Гибридные облачные приложения

  • 10 мин

В Tailwind Traders есть несколько приложений с интерфейсными компонентами, которые в настоящее время работают в локальной сети в сети периметра с внутренними элементами в защищенной внутренней сети. Одна из целей Tailwind Traders при перемещении в гибридное облако заключается в снятии сети периметра и размещении любых общедоступных рабочих нагрузок в облаке. Из-за проблем совместимости и опасений владельцев рабочих нагрузок некоторые из этих приложений должны оставаться физически в Tailwind Traders, а не размещаться в центре обработки данных Azure.

В Tailwind Traders есть другие приложения, доступ к которым осуществляется через VPN-подключения во внутренние защищенные сети в центрах обработки данных в Сиднее, Мельбурне и Окленде. Для этих приложений обычно требуется проверка подлинности пользователей с помощью локального экземпляра Active Directory.

В этом уроке вы узнаете о технологиях создания гибридных подключений. Эти подключения позволяют Tailwind Traders поддерживать приложения для пользователей, подключаемых через Azure, даже если данные или само приложение размещаются на оборудовании Tailwind Traders.

Что такое Azure Relay?

Azure Relay — это служба, которую можно использовать для безопасного предоставления рабочих нагрузок, которые выполняются во внутренней сети организации в общедоступном облаке. Служба безопасно открывает эти рабочие нагрузки без открытия входящего порта в брандмауэре на периметре сети.

Azure Relay поддерживает следующие сценарии между локальными службами и приложениями, работающими в Azure.

  • Традиционная односторонняя связь, связь на основе запроса и ответа и связь в одноранговых сетях.
  • Распространение событий для включения сценариев публикации и подписки.
  • Двунаправленный и небуферизованный обмен данными через границы сети.

Azure Relay имеет следующие возможности.

  • Гибридные подключения. Эти подключения используют веб-сокеты с открытым стандартом и могут применяться в многоплатформенных архитектурах. Они поддерживают .NET Core, .NET Framework, скрипты JavaScript/Node.js, основанные на стандартах открытые протоколы и модели программирования удаленного вызова процедур (RPC).
  • Ретранслятор WCF. Этот компонент использует стандарт Windows Communication Foundation (WCF) для удаленного вызова процедур. Это вариант, который многие клиенты используют в своих программах WCF. Он также обеспечивает поддержку .NET Framework.

Azure Relay позволяет Tailwind Traders публиковать некоторые приложения, работающие во внутренней сети, клиентам в Интернете без необходимости подключения VPN. Компания должна использовать Azure Relay вместо гибридных подключений службы приложений Azure, если в Azure нет интерфейсного веб-приложения. Azure Relay следует использовать вместо прокси приложения Microsoft Entra, если приложению не требуется проверка подлинности Microsoft Entra.

Что такое гибридные подключения службы приложений?

Гибридные подключения службы приложений Azure могут использовать любой ресурс приложения в любой сети, способной на отправку исходящих запросов в Azure через порт 443. Например, вы можете использовать гибридные подключения, чтобы разрешить веб-приложению, работающему в Azure, использовать локальную базу данных SQL Server. Гибридные подключения предоставляют доступ из приложения, работающего в Azure, к конечной точке протокола TCP.

Гибридные подключения доступны не только для рабочих нагрузок, выполняющихся на платформах Windows Server. Вы можете настроить гибридные подключения для доступа к любому ресурсу, который действует как конечная точка TCP, независимо от используемого протокола приложения. Например, можно настроить гибридное подключение между веб-приложением, работающим в Azure, и базой данных MySQL, работающей на локальной виртуальной машине Linux.

Гибридные подключения используют агент ретрансляции. Агент ретрансляции развертывается в расположении, где он может установить подключение к конечной точке TCP во внутренней сети и установить подключение к Azure. Это подключение защищено с помощью протокола TLS 1.2. Для проверки подлинности и авторизации используются подписанные URL-адреса.

На рисунке ниже показано гибридное подключение между веб-приложением, работающим в Azure, и конечной точкой базы данных, работающей в локальной среде.

Схема, показывающая гибридное подключение между веб-приложением в Azure и локальной конечной точкой базы данных.

