Гибридные облачные приложения

  • 10 мин

В Tailwind Traders есть несколько приложений с интерфейсными компонентами, которые в настоящее время работают в локальной сети в сети периметра с внутренними элементами в защищенной внутренней сети. Одна из целей Tailwind Traders при перемещении в гибридное облако заключается в снятии сети периметра и размещении любых общедоступных рабочих нагрузок в облаке. Из-за проблем совместимости и опасений владельцев рабочих нагрузок некоторые из этих приложений должны оставаться физически в Tailwind Traders, а не размещаться в центре обработки данных Azure.

В Tailwind Traders есть другие приложения, доступ к которым осуществляется через VPN-подключения во внутренние защищенные сети в центрах обработки данных в Сиднее, Мельбурне и Окленде. Для этих приложений обычно требуется проверка подлинности пользователей с помощью локального экземпляра Active Directory.

В этом модуле вы узнаете о технологиях, позволяющих Tailwind Traders поддерживать приложения, к которым пользователи подключаются через Azure, даже если данные или само приложение все еще размещены на оборудовании Tailwind Traders.

Что такое Azure Relay?

Azure Relay — это служба, которую можно использовать для безопасного предоставления рабочих нагрузок, которые выполняются во внутренней сети организации в общедоступном облаке. Служба позволяет сделать это, не открывая входящего порта в брандмауэре сети периметра.

Azure Relay поддерживает следующие сценарии между локальными службами и приложениями, работающими в Azure.

  • Традиционная односторонняя связь, связь на основе запроса и ответа и связь в одноранговых сетях.
  • Распространение событий для включения сценариев публикации и подписки.
  • Двунаправленный и небуферизованный обмен данными через границы сети.

Azure Relay имеет следующие возможности.

  • Гибридные подключения. Эти подключения используют веб-сокеты с открытым стандартом и могут применяться в многоплатформенных архитектурах. Они поддерживают .NET Core, .NET Framework, скрипты JavaScript/Node.js, основанные на стандартах открытые протоколы и модели программирования удаленного вызова процедур (RPC).
  • Ретранслятор WCF. Этот компонент использует стандарт Windows Communication Foundation (WCF) для удаленного вызова процедур. Это вариант, который многие клиенты используют в своих программах WCF. Он также обеспечивает поддержку .NET Framework.

Azure Relay позволяет Tailwind Traders публиковать некоторые приложения, работающие во внутренней сети, клиентам в Интернете без необходимости подключения VPN. Компания должна использовать Azure Relay вместо гибридных подключений службы приложений Azure, если в Azure не запущены интерфейсные веб-приложения. Azure Relay следует использовать вместо прокси приложения Microsoft Entra, если приложению не требуется проверка подлинности Microsoft Entra.

Что такое гибридные подключения службы приложений?

Гибридные подключения службы приложений Azure могут использовать любой ресурс приложения в любой сети, способной на отправку исходящих запросов в Azure через порт 443. Например, вы можете использовать гибридные подключения, чтобы разрешить веб-приложению, работающему в Azure, использовать локальную базу данных SQL Server. Гибридные подключения предоставляют доступ из приложения, работающего в Azure, к конечной точке протокола TCP.

Гибридные подключения доступны не только для рабочих нагрузок, выполняющихся на платформах Windows Server. Вы можете настроить гибридные подключения для доступа к любому ресурсу, который действует как конечная точка TCP, независимо от используемого протокола приложения. Например, можно настроить гибридное подключение между веб-приложением, работающим в Azure, и базой данных MySQL, работающей на локальной виртуальной машине Linux.

Гибридные подключения используют агент ретранслятора, который развертывается в расположении, где агент может установить подключение к конечной точке TCP во внутренней сети и установить соединение с Azure. Это подключение защищено с помощью протокола TLS 1.2. Для проверки подлинности и авторизации используются подписанные URL-адреса.

На рисунке ниже показано гибридное подключение между веб-приложением, работающим в Azure, и конечной точкой базы данных, работающей в локальной среде.

Схема, показывающая гибридное подключение между веб-приложением в Azure и локальной конечной точкой базы данных.

