混合式雲端應用程式

  • 10 分鐘

Tailwind Traders 有數個應用程式,其具有目前在周邊網路中以內部部署方式執行的前端元件。 後端項目位於受保護的內部網路上。 Tailwind Traders 移至混合雲端的目標之一,就是要淘汰其周邊網路,並在雲端中裝載任何公開的工作負載。 基於合規性考量與工作負載擁有者的顧慮,有些應用程式應該實際保持於 Tailwind Traders 設施,而非裝載於 Azure 資料中心。

Tailwind Traders 有一些其他應用程式,可透過 VPN 連線存取雪梨、墨爾本和奧克蘭資料中心的內部受保護網路。 這些應用程式通常會需要使用者向其內部部署 Active Directory 執行個體進行驗證。

在本單元中,您將了解可讓 Tailwind Traders 維護使用者透過 Azure 連線的應用程式技術,即使資料或應用程式本身仍裝載在 Tailwind Traders 設備上亦然。

什麼是 Azure 轉送?

Azure 轉送是一種服務,可讓您用來將在組織內部網路上執行的工作負載安全地公開至公用雲端。 此服務可讓您執行此作業,而不需要在周邊網路防火牆上開啟輸入連接埠。

Azure 轉送可在內部部署服務與 Azure 中執行的應用程式之間支援下列案例:

  • 傳統的單向、要求/回應和對等通訊
  • 事件散發以啟用發佈/訂閱案例
  • 跨網路界限的雙向與無緩衝通訊端通訊

Azure 轉送具有下列功能:

  • 混合式連線。 此功能會使用開放標準 Web 通訊端,並可用於多平台架構中。 其支援 .NET Core、.NET Framework、JavaScript/Node.js、標準開放式通訊協定,以及遠端程序呼叫 (RPC) 程式設計模型。
  • WCF 轉送。 此功能會使用 Windows Communication Foundation (WCF) 來啟用遠端程序呼叫。 這是許多客戶搭配其 WCF 程式一起使用的選項。 該選項也支援 .NET Framework。

Azure 轉送可讓 Tailwind Traders 將內部網路上執行的一些應用程式發佈至網際網路上的用戶端,而不需要 VPN 連線。 若沒有在 Azure 中執行的前端 Web 應用程式時,公司應該使用 Azure 轉送,而非 App Service 混合式連線。 當應用程式不需要 Microsoft Entra 驗證時,應該使用 Azure 轉送,而不是 Microsoft Entra 應用程式 Proxy。

何謂 App Service 混合式連線?

Azure App Service 混合式連線可使用任何網路中可在連接埠 443 上將輸出要求傳送至 Azure 的任何應用程式資源。 例如,您可使用混合式連線,以允許在 Azure 中執行的 Web 應用程式使用正在內部部署中執行的 SQL Server 資料庫。 混合式連線功能可供從 Azure 中執行的應用程式存取傳輸控制通訊協定 (TCP) 端點。

混合式連線不限於在 Windows Server 平台上執行的工作負載。 不管使用哪一個應用程式通訊協定,您都可設定混合式連線來存取任何用作 TCP 端點的資源。 例如,您可在 Azure 中執行的 Web 應用程式與內部部署 Linux 虛擬機器上執行的 MySQL 資料庫之間,設定混合式連線。

混合式連線會使用您在代理程式可與內部網路上的 TCP 端點建立連線並建立 Azure 連線的位置中所部署轉送代理程式。 此連線會透過傳輸層安全性 (TLS) 1.2 來確保其安全。 共用存取簽章 (SAS) 金鑰用於驗證與授權。

下圖顯示在 Azure 中執行的 Web 應用程式與正在內部部署執行的資料庫端點之間的 App Service 混合式連線。

此圖顯示在 Azure 中的 Web 應用程式與內部部署資料庫端點之間的混合式連線。

混合式連線具有下列功能:

