Condividi tramite

Pianificare la distribuzione delle applicazioni

  • Articolo

Questa sezione esplora le raccomandazioni principali per distribuire applicazioni interne ed esterne in modo sicuro, altamente scalabile e altamente disponibile.

Considerazioni sulla progettazione:

  • Azure Load Balancer (interno e pubblico) offre disponibilità elevata per la distribuzione di applicazioni a livello di area

  • Gateway applicazione di Azure consente la distribuzione sicura di applicazioni HTTP/S a livello di area.

  • Frontdoor di Azure consente la distribuzione sicura di applicazioni HTTP/S a disponibilità elevata nelle aree di Azure.

  • Gestione traffico di Azure consente la distribuzione di applicazioni globali.

Consigli sulla progettazione:

  • Eseguire la distribuzione delle applicazioni all'interno delle zone di destinazione per applicazioni interne ed esterne.

    • Considerare il gateway applicazione come componente dell'applicazione e distribuirlo in una rete virtuale spoke non come risorsa condivisa nell'hub.
    • Per interpretare Web application firewall avvisi, è in genere necessario conoscere in modo approfondito l'applicazione per decidere se i messaggi che attivano tali avvisi sono legittimi.
    • È possibile che si verifichino problemi di controllo degli accessi in base al ruolo se si distribuiscono gateway applicazione nell'hub quando i team gestiscono applicazioni diverse, ma usano la stessa istanza di gateway applicazione. Ogni team ha quindi accesso all'intera configurazione del gateway applicazione.
    • Se si considera il gateway applicazione come una risorsa condivisa, è possibile che si superino i limiti del gateway applicazione di Azure.
    • Per altre informazioni, vedere Rete Zero-trust per le applicazioni Web.

  • Per la distribuzione sicura di applicazioni HTTP/S, usare il gateway applicazione v2 e assicurarsi che la protezione e i criteri WAF siano abilitati.

  • Usare un'appliance virtuale di rete partner se non è possibile usare il gateway applicazione v2 per la sicurezza delle applicazioni HTTP/S.

  • Distribuire il gateway applicazione di Azure v2 o le appliance virtuali di rete partner usate per le connessioni HTTP/S in ingresso all'interno della rete virtuale della zona di destinazione e con le applicazioni che stanno proteggendo.

  • Usare un piano di protezione DDoS standard per tutti gli indirizzi IP pubblici in una zona di destinazione.

  • Usare Frontdoor di Azure con i criteri WAF per distribuire e proteggere le applicazioni HTTP/S globali che coprono più aree di Azure.

  • Quando si usano Frontdoor e il gateway applicazione per proteggere le applicazioni HTTP/S, usare i criteri WAF in Frontdoor. Bloccare il gateway applicazione per la ricezione del traffico solo dal servizio Frontdoor.

  • Usare Gestione traffico per distribuire applicazioni globali che usano protocolli diversi da HTTP/S.