Overwegingen voor netwerktopologie en connectiviteit voor de App Service-landingszoneversneller
Dit artikel bevat ontwerpoverwegingen en aanbevelingen voor netwerktopologie en -connectiviteit die u kunt toepassen wanneer u de Azure-app Service-landingszoneversneller gebruikt. Netwerken zijn centraal in bijna alles in een landingszone.
De overwegingen voor netwerktopologie en connectiviteit voor deze architectuur zijn afhankelijk van de vereisten van de workloads die worden gehost en van de beveiligings- en nalevingsvereisten van uw organisatie.
Ontwerpoverwegingen
Wanneer u een App Service-oplossing in Azure implementeert, moet u zorgvuldig rekening houden met netwerkvereisten om ervoor te zorgen dat uw toepassing goed functioneert. Er zijn verschillende belangrijke factoren die u moet overwegen wanneer u een implementatie plant:
Bepaal de netwerkvereisten voor uw toepassing.
- Binnenkomend verkeer. Als uw app webservices zoals een website of API biedt, moet deze waarschijnlijk binnenkomend verkeer van internet ontvangen. Om ervoor te zorgen dat uw app binnenkomende verbindingen kan accepteren, moet u deze configureren om te luisteren naar de juiste poorten.
- Toegang tot andere Azure-resources. Uw app moet mogelijk toegang hebben tot resources in Azure, zoals opslagaccounts of databases, met behulp van het privé-eindpunt. Deze resources bevinden zich mogelijk in een virtueel Azure-netwerk of andere Azure-services.
- SSL/TLS. Als u de communicatie tussen uw app en de bijbehorende gebruikers wilt beveiligen, moet u SSL/TLS-versleuteling inschakelen. Dit zorgt ervoor dat verkeer tussen uw app en de gebruikers ervan wordt versleuteld, waardoor gevoelige informatie wordt beschermd tegen onderschepping door derden.
- IP-beperkingen. Afhankelijk van uw vereisten moet u mogelijk de toegang tot uw app toestaan of blokkeren vanaf specifieke IP-adressen of bereiken. Als u dit doet, kunt u de beveiliging verbeteren en de toegang tot uw app beperken tot specifieke gebruikers of locaties.
Kies een App Service-planlaag. Gebruik de netwerkvereisten van uw toepassing om de juiste laag voor uw App Service-plan te bepalen. Het is een goed idee om de verschillende App Service-planlagen en hun functies te bekijken om te bepalen welke laag het meest geschikt is voor uw behoeften.
App Service voor meerdere tenants
Een App Service-oplossing voor meerdere tenants deelt één binnenkomend IP-adres en meerdere uitgaande IP-adressen met andere App Service-resources in één implementatie-eenheid. Deze IP-adressen kunnen om verschillende redenen veranderen. Als u consistente uitgaande IP-adressen nodig hebt voor een App Service-oplossing met meerdere tenants, kunt u een NAT-gateway configureren of virtuele netwerkintegratie gebruiken.
Als u een toegewezen IP-adres nodig hebt voor uw App Service-oplossing, kunt u een door de app toegewezen adres gebruiken, uw App Service-exemplaar fronteren met een toepassingsgateway (waaraan een statisch IP-adres is toegewezen) of een OP IP gebaseerd SSL-certificaat gebruiken om een toegewezen IP-adres aan uw app toe te wijzen via het App Service-platform.
Wanneer u vanuit een App Service-oplossing verbinding moet maken met on-premises, privé- of IP-beperkte services, moet u rekening houden met het volgende:
- In een App Service-implementatie met meerdere tenants kan een App Service-aanroep afkomstig zijn van een breed scala aan IP-adressen. Mogelijk hebt u integratie van virtuele netwerken nodig.
- U kunt services zoals API Management en Application Gateway gebruiken voor proxy-aanroepen tussen netwerkgrenzen. Deze services kunnen een statisch IP-adres bieden als u er een nodig hebt.
U kunt een privé- of een openbaar eindpunt gebruiken voor een App Service-implementatie met meerdere tenants. Wanneer u een privé-eindpunt gebruikt, wordt openbare blootstelling aan de App Service-oplossing geëlimineerd. Als u het privé-eindpunt van de App Service-oplossing nodig hebt om toegankelijk te zijn via internet, kunt u Application Gateway gebruiken om de App Service-oplossing beschikbaar te maken.
Een App Service-implementatie met meerdere tenants bevat een set poorten. Er is geen manier om de toegang tot deze poorten te blokkeren of te beheren in een App Service-implementatie met meerdere tenants.
