benötigt, indem Sie sofortige und zukünftige Anforderungen berücksichtigen. Kundenanforderungen und Azure-Ressourcenbeschränkungen können bestimmte Ergebnisse erzwingen. Verschiedene Ressourcen erfordern möglicherweise unterschiedliche Bereitstellungsstrategien, z. B. die Verwendung separater Netzwerke für virtuelle Netzwerk-Peering mit virtuellen Azure-Netzwerken im Besitz von Kunden.

    Weitere Informationen zum Freigeben von Ressourcen in einer SaaS-Lösung finden Sie in der Ressourcenorganisation für SaaS-Workloads.

  • Grundlegendes zu Netzwerktopologien. Netzwerktopologien sind in der Regel in drei Kategorien unterteilt:

    • Flaches Netzwerk: Ein einzelnes, isoliertes Netzwerk mit Subnetzen für die Segmentierung. Geeignet, wenn Sie über eine einzelne mehrinstanzenfähige Anwendung mit einem einfachen Netzwerklayout verfügen. Flache Netzwerke können Ressourcenlimits erreichen und mehr Netzwerke benötigen, während Sie skalieren, mehr Aufwand und Kosten erhöhen. Wenn Sie beabsichtigen, mehrere Anwendungen zu hosten oder dedizierte Bereitstellungsstempel innerhalb desselben virtuellen Netzwerks zu verwenden, benötigen Sie möglicherweise ein komplexes Netzwerklayout.

    • Hub und Spoke: Ein zentrales Hubnetzwerk mit Peering zu isolierten Speichennetzwerken. Geeignet für hohe Skalierbarkeit und Kundenisolation, da jeder Kunde oder jede Anwendung über eine eigene Speichen verfügt und nur mit dem Hub kommuniziert. Sie können bei Bedarf schnell weitere Speichen bereitstellen, damit Ressourcen im Hub von allen Speichen verwendet werden können. Die transitive oder gesprochene Kommunikation über den Hub ist standardmäßig deaktiviert, was dazu beiträgt, die Kundenisolation in SaaS-Lösungen aufrechtzuerhalten.

    • Kein Netzwerk: Wird für Azure PaaS-Dienste verwendet, in denen Sie komplexe Workloads hosten können, ohne virtuelle Netzwerke bereitzustellen. Beispielsweise ermöglicht Azure-App Service die direkte Integration mit anderen PaaS-Diensten über das Azure-Backbone-Netzwerk. Obwohl dieser Ansatz die Verwaltung vereinfacht, beschränkt sie die Flexibilität bei der Bereitstellung von Sicherheitskontrollen und der Möglichkeit, die Leistung zu optimieren. Dieser Ansatz kann gut für cloudeigene Anwendungen funktionieren. Da sich Ihre Lösung weiterentwickelt, erwarten Sie, dass Sie im Laufe der Zeit zu einer Hub-and-Spoke-Topologie wechseln.

      Kompromiss: Komplexität und Sicherheit. Das Starten ohne eine definierte Netzwerkgrenze kann die Betriebliche Belastung für die Verwaltung von Netzwerkkomponenten wie Sicherheitsgruppen, IP-Adressraum und Firewalls verringern. Ein Netzwerkperimeter ist jedoch für die meisten Workloads unerlässlich. Verlassen Sie sich in Abwesenheit von Netzwerksicherheitskontrollen auf eine starke Identitäts- und Zugriffsverwaltung, um Ihre Workload vor böswilligem Datenverkehr zu schützen.

  • Verstehen, wie sich die Architektur mit mehreren Regionen auf Netzwerktopologien auswirkt. In einer Multi-Region-Architektur mit virtuellen Netzwerken werden die meisten Netzwerkressourcen in jeder Region separat bereitgestellt, da Firewalls, Gateways für virtuelle Netzwerke und Netzwerksicherheitsgruppen nicht zwischen Regionen gemeinsam genutzt werden können.

Entwurfsempfehlungen

Empfehlung Vorteil
Entscheiden Sie, welche Netzwerkkomponenten gemeinsam genutzt werden und welche Komponenten dem Kunden zugeordnet sind.

