تحرير

مشاركة عبر

موازنة التحميل متعددة المناطق مع Traffic Manager وAzure Firewall وApplication Gateway

Azure Firewall
Azure Application Gateway
Azure Bastion
Azure Load Balancer
Azure Traffic Manager

هذه البنية مخصصة للتطبيقات العمومية التي تواجه الإنترنت التي تستخدم بروتوكولات HTTP(S) وغير HTTP(S). يتميز بموازنة التحميل العالمية المستندة إلى DNS، وشكلين من موازنة التحميل الإقليمية، ونظير الشبكة الظاهرية العالمية لإنشاء بنية قابلية وصول عالية يمكنها تحمل الانقطاع الإقليمي. يتم توفير فحص حركة المرور من قبل كل من Azure Web Application Firewall (WAF) وAzure Firewall.

ملاحظات التصميم

البنية في هذا المستند قابلة للتوسعة بسهولة لتصميم شبكة ظاهرية محورية، حيث سيكون جدار حماية Azure في شبكة المركز، وApplication Gateway إما في شبكة المركز أيضا أو في محور. إذا تم نشر Application Gateway في المركز، فلا تزال تريد العديد من بوابات التطبيق، كل لمجموعة معينة من التطبيقات، لتجنب تعارضات التحكم في الوصول استنادا إلى الدور ومنع الوصول إلى حدود بوابة التطبيق (راجع حدود بوابة التطبيق).

في بيئة Virtual WAN، لا يمكن نشر بوابات التطبيق في المركز، لذلك سيتم تثبيتها في الشبكات الظاهرية المحورية.

تختار البنية المقترحة الفحص المزدوج لمحتوى الويب من خلال كل من جدار حماية تطبيق الويب (استنادا إلى بوابة التطبيق) أمام جدار حماية Azure. توجد خيارات أخرى، كما هو موثق في جدار الحماية وبوابة التطبيق للشبكات الظاهرية، ولكن هذا الخيار هو الخيار الأكثر مرونة واكتمالا: يعرض عنوان IP للعميل في عنوان X-Forwarded-For HTTP للتطبيق النهائي، ويوفر تشفيرا من طرف إلى طرف، ويمنع العملاء من تجاوز WAF للوصول إلى التطبيق.

إذا تم كشف تطبيقات الويب فقط (لا توجد تطبيقات غير HTTP(S)، ولم يكن الفحص المزدوج بواسطة WAF وجدار حماية Azure لحركة مرور الويب هذه مطلوبا، فسيكون Azure Front Door حلا أفضل لموازنة التحميل العالمي من Traffic Manager. Front Door هو موازن تحميل من الطبقة 7 لمحتوى HTTP(S) الذي يوفر أيضا التخزين المؤقت وتسريع حركة المرور وإنهاء SSL/TLS وإدارة الشهادات وفحوصات السلامة والقدرات الأخرى. ومع ذلك، يوفر Application Gateway تكاملا أفضل مع Azure Firewall لنهج حماية متعدد الطبقات.

تدفقات حركة مرور HTTP (S) الواردة

Diagram showing multi-region load balancing with Azure Firewall, Application Gateway and Traffic Manager for web traffic.

قم بتنزيل ملف Visio لهذه البنية.

  1. يستخدم Azure Traffic Manager التوجيه المستند إلى DNS لموازنة تحميل نسبة استخدام الشبكة الواردة عبر المنطقتين. يحل Traffic Manager استعلامات DNS للتطبيق إلى عناوين IP العامة لنقاط نهاية Azure Application Gateway. تعمل نقاط النهاية العامة لبوابة التطبيق كنقاط نهاية خلفية لحركة مرور Traffic Manager لحركة مرور HTTP(S). يحل Traffic Manager استعلامات DNS استنادا إلى اختيار أساليب التوجيه المختلفة. يتصل المستعرض مباشرة بنقطة النهاية؛ لا يرى Traffic Manager نسبة استخدام الشبكة HTTP(S).

