Udostępnij za pośrednictwem

Topologia sieci i łączność dla akceleratora strefy docelowej usługi Azure Spring Apps

  • Artykuł

W tym artykule opisano zagadnienia projektowe i zalecenia dotyczące sieci, w której znajduje się obciążenie spring boot. Projekt docelowy zależy od wymagań obciążenia oraz wymagań dotyczących zabezpieczeń i zgodności organizacji.

Scentralizowany zespół platformy i zespół ds. aplikacji odpowiadają za obszar projektowania sieci. Zespół platformy wybiera topologię sieci, która może być tradycyjnym modelem gwiazdy lub topologią sieci Virtual WAN (zarządzana przez firmę Microsoft). Zespół aplikacji jest odpowiedzialny za wybór projektu sieci szprych. Oczekuje się, że obciążenie będzie mieć zależności od usług udostępnionych zarządzanych przez platformę. Zespół aplikacji musi zrozumieć implikacje tych zależności i przekazać swoje wymagania, aby spełnić ogólne cele obciążenia.

Aby uzyskać więcej informacji na temat projektowania platformy, zobacz Topologia sieci i łączność.

Postępuj zgodnie z tymi zagadnieniami i zaleceniami dotyczącymi projektowania jako najlepsze rozwiązania dotyczące podsieci, ruchu przychodzącego i wychodzącego.

Zagadnienia dotyczące projektowania

  • Izolacja. Centralny zespół może zapewnić zespołowi aplikacji sieć wirtualną do uruchamiania obciążeń. Jeśli obciążenie Spring Boot ma separację problemów z innymi obciążeniami, rozważ aprowizowanie własnej sieci wirtualnej dla środowiska uruchomieniowego usługi Spring App Service i aplikacji.

  • Podsieć. Podczas wybierania rozmiaru podsieci i liczby aplikacji należy wziąć pod uwagę skalowalność aplikacji.

    Jeśli używasz istniejących podsieci lub użyjesz własnych tabel tras, masz zasady, aby upewnić się, że reguły dodane przez usługę Azure Spring Apps nie są aktualizowane ani usuwane.

    Innym aspektem jest bezpieczeństwo. Rozważ reguły zezwalające na ruch do podsieci lub odmawiające go.

  • Ruch wychodzący (wychodzący). Ruch wychodzący z sieci wirtualnej musi być kierowany przez Azure Firewall lub wirtualne urządzenie sieciowe (WUS).

    Rozważ ograniczenia wbudowanego modułu równoważenia obciążenia dostarczonego przez usługę Azure Spring Apps. W zależności od wymagań może być konieczne dostosowanie ścieżek ruchu wychodzącego przy użyciu routingu zdefiniowanego przez użytkownika (UDR), na przykład w celu kierowania całego ruchu przez urządzenie WUS.

  • Ruch przychodzący (przychodzący). Rozważ użycie zwrotnego serwera proxy dla ruchu przechodzącego do usługi Azure Spring Apps. Na podstawie wymagań wybierz opcje natywne, takie jak Azure Application Gateway i Front Door lub usługi regionalne, takie jak API Management (APIM). Jeśli te opcje nie spełniają wymagań obciążenia, można rozważyć usługi spoza platformy Azure.

Zalecenia dotyczące projektowania

Te zalecenia zawierają wskazówki dotyczące powyższego zestawu zagadnień.

Sieć wirtualna i podsieci

  • Usługa Azure Spring Apps wymaga uprawnień właściciela do sieci wirtualnej. Ta rola jest wymagana do udzielenia dedykowanej i dynamicznej jednostki usługi na potrzeby wdrażania i konserwacji. Aby uzyskać więcej informacji, zobacz Wdrażanie usługi Azure Spring Apps w sieci wirtualnej.

  • Usługa Azure Spring Apps wdrożona w sieci prywatnej zapewnia w pełni kwalifikowaną nazwę domeny (FQDN), która jest dostępna tylko w sieci prywatnej. Utwórz prywatną strefę DNS platformy Azure dla adresu IP aplikacji Spring. Połącz prywatny system DNS z siecią wirtualną, przypisując prywatną nazwę FQDN w usłudze Azure Spring Apps. Aby uzyskać instrukcje krok po kroku, zobacz Uzyskiwanie dostępu do aplikacji w sieci prywatnej.