Teilen Sie Ressourcen, die pro Instanz in Rechnung gestellt werden, z. B. Azure Firewall, Azure Bastion und Azure Front Door.
Erleben Sie einen ausgewogenen Support zwischen Ihren Sicherheits- und Isolationsanforderungen, während Sie Ihre Kosten und ihre Betriebliche Belastung reduzieren.
Beginnen Sie mit einer flachen Topologie oder keine Netzwerkmethode.

Überprüfen Sie zuerst die Sicherheitsanforderungen, da diese Ansätze eingeschränkte Isolation und Datenverkehrskontrollen bieten.
Sie können die Komplexität und die Kosten Ihrer Lösung reduzieren, indem Sie einfachere Netzwerktopologien verwenden.
Berücksichtigen Sie Hub- und Speichentopologien für komplexe Anforderungen oder bei der Bereitstellung dedizierter virtueller Netzwerke pro Kunde. Verwenden Sie den Hub, um gemeinsam genutzte Netzwerkressourcen in Kundennetzwerken zu hosten. Sie können Ihre Kosteneffizienz einfacher skalieren und verbessern, indem Sie Ressourcen über Ihr Hubnetzwerk freigeben.

Entwerfen eines sicheren Netzwerkperimeters

Ihr Netzwerkperimeter richtet die Sicherheitsgrenze zwischen Ihrer Anwendung und anderen Netzwerken ein, einschließlich des Internets. Durch die Dokumentation Ihres Netzwerkperimeters können Sie zwischen verschiedenen Arten von Datenverkehrsflüssen unterscheiden:

  • Eingehender Datenverkehr, der aus einer externen Quelle in das Netzwerk eingeht.
  • Interner Datenverkehr, der zwischen Komponenten innerhalb Ihres Netzwerks verläuft.
  • Ausgehender Datenverkehr, der das Netzwerk verlässt.

Jeder Fluss umfasst unterschiedliche Risiken und Kontrollen. Zum Beispiel sind mehrere Sicherheitskontrollen erforderlich, um Datenverkehr zu prüfen und zu verarbeiten.

Wichtig

Als allgemeine bewährte Methode sollten Sie immer einen Zero Trust-Ansatz befolgen. Stellen Sie sicher, dass der gesamte Datenverkehr kontrolliert und überprüft wird, einschließlich des internen Datenverkehrs.

Ihre Kunden haben möglicherweise auch bestimmte Complianceanforderungen, die Ihre Architektur beeinflussen. Wenn sie beispielsweise SOC 2-Compliance benötigen, müssen sie verschiedene Netzwerksteuerelemente implementieren, einschließlich einer Firewall, webanwendungsfirewall und Netzwerksicherheitsgruppen, um die Sicherheitsanforderungen zu erfüllen. Auch wenn Sie diese Erweiterbarkeitsfaktoren beim Entwerfen Ihrer Architektur nicht sofort einhalten müssen, sollten Sie diese Erweiterbarkeitsfaktoren berücksichtigen.

Siehe SE:06 Empfehlungen für Netzwerk und Konnektivität

Überlegungen zum Entwurf

  • Schützen und Verwalten des Eingehenden Datenverkehrs. Überprüfen Sie diesen Datenverkehr auf eingehende Bedrohungen.

    Firewalls ermöglichen es Ihnen, böswillige IPs zu blockieren und erweiterte Analysen durchzuführen, um vor Angriffsversuchen zu schützen. Firewalls können jedoch kostspielig sein. Bewerten Sie Ihre Sicherheitsanforderungen, um festzustellen, ob eine Firewall erforderlich ist.

    Webanwendungen sind anfällig für häufige Angriffe wie SQL-Einfügung, websiteübergreifendes Skripting und andere OWASP Top 10-Sicherheitsrisiken. Die Azure-Webanwendungsfirewall schützt vor diesen Angriffen und ist in Das Anwendungsgateway und Azure Front Door integriert. Überprüfen Sie die Ebenen für diese Dienste, um zu verstehen, welche WAF-Funktionen in welchen Produkten enthalten sind.