  2. تتلقى بوابات التطبيق المنتشرة عبر مناطق التوفر نسبة استخدام الشبكة HTTP(S) من المتصفح، وتفحص جدران حماية تطبيقات الويب Premium نسبة استخدام الشبكة للكشف عن هجمات الويب. سترسل بوابات التطبيق نسبة استخدام الشبكة إلى الواجهة الخلفية الخاصة بها، موازن التحميل الداخلي للأجهزة الظاهرية الأمامية. بالنسبة لهذا التدفق المحدد، لا يكون موازن التحميل الداخلي أمام خوادم الويب مطلوبا بشكل صارم نظرا لأن Application Gateway يمكنها إجراء موازنة التحميل هذه نفسها. ومع ذلك، يتم تضمينه للاتساق مع تدفق التطبيقات غير HTTP (S).

  3. سيتم اعتراض حركة المرور بين بوابة التطبيق وموازن التحميل الداخلي للواجهة الأمامية بواسطة Azure Firewall Premium عبر المسارات المعرفة من قبل المستخدم المطبقة على الشبكة الفرعية لبوابة التطبيق. سيطبق جدار حماية Azure Premium فحص TLS على حركة المرور لمزيد من الأمان. جدار حماية Azure متكرر في المنطقة أيضا. إذا اكتشف جدار حماية Azure تهديدا في حركة المرور، فسيسقط الحزم. وإلا، عند الفحص الناجح، سيقوم جدار حماية Azure بإعادة توجيه نسبة استخدام الشبكة إلى موازن التحميل الداخلي لمستوى الويب الوجهة.

  4. طبقة الويب هي الطبقة الأولى من التطبيق ثلاثي الطبقات، وتحتوي على واجهة المستخدم، كما أنها تحلل تفاعلات المستخدم. يتم توزيع موازن التحميل على مستوى الويب عبر جميع مناطق التوفر الثلاث، وسيوزع حركة المرور على كل جهاز من الأجهزة الظاهرية الثلاثة على مستوى الويب.

  5. تنتشر الأجهزة الظاهرية على مستوى الويب عبر جميع مناطق التوفر الثلاث، وستتواصل مع طبقة الأعمال عبر موازن تحميل داخلي مخصص.

  6. يعالج مستوى الأعمال تفاعلات المستخدم ويحدد الخطوات التالية، ويجلس بين طبقات الويب والبيانات. يوزع موازن التحميل الداخلي على مستوى الأعمال نسبة استخدام الشبكة على الأجهزة الظاهرية على مستوى الأعمال عبر مناطق التوفر الثلاث. موازن التحميل على مستوى الأعمال متكرر في المنطقة، مثل موازن التحميل على مستوى الويب.

  7. تنتشر الأجهزة الظاهرية على مستوى الأعمال عبر مناطق التوفر، وستوجه نسبة استخدام الشبكة إلى وحدة إصغاء مجموعة التوفر لقواعد البيانات.

  8. تخزن طبقة البيانات بيانات التطبيق، عادة في قاعدة بيانات أو تخزين كائن أو مشاركة ملف. تحتوي هذه البنية على خادم SQL على الأجهزة الظاهرية الموزعة عبر ثلاث مناطق توفر. وهي في مجموعة توفر وتستخدم اسم شبكة موزعة (DNN) لتوجيه نسبة استخدام الشبكة إلى وحدة إصغاء مجموعة التوفر لموازنة التحميل.

تدفقات نسبة استخدام الشبكة الواردة غير HTTP(S)

Diagram showing multi-region load balancing with Azure Firewall, Application Gateway and Traffic Manager for non-web traffic.

قم بتنزيل ملف Visio لهذه البنية.