  • Usługa Azure Spring Apps wymaga dwóch dedykowanych podsieci. Jedna podsieć ma środowisko uruchomieniowe usługi, a druga podsieć jest przeznaczona dla aplikacji Spring Boot.

    Minimalny rozmiar bloku CIDR dla każdej z tych podsieci to /28. Podsieć środowiska uruchomieniowego i podsieć aplikacji wymagają minimalnej przestrzeni adresowej /28. Jednak liczba aplikacji Spring, które można wdrożyć, wpływa na rozmiar podsieci. Aby uzyskać informacje o maksymalnych wystąpieniach aplikacji według zakresu podsieci, zobacz Używanie mniejszych zakresów podsieci.

  • Jeśli używasz Azure Application Gateway jako zwrotnego serwera proxy przed usługą Azure Spring Apps, potrzebujesz innej podsieci dla tego wystąpienia. Aby uzyskać więcej informacji, zobacz Using Application Gateway as the reverse proxy (Używanie Application Gateway jako zwrotnego serwera proxy).

  • Użyj sieciowych grup zabezpieczeń w podsieciach, aby filtrować ruch wschodnio-zachodni w celu ograniczenia ruchu do podsieci środowiska uruchomieniowego usługi.

  • Grupy zasobów i podsieci zarządzane przez wdrożenie usługi Azure Spring Apps nie mogą być modyfikowane.

Ruch wychodzący

  • Domyślnie usługa Azure Spring Apps ma nieograniczony dostęp do Internetu dla ruchu wychodzącego. Użyj urządzenia WUS, takiego jak Azure Firewall, aby filtrować ruch północno-południowy. Korzystaj z Azure Firewall w scentralizowanej sieci koncentratora, aby zmniejszyć obciążenie związane z zarządzaniem.

    Uwaga

    Ruch wychodzący do składników platformy Azure Spring jest wymagany do obsługi wystąpień usługi. Aby uzyskać informacje o określonych punktach końcowych i portach, zobacz Wymagania sieciowe usługi Azure Spring Apps.

  • Usługa Azure Spring Apps udostępnia typ ruchu wychodzącego zdefiniowanego przez użytkownika (UDR), aby w pełni kontrolować ścieżkę ruchu wychodzącego. OutboundType należy zdefiniować podczas tworzenia nowego wystąpienia usługi Azure Spring Apps. Nie można go później zaktualizować. OutboundType można skonfigurować tylko przy użyciu sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Dostosowywanie ruchu wychodzącego usługi Azure Spring Apps przy użyciu trasy zdefiniowanej przez użytkownika.

  • Aplikacja musi komunikować się z innymi usługami platformy Azure w rozwiązaniu. Użyj Azure Private Link dla obsługiwanych usług, jeśli aplikacje wymagają łączności prywatnej.

Ruch przychodzący

  • Użyj zwrotnego serwera proxy, aby upewnić się, że złośliwi użytkownicy nie mogą pomijać zapory aplikacji internetowej (WAF) lub obejść limity ograniczania przepustowości. zaleca się Azure Application Gateway ze zintegrowanym zaporą aplikacji internetowej.

    Jeśli używasz warstwy Enterprise, użyj przypisanego punktu końcowego aplikacji Spring Cloud Gateway jako puli zaplecza Application Gateway. Ten punkt końcowy jest rozpoznawany jako prywatny adres IP w podsieci środowiska uruchomieniowego usługi Azure Spring Apps.

    Dodaj sieciową grupę zabezpieczeń w podsieci środowiska uruchomieniowego usługi, która zezwala na ruch tylko z podsieci Application Gateway, podsieci usługi Azure Spring Apps i Azure Load Balancer.

    Uwaga

    Możesz wybrać alternatywę dla zwrotnego serwera proxy, takiego jak usługa Azure Front Door lub usługi spoza platformy Azure. Aby uzyskać informacje o opcjach konfiguracji, zobacz Uwidacznij usługę Azure Spring Apps za pośrednictwem zwrotnego serwera proxy.

  • Usługa Azure Spring Apps można wdrożyć w sieci wirtualnej za pośrednictwem iniekcji sieci wirtualnej lub poza siecią. Aby uzyskać więcej informacji, zobacz Podsumowanie konfiguracji.

Następne kroki

Zagadnienia dotyczące zabezpieczeń akceleratora strefy docelowej usługi Azure Spring Apps