    DDoS-Angriffe sind ein Risiko für internetorientierte Anwendungen. Azure bietet einen einfachen Schutz ohne Kosten. Azure DDoS Protection bietet erweiterten Schutz, indem Sie Ihre Datenverkehrsmuster erlernen und den Schutz entsprechend anpassen, obwohl sie kostenaufwendlich sind. Wenn Sie Front Door verwenden, nutzen Sie die integrierten DDoS-Funktionen.

    Über die Sicherheit hinaus können Sie den Eingehenden Datenverkehr auch bearbeiten, um die Leistung Ihrer Anwendung zu verbessern, indem Sie Zwischenspeicherung und Lastenausgleich verwenden.

    Erwägen Sie die Verwendung eines Reverseproxydiensts wie Azure Front Door für die globale HTTP(S)-Datenverkehrsverwaltung. Alternativ können Sie anwendungsgateway oder andere Azure-Dienste für die Steuerung des eingehenden Datenverkehrs verwenden. Weitere Informationen zu Lastenausgleichsoptionen in Azure finden Sie unter "Lastenausgleichsoptionen".

  • Schützen Des internen Datenverkehrs. Stellen Sie sicher, dass der Datenverkehr zwischen Ihrer Anwendung und ihren Komponenten sicher ist, um böswilligen Zugriff zu verhindern. Schützen Sie diese Ressourcen und verbessern Sie die Leistung, indem Sie internen Datenverkehr anstelle des Routings über das Internet verwenden. Azure Private Link wird häufig verwendet, um über eine interne IP-Adresse in Ihrem Netzwerk eine Verbindung mit Azure-Ressourcen herzustellen. Bei einigen Ressourcentypen können Dienstendpunkte eine kostengünstigere Alternative sein. Wenn Sie die öffentliche Internetverbindung für Ihre Ressourcen aktivieren, verstehen Sie, wie Sie den Datenverkehr mithilfe von IP-Adressen und Anwendungsidentitäten einschränken, z. B. verwaltete Identitäten.

  • Schützen des Ausgangsverkehrs. Prüfen Sie in einigen Lösungen ausgehenden Datenverkehr, um Datenexfiltration zu verhindern, insbesondere für behördliche Compliance- und Unternehmenskunden. Verwenden Sie Firewalls zum Verwalten und Überprüfen des Ausgehenden Datenverkehrs, um Verbindungen mit nicht autorisierten Standorten zu blockieren.

  • Planen Sie, wie Sie ausgehende Verbindungen und SNAT skalieren. Die SNAT-Portausschöpfung (Source Network Address Translation, Quellnetzwerkadressenübersetzung) kann sich auf multitenantische Anwendungen auswirken. Diese Anwendungen benötigen häufig unterschiedliche Netzwerkverbindungen für jeden Mandanten, und das Teilen von Ressourcen zwischen Kunden erhöht das Risiko der SNAT-Erschöpfung, wenn Ihre Kundenbasis wächst. Sie können die SNAT-Erschöpfung verringern, indem Sie Azure NAT-Gateway, Firewalls wie Azure Firewall oder eine Kombination der beiden Ansätze verwenden.

Entwurfsempfehlungen

Empfehlung Vorteil
Verwalten Sie einen Katalog der Netzwerkendpunkte, die für das Internet verfügbar gemacht werden. Erfassen Sie Details wie IP-Adresse (falls statisch), Hostname, Ports, verwendete Protokolle und Begründung für Verbindungen.

Dokumentieren Sie, wie Sie jeden Endpunkt schützen möchten.
Diese Liste bildet die Grundlage Ihrer Umkreisdefinition, sodass Sie explizite Entscheidungen zum Verwalten des Datenverkehrs über Ihre Lösung treffen können.
Verstehen sie die Azure-Dienstfunktionen, um den Zugriff einzuschränken und den Schutz zu verbessern.