  1. يستخدم Azure Traffic Manager التوجيه المستند إلى DNS لموازنة تحميل نسبة استخدام الشبكة الواردة عبر المنطقتين. يحل Traffic Manager استعلامات DNS للتطبيق إلى عناوين IP العامة لنقاط نهاية Azure. تعمل نقاط النهاية العامة لجدار حماية التطبيق كنقاط نهاية خلفية ل Traffic Manager لنسبة استخدام الشبكة غير HTTP(S). يحل Traffic Manager استعلامات DNS استنادا إلى اختيار أساليب التوجيه المختلفة. يتصل المستعرض مباشرة بنقطة النهاية؛ لا يرى Traffic Manager نسبة استخدام الشبكة HTTP(S).

  2. جدار حماية Azure Premium متكرر في المنطقة، وسيفحص نسبة استخدام الشبكة الواردة بحثا عن الأمان. إذا اكتشف جدار حماية Azure تهديدا في حركة المرور، فسيسقط الحزم. وإلا، عند الفحص الناجح، سيقوم جدار حماية Azure بإعادة توجيه نسبة استخدام الشبكة إلى موازن التحميل الداخلي على مستوى الويب الذي يقوم بإجراء ترجمة عنوان الشبكة الوجهة (DNAT) على الحزم الواردة.

  3. طبقة الويب هي الطبقة الأولى من التطبيق ثلاثي الطبقات، وتحتوي على واجهة المستخدم، كما أنها تحلل تفاعلات المستخدم. يتم توزيع موازن التحميل على مستوى الويب عبر جميع مناطق التوفر الثلاث، وسيوزع حركة المرور على كل جهاز من الأجهزة الظاهرية الثلاثة على مستوى الويب.

  4. تنتشر الأجهزة الظاهرية على مستوى الويب عبر جميع مناطق التوفر الثلاث، وستتواصل مع طبقة الأعمال عبر موازن تحميل داخلي مخصص.

  5. يعالج مستوى الأعمال تفاعلات المستخدم ويحدد الخطوات التالية، ويجلس بين طبقات الويب والبيانات. يوزع موازن التحميل الداخلي على مستوى الأعمال نسبة استخدام الشبكة على الأجهزة الظاهرية على مستوى الأعمال عبر مناطق التوفر الثلاث. موازن التحميل على مستوى الأعمال متكرر في المنطقة، مثل موازن التحميل على مستوى الويب.

  6. تنتشر الأجهزة الظاهرية على مستوى الأعمال عبر مناطق التوفر، وستوجه نسبة استخدام الشبكة إلى وحدة إصغاء مجموعة التوفر لقواعد البيانات.

  7. تخزن طبقة البيانات بيانات التطبيق، عادة في قاعدة بيانات أو تخزين كائن أو مشاركة ملف. تحتوي هذه البنية على خادم SQL على الأجهزة الظاهرية الموزعة عبر ثلاث مناطق توفر. وهي في مجموعة توفر وتستخدم اسم شبكة موزعة (DNN) لتوجيه نسبة استخدام الشبكة إلى وحدة إصغاء مجموعة التوفر لموازنة التحميل.

تدفقات نسبة استخدام الشبكة الصادرة (جميع البروتوكولات)

ستنتقل تدفقات نسبة استخدام الشبكة الصادرة لتحديثات تصحيح الجهاز الظاهري أو الاتصال الآخر بالإنترنت من الأجهزة الظاهرية لحمل العمل إلى جدار حماية Azure من خلال المسارات المعرفة من قبل المستخدم. سيفرض جدار حماية Azure قواعد الاتصال باستخدام فئات الويب بالإضافة إلى قواعد الشبكة والتطبيق لمنع أحمال العمل من الوصول إلى سيناريوهات المحتوى أو النقل غير المناسب للبيانات.

