Partilhar via


Planear a entrega de aplicações

Esta secção explora as principais recomendações para fornecer aplicações internas e externas de forma segura, altamente dimensionável e de elevada disponibilidade.

Considerações de design:

  • Balanceador de Carga do Azure (interna e pública) fornece elevada disponibilidade para a entrega de aplicações a nível regional.

  • Gateway de Aplicação do Azure permite a entrega segura de aplicações HTTP/S a nível regional.

  • O Azure Front Door permite a entrega segura de aplicações HTTP/S de elevada disponibilidade em todas as regiões do Azure.

  • O Gestor de Tráfego do Azure permite a entrega de aplicações globais.

Recomendações de conceção:

  • Efetue a entrega de aplicações em zonas de destino para aplicações internas e externas.

    • Trate o Gateway de Aplicação como um componente da aplicação e implemente-o numa rede virtual spoke e não como um recurso partilhado no hub.
    • Para interpretar Firewall de Aplicações Web alertas, geralmente precisa de conhecimentos aprofundados sobre a aplicação para decidir se as mensagens que acionam esses alertas são legítimas.
    • Poderá ter problemas de controlo de acesso baseado em funções se implementar Gateway de Aplicação no hub quando as equipas gerem aplicações diferentes, mas utilizar a mesma instância de Gateway de Aplicação. Em seguida, cada equipa tem acesso a toda a configuração Gateway de Aplicação.
    • Se tratar Gateway de Aplicação como um recurso partilhado, poderá exceder os limites de Gateway de Aplicação do Azure.
    • Leia mais sobre isto na rede de confiança zero para aplicações Web.
  • Para a entrega segura de aplicações HTTP/S, utilize Gateway de Aplicação v2 e certifique-se de que a proteção e as políticas da WAF estão ativadas.

  • Utilize uma NVA de parceiro se não conseguir utilizar Gateway de Aplicação v2 para a segurança das aplicações HTTP/S.

  • Implemente Gateway de Aplicação do Azure v2 ou NVAs de parceiro utilizadas para ligações HTTP/S de entrada na rede virtual de zona de destino e com as aplicações que estão a proteger.

  • Utilize um plano de proteção padrão DDoS para todos os endereços IP públicos numa zona de destino.

  • Utilize o Azure Front Door com políticas WAF para fornecer e ajudar a proteger aplicações HTTP/S globais que abrangem regiões do Azure.

  • Quando estiver a utilizar o Front Door e Gateway de Aplicação para ajudar a proteger aplicações HTTP/S, utilize políticas WAF no Front Door. Bloqueie Gateway de Aplicação para receber tráfego apenas do Front Door.

  • Utilize o Gestor de Tráfego para fornecer aplicações globais que abrangem protocolos diferentes de HTTP/S.