通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

任务关键工作负载的网络和连接

  • 项目

任务关键型参考体系结构中资源的区域分布需要可靠的网络基础结构。

建议采用全局分布式设计,这种设计将 Azure 服务汇集在一起以提供高度可用的应用程序。 全局负载均衡器与区域标记相结合,通过可靠的连接保证了这一点。

区域标记是体系结构中的可部署单元。 快速部署新标记的功能可提供可伸缩性并支持高可用性。 这些标记遵循独立的虚拟网络设计。 不建议使用交叉标记流量。 不需要与其他标记建立虚拟网络对等互连或 VPN 连接。

该体系结构有意将区域标记定义为短生存期标记。 基础结构的全局状态存储在全局资源中。

需要全局负载均衡器才能将流量路由到正常标记并提供安全服务。 它必须具有某些功能。

  • 需进行运行状况探测,以便负载均衡器可以在路由流量之前检查源的运行状况。

  • 加权流量分布。

(可选)它应该能够在边缘执行缓存。 此外,通过使用 Web 应用程序防火墙 (WAF) 为入口提供一些安全保证。

参考体系结构的网络示意图。

下载此体系结构的 Visio 文件

流量入口

体系结构中定义的应用程序面向 Internet,需要满足以下几个要求:

  • 全局路由解决方案,可以在独立的区域标记之间分配流量。

  • 运行状况检查的低延迟性和停止向运行不正常的标记发送流量的能力。

  • 防止边缘的恶意攻击。

  • 在边缘提供缓存功能。

设计中所有流量的入口点均通过 Azure Front Door。 Front Door 是一个全局负载均衡器,用于将 HTTP(S) 流量路由到已注册的后端/源。 Front Door 使用运行状况探测向每个后端/源中的 URI 发出请求。 在参考实现中,调用的 URI 是一项运行状况服务。 运行状况服务播发标记的运行状况。 Front Door 使用响应来确定单个标记的运行状况,并将流量路由到能够维护应用程序请求的正常标记。

Azure Front Door 与 Azure Monitor 的集成提供对流量、安全性、成功和失败指标以及警报的准实时监视。

Azure Web 应用程序防火墙与 Azure Front Door 集成,用于在边缘处攻击进入网络之前阻止它们。

参考体系结构的网络入口示意图。

隔离的虚拟网络 - API

体系结构中的 API 使用 Azure 虚拟网络作为流量隔离边界。 一个虚拟网络中的组件不能直接与另一个虚拟网络中的组件通信。

对应用程序平台发出的请求通过标准 SKU 外部 Azure 负载均衡器进行分发。 有一项检查可确保到达负载均衡器的流量是通过 Azure Front Door 路由的。 此检查可确保 Azure WAF 检阅所有流量。

用于体系结构操作和部署的生成代理必须能够访问隔离网络。 可以开放隔离的网络以允许代理通信。 或者,可以在虚拟网络中部署自托管代理。

需要监视网络吞吐量、单个组件的性能以及应用程序的运行状况。

应用程序平台通信依赖关系

用于基础结构中各个标记的应用程序平台具有以下通信要求:

  • 应用程序平台必须能够安全地与 Microsoft PaaS 服务通信。

  • 如果需要,应用程序平台必须能够安全地与其他服务通信。

所定义的体系结构使用 Azure Key Vault 来存储机密,例如连接字符串和 API 密钥,以通过 Internet 与 Azure PaaS 服务进行安全通信。 通过 Internet 公开应用程序平台进行此通信可能存在风险。 机密可能被泄露,建议提高公共终结点的安全性并进行监视。

应用程序平台通信依赖关系图。

扩展网络注意事项

本部分讨论网络设计替代方法的优缺点。 替代网络注意事项和 Azure 专用终结点的使用是以下部分的重点。

子网和 NSG

虚拟网络中的子网可用于对设计中的流量进行分段。 子网隔离分隔不同函数的资源。

可以使用网络安全组来控制允许进出每个子网的流量。 NSG 中使用的规则可用于根据 IP、端口和协议限制流量,以阻止不需要的流量进入子网。

专用终结点 - 入口

Front Door 的高级 SKU 支持使用 Azure 专用终结点。 专用终结点向虚拟网络中的专用 IP 地址公开 Azure 服务。 服务之间的连接安全且私密,无需将流量路由到公共终结点。

Azure Front Door 高级版和 Azure 专用终结点在各个标记中启用完全专用的计算群集。 所有 Azure PaaS 服务都完全锁定了流量。

使用专用终结点可增加设计的安全性。 但是,它引入了另一个故障点。 应用程序标记中公开的公共终结点不再被需要也无法再访问,并会暴露于可能的 DDoS 攻击。

必须权衡增加的安全性与增加的可靠性工作量、成本和复杂性。

自托管生成代理必须用于标记部署。 这些代理的管理会产生维护开销。

具有专用终结点的参考体系结构的网络入口示意图。

专用终结点 - 应用程序平台

此设计中使用的所有 Azure PaaS 服务都支持专用终结点。 为应用程序平台配置专用终结点后,所有通信都将通过标记的虚拟网络进行。

可以将单个 Azure PaaS 服务的公共终结点配置为禁止公共访问。 这将使资源免受可能导致停机和限制进而影响可靠性和可用性的公共攻击。

自托管生成代理必须用于标记部署,如上所述。 这些代理的管理会产生维护开销。

应用程序平台与专用终结点的通信依赖关系图。

后续步骤

部署参考实现,以便全面了解此体系结构中使用的资源及其配置。

实现:任务关键型联机