المكونات

  • جدار حماية Azure Firewall هو جدار حماية من الجيل التالي قائم على السحابة تديره Microsoft ويوفر فحصا عميقا للحزم لكل من تدفقات حركة المرور الشمالية/الجنوبية والشرقية/الغربية. يمكن أن تنتشر عبر مناطق التوفر وتوفر مقياسا تلقائيا للتعامل مع تغييرات طلب التطبيق.
  • Azure Application Gateway هي موازن تحميل من الطبقة 7 مع وظيفة جدار حماية تطبيق الويب (WAF) الاختيارية. يدعم v2 SKU لبوابة التطبيق التكرار في منطقة التوفر ويوصى به لمعظم السيناريوهات. تتضمن بوابة التطبيق مقياسا تلقائيا أفقيا قابلا للتكوين بحيث يمكن أن تتفاعل تلقائيا مع تغييرات طلب التطبيق.
  • Azure Traffic Manager هو موازن تحميل نسبة استخدام الشبكة العالمية المستندة إلى DNS الذي يوزع نسبة استخدام الشبكة على الخدمات عبر مناطق Azure العالمية مع توفير قابلية وصول عالية واستجابة عالية. لمزيد من المعلومات، راجع القسم تكوين مدير حركة المرور.
  • Azure Load Balancer هو موازن تحميل الطبقة 4. سيستمر موازن التحميل المكرر في المنطقة في توزيع نسبة استخدام الشبكة مع فشل منطقة التوفر إلى المناطق المتبقية.
  • تحتوي Azure DDoS Protection على ميزات محسنة للحماية من هجمات رفض الخدمة الموزعة (DDoS).
  • Azure DNS هي خدمة استضافة لمجالات DNS. يوفر تحليل الاسم باستخدام البنية الأساسية لـ Microsoft Azure. يمكنك، من خلال استضافة المجالات في Azure، إدارة سجلات DNS باستخدام نفس بيانات الاعتماد وواجهات برمجة التطبيقات والأدوات والفوترة مثل خدمات Azure الأخرى.
  • مناطق Azure Private DNS هي ميزة من ميزات Azure DNS. توفر مناطق Azure DNS الخاصة تحليل الاسم داخل شبكة ظاهرية، وبين الشبكات الظاهرية. السجلات الموجودة في منطقة DNS الخاصة غير قابلة للحل من الإنترنت. تعمل دقة DNS مقابل منطقة DNS خاصة فقط من الشبكات الظاهرية المرتبطة بها.
  • أجهزة Azure الظاهرية هي موارد حوسبة قابلة للتطوير عند الطلب تمنحك مرونة الظاهرية ولكنها تلغي متطلبات الصيانة للأجهزة المادية. تتضمن خيارات نظام التشغيل Windows وLinux. يمكن استبدال مكونات معينة من التطبيقات بموارد Azure للنظام الأساسي كخدمة (على سبيل المثال قاعدة البيانات وطبقة الواجهة الأمامية)، ولكن البنية لن تتغير بشكل كبير إذا كان استخدام Private Link وApp Service VNet Integration لجلب خدمات PaaS هذه إلى الشبكة الظاهرية.
  • Azure Virtual Machine Scale Sets هي تحجيم تلقائي ومتوازن للجهاز الظاهري الذي يبسط إدارة التطبيقات ويزيد من التوفر.
  • يتيح لك SQL Server على الأجهزة الظاهرية استخدام الإصدارات الكاملة من SQL Server في السحابة دون الحاجة إلى إدارة أي أجهزة محلية.
  • شبكة Azure الظاهرية هي شبكة خاصة آمنة في السحابة. وهو يربط الأجهزة الظاهرية ببعضها البعض، والإنترنت، والشبكات عبر المباني.
  • المسارات المعرفة من قبل المستخدم هي آلية لتجاوز التوجيه الافتراضي في الشبكات الظاهرية. في هذا السيناريو يتم استخدامها لفرض حركة المرور الواردة والصادرة لتدفق حركة المرور لاجتياز جدار حماية Azure.

