مشاركة عبر

طوبولوجيا الشبكة واعتبارات الاتصال لمسرع المنطقة المنتقل إليها لخدمة التطبيقات

  • مقالة

توفر هذه المقالة اعتبارات التصميم والتوصيات لطوبولوجيا الشبكة والاتصال التي يمكنك تطبيقها عند استخدام مسرع المنطقة المنتقل إليها في Azure App Service. تعد الشبكات مركزية لكل شيء تقريبا في منطقة الهبوط.

تعتمد طوبولوجيا الشبكة واعتبارات الاتصال لهذه البنية على متطلبات أحمال العمل التي تتم استضافتها وعلى متطلبات الأمان والتوافق لمؤسستك.

اعتبارات التصميم

عند توزيع حل App Service على Azure، تحتاج إلى النظر بعناية في متطلبات الشبكات للتأكد من أن التطبيق يعمل بشكل صحيح. هناك العديد من العوامل الرئيسية التي يجب مراعاتها عند التخطيط للتوزيع:

  • تحديد متطلبات الشبكات لتطبيقك.

    • نسبة استخدام الشبكة الواردة. إذا كان تطبيقك يوفر خدمات مستندة إلى الويب مثل موقع ويب أو واجهة برمجة تطبيقات، فمن المحتمل أنه يحتاج إلى أن يكون قادرا على تلقي نسبة استخدام الشبكة الواردة من الإنترنت. للتأكد من أن تطبيقك يمكنه قبول الاتصالات الواردة، تحتاج إلى تكوينه للاستماع إلى المنافذ المناسبة.
    • الوصول إلى موارد Azure الأخرى. قد يحتاج تطبيقك إلى أن يكون قادرا على الوصول إلى الموارد على Azure، مثل حسابات التخزين أو قواعد البيانات، باستخدام نقطة النهاية الخاصة به. قد تكون هذه الموارد موجودة داخل شبكة Azure الظاهرية أو خدمات Azure الأخرى.
    • SSL/TLS. للمساعدة في تأمين الاتصال بين تطبيقك ومستخدميه، تحتاج إلى تمكين تشفير SSL/TLS. يضمن القيام بذلك تشفير نسبة استخدام الشبكة بين تطبيقك ومستخدميه، مما يساعد على حماية المعلومات الحساسة من اعتراضها من قبل جهات خارجية.
    • قيود IP. اعتمادا على متطلباتك، قد تحتاج إلى السماح بالوصول إلى تطبيقك أو حظره من عناوين IP أو نطاقات محددة. يمكن أن يوفر القيام بذلك أمانا محسنا ويحد من الوصول إلى تطبيقك لمستخدمين أو مواقع محددة.

  • اختر مستوى خطة App Service. استخدم متطلبات الشبكات لتطبيقك لتحديد المستوى المناسب لخطة App Service. من الجيد مراجعة مستويات خطة App Service المختلفة وميزاتها لتحديد أي منها يناسب احتياجاتك.

خدمة متعددة المستأجرين ل App Service

  • يشارك حل App Service متعدد المستأجرين عنوان IP واردا واحدا وعناوين IP صادرة متعددة مع موارد App Service الأخرى في وحدة توزيع واحدة. يمكن أن تتغير عناوين IP هذه لعدة أسباب. إذا كنت بحاجة إلى عناوين IP صادرة متسقة لحل App Service متعدد المستأجرين، يمكنك تكوين بوابة NAT أو استخدام تكامل الشبكة الظاهرية.

  • إذا كنت بحاجة إلى عنوان IP مخصص لحل App Service الخاص بك، يمكنك استخدام عنوان معين من قبل التطبيق، أو أمام مثيل App Service الخاص بك مع بوابة تطبيق (التي تم تعيين عنوان IP ثابت لها)، أو استخدام شهادة SSL المستندة إلى IP لتعيين عنوان IP مخصص لتطبيقك عبر النظام الأساسي لخدمة التطبيقات.

  • عندما تحتاج إلى الاتصال من حل App Service بالخدمات المحلية أو الخاصة أو المقيدة ب IP، ضع في اعتبارك ما يلي:

    • في توزيع App Service متعدد المستأجرين، يمكن أن ينشأ استدعاء App Service من مجموعة واسعة من عناوين IP. قد تحتاج إلى تكامل الشبكة الظاهرية.
    • يمكنك استخدام خدمات مثل APIM وApplication Gateway لاستدعاءات الوكيل بين حدود الشبكات. يمكن أن توفر هذه الخدمات عنوان IP ثابتا إذا كنت بحاجة إلى عنوان.

  • يمكنك استخدام نقطة نهاية خاصة أو عامة لتوزيع App Service متعدد المستأجرين. عند استخدام نقطة نهاية خاصة، يتم التخلص من التعرض العام لحل App Service. إذا كنت بحاجة إلى نقطة النهاية الخاصة لحل App Service ليتم الوصول إليها عبر الإنترنت، ففكر في استخدام بوابة التطبيق لعرض حل App Service.

  • يعرض توزيع App Service متعدد المستأجرين مجموعة من المنافذ. لا توجد طريقة لحظر الوصول إلى هذه المنافذ أو التحكم فيها في توزيع App Service متعدد المستأجرين.