Гибридные подключения имеют следующие функциональные возможности:

  • Приложения, работающие в Azure, могут безопасно обращаться к локальным системам и службам.
  • Локальные системы или службы не должны быть доступны напрямую узлам в Интернете.
  • Нет необходимости открывать порт в брандмауэре, чтобы разрешить входящий доступ из Azure к агенту ретрансляции. Весь обмен данными инициируется в исходящем трафике от агента ретрансляции через порт 443.

Служба гибридных подключений имеет следующие ограничения:

  • Не может использоваться для подключения общего ресурса SMB в локальной сети.
  • Не может использовать протокол UDP.
  • Не может получать доступ к службам на основе TCP, использующим динамические порты.
  • Не поддерживает протокол LDAP, так как он зависит от протокола UDP.
  • Не может использоваться для выполнения операции присоединения к домену в доменных службах Active Directory Services.

Для Tailwind Traders гибридные подключения позволяют отказаться от использования нескольких приложений, интерфейсы которых в настоящее время работают в периметральной сети Tailwind Traders. Эти приложения можно перенести в Azure, Затем гибридные подключения могут обеспечить безопасное подключение к защищенным сетям, в которых размещаются внутренние компоненты приложения.

Что такое прокси приложения Microsoft Entra?

Прокси приложения Microsoft Entra позволяет обеспечить безопасный удаленный доступ к веб-приложению, работающему в локальной среде через внешний URL-адрес. Application Proxy можно настроить на разрешение удаленного доступа и единого входа в SharePoint, Microsoft Teams, веб-приложения IIS и удаленный рабочий стол. Application Proxy можно реализовать как замену виртуальных частных сетей на внутренние сети или обратные прокси-серверы.

Application Proxy работает со следующими приложениями.

  • Веб-приложения, основанные на встроенной проверке подлинности Windows
  • Веб-приложения, использующие проверку подлинности на основе заголовков или форм
  • Приложения, размещенные через Remote Desktop Gateway

Application Proxy работает следующим образом.

  1. Пользователь подключается к приложению через общедоступную конечную точку, а затем выполняет вход Microsoft Entra.
  2. После завершения входа токен перенаправляется на устройство пользователя.
  3. Клиентское устройство перенаправляет токен в службу Application Proxy, возвращающую имя субъекта-пользователя (UPN) и имя субъекта-службы (SPN) из токена. Затем Application Proxy перенаправляет запрос к соединителю Application Proxy.
  4. Соединитель Application Proxy выполняет дополнительную проверку подлинности, если включен единый вход.
  5. Соединитель Application Proxy перенаправляет запрос в локальное приложение.
  6. Ответ отправляется через соединитель и службу Application Proxy пользователю.

Этот процесс показан на приведенной ниже иллюстрации.

Схема пользователя, выполняющего подключение извне сети организации к локальному приложению с помощью прокси приложения.

Пользователи внутренних сетей, которым разрешено прямое подключение к приложениям, не должны использовать Application Proxy.

Tailwind Traders может использовать прокси приложения Microsoft Entra для предоставления внешним пользователям доступа к внутренним приложениям, используюющим проверку подлинности Active Directory.

Проверьте свои знания

1.

Tailwind Traders имеет несколько многоуровневых приложений, которые планируется перенести в гибридное облако. В настоящее время приложения находятся на веб-уровнях в сети периметра Tailwind Traders и на уровне базы данных на виртуальных машинах в центре управления мобильными данными в Сиднее. В новой архитектуре приложений есть веб-приложения, работающие в Azure. Какую из следующих технологий должна использовать Tailwind Traders, чтобы разрешить обмен данными между уровнем веб-приложения в Azure и уровнем базы данных, работающим на виртуальных машинах в центре управления данными в Сидней?

2.

Tailwind Traders хочет опубликовать приложение, использующее учетные записи доменных служб Active Directory для проверки подлинности, чтобы оно было доступно для узлов в Интернете. Tailwind Traders настраивает Microsoft Entra Connect для синхронизации локальных удостоверений, используемых с этим приложением, с идентификатором Microsoft Entra. Какие из следующих гибридных технологий будут использоваться для публикации этого приложения для узлов в Интернете, чтобы они могли получить к ним доступ с помощью синхронизированных удостоверений?