تفاصيل الحل

Traffic Manager - قمنا بتكوين Traffic Manager لاستخدام توجيه الأداء. يقوم بتوجيه نسبة استخدام الشبكة إلى نقطة النهاية التي لديها أقل زمن انتقال للمستخدم. يقوم Traffic Manager تلقائيا بضبط خوارزمية موازنة التحميل الخاصة به مع تغير زمن انتقال نقطة النهاية. يوفر Traffic Manager تجاوز الفشل التلقائي إذا كان هناك انقطاع إقليمي. ويستخدم التوجيه ذات الأولوية والفحوصات الصحية المنتظمة لتحديد مكان توجيه نسبة استخدام الشبكة.

مناطق التوفر - تستخدم البنية ثلاث مناطق توفر. تنشئ المناطق بنية عالية التوفر لبوابات التطبيق وموازنات التحميل الداخلية والأجهزة الظاهرية في كل منطقة. إذا كان هناك انقطاع في المنطقة، فستتولى مناطق التوفر المتبقية في تلك المنطقة الحمل، مما لن يؤدي إلى تجاوز الفشل الإقليمي.

بوابة التطبيق - بينما يوفر Traffic Manager موازنة التحميل الإقليمية المستندة إلى DNS، تمنحك بوابة التطبيق العديد من الإمكانات نفسها مثل Azure Front Door ولكن على المستوى الإقليمي مثل:

  • جدار حماية تطبيقات الويب (WAF)
  • إنهاء أمان طبقة النقل (TLS)
  • التوجيه المستند إلى المسار
  • ترابط جلسة العمل المستندة إلى ملفات تعريف الارتباط

Azure Firewall - يوفر Azure Firewall Premium أمان الشبكة للتطبيقات العامة (حركة مرور الويب وغير الويب)، ويفحص ثلاثة أنواع من التدفقات في هذه البنية:

  • تدفقات HTTP (S) الواردة من بوابة التطبيق محمية من خلال فحص Azure Firewall Premium TLS.
  • يتم فحص التدفقات غير الواردة غير HTTP (S) من الإنترنت العام مع بقية ميزات Azure Firewall Premium.
  • يتم فحص التدفقات الصادرة من أجهزة Azure الظاهرية بواسطة Azure Firewall لمنع تسرب البيانات والوصول إلى المواقع والتطبيقات المحظورة.

تناظر الشبكة الظاهرية - نسمي التناظر بين المناطق "نظير الشبكة الظاهرية العالمية". يوفر نظير الشبكة الظاهرية العمومية نسخا متماثلا للبيانات ذات زمن انتقال منخفض وعرض نطاق ترددي عال بين المناطق. يمكنك نقل البيانات عبر اشتراكات Azure ومستأجري Microsoft Entra ونماذج التوزيع باستخدام هذا النظير العمومي. في بيئة النظام المحوري، ستوجد تناظرات الشبكة الظاهرية بين شبكات المركز والشبكات المحورية.

التوصيات

تلتزم التوصيات التالية بركائز Azure Well-Architected Framework (WAF). ركائز WAF هي المبادئ التوجيهية التي تساعد على ضمان جودة أحمال العمل السحابية. لمزيد من المعلومات، يرجى مراجعةMicrosoft Azure Well-Architected Framework.

الموثوقيه

المناطق - استخدم منطقتين على الأقل من مناطق Azure للحصول على قابلية وصول عالية. يمكنك نشر التطبيق الخاص بك عبر مناطق Azure متعددة في تكوينات نشطة/سلبية أو نشطة/نشطة. تساعد مناطق متعددة أيضا على تجنب وقت تعطل التطبيق إذا فشل نظام فرعي للتطبيق.

  • سيفشل Traffic Manager تلقائيا في المنطقة الثانوية إذا فشلت المنطقة الأساسية.
  • يجب أن يستند اختيار أفضل المناطق لاحتياجاتك إلى الاعتبارات التقنية والتنظيمية ودعم منطقة التوفر.