Das Verfügbarmachen von Speicherkontoendpunkten für Kunden erfordert beispielsweise zusätzliche Steuerelemente wie freigegebene Zugriffssignaturen, Speicherkontofirewalls und die Verwendung separater Speicherkonten für die interne und externe Verwendung.
Sie können Steuerelemente auswählen, die Ihren Sicherheits-, Kosten- und Leistungsanforderungen entsprechen.
Verwenden Sie für HTTP(S)-basierte Anwendungen einen Reverseproxy, z. B. Azure Front Door oder Anwendungsgateway. Reverseproxys bieten eine breite Palette von Funktionen für Leistungsverbesserungen, Resilienz, Sicherheit und zur Reduzierung der Betriebskomplexität.
Prüfen sie den Datenverkehr mithilfe einer Webanwendungsfirewall.

Vermeiden Sie, webbasierte Ressourcen wie einen App Service oder Azure Kubernetes Service (AKS) direkt im Internet verfügbar zu machen.
Sie können Ihre Webanwendungen effektiver vor häufigen Bedrohungen schützen und die Gesamtbelastung Ihrer Lösung reduzieren.
Schützen Sie Ihre Anwendung vor DDoS-Angriffen.

Verwenden Sie Azure Front Door oder Azure DDoS Protection abhängig von den Protokollen, die von Ihren öffentlichen Endpunkten verwendet werden.
Schützen Sie Ihre Lösung vor einem gängigen Angriffstyp.
Wenn Für Ihre Anwendung die Konnektivität im großen Maßstab erforderlich ist, verwenden Sie NAT-Gateway oder eine Firewall, um zusätzliche SNAT-Ports bereitzustellen. Sie können höhere Skalierungsebenen unterstützen.

Netzwerkübergreifende Verbindungen

In einigen Szenarien müssen Sie möglicherweise eine Verbindung mit Ressourcen außerhalb von Azure herstellen, z. B. Daten innerhalb des privaten Netzwerks eines Kunden oder ressourcen in einem anderen Cloudanbieter in einem Multicloud-Setup. Diese Anforderungen können Ihr Netzwerkdesign erschweren, sodass verschiedene Ansätze erforderlich sind, um die netzwerkübergreifende Konnektivität basierend auf Ihren spezifischen Anforderungen zu implementieren.

Überlegungen zum Entwurf

  • Identifizieren Sie die Endpunkte, mit denen die Anwendung eine Verbindung benötigt. Die Anwendung muss möglicherweise mit anderen Diensten kommunizieren, z. B. Speicherdienste und Datenbanken. Dokumentieren Sie den Besitzer, den Standort und den Verbindungstyp. Anschließend können Sie die entsprechende Methode auswählen, um eine Verbindung mit diesen Endpunkten herzustellen. Zu den gängigen Ansätzen gehören:

    Ressourcenspeicherort Besitzer Zu berücksichtigende Konnektivitätsoptionen
    Azure Kreditor
    • Privater Endpunkt (über Microsoft Entra ID-Mandanten hinweg)
    • Virtuelles Netzwerk-Peering (über Microsoft Entra ID-Mandanten hinweg)
    • Dienstendpunkt (über Microsoft Entra ID-Mandanten hinweg)
    Anderer Cloudanbieter ISV oder Kunde
    • Site-to-Site-VPN-Verbindung
    • ExpressRoute
    • Internet
    Lokal ISV oder Kunde
    • Site-to-Site-VPN-Verbindung
    • ExpressRoute
    • Internet
    • Privater Link und privater Endpunkt. Stellen Sie sichere Konnektivität zu verschiedenen Azure-Ressourcen bereit, einschließlich interner Lastenausgleichsgeräte für virtuelle Computer. Sie ermöglichen den privaten Zugriff auf Ihre SaaS-Lösung für Kunden, obwohl sie kostenüberlegungen sind.

      Kompromiss: Sicherheit und Kosten. Private Verknüpfung stellt sicher, dass Ihr Datenverkehr in Ihrem privaten Netzwerk verbleibt und für die Netzwerkkonnektivität über Microsoft Entra-Mandanten hinweg empfohlen wird. Jeder private Endpunkt verursacht jedoch Kosten, die basierend auf Ihren Sicherheitsanforderungen addiert werden können. Dienstendpunkte können eine kostengünstige Alternative sein und den Datenverkehr im Microsoft-Backbone-Netzwerk beibehalten und gleichzeitig eine gewisse Private-Konnektivität bieten.

