애플리케이션 제공 계획
이 섹션에서는 안전하고 확장성이 우수하고 가용성이 높은 방법을 통해 내부 및 외부 연결 애플리케이션을 제공하기 위한 주요 권장 사항을 살펴봅니다.
디자인 고려 사항:
Azure Load Balancer(내부 및 공용)는 지역 수준에서 애플리케이션 배달을 위한 고가용성을 제공합니다.
Azure Application Gateway를 사용하면 지역 수준에서 HTTP/S 애플리케이션을 안전하게 전달할 수 있습니다.
Azure Front Door를 사용하면 모든 Azure 지역에서 고가용성 HTTP/S 애플리케이션을 안전하게 전달할 수 있습니다.
Azure Traffic Manager를 사용하면 글로벌 애플리케이션을 전달할 수 있습니다.
디자인 권장 사항:
내부 연결 및 외부 연결 애플리케이션 모두에 대해 랜딩 존 내에서 애플리케이션 전달을 수행합니다.
- Application Gateway 애플리케이션 구성 요소로 처리하고 허브의 공유 리소스가 아닌 스포크 가상 네트워크에 배포합니다.
- Web Application Firewall 경고를 해석하려면 일반적으로 해당 경고를 트리거하는 메시지가 합법적인지 여부를 결정하기 위해 애플리케이션에 대한 심층 지식이 필요합니다.
- 팀이 다른 애플리케이션을 관리하지만 Application Gateway 동일한 instance 사용하는 경우 허브에 Application Gateway 배포하는 경우 역할 기반 액세스 제어 문제가 발생할 수 있습니다. 그러면 각 팀에서 전체 Application Gateway 구성에 액세스할 수 있습니다.
- Application Gateway를 공유 리소스로 처리하는 경우 Azure Application Gateway 제한을 초과할 수 있습니다.
- 웹 애플리케이션용 제로 트러스트 네트워크에서 이에 대해 자세히 알아보세요.
HTTP/S 애플리케이션을 안전하게 전달하려면 Application Gateway v2를 사용하고 WAF 보호 및 정책이 사용하도록 설정되어 있는지 확인합니다.
HTTP/S 애플리케이션의 보안을 위해 Application Gateway v2를 사용할 수 없는 경우 파트너 NVA를 사용합니다.
랜딩 존 가상 네트워크 내의 인바운드 HTTP/S 연결 및 보안이 유지되는 애플리케이션에 사용되는 Azure Application Gateway v2 또는 파트너 NVA를 배포합니다.
랜딩 존의 모든 공용 IP 주소에 대해 DDoS 표준 보호 계획을 사용합니다.
WAF 정책과 함께 Azure Front Door를 사용하여 Azure 지역에 걸쳐 있는 글로벌 HTTP/S 애플리케이션을 제공하고 보호합니다.
Front Door 및 Application Gateway를 사용하여 HTTP/S 애플리케이션을 보호하는 경우 Front Door에 WAF 정책을 사용합니다. Front Door에서만 트래픽을 수신하도록 Application Gateway를 잠급니다.
HTTP/S 이외의 프로토콜을 포괄하는 전역 애플리케이션을 제공하려면 Traffic Manager를 사용합니다.