Hybride cloudtoepassingen

10 minuten

Tailwind Traders heeft diverse toepassingen met front-endonderdelen die momenteel on-premises in een perimeternetwerk worden uitgevoerd. De back-endelementen bevinden zich in een beveiligd intern netwerk. Eén van de doelen van Tailwind Traders van zijn overstap naar een hybride cloud is het buiten gebruik stellen van het perimeternetwerk en het hosten van openbare workloads in de cloud. Vanwege nalevingseisen en de zorgen van workloadeigenaren moet een aantal van deze toepassingen fysiek op de faciliteiten van Tailwind Traders blijven in plaats van deze in een Azure-datacentrum te hosten.

Tailwind Traders heeft een aantal andere toepassingen die toegankelijk via VPN-verbindingen in de interne beveiligde netwerken in de datacentra in Sydney, Melbourne en Auckland. Bij deze toepassingen moeten gebruikers zich over het algemeen verifiëren bij hun on-premises Active Directory-instantie.

In deze les leert u meer over technologieën voor het maken van hybride verbindingen. Met deze verbindingen kan Tailwind Traders toepassingen onderhouden waarmee gebruikers verbinding kunnen maken via Azure, zelfs wanneer gegevens of de toepassing zelf worden gehost op Tailwind Traders-apparatuur.

Wat is Azure Relay?

Azure Relay is een service die u kunt gebruiken om workloads die worden uitgevoerd op het interne netwerk van uw organisatie veilig beschikbaar te maken voor de openbare cloud. De service maakt deze workloads veilig beschikbaar zonder een binnenkomende poort te openen op een perimeternetwerkfirewall.

Azure Relay biedt ondersteuning voor de volgende scenario's tussen on-premises services en toepassingen die worden uitgevoerd in Azure:

Traditioneel verkeer in één richting, aanvraag/antwoord en peer-to-peer-communicatie
Distributie van gebeurtenissen om publicatie-/abonneerscenario's in te schakelen
Bidirectionele en niet-gebufferde socketcommunicatie over netwerkbegrenzingen heen

Azure Relay biedt de volgende functies:

Hybride verbindingen. Voor deze functie worden open-standaard websockets gebruikt. Deze hybride verbindingen kunnen worden gebruikt in architecturen met meerdere platformen. Het biedt ondersteuning voor .NET Core, .NET Framework, JavaScript/Node.js, op standaarden gebaseerde open protocollen en RPC-programmeermodellen (Remote Procedure Call, externe procedureaanroepen).
WCF Relay. Voor deze functie wordt Windows Communication Foundation (WCF) gebruikt om externe procedureaanroepen in te schakelen. Dit is een optie die veel klanten gebruiken bij hun WCF-programma's. Het biedt ook ondersteuning voor .NET Framework.

Met behulp van Azure Relay kan Tailwind Traders een aantal toepassingen die op het interne netwerk worden uitgevoerd, publiceren naar clients op internet zonder dat hiervoor een VPN-verbinding is vereist. Het bedrijf moet Azure Relay gebruiken in plaats van hybride verbindingen van Azure App Service wanneer er geen front-endweb-app wordt uitgevoerd in Azure. Azure Relay moet worden gebruikt in plaats van Microsoft Entra-toepassingsproxy wanneer voor de toepassing geen Microsoft Entra-verificatie is vereist.

Wat is Hybride verbindingen van Azure App Service?

Voor de functie Hybride verbindingen van App Service kan elke toepassingsresource worden gebruikt in elk netwerk waar vanuit uitgaande aanvragen naar Azure op poort 443 kunnen worden verzonden. U kunt bijvoorbeeld Hybride verbindingen gebruiken om toe te staan dat voor een web-app die wordt uitgevoerd in Azure een SQL Server-database wordt gebruikt die on-premises wordt uitgevoerd. De functie Hybride verbindingen geeft vanuit een app die in Azure wordt uitgevoerd toegang tot een TCP-eindpunt (Transmission Control Protocol).

Hybride verbindingen is niet beperkt tot workloads die worden uitgevoerd op Windows Server-platforms. U kunt Hybride verbindingen configureren om toegang te krijgen tot een resource die fungeert als een TCP-eindpunt, ongeacht welk toepassingsprotocol wordt gebruikt. U kunt bijvoorbeeld een hybride verbinding configureren tussen een web-app die wordt uitgevoerd in Azure en een MySQL-database die op een on-premises virtuele Linux-machine wordt uitgevoerd.

Hybride verbindingen maken gebruik van een relayagent. U implementeert de Relay-agent op een locatie waar deze verbinding kan maken met het TCP-eindpunt in het interne netwerk en een verbinding met Azure tot stand kan brengen. Deze verbinding wordt beveiligd via Transport Layer Security (TLS) 1.2. SAS-sleutels (Shared Access Signature) worden gebruikt voor verificatie en autorisatie.

In de volgende afbeelding ziet u een hybride verbinding van App Service tussen een web-app die in Azure wordt uitgevoerd en een database-eindpunt dat on-premises wordt uitgevoerd.