    • Dienstendpunkt. Leitet Datenverkehr über das Backbone-Netzwerk von Microsoft an PaaS-Ressourcen weiter, um die Dienst-zu-Dienst-Kommunikation zu sichern. Sie können für Anwendungen mit hoher Bandbreite kosteneffizient sein, erfordern jedoch das Konfigurieren und Verwalten von Zugriffssteuerungslisten für die Sicherheit. Die Unterstützung für Dienstendpunkte in Microsoft Entra ID-Mandanten variiert je nach Azure-Dienst. Überprüfen Sie die Produktdokumentation für jeden dienst, den Sie verwenden.

    • Virtuelles Netzwerk-Peering verbindet zwei virtuelle Netzwerke, sodass Ressourcen in einem Netzwerk auf IP-Adressen in der anderen zugreifen können. Es erleichtert die Konnektivität mit privaten Ressourcen in einem virtuellen Azure-Netzwerk. Der Zugriff kann mithilfe von Netzwerksicherheitsgruppen verwaltet werden, das Erzwingen der Isolation kann jedoch eine Herausforderung darstellen. Daher ist es wichtig, Ihre Netzwerktopologie basierend auf bestimmten Kundenanforderungen zu planen.

    • Virtuelle private Netzwerke (VPNs) erstellen einen sicheren Tunnel über das Internet zwischen zwei Netzwerken, einschließlich über Cloudanbieter und lokale Standorte. Standort-zu-Standort-VPNs verwenden Netzwerkgeräte in jedem Netzwerk für die Konfiguration. Sie bieten eine kostengünstige Konnektivitätsoption, erfordern jedoch setup und garantieren keinen vorhersehbaren Durchsatz.

    • ExpressRoute bietet eine dedizierte, leistungsstarke, private Verbindung zwischen Azure und anderen Cloudanbietern oder lokalen Netzwerken. Es sorgt für eine vorhersehbare Leistung und vermeidet Internetdatenverkehr, ist jedoch mit höheren Kosten verbunden und erfordert eine komplexere Konfiguration.

  • Planen Sie basierend auf dem Ziel. Möglicherweise müssen Sie eine Verbindung mit Ressourcen in verschiedenen Microsoft Entra ID-Mandanten herstellen, insbesondere, wenn sich die Zielressource im Azure-Abonnement eines Kunden befindet. Erwägen Sie die Verwendung privater Endpunkte, eines Standort-zu-Standort-VPN oder durch Peering virtueller Netzwerke. Weitere Informationen finden Sie unter Peering virtueller Netzwerke in verschiedenen Microsoft Entra ID-Mandanten.

    Um eine Verbindung mit Ressourcen herzustellen, die in einem anderen Cloudanbieter gehostet werden, ist es üblich, öffentliche Internetverbindung, ein Standort-zu-Standort-VPN oder ExpressRoute zu verwenden. Weitere Informationen finden Sie unter Konnektivität mit anderen Cloudanbietern

  • Verstehen der Auswirkungen der Konnektivität auf Ihre Netzwerktopologie. Ein virtuelles Azure-Netzwerk kann nur über ein virtuelles Netzwerkgateway verfügen, das über Standort-zu-Standort-VPN oder ExpressRoute eine Verbindung mit mehreren Standorten herstellen kann. Es gibt jedoch Grenzwerte für die Anzahl der Verbindungen über ein Gateway, und das Isolieren des Kundendatenverkehrs kann eine Herausforderung darstellen. Planen Sie für mehrere Verbindungen mit verschiedenen Standorten die Netzwerktopologie entsprechend, indem Sie möglicherweise ein separates virtuelles Netzwerk für jeden Kunden bereitstellen.

  • Verstehen der Auswirkungen für die IP-Adressplanung. Einige Konnektivitätsansätze stellen automatisch Netzwerkadressenübersetzung (NETWORK Address Translation, NAT) bereit, um Probleme mit überlappenden IP-Adressen zu vermeiden. Virtuelle Netzwerk-Peering und ExpressRoute führen jedoch keine NAT aus. Planen Sie bei verwendung dieser Methoden Ihre Netzwerkressourcen und IP-Adresszuordnungen sorgfältig, um überlappende IP-Adressbereiche zu vermeiden und ein zukünftiges Wachstum zu gewährleisten. Die IP-Adressplanung kann komplex sein, insbesondere beim Herstellen einer Verbindung mit Drittanbietern wie Kunden. Berücksichtigen Sie daher potenzielle Konflikte mit ihren IP-Bereichen.

