Udostępnij za pośrednictwem

Sieć i łączność dla obciążeń o znaczeniu krytycznym

  • Artykuł

Regionalna dystrybucja zasobów w architekturze referencyjnej o znaczeniu krytycznym wymaga niezawodnej infrastruktury sieciowej.

Projekt rozproszony globalnie jest zalecany, gdy usługi platformy Azure łączą się w celu zapewnienia aplikacji o wysokiej dostępności. Globalny moduł równoważenia obciążenia połączony z sygnaturami regionalnymi zapewnia gwarancję dzięki niezawodnej łączności.

Sygnatury regionalne są jednostką z możliwością wdrożenia w architekturze. Możliwość szybkiego wdrożenia nowej sygnatury zapewnia skalowalność i obsługuje wysoką dostępność. Sygnatury są zgodne z izolowanym projektem sieci wirtualnej. Ruch krzyżowy nie jest zalecany. Komunikacja równorzędna sieci wirtualnych lub połączenia sieci VPN z innymi sygnaturami nie są wymagane.

Architektura jest celowa w definiowaniu regionalnych sygnatur jako krótkotrwałych. Globalny stan infrastruktury jest przechowywany w zasobach globalnych.

Globalny moduł równoważenia obciążenia jest wymagany do kierowania ruchu do sygnatur w dobrej kondycji i świadczenia usług zabezpieczeń. Musi mieć pewne możliwości.

  • Sondowanie kondycji jest wymagane, aby moduł równoważenia obciążenia mógł sprawdzić kondycję źródła przed routingiem ruchu.

  • Rozkład ważonego ruchu.

Opcjonalnie powinno być możliwe wykonywanie buforowania na krawędzi. Ponadto zapewnia pewne zabezpieczenia ruchu przychodzącego za pomocą zapory aplikacji internetowej (WAF).

Diagram sieci dla architektury referencyjnej.

Pobierz plik programu Visio z tą architekturą.

Ruch przychodzący

Aplikacja zdefiniowana w architekturze jest dostępna z Internetu i ma kilka wymagań:

  • Rozwiązanie routingu, które jest globalne i może dystrybuować ruch między niezależnymi sygnaturami regionalnymi.

  • Małe opóźnienie w sprawdzaniu kondycji i możliwość zatrzymania wysyłania ruchu do sygnatur w złej kondycji.

  • Zapobieganie złośliwym atakom na brzegu.

  • Zapewnianie możliwości buforowania na krawędzi.

Punkt wejścia dla całego ruchu w projekcie odbywa się za pośrednictwem usługi Azure Front Door. Usługa Front Door to globalny moduł równoważenia obciążenia, który kieruje ruch HTTP(S) do zarejestrowanych zapleczy/źródeł. Usługa Front Door używa sond kondycji, które wysyłają żądania do identyfikatora URI w każdym zapleczu/ździe. W implementacji referencyjnej identyfikator URI nazywany jest usługą kondycji. Usługa kondycji reklamuje kondycję sygnatury. Usługa Front Door używa odpowiedzi w celu określenia kondycji pojedynczej sygnatury i kierowania ruchu do sygnatur w dobrej kondycji, które mogą obsługiwać żądania aplikacji.

Integracja usługi Azure Front Door z usługą Azure Monitor zapewnia niemal w czasie rzeczywistym monitorowanie ruchu, zabezpieczeń, powodzenia i niepowodzenia oraz alertów.

Usługa Azure Web Application Firewall zintegrowana z usługą Azure Front Door służy do zapobiegania atakom na brzegu przed wejściem do sieci.

Diagram ruchu przychodzącego sieci dla architektury referencyjnej.

Izolowana sieć wirtualna — interfejs API

Interfejs API w architekturze używa sieci wirtualnych platformy Azure jako granicy izolacji ruchu. Składniki w jednej sieci wirtualnej nie mogą komunikować się bezpośrednio ze składnikami w innej sieci wirtualnej.

Żądania do platformy aplikacji są dystrybuowane ze standardową Azure Load Balancer zewnętrzną jednostki SKU. Istnieje kontrola, aby upewnić się, że ruch docierający do modułu równoważenia obciążenia został kierowany za pośrednictwem usługi Azure Front Door. Ta kontrola gwarantuje, że cały ruch został sprawdzony przez zaporę aplikacji internetowej platformy Azure.

Kompilowanie agentów używanych do obsługi operacji i wdrażania architektury musi mieć możliwość dotarcia do izolowanej sieci. Sieć izolowana można otworzyć, aby umożliwić agentom komunikowanie się. Alternatywnie można wdrożyć własnych agentów w sieci wirtualnej.

