Aplicativos de nuvem híbrida
A Tailwind Traders tem vários aplicativos que têm componentes de front-end que atualmente são executados localmente na rede de perímetro. Os elementos de back-end estão em uma rede interna protegida. Um dos objetivos da Tailwind Traders ao fazer a migração para uma nuvem híbrida é desativar a rede de perímetro e hospedar cargas de trabalho voltadas para o público na nuvem. Devido a preocupações de conformidade e dos proprietários de carga de trabalho, alguns desses aplicativos devem permanecer fisicamente nas instalações da Tailwind Traders em vez de serem hospedados em um datacenter do Azure.
A Tailwind Traders tem outros aplicativos que são acessados por meio de conexões VPN nas redes protegidas internas nos datacenters de Sydney, Melbourne e Auckland. Esses aplicativos geralmente exigem que os usuários se autentiquem com a instância do Active Directory local deles.
Nesta unidade, você aprenderá sobre as tecnologias que permitem que a Tailwind Traders mantenha os aplicativos aos quais os usuários se conectam por meio do Azure, mesmo que os dados ou o próprio aplicativo ainda estejam hospedados no equipamento da Tailwind Traders.
O que é a Retransmissão do Azure?
A Retransmissão do Azure é um serviço que pode ser usado para expor com segurança à nuvem pública as cargas de trabalho que são executadas na rede interna da sua organização. O serviço permite que você faça isso sem abrir uma porta de entrada em um firewall de rede de perímetro.
A Retransmissão do Azure dá suporte aos seguintes cenários entre os serviços e aplicativos locais em execução no Azure:
- Comunicação unidirecional tradicional, solicitação/resposta e ponto a ponto
- Distribuição de eventos para habilitar cenários de publicação/assinatura
- Comunicação de soquete bidirecional e sem buffer entre limites de rede
A Retransmissão do Azure tem os seguintes recursos:
- Conexões Híbridas. Esse recurso usa os soquetes Web de padrão aberto e podem ser usados em arquiteturas multiplataforma. Ele dá suporte a .NET Core, .NET Framework, JavaScript/Node.js, protocolos abertos baseados em padrões e modelos de programação RPC (chamada de procedimento remoto).
- Retransmissão do WCF. Esse recurso usa WCF (Windows Communication Foundation) para habilitar chamadas de procedimento remoto. Essa é uma opção que muitos clientes usam com os programas WCF deles. Ela também dá suporte ao .NET Framework.
A Retransmissão do Azure permite que a Tailwind Traders publique alguns aplicativos que são executados na rede interna em clientes na Internet sem exigir uma conexão VPN. A empresa deve usar a Retransmissão do Azure em vez das Conexões Híbridas do Serviço de Aplicativo do Azure quando não há nenhum aplicativo Web de front-end em execução no Azure. A Retransmissão do Azure deve ser usada em vez do proxy de aplicativo do Microsoft Entra quando o aplicativo não exigir autenticação do Microsoft Entra.
O que são as Conexões Híbridas do Serviço de Aplicativo?
O recurso de Conexões Híbridas do Serviço de Aplicativo do Azure pode usar qualquer recurso de aplicativo em qualquer rede que possa enviar solicitações de saída para o Azure na porta 443. Por exemplo, você pode usar as Conexões Híbridas para permitir que um aplicativo Web em execução no Azure use um banco de dados do SQL Server em execução local. O recurso de Conexões Híbridas fornece acesso de um aplicativo em execução no Azure para um ponto de extremidade de protocolo TCP.
As Conexões Híbridas não se limitam a cargas de trabalho em execução em plataformas do Windows Server. Você pode configurar as Conexões Híbridas para acessar qualquer recurso que funcione como um ponto de extremidade de TCP, independentemente de qual protocolo de aplicativo está sendo usado. Por exemplo, você pode configurar uma conexão híbrida entre um aplicativo Web em execução no Azure e um banco de dados MySQL em execução em uma máquina virtual Linux local.
