通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Spring Apps 登陆区域加速器的网络拓扑和连接

  • 项目

本文介绍 Spring Boot 工作负载所在的网络的设计注意事项和建议。 目标设计取决于工作负荷的要求以及组织的安全性和合规性要求。

集中式平台团队和应用程序团队共同负责网络设计领域。 平台团队会选择网络拓扑,该拓扑可以是传统的中心辐射型模型,也可以是 microsoft 托管) (虚拟 WAN网络拓扑。 应用程序团队负责分支网络的设计选择。 工作负荷应依赖于平台管理的共享服务。 应用程序团队必须了解这些依赖项的影响,并传达其要求,以便满足工作负载的总体目标。

有关平台设计的详细信息,请参阅 网络拓扑和连接

请遵循这些设计注意事项和建议,作为子网、入口和出口控件的最佳做法。

设计注意事项

  • 隔离。 中心团队可以为应用程序团队提供虚拟网络来运行其工作负载。 如果 Spring Boot 工作负载将关注点与其他工作负载分开,请考虑为 Spring App 服务运行时和应用程序预配自己的虚拟网络。

  • 子网化。 选择子网大小和应用程序数量时,请考虑应用程序的可伸缩性。

    如果使用现有子网或自带路由表,请制定策略以确保 Azure Spring Apps 添加的规则不会更新或删除。

    另一个方面是安全性。 请考虑允许或拒绝流量进入子网的规则。

  • 出口 (出站) 流量。 必须通过 NVA) Azure 防火墙或网络虚拟设备 (路由来自虚拟网络的流量。

    请考虑 Azure Spring Apps 提供的内置负载均衡器的限制。 根据要求,可能需要使用用户定义的路由 (UDR) 自定义出口路径,例如通过 NVA 路由所有流量。

  • 入口 (入站) 流量。 请考虑对发往 Azure Spring Apps 的流量使用反向代理。 根据你的要求,选择本机选项(如 Azure 应用程序网关 和 Front Door)或区域服务(如 API 管理 (APIM) )。 如果这些选项不能满足工作负荷的需求,则可以考虑使用非 Azure 服务。

设计建议

这些建议为前面的一组注意事项提供了规范性指导。

虚拟网络和子网

  • Azure Spring Apps 需要虚拟网络的所有者权限。 需要此角色才能授予用于部署和维护的专用动态服务主体。 有关详细信息,请参阅在虚拟网络中部署 Azure Spring Apps

  • 在专用网络中部署的 Azure Spring Apps (FQDN) 提供完全限定的域名,该域名只能在专用网络中访问。 为 Spring 应用的 IP 地址创建 Azure 专用 DNS 区域。 通过在 Azure Spring Apps 中分配专用 FQDN,将专用 DNS 链接到虚拟网络。 有关分步说明,请参阅 在专用网络中访问应用程序

  • Azure Spring Apps 需要两个专用子网。 一个子网具有服务运行时,另一个子网用于 Spring Boot 应用程序。

    每个子网的最小 CIDR 块大小为 /28。 运行时子网和应用程序子网需要 /28 的最小地址空间。 但可以部署的 Spring 应用数量会影响子网的大小。 有关子网范围的最大应用实例数的信息,请参阅 使用较小的子网范围

  • 如果在 Azure Spring Apps 前面使用 Azure 应用程序网关 作为反向代理,则需要该实例的另一个子网。 有关详细信息,请参阅使用 应用程序网关 作为反向代理

  • 使用网络安全组 (子网上的 NSG) 筛选东西流量,以限制发往服务运行时子网的流量。

  • 不得修改 Azure Spring Apps 部署管理的资源组和子网。

出口流量

  • 默认情况下,Azure Spring Apps 具有不受限制的出站 Internet 访问。 使用 NVA(如 Azure 防火墙)筛选南北流量。 利用集中式中心网络中的Azure 防火墙来减少管理开销。

    注意

    需要流向 Azure Spring 组件的出口流量才能支持服务实例。 有关特定终结点和端口的信息,请参阅 Azure Spring Apps 网络要求

  • Azure Spring Apps 提供用户定义的路由 (UDR) 出站类型,以完全控制出口流量路径。 OutboundType 应在创建新的 Azure Spring Apps 服务实例时进行定义。 之后无法更新它。 OutboundType 只能使用虚拟网络进行配置。 有关详细信息,请参阅 使用用户定义的路由自定义 Azure Spring Apps 出口

  • 应用程序需要与解决方案中的其他 Azure 服务通信。 如果应用程序需要专用连接,请将Azure 专用链接用于受支持的服务。

入口流量

  • 使用反向代理可确保防止恶意用户绕过 Web 应用程序防火墙 (WAF) 或规避限制。 建议使用集成 WAF 的Azure 应用程序网关。

    如果使用企业层,请使用 Spring Cloud Gateway 应用的分配终结点作为应用程序网关的后端池。 此终结点解析为 Azure Spring Apps 服务运行时子网中的专用 IP 地址。

    在服务运行时子网上添加一个 NSG,该子网仅允许来自 应用程序网关 子网、Azure Spring Apps 子网和 Azure 负载均衡器 的流量。

    注意

    可以为反向代理选择替代项,例如 Azure Front Door 或非 Azure 服务。 有关配置选项的信息,请参阅 通过反向代理公开 Azure Spring Apps

  • Azure Spring Apps 可以通过 VNet 注入或网络外部部署在虚拟网络中。 有关详细信息,请参阅 配置摘要

后续步骤

Azure Spring Apps 登陆区域加速器的安全注意事项