共用方式為

任務關鍵性工作負載的網路和連線能力

  • 發行項

任務關鍵性參考架構中的資源區域分佈需要強固的網路基礎結構。

建議在 Azure 服務組合在一起以提供高可用性應用程式的地方,提供全域散發的設計。 結合區域戳記的全域負載平衡器可透過可靠的連線提供保證。

區域戳記是架構中的可部署單位。 快速部署新戳記的功能可提供延展性並支援高可用性。 戳記遵循隔離 的虛擬網路設計。 不建議使用交叉戳記流量。 不需要虛擬網路對等互連或其他戳記的 VPN 連線。

架構是刻意將區域戳記定義為短期。 基礎結構的全域狀態會儲存在全域資源中。

需要全域負載平衡器,才能將流量路由傳送至狀況良好的戳記,並提供安全性服務。 它必須具有特定功能。

  • 需要健康情況探查,負載平衡器才能在路由流量之前檢查來源的健康情況。

  • 加權流量分佈。

或者,它應該能夠在邊緣執行快取。 此外,透過使用 Web 應用程式防火牆 (WAF) ,提供一些輸入安全性保證。

參考架構的網狀圖表。

下載這個架構的 Visio 檔案

流量輸入

架構中定義的應用程式是網際網路面向的,而且有數個需求:

  • 全域且可在獨立區域戳記之間散發流量的路由解決方案。

  • 健康情況檢查的低延遲,以及停止將流量傳送至狀況不良戳記的能力。

  • 防止邊緣的惡意攻擊。

  • 在邊緣提供快取功能。

設計中所有流量的進入點是透過 Azure Front Door。 Front Door 是全域負載平衡器,會將 HTTP (S) 流量路由傳送至已註冊的後端/來源。 Front Door 會使用健康情況探查,對每個後端/原始來源中的 URI 發出要求。 在參考實作中,呼叫的 URI 是健康情況服務。 健全狀況服務會公告戳記的健康情況。 Front Door 會使用回應來判斷個別戳記的健康情況,並將流量路由傳送至能夠維護應用程式要求的健康狀態戳記。

Azure Front Door 與 Azure 監視器整合提供近乎即時的流量監視、安全性、成功和失敗計量,以及警示。

Azure Web 應用程式防火牆與 Azure Front Door 整合,可用來防止在邊緣攻擊進入網路之前。

參考架構的網路輸入圖表。

隔離的虛擬網路 - API

架構中的 API 會使用 Azure 虛擬網路作為流量隔離界限。 某個虛擬網路中的元件無法直接與另一個虛擬網路中的元件通訊。

應用程式平臺的要求會以標準 SKU 外部Azure Load Balancer散發。 有一項檢查可確保到達負載平衡器的流量是透過 Azure Front Door 路由傳送。 這項檢查可確保 Azure WAF 會檢查所有流量。

用於架構作業和部署的組建代理程式必須能夠連線到隔離的網路。 隔離的網路可以開啟,以允許代理程式進行通訊。 或者,自我裝載代理程式可以部署在虛擬網路中。

需要監視網路輸送量、個別元件的效能,以及應用程式的健全狀況。

應用程式平臺通訊相依性

與基礎結構中個別戳記搭配使用的應用程式平臺具有下列通訊需求:

  • 應用程式平臺必須能夠安全地與 Microsoft PaaS 服務通訊。

  • 應用程式平臺必須能夠在需要時安全地與其他服務通訊。

如定義的架構會使用 Azure 金鑰保存庫來儲存秘密,例如連接字串和 API 金鑰,以安全地透過網際網路與 Azure PaaS 服務通訊。 透過網際網路公開應用程式平臺以進行此通訊可能會有風險。 建議使用秘密遭到入侵,並增加公用端點的安全性和監視。

應用程式平臺通訊相依性的圖表。

擴充網路考慮

本節討論網路設計替代方法的優缺點。 替代網路考慮和使用 Azure 私人端點是下列各節的重點。

子網和 NSG

虛擬網路內的子網可用來區隔設計內的流量。 子網隔離會分隔不同函式的資源。

網路安全性群組可用來控制每個子網中允許和傳出流量。 NSG 中使用的規則可以根據 IP、埠和通訊協定來限制流量,以封鎖不想要的流量進入子網。

私人端點 - 輸入

Front Door 的進階 SKU 支援使用 Azure 私人端點。 私人端點會將 Azure 服務公開至虛擬網路中的私人 IP 位址。 服務之間會安全地且私下建立連線,而不需要將流量路由傳送至公用端點。

Azure Front Door Premium 和 Azure 私人端點會在個別戳記中啟用完全私人計算叢集。 所有 Azure PaaS 服務的流量都會完全鎖定。

使用私人端點會增加設計的安全性。 不過,它引進了另一個失敗點。 不再需要應用程式戳記中公開的公用端點,也無法再存取並公開至可能的 DDoS 攻擊。

增加的安全性必須與增加的可靠性工作、成本和複雜度相比較。

自我裝載組建代理程式必須用於戳記部署。 這些代理程式的管理隨附維護額外負荷。

具有私人端點之參考架構的網路輸入圖表。

私人端點 - 應用程式平臺

此設計中使用的所有 Azure PaaS 服務都支援私人端點。 針對應用程式平臺設定私人端點時,所有通訊都會通過戳記的虛擬網路。

個別 Azure PaaS 服務的公用端點可以設定為不允許公用存取。 這會將資源與可能造成停機時間和節流影響可靠性和可用性的公用攻擊隔離。

自我裝載組建代理程式必須用於戳記部署,與上述相同。 這些代理程式的管理隨附維護額外負荷。

應用程式平臺與私人端點通訊相依性的圖表。

下一步

部署參考實作,以充分瞭解此架構中使用的資源及其組態。

實作:Mission-Critical Online