As Conexões Híbridas usam um agente de retransmissão implantado em uma localização em que o agente pode estabelecer a conectividade com o ponto de extremidade de TCP na rede interna e estabelecer uma conexão com o Azure. Essa conexão é protegida pelo protocolo TLS 1.2. As chaves de SAS (assinatura de acesso compartilhado) são usadas para autenticação e autorização.
A imagem a seguir mostra uma conexão híbrida entre um aplicativo Web em execução no Azure e um ponto de extremidade de banco de dados em execução local.
As Conexões Híbridas têm a seguinte funcionalidade:
- Os aplicativos em execução no Azure podem acessar sistemas e serviços locais de maneira segura.
- Os sistemas ou os serviços locais não precisam estar diretamente acessíveis para hosts na Internet.
- Não é necessário abrir uma porta no firewall para permitir o acesso de entrada do Azure para o agente de retransmissão. Toda a comunicação é iniciada em um modo de saída do agente de retransmissão por meio da porta 443.
As Conexões Híbridas têm as seguintes limitações:
- Não podem ser usadas para montar um compartilhamento SMB em uma rede local.
- Não podem usar o protocolo UDP.
- Não podem acessar serviços baseados em TCP que usam portas dinâmicas.
- Não dão suporte ao protocolo LDAP devido à dependência no UDP.
- Não podem ser usadas para executar uma operação de ingresso no domínio do Active Directory Domain Services.
Para a Tailwind Traders, as Conexões Híbridas permitirão que a desativação de vários aplicativos que atualmente têm os próprios front-ends em execução na rede de perímetro da Tailwind Traders. Esses aplicativos podem ser migrados para o Azure. Em seguida, as Conexões Híbridas fornecerão uma conexão segura às redes protegidas que hospedam os componentes de back-end do aplicativo.
O que é o proxy de aplicativo do Microsoft Entra?
O Proxy de Aplicativo do Microsoft Entra permite que você forneça acesso remoto seguro a um aplicativo web em execução em um ambiente local por meio de um URL externo. Você pode configurar o Proxy de Aplicativo para permitir o acesso remoto e o logon único ao SharePoint, ao Microsoft Teams, a aplicativos Web do IIS e à Área de Trabalho Remota. O Proxy de Aplicativo pode ser implementado como uma substituição a VPNs em redes internas ou proxies reversos.
O Proxy de Aplicativo funciona com os seguintes aplicativos:
- Aplicativos Web que usam a Autenticação Integrada do Windows
- Aplicativos Web que usam autenticação baseada em cabeçalho ou em formulário
- Aplicativos hospedados por meio do Gateway de Área de Trabalho Remota
O Proxy de Aplicativo funciona da seguinte maneira:
- O usuário se conecta ao aplicativo por meio de um ponto de extremidade disponível publicamente e, em seguida, faz login no Microsoft Entra.
- Um token é encaminhado para o dispositivo do usuário após a conclusão da conexão.
- O dispositivo cliente encaminha o token para o serviço de Proxy de Aplicativo, que retorna o nome UPN e o SPN (nome da entidade de segurança) do token. Em seguida, o Proxy de Aplicativo encaminha a solicitação para o conector do Proxy de Aplicativo.
- Se o logon único tiver sido habilitado, o conector do Proxy de Aplicativo executará uma autenticação adicional.
- O conector do Proxy de Aplicativo encaminha a solicitação para o aplicativo local.
- A resposta é enviada por meio do conector e do serviço de Proxy de Aplicativo para o usuário.
A imagem seguinte mostra esse processo:
Os usuários de redes internas que permitem a conexão direta com os aplicativos devem evitar o uso do Proxy de Aplicativo.
A Tailwind Traders pode usar o proxy de aplicativo do Microsoft Entra para fornecer aos usuários externos acesso a aplicativos internos que usam a autenticação do Active Directory.