Rete e connettività per carichi di lavoro cruciali
La distribuzione regionale delle risorse nell'architettura di riferimento critica richiede un'infrastruttura di rete affidabile.
Una progettazione distribuita a livello globale è consigliata in cui i servizi di Azure vengono combinati per fornire un'applicazione a disponibilità elevata. Il servizio di bilanciamento del carico globale combinato con i francobolli regionali garantisce la connettività affidabile.
I francobolli regionali sono l'unità di distribuzione nell'architettura. La possibilità di distribuire rapidamente un nuovo stamp offre scalabilità e supporta la disponibilità elevata. I francobolli seguono una progettazione di rete virtuale isolata. Il traffico incrociato non è consigliato. I peering di rete virtuale o le connessioni VPN ad altri francobolli non sono necessari.
L'architettura è intenzionale nella definizione dei francobolli regionali come breve durata. Lo stato globale dell'infrastruttura viene archiviato nelle risorse globali.
È necessario un servizio di bilanciamento del carico globale per instradare il traffico a stamp integri e fornire servizi di sicurezza. Deve avere determinate funzionalità.
La verifica dell'integrità è necessaria in modo che il servizio di bilanciamento del carico possa controllare l'integrità dell'origine prima del routing del traffico.
Distribuzione del traffico ponderata.
Facoltativamente, deve essere in grado di eseguire la memorizzazione nella cache al bordo. Inoltre, fornire alcune garanzie di sicurezza per l'ingresso tramite l'uso del web application firewall (WAF).
Scaricare un file di Visio di questa architettura.
Ingresso del traffico
L'applicazione definita nell'architettura è con connessione Internet e presenta diversi requisiti:
Soluzione di routing globale e in grado di distribuire il traffico tra francobolli regionali indipendenti.
Bassa latenza nel controllo dell'integrità e la possibilità di interrompere l'invio del traffico a francobolli non integri.
Prevenzione degli attacchi dannosi al bordo.
Fornire capacità di memorizzazione nella cache al bordo.
Il punto di ingresso per tutto il traffico nella progettazione è tramite Frontdoor di Azure. Frontdoor è un servizio di bilanciamento del carico globale che instrada il traffico HTTP(S) ai back-end/origini registrati. Frontdoor usa probe di integrità che emettono richieste a un URI in ogni back-end/origine. Nell'implementazione di riferimento l'URI denominato è un servizio di integrità. Il servizio integrità annuncia l'integrità del timbro. Frontdoor usa la risposta per determinare l'integrità di un singolo timbro e instradare il traffico a stamp integri in grado di gestire le richieste dell'applicazione.
L'integrazione di Frontdoor di Azure con Monitoraggio di Azure offre un monitoraggio quasi in tempo reale del traffico, della sicurezza, dell'esito positivo e delle metriche degli errori e degli avvisi.
Azure Web application firewall, integrato con Frontdoor di Azure, viene usato per evitare attacchi al bordo prima di entrare nella rete.
Rete virtuale isolata - API
L'API nell'architettura usa reti virtuali di Azure come limite di isolamento del traffico. I componenti in una rete virtuale non possono comunicare direttamente con i componenti in un'altra rete virtuale.
Le richieste alla piattaforma applicazione vengono distribuite con uno SKU standard esterno Azure Load Balancer. È possibile verificare che il traffico che raggiunge il servizio di bilanciamento del carico sia stato instradato tramite Frontdoor di Azure. Questo controllo garantisce che tutto il traffico sia stato controllato dal WAF di Azure.
Gli agenti di compilazione usati per le operazioni e la distribuzione dell'architettura devono essere in grado di raggiungere la rete isolata. La rete isolata può essere aperta per consentire agli agenti di comunicare. In alternativa, gli agenti self-hosted possono essere distribuiti nella rete virtuale.
È necessario monitorare la velocità effettiva di rete, le prestazioni dei singoli componenti e l'integrità dell'applicazione.
Dipendenza di comunicazione della piattaforma applicazione
La piattaforma applicazione usata con i singoli francobolli nell'infrastruttura presenta i requisiti di comunicazione seguenti:
La piattaforma applicazione deve essere in grado di comunicare in modo sicuro con i servizi Microsoft PaaS.
La piattaforma applicazione deve essere in grado di comunicare in modo sicuro con altri servizi quando necessario.
L'architettura come definito usa Azure Key Vault per archiviare segreti, ad esempio stringhe di connessione e chiavi API, per comunicare in modo sicuro tramite Internet ai servizi PaaS di Azure. Esistono possibili rischi per esporre la piattaforma applicazione su Internet per questa comunicazione. I segreti possono essere compromessi e aumentare la sicurezza e il monitoraggio degli endpoint pubblici è consigliabile.
Considerazioni sulla rete estesa
Questa sezione illustra i vantaggi e i svantaggi di approcci alternativi alla progettazione della rete. Considerazioni sulla rete alternativa e l'uso degli endpoint privati di Azure è lo stato attivo nelle sezioni seguenti.
Subnet e gruppi di sicurezza di rete
Le subnet all'interno delle reti virtuali possono essere usate per segmentare il traffico all'interno della progettazione. L'isolamento della subnet separa le risorse per funzioni diverse.
I gruppi di sicurezza di rete possono essere usati per controllare il traffico consentito in e fuori da ogni subnet. Le regole usate nei gruppi di sicurezza di rete possono essere usate per limitare il traffico in base a IP, porta e protocollo per bloccare il traffico indesiderato nella subnet.
Endpoint privati - Ingresso
Lo SKU Premium di Frontdoor supporta l'uso degli endpoint privati di Azure. Gli endpoint privati espongono un servizio di Azure a un indirizzo IP privato in una rete virtuale. Le connessioni vengono effettuate in modo sicuro e privato tra i servizi senza la necessità di instradare il traffico agli endpoint pubblici.
Frontdoor premium di Azure e Endpoint privati di Azure consentono cluster di calcolo completamente privati nei singoli francobolli. Il traffico è completamente bloccato per tutti i servizi PaaS di Azure.
L'uso di endpoint privati aumenta la sicurezza della progettazione. Tuttavia, introduce un altro punto di errore. Gli endpoint pubblici esposti nei francobolli dell'applicazione non sono più necessari e non possono più essere accessibili ed esposti a un possibile attacco DDoS.
L'aumento della sicurezza deve essere ponderato rispetto all'aumento dell'affidabilità, dei costi e della complessità.
Gli agenti di compilazione self-hosted devono essere usati per la distribuzione del timbro. La gestione di questi agenti include un sovraccarico di manutenzione.
Endpoint privati - Piattaforma applicazioni
Gli endpoint privati sono supportati per tutti i servizi PaaS di Azure usati in questa progettazione. Con gli endpoint privati configurati per la piattaforma applicazione, tutte le comunicazioni passano attraverso la rete virtuale del timbro.
Gli endpoint pubblici dei singoli servizi PaaS di Azure possono essere configurati per impedire l'accesso pubblico. Ciò isola le risorse dagli attacchi pubblici che potrebbero causare tempi di inattività e limitazione che influiscono sull'affidabilità e sulla disponibilità.
Gli agenti di compilazione self-hosted devono essere usati per la distribuzione del timbro uguale a quello precedente. La gestione di questi agenti include un sovraccarico di manutenzione.
Passaggi successivi
Distribuire l'implementazione di riferimento per ottenere una comprensione completa delle risorse e della relativa configurazione usata in questa architettura.