通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

App 服务登陆区域加速器的网络拓扑和连接注意事项

  • 项目

本文提供有关使用Azure App 服务登陆区域加速器时可以应用的网络拓扑和连接的设计注意事项和建议。 网络是登陆区域中几乎所有内容的核心。

此体系结构的网络拓扑和连接注意事项取决于托管的工作负荷的要求以及组织的安全性和符合性要求。

设计注意事项

在 Azure 上部署App 服务解决方案时,需要仔细考虑网络要求,以确保应用程序正常运行。 规划部署时需要考虑几个关键因素:

  • 确定应用程序的网络要求。

    • 传入流量。 如果你的应用提供基于 Web 的服务(如网站或 API),它可能需要能够接收来自 Internet 的传入流量。 若要确保应用可以接受传入连接,需要将其配置为侦听相应的端口。
    • 访问其他 Azure 资源。 应用可能需要能够使用其专用终结点访问 Azure 上的资源,例如存储帐户或数据库。 这些资源可能位于 Azure 虚拟网络或其他 Azure 服务中。
    • SSL/TLS。 若要帮助保护应用与其用户之间的通信,需要启用 SSL/TLS 加密。 这样做可确保对应用与其用户之间的流量进行加密,这有助于防止第三方截获敏感信息。
    • IP 限制。 根据要求,可能需要允许或阻止从特定 IP 地址或范围访问应用。 这样做可以提供改进的安全性,并限制对特定用户或位置的应用的访问。

  • 选择App 服务计划层。 使用应用程序的网络要求来确定App 服务计划的适当层。 最好查看各种App 服务计划层及其功能,以确定哪一个最适合你的需求。

App 服务多租户服务

  • App 服务多租户解决方案与单个部署单元中的其他App 服务资源共享单个入站 IP 地址和多个出站 IP 地址。 出于各种原因,这些 IP 地址可能会更改。 如果需要多租户App 服务解决方案的一致出站 IP 地址,则可以配置 NAT 网关或使用虚拟网络集成

  • 如果需要App 服务解决方案的专用 IP 地址,可以使用应用分配的地址,将App 服务实例前面加上应用程序网关(分配有静态 IP 地址),或使用基于 IP 的 SSL 证书通过App 服务平台将专用 IP 地址分配给应用。

  • 需要从App 服务解决方案连接到本地、专用或 IP 受限服务时,请考虑:

    • 在多租户App 服务部署中,App 服务调用可能源自各种 IP 地址。 可能需要 虚拟网络集成
    • 可以使用API 管理和应用程序网关等服务在网络边界之间代理调用。 如果需要,这些服务可以提供静态 IP 地址。

  • 可以将专用终结点或公共终结点用于多租户App 服务部署。 使用专用终结点时,将消除对App 服务解决方案的公共曝光。 如果需要可通过 Internet 访问App 服务解决方案的专用终结点,请考虑使用应用程序网关公开App 服务解决方案。

  • 多租户App 服务部署公开一组端口。 在多租户App 服务部署中,无法阻止或控制对这些端口的访问。

  • 正确规划子网以便进行出站虚拟网络集成,并考虑所需的 IP 地址数。 虚拟网络集成取决于专用子网。 预配 Azure 子网时,Azure 会保留五个 IP。 每个App 服务计划实例的集成子网中使用一个 IP 地址。 将应用缩放为四个实例时,例如使用四个 IP 地址。 纵向扩展或缩减时,所需的地址空间将缩短一倍。 这会影响给定子网大小的可用受支持实例。

  • 由于分配后无法更改子网的大小,因此需要使用足够大的子网来容纳应用可能达到的规模。 为了避免子网容量出现任何问题,请使用带 64 个地址的 /26 进行虚拟网络集成。

  • 如果要连接到多租户App 服务解决方案,并且需要专用出站地址,请使用 NAT 网关

App 服务环境(单租户)

  • 确定App 服务环境网络设计:外部或内部负载均衡器。 需要从 Internet 直接访问时,请使用外部部署。 使用内部负载均衡器部署仅从部署App 服务环境的虚拟网络中公开访问权限。 后者部署提供另一级别的安全性和对应用的网络访问的控制。
  • App 服务环境中的App 服务在App 服务环境的生存期内,获取用于入站和出站通信的静态专用 IP 地址。
  • 当需要从App 服务环境连接到本地、专用或 IP 受限服务时,App 服务环境在虚拟网络的上下文中运行。
  • 部署App 服务环境时,可以选择子网的大小。 以后无法更改大小。 建议大小为 /24,其中包含 256 个地址,可以处理最大大小的App 服务环境和任何缩放需求。

设计建议

以下最佳做法适用于App 服务的任何部署。

  • 连接App 服务解决方案:
    • 在App 服务解决方案前面实现 Azure Web 应用程序防火墙。 使用 Azure Front Door应用程序网关 或合作伙伴服务提供基于 OWASP 的保护。 可以将 Azure Front Door 或应用程序网关用于单个区域,或同时对多个区域使用两者。 如果需要区域中的路径路由,请使用应用程序网关。 如果需要多区域负载均衡和Web 应用程序防火墙,请使用 Azure Front Door。
    • 通过使用专用终结点进行App 服务,可以通过基于网络的专用终结点(而不是基于 Internet 的公共终结点)访问应用。 使用专用终结点时,可以将对应用的访问限制为仅对虚拟网络中的用户进行访问,从而为应用提供另一层安全性、降低数据出口成本并提高性能。
    • 使用访问限制来确保只能从有效位置访问App 服务解决方案。 例如,如果多租户App 服务部署托管 API 并且由API 管理前面,请设置访问限制,以便只能从API 管理访问App 服务解决方案。
  • 从App 服务解决方案连接:
  • 使用内置工具排查网络问题。
  • 使用连接池避免 SNAT 端口耗尽 。 重复创建与同一主机和端口的连接可能会导致响应时间缓慢、间歇性 5xx 错误、超时或外部终结点连接问题。
  • 按照 Azure 安全基线的“网络安全”部分中概述的建议进行操作,App 服务。

App 服务登陆区域加速器的网络拓扑和连接注意事项的目标是提供一个高级模板,以实现可缩放且可复原的环境来部署App 服务。 此模板侧重于网络体系结构和连接,可帮助你快速高效地在 Azure 中设置登陆区域来托管App 服务解决方案。