  • 在 Azure 中執行的應用程式可以安全的方式存取內部部署系統和服務。
  • 網際網路上的主機無須直接存取內部部署系統或服務。
  • 無須在防火牆中開啟連接埠,即可允許從 Azure 到轉送代理程式的輸入存取。 所有通訊都是透過連接埠 443,從轉送代理程式以輸出方式起始。

混合式連線具有下列限制:

  • 無法用於在內部部署網路上掛接 SMB 共用。
  • 其無法使用使用者資料包通訊協定 (UDP)。
  • 其無法存取使用動態連接埠的 TCP 型服務。
  • 因為以 UDP 為憑據,所以其不支援輕量型目錄存取通訊協定 (LDAP)。
  • 無法用來執行 Active Directory Domain Services 網域加入作業。

對於 Tailwind Traders 而言,混合式連線可淘汰數個目前在 Tailwind Traders 周邊網路上執行其前端的應用程式。 可將這些應用程式移轉至 Azure。 然後,混合式連線會為裝載應用程式後端元件的受保護網路提供安全連線。

什麼是 Microsoft Entra 應用程式 Proxy?

Microsoft Entra 應用程式 Proxy 可讓您透過外部 URL,安全地遠端存取在內部部署環境中執行的 Web 應用程式。 您可將應用程式 Proxy 設定為允許對 SharePoint、Microsoft Teams、IIS Web 應用程式,以及遠端桌面進行遠端存取與單一登入。 應用程式 Proxy 可實作為內部網路或反向 Proxy 的 Vpn 替代項目。

應用程式 Proxy 會與下列應用程式搭配運作:

  • 使用整合式 Windows 驗證的 Web 應用程式
  • 使用標頭型或表單型驗證的 Web 應用程式
  • 透過遠端桌面閘道裝載的應用程式

應用程式 Proxy 會以下列方式運作:

  1. 使用者透過公開可用的端點連線到應用程式,然後執行 Microsoft Entra 登入。
  2. 登入完成之後,權杖會轉送至使用者的裝置。
  3. 用戶端裝置會將權杖轉送至應用程式 Proxy 服務,以從權杖傳回使用者主體名稱 (UPN) 與安全性主體名稱 (SPN)。 然後,應用程式 Proxy 會將要求轉送至應用程式 Proxy 連接器。
  4. 若已啟用單一登入,則應用程式 Proxy 連接器會執行額外的驗證。
  5. 應用程式 Proxy 連接器會將要求轉送至內部部署應用程式。
  6. 回應會透過連接器與應用程式 Proxy 服務傳送給使用者。

下圖顯示此處理序:

此圖顯示組織網路外部的使用者可透過應用程式 Proxy 與內部部署應用程式進行連線的應用程式 Proxy 功能。

允許直接連線到應用程式的內部網路使用者,應避免使用應用程式 Proxy。

Tailwind Traders 可使用 Microsoft Entra 應用程式 Proxy 為外部使用者提供使用 Active Directory 驗證的內部應用程式存取權。

檢定您的知識

1.

Tailwind Traders 有數個多層式應用程式,可移轉至其混合雲端。 應用程式目前存在於 Tailwind Traders 周邊網路上的 Web 層,以及在雪梨資料中心內虛擬機器上的資料庫層。 新的應用程式架構將會在 Azure 中執行 Web 應用程式。 Tailwind Traders 應該使用下列哪一項技術來允許在 Azure 中的 Web 應用程式層與在雪梨資料中心 VM 上執行的資料庫層之間進行通訊?

2.

Tailwind Traders 想要發佈使用 Active Directory Domain Services 帳戶進行驗證的應用程式,以供網際網路上的主機存取。 Tailwind Traders 已透過設定 Microsoft Entra Connect,將要搭配此應用程式使用的內部部署身分識別同步至 Microsoft Entra ID。 您會使用下列哪一項混合式技術,將此應用程式發佈至網際網路上的主機,以便其使用這些同步處理的身分識別進行存取?