  • Grundlegendes zur Abrechnung des Netzwerkausgangs. Azure berechnet in der Regel ausgehenden Netzwerkdatenverkehr, wenn es das Microsoft-Netzwerk verlässt oder zwischen Azure-Regionen wechselt. Beim Entwerfen von Multi-Region- oder Multicloud-Lösungen ist es wichtig, die Kostenauswirkungen zu verstehen. Architekturentscheidungen, z. B. die Verwendung von Azure Front Door oder ExpressRoute, können sich darauf auswirken, wie Sie für den Netzwerkdatenverkehr in Rechnung gestellt werden.

Entwurfsempfehlungen

Empfehlung Vorteil
Bevorzugen Sie private Netzwerkansätze für die Verbindung über Netzwerke hinweg, um die Sicherheit zu priorisieren.

Erwägen Sie nur das Routing über das Internet, nachdem sie die damit verbundenen Sicherheits- und Leistungsauswirkungen ausgewertet haben.
Privater Datenverkehr durchläuft einen gesicherten Netzwerkpfad, der dazu beiträgt, viele Arten von Sicherheitsrisiken zu reduzieren.
Wenn Sie eine Verbindung mit Kundenressourcen herstellen, die in ihren Azure-Umgebungen gehostet werden, verwenden Sie private Verknüpfungen, Dienstendpunkte oder virtuelle Netzwerk-Peerings. Sie können den Datenverkehr im Microsoft-Netzwerk beibehalten, wodurch kosten- und betriebstechnische Komplexität im Vergleich zu anderen Ansätzen reduziert werden kann.
Verwenden Sie beim Herstellen einer Verbindung zwischen Cloudanbietern oder lokalen Netzwerken Standort-zu-Standort-VPNs oder ExpressRoute. Diese Technologien bieten sichere Verbindungen zwischen Anbietern.

Bereitstellen in Umgebungen im Besitz von Kunden

Ihr Geschäftsmodell erfordert möglicherweise, dass Sie die Anwendung oder die zugehörigen Komponenten in der Azure-Umgebung eines Kunden hosten. Der Kunde verwaltet sein eigenes Azure-Abonnement und zahlt direkt die Kosten der Ressourcen, die zum Ausführen der Anwendung erforderlich sind. Als Lösungsanbieter sind Sie für die Verwaltung der Lösung verantwortlich, z. B. die erste Bereitstellung, das Anwenden der Konfiguration und das Bereitstellen von Updates für die Anwendung.

In solchen Situationen bringen Kunden häufig ihr eigenes Netzwerk mit und stellen Ihre Anwendung in einem von ihnen definierten Netzwerkbereich bereit. Azure Managed Applications bieten Funktionen, um diesen Prozess zu erleichtern. Weitere Informationen finden Sie unter Verwenden eines vorhandenen virtuellen Netzwerks mit azure Managed Applications.

Überlegungen zum Entwurf

  • IP-Adressbereiche und Konflikte. Wenn Kunden virtuelle Netzwerke bereitstellen und verwalten, sind sie für die Behandlung von Netzwerkkonflikten und der Skalierung verantwortlich. Sie sollten jedoch unterschiedliche Szenarien für die Kundennutzung antizipieren. Planen Sie Bereitstellungen in Umgebungen mit minimalem IP-Adressraum, indem Sie IP-Adressen effizient verwenden, und vermeiden Sie hartcodierende IP-Adressbereiche, um Überschneidungen mit Kundenbereichen zu verhindern.