أزواج المنطقة - استخدم أزواج المنطقة للحصول على أقصى قدر من المرونة. تأكد من أن كلا زوجي المنطقة يدعمان جميع خدمات Azure التي يحتاجها تطبيقك (راجع الخدمات حسب المنطقة). فيما يلي ميزتان لأزواج المناطق:

  • يتم طرح تحديثات Azure المخطط لها إلى مناطق مقترنة كل على حدة لتقليل وقت التعطل ومخاطر انقطاع التطبيق.
  • تستمر البيانات في الإقامة داخل نفس المنطقة الجغرافية مثل زوجها (باستثناء جنوب البرازيل) لأغراض ضريبية وقانونية.

مناطق التوفر - استخدم مناطق توفر متعددة لدعم Application Gateway وAzure Firewall وAzure Load Balancer وطبقات التطبيق عند توفرها.

التحجيم التلقائي لبوابة التطبيق والمثيلات - تكوين بوابة التطبيق مع مثيلين على الأقل لتجنب وقت التعطل، والتحجيم التلقائي لتوفير تكيف ديناميكي مع متطلبات سعة التطبيق المتغيرة.

لمزيد من المعلومات، راجع:

التوجيه العمومي

طريقة التوجيه العمومية - استخدم أسلوب توجيه نسبة استخدام الشبكة الذي يلبي احتياجات عملائك على أفضل نحو. يدعم Traffic Manager أساليب متعددة لتوجيه نسبة استخدام الشبكة لتوجيه نسبة استخدام الشبكة بشكل محدد إلى نقاط نهاية الخدمة المختلفة.

التكوين المتداخل - استخدم Traffic Manager في تكوين متداخل إذا كنت بحاجة إلى تحكم أكثر دقة لاختيار تجاوز فشل مفضل داخل منطقة.

لمزيد من المعلومات، راجع:

طريقة عرض نسبة استخدام الشبكة العمومية

استخدم Traffic View في Traffic Manager لمشاهدة أنماط نسبة استخدام الشبكة ومقاييس زمن الانتقال. يمكن أن تساعدك طريقة عرض نسبة استخدام الشبكة في تخطيط توسيع البصمة إلى مناطق Azure الجديدة.

راجع Traffic Manager Traffic View للحصول على التفاصيل.

Application Gateway

استخدم Application Gateway v2 SKU للمرونة التلقائية الجاهزة.

  • يضمن Application Gateway v2 SKU تلقائيا أن المثيلات الجديدة تفرخ عبر مجالات الخطأ ومجالات التحديث. إذا اخترت تكرار المنطقة، فإن أحدث المثيلات تفرخ أيضا عبر مناطق التوفر لمنح التسامح مع الخطأ.

  • يدعم Application Gateway v1 SKU سيناريوهات توفر عالٍ عند نشر مثيلين أو أكثر. يوزع Azure هذه المثيلات عبر مجالات التحديث والخطأ لضمان عدم فشل المثيلات في نفس الوقت. يدعم V1 SKU قابلية التوسع عن طريق إضافة مثيلات متعددة من نفس البوابة لمشاركة التحميل.

تحتاج بوابة التطبيق إلى الوثوق بشهادة المرجع المصدق لجدار حماية Azure.

جدار حماية Azure

المستوى المميز لجدار حماية Azure مطلوب في هذا التصميم لتوفير فحص TLS. سيعترض جدار حماية Azure جلسات TLS بين Application Gateway والأجهزة الظاهرية على مستوى الويب التي تقوم بإنشاء شهاداتها الخاصة، بالإضافة إلى فحص تدفقات نسبة استخدام الشبكة الصادرة من الشبكات الظاهرية إلى الإنترنت العام. يمكنك العثور على مزيد من المعلومات حول هذا التصميم في شبكة ثقة معدومة لتطبيقات الويب باستخدام جدار حماية Azure وبوابة التطبيق.

توصيات فحص الصحة

فيما يلي بعض التوصيات لفحوصات السلامة في Traffic Manager وApplication Gateway وLoad Balancer.