Wymagane jest monitorowanie przepływności sieci, wydajności poszczególnych składników i kondycji aplikacji.

Zależność komunikacji między platformami aplikacji

Platforma aplikacji używana z poszczególnymi sygnaturami w infrastrukturze ma następujące wymagania dotyczące komunikacji:

  • Platforma aplikacji musi być w stanie bezpiecznie komunikować się z usługami PaaS firmy Microsoft.

  • Platforma aplikacji musi być w stanie bezpiecznie komunikować się z innymi usługami w razie potrzeby.

Architektura zdefiniowana używa usługi Azure Key Vault do przechowywania wpisów tajnych, takich jak parametry połączenia i klucze interfejsu API, w celu bezpiecznego komunikowania się za pośrednictwem Internetu z usługami PaaS platformy Azure. Istnieje ryzyko ujawnienia platformy aplikacji przez Internet na potrzeby tej komunikacji. Zalecane jest naruszenie zabezpieczeń wpisów tajnych i zwiększenie bezpieczeństwa i monitorowania publicznych punktów końcowych.

Diagram zależności komunikacji platformy aplikacji.

Zagadnienia dotyczące rozszerzonej sieci

W tej sekcji omówiono zalety i wady alternatywnych podejść do projektowania sieci. Alternatywne zagadnienia dotyczące sieci i użycie prywatnych punktów końcowych platformy Azure to fokus w poniższych sekcjach.

Podsieci i sieciowa grupa zabezpieczeń

Podsieci w sieciach wirtualnych mogą służyć do segmentowania ruchu w projekcie. Izolacja podsieci oddziela zasoby dla różnych funkcji.

Sieciowe grupy zabezpieczeń mogą służyć do kontrolowania ruchu dozwolonego w każdej podsieci i poza nią. Reguły używane w sieciowych grupach zabezpieczeń mogą służyć do ograniczania ruchu na podstawie adresu IP, portu i protokołu w celu blokowania niepożądanego ruchu do podsieci.

Prywatne punkty końcowe — ruch przychodzący

Jednostka SKU premium usługi Front Door obsługuje korzystanie z prywatnych punktów końcowych platformy Azure. Prywatne punkty końcowe uwidaczniają usługę platformy Azure na prywatny adres IP w sieci wirtualnej. Połączenia są wykonywane bezpiecznie i prywatnie między usługami bez konieczności kierowania ruchu do publicznych punktów końcowych.

Usługa Azure Front Door w warstwie Premium i prywatne punkty końcowe platformy Azure umożliwiają w pełni prywatne klastry obliczeniowe w poszczególnych sygnaturach. Ruch jest w pełni zablokowany dla wszystkich usług PaaS platformy Azure.

Korzystanie z prywatnych punktów końcowych zwiększa bezpieczeństwo projektu. Jednak wprowadza kolejny punkt awarii. Publiczne punkty końcowe uwidocznione w sygnaturach aplikacji nie są już potrzebne i nie mogą być już dostępne i narażone na możliwy atak DDoS.

Zwiększone bezpieczeństwo musi być ważone w porównaniu ze zwiększonym nakładem pracy, kosztami i złożonością niezawodności.

Do wdrożenia sygnatury należy używać własnych agentów kompilacji. Zarządzanie tymi agentami wiąże się z obciążeniem konserwacyjnym.

Diagram ruchu przychodzącego sieci dla architektury referencyjnej z prywatnymi punktami końcowymi.

Prywatne punkty końcowe — platforma aplikacji

Prywatne punkty końcowe są obsługiwane dla wszystkich usług PaaS platformy Azure używanych w tym projekcie. W przypadku prywatnych punktów końcowych skonfigurowanych dla platformy aplikacji cała komunikacja będzie przechodzić przez sieć wirtualną sygnatury.

Publiczne punkty końcowe poszczególnych usług PaaS platformy Azure można skonfigurować tak, aby nie zezwalały na dostęp publiczny. Spowoduje to odizolowanie zasobów od ataków publicznych, które mogłyby spowodować przestoje i ograniczenie przepustowości, które wpływają na niezawodność i dostępność.

Agenci kompilacji hostowani samodzielnie muszą być przyzwyczajeni do wdrożenia sygnatury tak samo jak powyżej. Zarządzanie tymi agentami wiąże się z obciążeniem konserwacyjnym.

Diagram zależności komunikacji platformy aplikacji z prywatnymi punktami końcowymi.

Następne kroki

Wdróż implementację referencyjną, aby uzyskać pełną wiedzę na temat zasobów i ich konfiguracji używanej w tej architekturze.

Implementacja: Mission-Critical Online