Dela via

Nätverk och anslutning för verksamhetskritiska arbetsbelastningar

  • Artikel

Regional fördelning av resurser i verksamhetskritisk referensarkitektur kräver en robust nätverksinfrastruktur.

En globalt distribuerad design rekommenderas där Azure-tjänster samlas för att tillhandahålla ett program med hög tillgänglighet. Den globala lastbalanseraren i kombination med regionala stämplar ger den garantin genom tillförlitlig anslutning.

De regionala frimärkena är den distribuerbara enheten i arkitekturen. Möjligheten att snabbt distribuera en ny stämpel ger skalbarhet och har stöd för hög tillgänglighet. Stämplarna följer en isolerad virtuell nätverksdesign . Korsande trafik rekommenderas inte. Peerings för virtuella nätverk eller VPN-anslutningar till andra stämplar krävs inte.

Arkitekturen är avsiktlig när det gäller att definiera de regionala stämplarna som kortlivade. Infrastrukturens globala tillstånd lagras i de globala resurserna.

En global lastbalanserare krävs för att dirigera trafik till felfria stämplar och tillhandahålla säkerhetstjänster. Den måste ha vissa funktioner.

  • Hälsoavsökning krävs så att lastbalanseraren kan kontrollera ursprungets hälsotillstånd innan trafik dirigeras.

  • Viktad trafikfördelning.

Valfritt bör det kunna utföra cachelagring vid nätverkets kant. Ge också viss säkerhetsgaranti för ingress med hjälp av brandväggen för webbprogram (WAF).

Diagram över nätverk för referensarkitektur.

Ladda ned en Visio-fil av den här arkitekturen.

Inkommande trafik

Programmet som definieras i arkitekturen är internetuppkopplad och har flera krav:

  • En routningslösning som är global och kan distribuera trafik mellan oberoende regionala stämplar.

  • Låg fördröjning vid hälsokontroll och möjligheten att kunna stoppa att skicka trafik till ohälsosamma enheter.

  • Skydd mot skadliga attacker vid gränsen.

  • Erbjud cachefunktioner vid nätverkskanten.

Startpunkten för all trafik i designen är via Azure Front Door. Front Door är en global lastbalanserare som dirigerar HTTP-trafik (S) till registrerade serverdelar/ursprung. Front Door använder hälsoprober som utfärdar förfrågningar till en URI i varje bakände/ursprung. I referensimplementeringen kallas URI:n för en hälsotjänst. Hälsotjänsten marknadsför stämpelns välbefinnande. Front Door använder svaret för att fastställa hälsotillståndet för en enskild stämpel och dirigera trafiken till felfria stämplar som kan hantera programbegäranden.

Azure Front Door-integrering med Azure Monitor ger nästan realtidsövervakning av trafik, säkerhet, framgångs- och felmått och aviseringar.

Azure Web Application Firewall, integrerat med Azure Front Door, används för att förhindra attacker vid gränsen innan de kommer in i nätverket.

Diagram över nätverks ingress för referensarkitektur.

Isolerat virtuellt nätverk – API

API:et i arkitekturen använder Azure Virtual Networks som trafikisoleringsgräns. Komponenter i ett virtuellt nätverk kan inte kommunicera direkt med komponenter i ett annat virtuellt nätverk.

Standard extern Azure Load Balancer distribuerar begäranden till programplattformen. Den kontrollerar att trafik som når lastbalanseraren dirigerades via Azure Front Door, vilket säkerställer att Azure WAF inspekterar all trafik.

Byggagenter som används för driften och implementeringen av arkitekturen måste kunna nå in i det isolerade nätverket. Det isolerade nätverket kan öppnas så att agenterna kan kommunicera. Alternativt kan lokalt installerade agenter distribueras i det virtuella nätverket.

Övervakning av nätverksdataflöde, prestanda för de enskilda komponenterna och programmets hälsotillstånd krävs.

Kommunikationsberoende för programplattform

Programplattformen som används med de enskilda stämplarna i infrastrukturen har följande kommunikationskrav:

  • Programplattformen måste kunna kommunicera säkert med Microsoft PaaS-tjänster.

  • Programplattformen måste kunna kommunicera säkert med andra tjänster vid behov.

Arkitekturen som definieras använder Azure Key Vault för att lagra hemligheter, till exempel anslutningssträngar och API-nycklar, för att kommunicera på ett säkert sätt via Internet till Azure PaaS-tjänster. Det finns möjliga risker med att exponera programplattformen via Internet för den här kommunikationen. Hemligheter kan komprometteras och ökad säkerhet och övervakning av de offentliga slutpunkterna rekommenderas.

Diagram över programplattformens kommunikationsberoenden.

Utökade nätverksöverväganden

I det här avsnittet beskrivs för- och nackdelar med alternativa metoder för nätverksdesign. Alternativa nätverksöverväganden och användning av privata Azure-slutpunkter är fokus i följande avsnitt.

Undernät och nätverkssäkerhetsgrupper

Undernät i de virtuella nätverken kan användas för att segmentera trafik inom designen. Undernätsisolering separerar resurser för olika funktioner.

Nätverkssäkerhetsgrupper kan användas för att styra den trafik som tillåts in och ut från varje undernät. Regler som används i nätverkssäkerhetsgrupperna kan användas för att begränsa trafik baserat på IP, port och protokoll för att blockera oönskad trafik till undernätet.

Privata ändpunkter – Ingång

Premiumversionen av Front Door stöder användning av privata Azure-slutpunkter. Privata slutpunkter exponerar en Azure-tjänst för en privat IP-adress i ett virtuellt nätverk. Anslutningar görs säkert och privat mellan tjänster utan att trafik behöver dirigeras till offentliga slutpunkter.

Azure Front Door Premium och Privata Azure-slutpunkter aktiverar helt privata beräkningskluster i enskilda stämplar. Trafiken är helt låst för alla Azure PaaS-tjänster.

Om du använder privata slutpunkter ökar säkerheten för designen. Det introducerar dock en annan felpunkt. Offentliga slutpunkter som exponeras i programstämplarna behövs inte längre och kan inte längre nås och exponeras för en eventuell DDoS-attack.

Den ökade säkerheten måste vägas jämfört med den ökade tillförlitligheten, kostnaden och komplexiteten.

Lokala byggagenter måste användas för stämpeldistributionen. Hanteringen av dessa agenter medför underhållskostnader.

Diagram över nätverks-ingress för referensarkitektur med privata slutpunkter.

Privata slutpunkter – programplattform

Privata slutpunkter stöds för alla Azure PaaS-tjänster som används i den här designen. Med privata slutpunkter konfigurerade för programplattformen skulle all kommunikation gå genom det virtuella nätverket för stämpeln.

De offentliga slutpunkterna för de enskilda Azure PaaS-tjänsterna kan konfigureras för att inte tillåta offentlig åtkomst. Den här processen isolerar resurserna från offentliga attacker som kan orsaka stilleståndstid och begränsning som påverkar tillförlitlighet och tillgänglighet.

Lokala byggagenter måste användas för stämpeldistributionen på samma sätt som tidigare. Hanteringen av dessa agenter medför underhållskostnader.

Diagram över programplattformens kommunikationsberoenden med privata slutpunkter.

Nästa steg

Distribuera referensimplementeringen för att få en fullständig förståelse för de resurser och deras konfiguration som används i den här arkitekturen.

implementering: Mission-Critical Online