Traffic Manager

صحة نقطة النهاية - إنشاء نقطة نهاية تقوم بالإبلاغ عن الصحة العامة للتطبيق. يستخدم Traffic Manager فحص HTTP(S) لمراقبة توفر كل منطقة. يتحقق الفحص من استجابة HTTP 200 لمسار URL محدد. استخدم نقطة النهاية التي قمت بإنشائها لفحص السلامة. وإلا، قد يبلغ الفحص عن نقطة نهاية سليمة عند فشل الأجزاء الهامة من التطبيق.

لمزيد من المعلومات، راجع نمط مراقبة نقطة النهاية الصحية.

تأخير تجاوز الفشل - لدى Traffic Manager تأخير في تجاوز الفشل. تحدد العوامل التالية مدة التأخير:

  • الفواصل الزمنية للفحص: عدد المرات التي يتحقق فيها الفحص من صحة نقطة النهاية.
  • عدد حالات الفشل المسموح بها: عدد حالات الفشل التي يتسامح معها التحقيق قبل وضع علامة على نقطة النهاية غير سليمة.
  • مهلة الفحص: كم من الوقت قبل أن يعتبر Traffic Manager نقطة النهاية غير سليمة.
  • مدة البقاء (TTL): يجب أن تقوم خوادم DNS بتحديث سجلات DNS المخزنة مؤقتا لعنوان IP. يعتمد الوقت المستغرق على DNS TTL. مدة البقاء الافتراضية هي 300 ثانية (5 دقائق)، ولكن يمكنك تكوين هذه القيمة عند إنشاء ملف تعريف Traffic Manager.

لمزيد من المعلومات، راجع مراقبة Traffic Manager.

بوابة التطبيق وموازن التحميل

تعرف على نهج فحص السلامة لبوابة التطبيق وموازن التحميل لضمان فهمك لصحة الأجهزة الظاهرية الخاصة بك. فيما يلي نظرة عامة موجزة:

  • تستخدم بوابة التطبيق دائما فحص HTTP.

  • يمكن لموازن التحميل تقييم إما HTTP أو TCP. استخدم فحص HTTP إذا كان الجهاز الظاهري يقوم بتشغيل خادم HTTP. استخدم TCP لكل شيء آخر.

  • ترسل تحقيقات HTTP طلب HTTP GET إلى مسار محدد وتستمع إلى استجابة HTTP 200. يمكن أن يكون هذا المسار هو المسار الجذر ("/")، أو نقطة نهاية مراقبة السلامة التي تنفذ المنطق المخصص للتحقق من صحة التطبيق.

  • يجب أن تسمح نقطة النهاية بطلبات HTTP مجهولة. إذا لم يتمكن المسبار من الوصول إلى مثيل خلال فترة المهلة، توقف Application Gateway أو Load Balancer عن إرسال نسبة استخدام الشبكة إلى هذا الجهاز الظاهري. يستمر الفحص في التحقق وسيعيد الجهاز الظاهري إلى تجمع النهاية الخلفية إذا أصبح الجهاز الظاهري متوفرا مرة أخرى.

لمزيد من المعلومات، راجع:

التميز التشغيلي

مجموعات الموارد - استخدم مجموعات الموارد لإدارة موارد Azure حسب العمر والمالك والخصائص الأخرى.

تناظر الشبكة الظاهرية - استخدم تناظر الشبكة الظاهرية لتوصيل شبكتين ظاهريتين أو أكثر بسلاسة في Azure. تظهر الشبكات الظاهرية كشبكة واحدة لأغراض الاتصال. تستخدم نسبة استخدام الشبكة بين الأجهزة الظاهرية في الشبكات الظاهرية النظيرة بنية Microsoft الأساسية الرئيسية. تأكد من عدم تداخل مساحة العنوان للشبكات الظاهرية.

الشبكة الظاهرية والشبكات الفرعية - إنشاء شبكة فرعية منفصلة لكل طبقة من شبكتك الفرعية. يجب نشر الأجهزة الظاهرية والموارد، مثل بوابة التطبيق وموازن التحميل، في شبكة ظاهرية مع شبكات فرعية.