  • خطط لشبكاتك الفرعية بشكل صحيح لتكامل الشبكة الظاهرية الصادرة وفكر في عدد عناوين IP المطلوبة. يستند تكامل الشبكة الظاهرية إلى شبكة فرعية مخصصة. عند توفير شبكة فرعية ل Azure، يحتفظ Azure بخمسة عناوين IP. يتم استخدام عنوان IP واحد من الشبكة الفرعية للتكامل لكل مثيل خطة App Service. عند توسيع نطاق تطبيقك إلى أربعة مثيلات، على سبيل المثال، يتم استخدام أربعة عناوين IP. عندما تقوم بالتحجيم لأعلى أو لأسفل، تتم مضاعفة مساحة العنوان المطلوبة لفترة قصيرة. يؤثر هذا على المثيلات المدعومة المتوفرة لحجم شبكة فرعية معين.

  • نظرا لأنه لا يمكنك تغيير حجم شبكة فرعية بعد التعيين، فأنت بحاجة إلى استخدام شبكة فرعية كبيرة بما يكفي لاستيعاب المقياس الذي قد يصل إليه تطبيقك. لتجنب أي مشكلات في سعة الشبكة الفرعية، استخدم /26 مع 64 عنوانا لتكامل الشبكة الظاهرية.

  • إذا كنت تتصل بحل App Service متعدد المستأجرين وتحتاج إلى عنوان صادر مخصص، فاستخدم بوابة NAT.

App Service Environment (مستأجر واحد)

  • حدد تصميم شبكة App Service Environment: موازن تحميل خارجي أو داخلي. استخدم توزيعا خارجيا عندما تحتاج إلى وصول مباشر من الإنترنت. استخدم توزيع موازن التحميل الداخلي لعرض الوصول فقط من داخل الشبكة الظاهرية حيث يتم نشر App Service Environment. يوفر التوزيع الأخير مستوى آخر من الأمان والتحكم في الوصول إلى الشبكة إلى التطبيقات.
  • تحصل App Services في App Service Environment على عناوين IP ثابتة ومخصصة للاتصالات الواردة والصادرة، طوال مدة بقاء App Service Environment.
  • عندما تحتاج إلى الاتصال من App Service Environment بالخدمات المحلية أو الخاصة أو المقيدة ب IP، تعمل App Service Environment في سياق شبكة ظاهرية.
  • يمكنك اختيار حجم الشبكة الفرعية عند نشر App Service Environment. لا يمكنك تغيير الحجم في وقت لاحق. نوصي بحجم /24، والذي يحتوي على 256 عنوانا ويمكنه التعامل مع بيئة خدمة التطبيقات ذات الحجم الأقصى وأي احتياجات تحجيم.

توصيات التصميم

تنطبق أفضل الممارسات التالية على أي توزيع لخدمة التطبيقات.

  • الاتصال بحل App Service:
    • تنفيذ جدار حماية تطبيق ويب Azure أمام حل App Service الخاص بك. استخدم Azure Front Door أو Application Gateway أو خدمة شريك لتوفير هذه الحماية المستندة إلى OWASP. يمكنك استخدام إما Azure Front Door أو Application Gateway لمنطقة واحدة، أو كليهما لمناطق متعددة. إذا كنت بحاجة إلى توجيه المسار في المنطقة، فاستخدم Application Gateway. إذا كنت بحاجة إلى موازنة تحميل متعددة المناطق وجدار حماية تطبيق الويب، فاستخدم Azure Front Door.
    • باستخدام نقطة نهاية خاصة لخدمة التطبيقات، يمكنك الوصول إلى التطبيق عبر نقطة نهاية خاصة مستندة إلى الشبكة بدلا من نقطة نهاية عامة مستندة إلى الإنترنت. عند استخدام نقطة نهاية خاصة، يمكنك تقييد الوصول إلى التطبيق للمستخدمين فقط في شبكتك الظاهرية، والتي توفر طبقة أخرى من الأمان لتطبيقك، وتقليل تكاليف خروج البيانات، وتحسين الأداء.
    • استخدم قيود الوصول للتأكد من أنه لا يمكن الوصول إلى حل App Service إلا من مواقع صالحة. على سبيل المثال، إذا كان توزيع App Service متعدد المستأجرين يستضيف واجهات برمجة التطبيقات وكان أمام APIM، فقم بإعداد تقييد الوصول بحيث يمكن الوصول إلى حل App Service فقط من APIM.
  • الاتصال من حل App Service:
  • استخدم الأدوات المضمنة لاستكشاف مشكلات الشبكة وإصلاحها.
  • تجنب استنفاد منفذ SNAT باستخدام تجمعات الاتصال. يمكن أن يؤدي إنشاء اتصالات إلى نفس المضيف والمنفذ بشكل متكرر إلى أوقات استجابة بطيئة أو أخطاء متقطعة 5xx أو مهلات أو مشاكل اتصال نقطة نهاية خارجية.
  • اتبع التوصيات الموضحة في قسم أمان الشبكة من أساس أمان Azure لخدمة التطبيقات.

الهدف من تخطيط الشبكة واعتبارات الاتصال لمسرع المنطقة المنتقل إليها لخدمة التطبيقات هو توفير مخطط عالي المستوى لتنفيذ بيئة مرنة وقابلة للتطوير لنشر خدمات التطبيقات. يمكن أن يساعدك هذا المخطط، الذي يركز على بنية الشبكة والاتصال، في إعداد منطقة هبوط في Azure بسرعة وكفاءة لاستضافة حلول App Services.