    Alternativ können Sie ein dediziertes virtuelles Netzwerk für Ihre Lösung bereitstellen. Sie können Private Link- oder virtuelles Netzwerk-Peering verwenden, um Kunden die Verbindung mit den Ressourcen herzustellen. Diese Ansätze werden in der netzwerkübergreifenden Konnektivität beschrieben. Wenn Sie Eingangs- und Ausgangspunkte definiert haben, bewerten Sie NAT als Ansatz, um Probleme zu beseitigen, die durch IP-Adressenüberlappungen verursacht werden.

  • Bereitstellen des Netzwerkzugriffs für Verwaltungszwecke. Überprüfen Sie die Ressourcen, die Sie in Kundenumgebungen bereitstellen, und planen Sie, wie Sie darauf zugreifen, um sie zu überwachen, zu verwalten oder neu zu konfigurieren. Wenn Ressourcen mit privaten IP-Adressen in einer kundeneigenen Umgebung bereitgestellt werden, stellen Sie sicher, dass Sie über einen Netzwerkpfad verfügen, um sie aus Ihrem eigenen Netzwerk zu erreichen. Überlegen Sie, wie Sie Sowohl Anwendungs- als auch Ressourcenänderungen vereinfachen, z. B. eine neue Version der Anwendung übertragen oder eine Azure-Ressourcenkonfiguration aktualisieren.

    In einigen Lösungen können Sie Funktionen verwenden, die von Azure Managed Applications bereitgestellt werden, z. B. Just-in-Time-Zugriff und Bereitstellung von Updates für Anwendungen. Wenn Sie mehr Kontrolle benötigen, können Sie einen Endpunkt im Netzwerk des Kunden hosten, mit dem Ihre Steuerebene eine Verbindung herstellen kann, und den Zugriff auf Ihre Ressourcen ermöglichen. Diese Methode erfordert zusätzliche Azure-Ressourcen und -Entwicklung, um Sicherheits-, Betriebs- und Leistungsanforderungen zu erfüllen. Ein Beispiel für die Implementierung dieses Ansatzes finden Sie unter Azure Managed Applications Updating Sample.

Entwurfsempfehlungen

Empfehlung Vorteil
Verwenden Sie azure Managed Applications, um vom Kunden bereitgestellte Ressourcen bereitzustellen und zu verwalten. Azure Managed Applications bieten eine Reihe von Funktionen, mit denen Sie Ressourcen innerhalb des Azure-Abonnements eines Kunden bereitstellen und verwalten können.
Minimieren Sie die Anzahl der IP-Adressen, die Sie innerhalb des virtuellen Netzwerkraums des Kunden nutzen. Kunden haben häufig eingeschränkte IP-Adressverfügbarkeit. Indem Sie Ihren Speicherbedarf minimieren und Ihre Skalierung von derEN IP-Adressnutzung entkoppeln, können Sie die Anzahl der Kunden erweitern, die Ihre Lösung verwenden können, und ein höheres Wachstumsniveau ermöglichen.
Planen Sie, wie Sie Netzwerkzugriff auf Ressourcen in Kundenumgebungen erhalten, unter Berücksichtigung der Überwachung, Änderungen der Ressourcenkonfiguration und Anwendungsupdates. Sie können die von Ihnen verwalteten Ressourcen direkt konfigurieren.
Entscheiden Sie, ob Sie ein dediziertes virtuelles Netzwerk bereitstellen oder in das vorhandene virtuelle Netzwerk eines Kunden integrieren möchten. Wenn Sie vorab planen, stellen Sie sicher, dass Sie die Anforderungen Ihrer Kunden an Isolation, Sicherheit und Integration in ihre anderen Systeme erfüllen können.
Standardmäßig den öffentlichen Zugriff auf Azure-Ressourcen deaktivieren. Bevorzugen Sie privates Ein- und Ausstieg, wenn möglich. Sie reduzieren den Umfang der Netzwerkressourcen, die Sie und Ihre Kunden schützen müssen.

Zusätzliche Ressourcen

Multitenancy ist eine Kern-Geschäftsmethodik für das Entwerfen von SaaS-Workloads. Diese Artikel enthalten weitere Informationen zum Netzwerkdesign:

Nächster Schritt

Erfahren Sie mehr über die Überlegungen zur Datenplattform zur Datenintegrität und -leistung für SaaS-Workloads in Azure.