الأمان

جدار حماية تطبيق الويب - ستكتشف وظيفة WAF لبوابة تطبيق Azure الهجمات وتمنعها على مستوى HTTP، مثل حقن SQL (SQLi) أو البرمجة النصية عبر المواقع (CSS).

جدار حماية الجيل التالي - يوفر Azure Firewall Premium طبقة إضافية من الدفاع عن طريق فحص المحتوى بحثا عن هجمات غير متعلقة بالويب، مثل الملفات الضارة التي تم تحميلها عبر HTTP(S) أو أي بروتوكول آخر.

التشفير الشامل - يتم تشفير نسبة استخدام الشبكة في جميع الأوقات عند اجتياز شبكة Azure. يقوم كل من Application Gateway وAzure Firewall بتشفير نسبة استخدام الشبكة قبل إرسالها إلى نظام الواجهة الخلفية المقابل.

رفض الخدمة الموزع (DDoS) - استخدم حماية شبكة Azure DDoS لحماية DDoS أكبر من الحماية الأساسية التي يوفرها Azure.

مجموعات أمان الشبكة (NSGs) - استخدم مجموعات أمان الشبكة لتقييد نسبة استخدام الشبكة داخل الشبكة الظاهرية. على سبيل المثال، في البنية ثلاثية المستويات الموضحة هنا، يقبل مستوى البيانات نسبة استخدام الشبكة فقط من طبقة الأعمال، وليس من واجهة الويب الأمامية. يمكن فقط لطبقة الأعمال الاتصال مباشرة بطبقة قاعدة البيانات. لفرض هذه القاعدة، يجب أن يحظر مستوى قاعدة البيانات كافة نسبة استخدام الشبكة الواردة باستثناء الشبكة الفرعية لمستوى الأعمال.

  1. السماح بنسبة استخدام الشبكة الواردة من الشبكة الفرعية لمستوى الأعمال.
  2. السماح بنسبة استخدام الشبكة الواردة من الشبكة الفرعية لطبقة قاعدة البيانات نفسها. تسمح هذه القاعدة بالاتصال بين الأجهزة الظاهرية لقاعدة البيانات. النسخ المتماثل لقاعدة البيانات وتجاوز الفشل يحتاجان إلى هذه القاعدة.
  3. رفض كافة حركة المرور الواردة من الشبكة الظاهرية، باستخدام العلامة VirtualNetwork في القاعدة) للكتابة فوق عبارة التصريح المضمنة في قواعد NSG الافتراضية.

إنشاء القاعدة 3 بأولوية أقل (رقم أعلى) من القواعد الأولى.

يمكنك استخدام علامات الخدمة لتعريف عناصر التحكم في الوصول إلى الشبكة على مجموعات أمان الشبكة أو Azure Firewall.

لمزيد من المعلومات، راجع تكوين البنية الأساسية لبوابة التطبيق.

تحسين التكلفة

لمزيد من المعلومات، راجع:

كفاءة الأداء

مجموعات مقياس الجهاز الظاهري - استخدم مجموعات مقياس الجهاز الظاهري لأتمتة قابلية توسع الأجهزة الظاهرية. تتوفر مجموعات مقياس الجهاز الظاهري على جميع أحجام الأجهزة الظاهرية لنظامي التشغيل Windows وLinux. يتم تحصيل رسوم منك فقط مقابل الأجهزة الظاهرية المنشورة وموارد البنية الأساسية المستهلكة. لا توجد رسوم تزايدية. فوائد مجموعات مقياس الجهاز الظاهري هي:

  • إنشاء أجهزة ظاهرية متعددة وإدارتها بسهولة
  • قابلية الوصول العالية ومرونة التطبيق
  • التحجيم التلقائي مع تغير الطلب على الموارد

لمزيد من المعلومات، راجع مجموعات مقياس الجهاز الظاهري.

الخطوات التالية

لمزيد من البنيات المرجعية باستخدام نفس التقنيات، راجع: