Compartilhar via

Planejar a entrega de aplicativos

  • Artigo

Esta seção explora as principais recomendações para entregar aplicativos internos e externos de maneira segura, altamente escalonável e altamente disponível.

Considerações sobre o design:

  • O Azure Load Balancer (interno e público) fornece alta disponibilidade para entrega de aplicativos em um nível regional.

  • O Gateway de Aplicativo do Azure permite a entrega segura de aplicativos HTTP/S no nível regional.

  • O Azure Front Door permite a entrega segura de aplicativos HTTP/S altamente disponíveis entre regiões do Azure.

  • O Gerenciador de Tráfego do Azure permite a entrega de aplicativos globais.

Recomendações de design:

  • Realize a entrega de aplicativos dentro de zonas de destino para aplicativos internos e externos.

    • Trate o Gateway de Aplicativo como um componente de aplicativo e implante-o em uma rede virtual spoke não como um recurso compartilhado no hub.
    • Para interpretar Firewall de Aplicativo Web alertas, você geralmente precisa de conhecimento aprofundado do aplicativo para decidir se as mensagens que disparam esses alertas são legítimas.
    • Você poderá enfrentar problemas de controle de acesso baseado em função se implantar Gateway de Aplicativo no hub quando as equipes gerenciarem aplicativos diferentes, mas usarem a mesma instância de Gateway de Aplicativo. Cada equipe tem acesso a toda a configuração do Gateway de Aplicativo.
    • Se você tratar o Gateway de Aplicativo como um recurso compartilhado, você pode exceder os limites do Gateway de Aplicativo do Azure.
    • Leia mais sobre isso na rede de confiança zero para aplicativos Web.

  • Para a entrega segura de aplicativos HTTP/S, use o Gateway de Aplicativo v2 e verifique se a proteção e as políticas do WAF estão habilitadas.

  • Use a NVA de um parceiro se você não puder usar o Gateway de Aplicativo v2 para proteger aplicativos HTTP/S.

  • Implante o Gateway de Aplicativo do Azure v2 ou NVAs de parceiros usadas para conexões HTTP/S de entrada na rede virtual da zona de destino e com os aplicativos que elas estão protegendo.

  • Use um plano padrão de proteção contra DDoS para todos os endereços IP públicos em uma zona de aterrissagem.

  • Use o Azure Front Door com políticas do WAF para entregar e ajudar a proteger aplicativos HTTP/S globais que abrangem regiões do Azure.

  • Quando estiver usando o Front Door e o Gateway de Aplicativo para ajudar a proteger aplicativos HTTP/S, use políticas do WAF no Front Door. Bloqueie o Gateway de Aplicativo para receber tráfego somente do Front Door.

  • Use o Gerenciador de Tráfego para entregar aplicativos globais que abrangem protocolos diferentes do HTTP/S.