Поделиться через

Рекомендации по топологии сети и подключению для акселератора целевой зоны Служба приложений

  • Статья

В этой статье приведены рекомендации по проектированию и рекомендациям по топологии сети и подключению, которые можно применять при использовании акселератора целевой зоны службы приложение Azure. Сеть является главной для почти всего в целевой зоне.

Рекомендации по топологии сети и подключению для этой архитектуры зависят от требований размещенных рабочих нагрузок и требований к безопасности и соответствию требованиям вашей организации.

Рекомендации по проектированию

При развертывании решения Служба приложений в Azure необходимо тщательно учитывать требования к сети, чтобы обеспечить правильность работы приложения. Существует несколько ключевых факторов, которые следует учитывать при планировании развертывания.

  • Определите требования к сети для приложения.

    • Входящий трафик. Если приложение предоставляет веб-службы, такие как веб-сайт или API, вероятно, он должен иметь возможность получать входящий трафик из Интернета. Чтобы убедиться, что ваше приложение может принимать входящие подключения, необходимо настроить его для прослушивания соответствующих портов.
    • Доступ к другим ресурсам Azure. Возможно, приложению потребуется доступ к ресурсам в Azure, например учетным записям хранения или базам данных, с помощью частной конечной точки. Эти ресурсы могут находиться в виртуальной сети Azure или других службах Azure.
    • SSL/TLS. Чтобы защитить обмен данными между приложением и его пользователями, необходимо включить шифрование SSL/TLS. Это гарантирует, что трафик между приложением и его пользователями шифруется, что помогает защитить конфиденциальную информацию от перехвата сторонними лицами.
    • Ограничения IP-адресов. В зависимости от требований может потребоваться разрешить или заблокировать доступ к приложению с определенных IP-адресов или диапазонов. Это может обеспечить улучшенную безопасность и ограничить доступ к приложению определенным пользователям или расположениям.

  • Выберите уровень плана Служба приложений. Используйте требования к сети приложения, чтобы определить соответствующий уровень для плана Служба приложений. Рекомендуется ознакомиться с различными уровнями планов Служба приложений и их функциями, чтобы определить, какой из них лучше всего подходит для ваших потребностей.

служба Служба приложений с несколькими клиентами

  • Решение Служба приложений с несколькими клиентами использует один входящий IP-адрес и несколько исходящих IP-адресов с другими Служба приложений ресурсами в одной единице развертывания. Эти IP-адреса могут изменяться по различным причинам. Если вам нужны согласованные исходящие IP-адреса для решения с несколькими клиентами Служба приложений, можно настроить шлюз NAT или использовать интеграцию виртуальной сети.

  • Если вам нужен выделенный IP-адрес для решения Служба приложений, можно использовать назначенный приложением адрес, перед экземпляром Служба приложений с шлюзом приложений (который назначается статическим IP-адресом) или использовать SSL-сертификат на основе IP для назначения выделенного IP-адреса приложению через платформу Служба приложений.

  • Если вам нужно подключиться из решения Служба приложений к локальным, частным или IP-службам, рассмотрите следующее:

    • В развертывании с несколькими клиентами Служба приложений вызов Служба приложений может возникать из широкого диапазона IP-адресов. Возможно, потребуется интеграция виртуальной сети.
    • Вы можете использовать такие службы, как Управление API и Шлюз приложений для вызовов прокси-сервера между границами сети. При необходимости эти службы могут предоставить статический IP-адрес.

  • Для развертывания с несколькими Служба приложений клиентами можно использовать частную или общедоступную конечную точку. При использовании частной конечной точки общедоступный доступ к решению Служба приложений устраняется. Если вам нужна частная конечная точка решения Служба приложений, доступная через Интернет, рассмотрите возможность использования Шлюз приложений для предоставления решения Служба приложений.

  • Развертывание с несколькими клиентами Служба приложений предоставляет набор портов. В развертывании с несколькими Служба приложений клиентами невозможно блокировать или контролировать доступ к этим портам.