Гибридные подключения имеют следующие функциональные возможности:

  • Приложения, работающие в Azure, могут безопасно обращаться к локальным системам и службам.
  • Локальные системы или службы не должны быть доступны напрямую узлам в Интернете.
  • Нет необходимости открывать порт в брандмауэре, чтобы разрешить входящий доступ из Azure к агенту ретрансляции. Весь обмен данными инициируется в исходящем трафике от агента ретрансляции через порт 443.

Служба гибридных подключений имеет следующие ограничения:

  • Не может использоваться для подключения общего ресурса SMB в локальной сети.
  • Не может использовать протокол UDP.
  • Не может получать доступ к службам на основе TCP, использующим динамические порты.
  • Не поддерживает протокол LDAP, так как он зависит от протокола UDP.
  • Не может использоваться для выполнения операции присоединения к домену в доменных службах Active Directory Services.

Что касается Tailwind Traders, гибридные подключения позволяют компании прекратить поддержку приложений, внешние интерфейсы которых сейчас работают в сети периметра Tailwind Traders. Эти приложения можно перенести в Azure, а служба гибридных подключений обеспечит безопасное подключение к защищенным сетям, на которых размещены серверные компоненты приложения.

Что такое прокси приложения Microsoft Entra?

Прокси приложения Microsoft Entra позволяет обеспечить безопасный удаленный доступ к веб-приложению, работающему в локальной среде через внешний URL-адрес. Application Proxy можно настроить на разрешение удаленного доступа и единого входа в SharePoint, Microsoft Teams, веб-приложения IIS и удаленный рабочий стол. Application Proxy можно реализовать как замену виртуальных частных сетей на внутренние сети или обратные прокси-серверы.

Application Proxy работает со следующими приложениями.

  • Веб-приложения, основанные на встроенной проверке подлинности Windows
  • Веб-приложения, использующие проверку подлинности на основе заголовков или форм
  • Приложения, размещенные через Remote Desktop Gateway

Application Proxy работает следующим образом.

  1. Пользователь подключается к приложению через общедоступную конечную точку, а затем выполняет вход Microsoft Entra.
  2. После завершения входа токен перенаправляется на устройство пользователя.
  3. Клиентское устройство перенаправляет токен в службу Application Proxy, возвращающую имя субъекта-пользователя (UPN) и имя субъекта-службы (SPN) из токена. Затем Application Proxy перенаправляет запрос к соединителю Application Proxy.
  4. Если включен единый вход, соединитель Application Proxy выполняет дополнительную проверку подлинности.
  5. Соединитель Application Proxy перенаправляет запрос в локальное приложение.
  6. Ответ отправляется через соединитель и службу Application Proxy пользователю.

Этот процесс показан на приведенной ниже иллюстрации.

Схема, показывающая функциональные возможности прокси приложения с пользователем за пределами корпоративной сети, выполняющей подключение через прокси приложения к локальному приложению.

Пользователи внутренних сетей, которым разрешено прямое подключение к приложениям, не должны использовать Application Proxy.

Tailwind Traders может использовать прокси приложения Microsoft Entra для предоставления внешним пользователям доступа к внутренним приложениям, используюющим проверку подлинности Active Directory.

Проверьте свои знания

1.

В компании Tailwind Traders есть несколько многоуровневых приложений, которые она перенесет в гибридное облако. В настоящее время приложения находятся на веб-уровнях в сети периметра Tailwind Traders и на уровне базы данных на виртуальных машинах в центре управления мобильными данными в Сиднее. В новой архитектуре приложения будут выполняться веб-приложения, работающие в Azure. Какую из следующих технологий должна использовать Tailwind Traders, чтобы разрешить обмен данными между уровнем веб-приложения в Azure и уровнем базы данных, работающим на виртуальных машинах в центре управления данными в Сидней?

2.

Tailwind Traders хочет опубликовать приложение, использующее учетные записи доменных служб Active Directory для проверки подлинности, чтобы оно было доступно для узлов в Интернете. Tailwind Traders настроила Microsoft Entra Connect для синхронизации локальных удостоверений, которые будут использоваться с этим приложением с идентификатором Microsoft Entra. Какие из следующих гибридных технологий будут использоваться для публикации этого приложения для узлов в Интернете, чтобы они могли получить к ним доступ с помощью синхронизированных удостоверений?