Plan uw subnetten correct voor de integratie van uitgaande virtuele netwerken en houd rekening met het aantal IP-adressen dat vereist is. Integratie van virtuele netwerken is afhankelijk van een toegewezen subnet. Wanneer u een Azure-subnet inricht, reserveert Azure vijf IP-adressen. Er wordt één IP-adres gebruikt vanuit het integratiesubnet voor elk App Service-planexemplaren. Wanneer u uw app schaalt naar vier exemplaren, worden bijvoorbeeld vier IP-adressen gebruikt. Wanneer u omhoog of omlaag schaalt, wordt de vereiste adresruimte gedurende korte tijd verdubbeld. Dit is van invloed op de beschikbare ondersteunde exemplaren voor een bepaalde subnetgrootte.
Omdat u de grootte van een subnet na toewijzing niet kunt wijzigen, moet u een subnet gebruiken dat groot genoeg is om de schaal aan te passen die uw app mogelijk bereikt. Gebruik een /26 met 64 adressen voor de integratie van virtuele netwerken om problemen met subnetcapaciteit te voorkomen.
Als u verbinding maakt met een App Service-oplossing met meerdere tenants en u een toegewezen uitgaand adres nodig hebt, gebruikt u een NAT-gateway.
App Service Environment (één tenant)
- Bepaal een App Service Environment-netwerkontwerp: externe of interne load balancer. Gebruik een externe implementatie wanneer u directe toegang nodig hebt vanaf internet. Gebruik een interne load balancer-implementatie om alleen toegang beschikbaar te maken vanuit het virtuele netwerk waar de App Service Environment wordt geïmplementeerd. De laatste implementatie biedt een ander beveiligingsniveau en controle over netwerktoegang tot de apps.
- App Services in een App Service Environment haalt statische, toegewezen IP-adressen op voor binnenkomende en uitgaande communicatie, voor de levensduur van de App Service-omgeving.
- Wanneer u vanuit een App Service-omgeving verbinding moet maken met on-premises, privé- of IP-beperkte services, wordt de App Service Environment uitgevoerd binnen de context van een virtueel netwerk.
- U kiest de grootte van het subnet wanneer u een App Service-omgeving implementeert. U kunt de grootte op een later tijdstip niet wijzigen. We raden een grootte van /24 aan, met 256 adressen en kunnen omgaan met een app-omgeving met een maximale grootte en eventuele schaalbehoeften.
Ontwerpaanaanvelingen
De volgende aanbevolen procedures zijn van toepassing op elke implementatie van App Service.
- Verbinding maken naar een App Service-oplossing:
- Implementeer een Azure-webtoepassingsfirewall vóór uw App Service-oplossing. Gebruik Azure Front Door, Application Gateway of een partnerservice om deze beveiliging op basis van OWASP te bieden. U kunt Azure Front Door of Application Gateway gebruiken voor één regio, of beide voor meerdere regio's. Als u padroutering in de regio nodig hebt, gebruikt u Application Gateway. Als u taakverdeling voor meerdere regio's en Web Application Firewall nodig hebt, gebruikt u Azure Front Door.
- Met behulp van een privé-eindpunt voor App Service hebt u toegang tot de app via een privé- en netwerkeindpunt in plaats van een openbaar eindpunt op internet. Wanneer u een privé-eindpunt gebruikt, kunt u de toegang tot de app beperken tot alleen gebruikers in uw virtuele netwerk, die een andere beveiligingslaag biedt voor uw app, lagere kosten voor uitgaand gegevensgebruik en verbeterde prestaties.
- Gebruik toegangsbeperkingen om ervoor te zorgen dat de App Service-oplossing alleen vanaf geldige locaties kan worden bereikt. Als een App Service-implementatie met meerdere tenants bijvoorbeeld API's host en wordt fronted door API Management, stelt u een toegangsbeperking in zodat de App Service-oplossing alleen toegankelijk is vanuit API Management.
- Verbinding maken vanuit een App Service-oplossing:
- Als u privéconnectiviteit met andere Azure-services nodig hebt, gebruikt u Azure Private Link als deze wordt ondersteund door de services.
- Gebruik de ingebouwde hulpprogramma's om netwerkproblemen op te lossen.
- Vermijd uitputting van SNAT-poorten met behulp van verbindingsgroepen. Het herhaaldelijk maken van verbindingen met dezelfde host en poort kan leiden tot trage reactietijden, onregelmatige 5xx-fouten, time-outs of verbindingsproblemen met externe eindpunten.
- Volg de aanbevelingen die worden beschreven in de sectie Netwerkbeveiliging van de Azure-beveiligingsbasislijn voor App Service.
Het doel van de netwerktopologie en connectiviteitsoverwegingen voor de App Service-landingszoneversneller is een sjabloon op hoog niveau te bieden voor het implementeren van een schaalbare en flexibele omgeving voor het implementeren van App Services. Deze sjabloon is gericht op netwerkarchitectuur en connectiviteit en kan u helpen om snel en efficiënt een landingszone in Azure in te stellen voor het hosten van App Services-oplossingen.