Поделиться через

Сеть и подключение для критически важных рабочих нагрузок

  • Статья

Для регионального распределения ресурсов в критически важной эталонной архитектуре требуется надежная сетевая инфраструктура.

Рекомендуется использовать глобально распределенную структуру, в которой службы Azure объединяются для предоставления высокодоступного приложения. Глобальная подсистема балансировки нагрузки в сочетании с региональными метками обеспечивает такую гарантию за счет надежного подключения.

Региональные метки — это развертываемая единица архитектуры. Возможность быстрого развертывания новой метки обеспечивает масштабируемость и высокий уровень доступности. Метки соответствуют изолированной виртуальной сети. Перекрестный трафик не рекомендуется. Пиринг виртуальных сетей или VPN-подключения к другим меткам не требуются.

Архитектура намеренно определяет региональные метки как кратковременные. Глобальное состояние инфраструктуры хранится в глобальных ресурсах.

Для маршрутизации трафика в исправные метки и предоставления служб безопасности требуется глобальная подсистема балансировки нагрузки. Он должен иметь определенные возможности.

  • Проверка работоспособности необходима, чтобы подсистема балансировки нагрузки проверка работоспособность источника перед маршрутизацией трафика.

  • Взвешемое распределение трафика.

При необходимости он должен иметь возможность выполнять кэширование на краю. Кроме того, предоставьте некоторые гарантии безопасности для входящего трафика с помощью брандмауэра веб-приложения (WAF).

Схема сети для эталонной архитектуры.

Скачайте файл Visio этой архитектуры.

Входящий трафик

Приложение, определенное в архитектуре, подключено к Интернету и имеет несколько требований:

  • Глобальное решение маршрутизации, которое может распределять трафик между независимыми региональными метками.

  • Низкая задержка при проверке работоспособности и возможность остановить отправку трафика в неработоспособные метки.

  • Предотвращение вредоносных атак на границе.

  • Предоставление возможностей кэширования на границе.

Точка входа для всего трафика в проекте — через Azure Front Door. Front Door — это глобальная подсистема балансировки нагрузки, которая направляет трафик HTTP(S) к зарегистрированным серверным серверам и источникам. Front Door использует пробы работоспособности, которые выдают запросы к URI в каждой серверной части или источнике. В эталонной реализации URI называется службой работоспособности. Служба работоспособности объявляет о работоспособности метки. Front Door использует ответ для определения работоспособности отдельной метки и маршрутизации трафика к работоспособным меткам, которые могут обслуживать запросы приложений.

Интеграция Azure Front Door с Azure Monitor обеспечивает мониторинг трафика, метрик безопасности, успешности и сбоя, а также оповещений практически в реальном времени.

Azure Брандмауэр веб-приложений, интегрированный с Azure Front Door, используется для предотвращения атак на границе до того, как они попадают в сеть.

Схема сетевого входящего трафика для эталонной архитектуры.

Изолированная виртуальная сеть — API

API в архитектуре использует виртуальные сети Azure в качестве границы изоляции трафика. Компоненты в одной виртуальной сети не могут напрямую взаимодействовать с компонентами в другой виртуальной сети.

Запросы к платформе приложений распространяются с внешним Azure Load Balancer ценовой категории "Стандартный". Существует проверка, чтобы обеспечить маршрутизацию трафика, достигающего подсистемы балансировки нагрузки, через Azure Front Door. Этот проверка гарантирует, что весь трафик был проверен WAF Azure.

Агенты сборки, используемые для операций и развертывания архитектуры, должны иметь возможность подключения к изолированной сети. Изолированную сеть можно открыть, чтобы позволить агентам обмениваться данными. Кроме того, локальные агенты можно развернуть в виртуальной сети.

Требуется мониторинг пропускной способности сети, производительности отдельных компонентов и работоспособности приложения.

Зависимость взаимодействия платформы приложений

Платформа приложений, используемая с отдельными метками в инфраструктуре, имеет следующие требования к обмену данными:

  • Платформа приложений должна иметь возможность безопасного взаимодействия со службами Microsoft PaaS.

  • Платформа приложений должна иметь возможность безопасно обмениваться данными с другими службами при необходимости.

Определенная архитектура использует azure Key Vault для хранения секретов, таких как строки подключения и ключи API, для безопасного обмена данными через Интернет со службами Azure PaaS. Существуют возможные риски, связанные с предоставлением платформы приложений через Интернет для этого взаимодействия. Секреты могут быть скомпрометированы, и рекомендуется повысить безопасность и мониторинг общедоступных конечных точек.

Схема зависимостей взаимодействия платформы приложений.

Рекомендации по расширенным сетям

В этом разделе рассматриваются плюсы и недостатки альтернативных подходов к проектированию сети. В следующих разделах основное внимание уделяется альтернативным сетевым решениям и использованию частных конечных точек Azure.

Подсети и NSG

Подсети в виртуальных сетях можно использовать для сегментирования трафика в рамках проекта. Изоляция подсети разделяет ресурсы для разных функций.

Группы безопасности сети можно использовать для управления трафиком, разрешенным в каждой подсети и из него. Правила, используемые в группах безопасности сети, могут ограничивать трафик на основе IP-адреса, порта и протокола, чтобы блокировать нежелательный трафик в подсеть.

Частные конечные точки — входящий трафик

Номер SKU уровня "Премиум" Front Door поддерживает использование частных конечных точек Azure. Частные конечные точки предоставляют службе Azure частный IP-адрес в виртуальной сети. Соединения между службами создаются безопасно и в частном порядке без необходимости направлять трафик к общедоступным конечным точкам.

Azure Front Door уровня "Премиум" и частные конечные точки Azure позволяют использовать полностью частные вычислительные кластеры в отдельных метках. Трафик полностью заблокирован для всех служб Azure PaaS.

Использование частных конечных точек повышает безопасность проекта. Однако это вызывает еще одну точку сбоя. Общедоступные конечные точки, предоставляемые в метках приложения, больше не нужны и не могут быть доступны и подвержены возможной атаке DDoS.

Повышение безопасности должно быть взвешено в сравнении с повышением надежности, затратами и сложностью.

Для развертывания метки необходимо использовать локальные агенты сборки. Управление этими агентами сопровождается дополнительными расходами на обслуживание.

Схема входящего трафика сети для эталонной архитектуры с частными конечными точками.

Частные конечные точки — платформа приложений

Частные конечные точки поддерживаются для всех служб Azure PaaS, используемых в этой архитектуре. При настройке частных конечных точек для платформы приложений весь обмен данными будет проходить через виртуальную сеть метки.

Общедоступные конечные точки отдельных служб Azure PaaS можно настроить так, чтобы запретить общий доступ. Это позволит изолировать ресурсы от общедоступных атак, которые могут привести к простою и регулированию, которые влияют на надежность и доступность.

Для развертывания метки необходимо использовать локальные агенты сборки, как описано выше. Управление этими агентами сопровождается дополнительными расходами на обслуживание.

Схема зависимостей взаимодействия платформы приложений с частными конечными точками.

Дальнейшие действия

Разверните эталонную реализацию, чтобы получить полное представление о ресурсах и их конфигурации, используемых в этой архитектуре.

Реализация: Mission-Critical Online