Udostępnij za pośrednictwem

Planowanie dostarczania aplikacji

  • Artykuł

W tej sekcji przedstawiono kluczowe zalecenia dotyczące dostarczania aplikacji wewnętrznych i zewnętrznych w bezpieczny, wysoce skalowalny i wysoce dostępny sposób.

Zagadnienia dotyczące projektowania:

  • Azure Load Balancer (wewnętrzna i publiczna) zapewnia wysoką dostępność dostarczania aplikacji na poziomie regionalnym.

  • Azure Application Gateway umożliwia bezpieczne dostarczanie aplikacji HTTP/S na poziomie regionalnym.

  • Usługa Azure Front Door umożliwia bezpieczne dostarczanie aplikacji HTTP/S o wysokiej dostępności w różnych regionach świadczenia usługi Azure.

  • Usługa Azure Traffic Manager umożliwia dostarczanie aplikacji globalnych.

Zalecenia dotyczące projektowania:

  • Wykonywanie dostarczania aplikacji w strefach docelowych zarówno dla aplikacji wewnętrznych, jak i zewnętrznych.

    • Traktuj Application Gateway jako składnik aplikacji i wdróż go w sieci wirtualnej szprychy, a nie jako zasób udostępniony w centrum.
    • Aby interpretować alerty Web Application Firewall, zazwyczaj potrzebna jest szczegółowa wiedza na temat aplikacji, aby zdecydować, czy komunikaty wyzwalające te alerty są uzasadnione.
    • Jeśli wdrażasz Application Gateway w centrum, gdy zespoły zarządzają różnymi aplikacjami, mogą wystąpić problemy z kontrolą dostępu opartą na rolach, ale korzystają z tego samego wystąpienia Application Gateway. Każdy zespół ma następnie dostęp do całej konfiguracji Application Gateway.
    • Jeśli traktujesz Application Gateway jako zasób udostępniony, możesz przekroczyć limity Azure Application Gateway.
    • Dowiedz się więcej o tym w temacie Zero-trust network for Web applications (Sieć zerowa zaufania dla aplikacji internetowych).

  • Aby zapewnić bezpieczne dostarczanie aplikacji HTTP/S, użyj Application Gateway v2 i upewnij się, że włączono ochronę zapory aplikacji internetowej i zasady.

  • Użyj wirtualnego urządzenia WUS partnera, jeśli nie możesz użyć Application Gateway v2 w celu zabezpieczenia aplikacji HTTP/S.

  • Wdróż Azure Application Gateway wirtualne urządzenia WUS w wersji 2 lub partnerów używane do przychodzących połączeń HTTP/S w sieci wirtualnej strefy docelowej oraz przy użyciu aplikacji, które są zabezpieczane.

  • Użyj standardowego planu ochrony przed atakami DDoS dla wszystkich publicznych adresów IP w strefie docelowej.

  • Usługa Azure Front Door z zasadami zapory aplikacji internetowych umożliwia dostarczanie globalnych aplikacji HTTP/S obejmujących regiony platformy Azure i pomaga chronić je.

  • Jeśli używasz usługi Front Door i Application Gateway w celu ochrony aplikacji HTTP/S, użyj zasad zapory aplikacji internetowych w usłudze Front Door. Zablokuj Application Gateway, aby odbierać ruch tylko z usługi Front Door.

  • Usługa Traffic Manager umożliwia dostarczanie aplikacji globalnych obejmujących protokoły inne niż HTTP/S.