你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
应用程序交付计划
本部分探讨了通过安全、高度可缩放且高度可用的方式,交付面向内部和外部的应用程序的重要建议。
设计注意事项:
Azure 负载均衡器(内部和公共)在区域级别为应用程序交付提供高可用性。
Azure 应用程序网关支持在区域级别安全交付 HTTP/S 应用程序。
Azure Front Door 支持跨 Azure 区域安全交付高度可用的 HTTP/S 应用程序。
Azure 流量管理器支持交付全局应用程序。
设计建议:
在登陆区域内,同时交付面向内部和面向外部的应用程序。
- 将应用程序网关视为应用程序组件,并将其部署在辐射虚拟网络中,而不是中心内的共享资源。
- 若要解释Web 应用程序防火墙警报,通常需要深入了解应用程序,以确定触发这些警报的消息是否合法。
- 如果在中心部署应用程序网关时,团队管理不同的应用程序,但使用相同的 应用程序网关 实例,则可能会遇到基于角色的访问控制问题。 然后,每个团队都有权访问整个应用程序网关配置。
- 如果将应用程序网关视为共享资源,可能会超出 Azure 应用程序网关限制。
- 有关详细信息,请参阅 Web 应用程序的零信任网络。
为了安全交付 HTTP/S 应用程序,请使用应用程序网关 v2,并确保已启用 WAF 保护和策略。
如果无法使用应用程序网关 v2 确保 HTTP/S 应用程序的安全,请使用合作伙伴 NVA。
部署 Azure 应用程序网关 v2 或合作伙伴 NVA,用于登陆区域虚拟网络内的入站 HTTP/S 连接,以及其保护的应用程序。
将 DDoS 标准保护计划用于登陆区域中的所有公共 IP 地址。
使用带有 WAF 策略的 Azure Front Door,来交付和帮助保护跨 Azure 区域的全局 HTTP/S 应用程序。
当你使用 Front Door 和应用程序网关来帮助保护 HTTP/S 应用程序时,请在 Front Door 中使用 WAF 策略。 锁定应用程序网关,以仅接收来自 Front Door 的流量。
使用流量管理器交付跨 HTTP/S 以外协议的全局应用程序。