  • Правильно спланируйте подсети для интеграции исходящей виртуальной сети и рассмотрите количество необходимых IP-адресов. Интеграция виртуальной сети зависит от выделенной подсети. При подготовке подсети Azure azure резервирует пять IP-адресов. Один IP-адрес используется из подсети интеграции для каждого экземпляра плана Служба приложений. При масштабировании приложения до четырех экземпляров, например, используются четыре IP-адреса. При масштабировании вверх или вниз необходимое адресное пространство увеличивается в течение короткого времени. Это влияет на доступные поддерживаемые экземпляры для заданного размера подсети.

  • Так как вы не можете изменить размер подсети после назначения, необходимо использовать подсеть, которая достаточно велика, чтобы обеспечить масштаб, который может достичь приложения. Чтобы избежать проблем с емкостью подсети, используйте /26 с 64 адресами для интеграции виртуальной сети.

  • Если вы подключаетесь к решению с несколькими клиентами Служба приложений и вам нужен выделенный исходящий адрес, используйте шлюз NAT.

Среда службы приложений (один клиент)

  • Определите Среда службы приложений сетевую структуру: внешнюю или внутреннюю подсистему балансировки нагрузки. Используйте внешнее развертывание, если требуется прямой доступ из Интернета. Используйте внутреннее развертывание подсистемы балансировки нагрузки для предоставления доступа только из виртуальной сети, в которой развернуты Среда службы приложений. Последнее развертывание обеспечивает другой уровень безопасности и контроля доступа к сети к приложениям.
  • Служба приложений в Среда службы приложений получает статические выделенные IP-адреса для входящих и исходящих подключений в течение всего времени существования Среда службы приложений.
  • Когда необходимо подключиться из Среда службы приложений к локальным, частным или IP-службам, Среда службы приложений выполняется в контексте виртуальной сети.
  • При развертывании Среда службы приложений выбирается размер подсети. Вы не можете изменить размер в дальнейшем. Рекомендуется размер /24, который имеет 256 адресов и может обрабатывать максимальный размер Среда службы приложений и любые потребности масштабирования.

Рекомендации по проектированию

Следующие рекомендации применяются к любому развертыванию Служба приложений.

  • Подключение решения Служба приложений:
    • Реализуйте брандмауэр веб-приложения Azure перед решением Служба приложений. Используйте Azure Front Door, Шлюз приложений или службу партнеров, чтобы обеспечить эту защиту на основе OWASP. Azure Front Door или Шлюз приложений можно использовать для одного региона или для нескольких регионов. Если вам нужна маршрутизация путей в регионе, используйте Шлюз приложений. Если требуется балансировка нагрузки в нескольких регионах и Брандмауэр веб-приложений, используйте Azure Front Door.
    • Используя частную конечную точку для Служба приложений, вы можете получить доступ к приложению через частную сетевую конечную точку, а не общедоступную, интернет-конечную точку. При использовании частной конечной точки вы можете ограничить доступ к приложению только пользователям в виртуальной сети, что обеспечивает другой уровень безопасности для приложения, снижение затрат на исходящий трафик данных и повышение производительности.
    • Используйте ограничения доступа, чтобы обеспечить доступ к решению Служба приложений только из допустимых расположений. Например, если развертывание с несколькими клиентами Служба приложений размещает API и выполняется Управление API, настройте ограничение доступа, чтобы доступ к решению Служба приложений можно было получить только из Управление API.
  • Подключение из решения Служба приложений:
  • Используйте встроенные средства для устранения неполадок в сети.
  • Избегайте исчерпания портов SNAT с помощью пулов подключений. Многократное создание подключений к одному узлу и порту может привести к медленному времени отклика, временным ошибкам 5xx, времени ожидания или проблемам подключения внешней конечной точки.
  • Следуйте рекомендациям, описанным в разделе "Безопасность сети" в базовом плане безопасности Azure для Служба приложений.

Цель топологии сети и рекомендации по подключению для акселератора целевой зоны Служба приложений — предоставить высокоуровневый шаблон для реализации масштабируемой и устойчивой среды для развертывания Служба приложений. Этот шаблон посвящен архитектуре сети и подключению и помогает быстро и эффективно настроить целевую зону в Azure для размещения решений Служба приложений.