Hybride verbindingen biedt de volgende functionaliteit:

Apps die in Azure worden uitgevoerd, hebben beveiligd toegang tot on-premises systemen en services.
De on-premises systemen of de on-premises services hoeven niet direct toegankelijk te zijn voor hosts op internet.
U hoeft geen poort in de firewall te openen om inkomend verkeer van Azure toegang tot de relay-agent te geven. De volledige communicatie wordt op een uitgaande manier via poort 443 gestart vanaf de relay-agent.

Voor Hybride verbindingen gelden de volgende beperkingen:

De functie kan niet worden gebruikt om een SMB-share op een on-premises netwerk te bevestigen.
Het kan geen gebruik maken van UDP (User Datagram Protocol).
Het heeft geen toegang tot op TCP gebaseerde services waarvoor dynamische poorten worden gebruikt.
Het biedt geen ondersteuning voor LDAP (Lightweight Directory Access Protocol) vanwege de afhankelijkheid van het UDP.
Het kan niet worden gebruikt om een bewerking voor Active Directory Domain Services-domeindeelname uit te voeren.

Voor Tailwind Traders maken hybride verbindingen het mogelijk om verschillende toepassingen die momenteel hun front-ends uitvoeren op het perimeternetwerk van Tailwind Traders, buiten gebruik te stellen. Deze apps kunnen naar Azure worden gemigreerd. Hybride verbindingen kunnen vervolgens een beveiligde verbinding bieden met beveiligde netwerken die de back-endonderdelen van de app hosten.

Wat is Microsoft Entra-toepassingsproxy?

Met de Microsoft Entra-toepassingsproxy kunt u beveiligde externe toegang bieden tot een webtoepassing die wordt uitgevoerd in een on-premises omgeving via een externe URL. U kunt de toepassingsproxy configureren om externe toegang en eenmalige aanmelding bij SharePoint, Microsoft Teams, IIS-webtoepassingen en Remote Desktop toe te staan. De toepassingsproxy kan worden geïmplementeerd ter vervanging van VPN's met interne netwerken of reverse proxy's.

De toepassingsproxy kan worden gebruikt in de volgende toepassingen:

Webtoepassingen waarvoor geïntegreerde Windows-verificatie wordt gebruikt
Webtoepassingen waarvoor op headers of formulieren gebaseerde verificatie wordt gebruikt
Toepassingen die worden gehost via Remote Desktop Gateway

De toepassingsproxy kan op de volgende manier worden gebruikt:

De gebruiker maakt verbinding met de toepassing via een openbaar beschikbaar eindpunt en voert vervolgens een Microsoft Entra-aanmelding uit.
Er wordt een token doorgestuurd naar het apparaat van de gebruiker nadat het aanmelden is voltooid.
Het token wordt op het clientapparaat doorgestuurd naar de toepassingsproxyservice; vervolgens worden de UPN (User Principal Name) en de SPN (Security Principal Name) van het token geretourneerd. De toepassingsproxy stuurt de aanvraag vervolgens door naar de toepassingsproxyconnector.
De connector voor de toepassingsproxy voert verdere verificatie uit als eenmalige aanmelding is ingeschakeld.
De toepassingsproxyconnector stuurt de aanvraag door naar de on-premises toepassing.
Het antwoord wordt via de connector en de toepassingsproxyservice naar de gebruiker verzonden.

In de volgende afbeelding wordt dit proces weergegeven:

Gebruikers van interne netwerken waarop directe verbindingen met toepassingen zijn toegestaan, moeten het gebruik van de toepassingsproxy vermijden.

Tailwind Traders kan microsoft Entra-toepassingsproxy gebruiken om externe gebruikers toegang te geven tot interne toepassingen die gebruikmaken van Active Directory-verificatie.

Tailwind Traders heeft verschillende apps met meerdere lagen die worden gemigreerd naar de hybride cloud. De apps bevinden zich momenteel samen met de internetlagen op het perimeternetwerk van Tailwind Traders en de databaselaag op virtuele machines in het datacentrum in Sydney. In de nieuwe toepassingsarchitectuur worden web-apps uitgevoerd in Azure. Welke van de volgende technologieën moet Tailwind Traders gebruiken om communicatie toe te staan tussen de web-applaag in Azure en de databaselaag die op virtuele machines in het datacentrum in Sydney wordt uitgevoerd?

Azure Relay

Hybride verbinding van Azure App Service

Microsoft Entra-toepassingsproxy

Tailwind Traders wil een toepassing publiceren waarvoor Active Directory Domain Services-accounts voor verificatie worden gebruikt, zodat deze toegankelijk is voor hosts op internet. Tailwind Traders configureert Microsoft Entra Connect om de on-premises identiteiten die worden gebruikt met deze toepassing te synchroniseren met Microsoft Entra-id. Welke van de volgende hybride technologieën gebruikt u om deze toepassing te publiceren voor hosts op internet zodat ze toegang krijgen met deze gesynchroniseerde identiteiten?