Sdílet prostřednictvím

Síťová topologie a připojení pro akcelerátor cílové zóny Azure Spring Apps

  • Článek

Tento článek popisuje aspekty návrhu a doporučení pro síť, ve které je umístěná úloha Spring Boot. Váš cílový návrh závisí na požadavcích úloh a požadavcích vaší organizace na zabezpečení a dodržování předpisů.

Tým centralizované platformy a tým aplikací sdílejí odpovědnost za oblast návrhu sítě. Tým platformy vybere síťovou topologii, což může být tradiční hvězdicový model nebo Virtual WAN topologie sítě (spravovaná Microsoftem). Tým aplikace zodpovídá za volby návrhu paprskové sítě. Očekává se, že úloha bude mít závislosti na sdílených službách, které spravuje platforma. Aplikační tým musí porozumět důsledkům těchto závislostí a sdělit jejich požadavky, aby byly splněny celkové cíle úlohy.

Další informace o návrhu platformy najdete v tématu Topologie sítě a možnosti připojení.

Dodržujte tyto aspekty návrhu a doporučení jako osvědčené postupy pro řízení podsítí, příchozího přenosu dat a výchozího přenosu dat.

Na co dát pozor při navrhování

  • Izolace. Centrální tým může poskytnout virtuální síť pro tým aplikací, aby mohl spouštět své úlohy. Pokud je úloha Spring Boot oddělená od jiných úloh, zvažte zřízení vlastní virtuální sítě pro modul runtime Spring App Service a aplikaci.

  • Podsítě. Pokud zvolíte velikost podsítě a počet aplikací, zvažte škálovatelnost aplikace.

    Pokud používáte existující podsítě nebo používáte vlastní směrovací tabulky, zajistěte, aby se pravidla přidaná službou Azure Spring Apps neaktualizovala nebo neodstraní.

    Dalším aspektem je zabezpečení. Zvažte pravidla, která povolují nebo zakazují provoz do podsítě.

  • Výchozí (odchozí) provoz. Provoz, který jde z virtuální sítě, musí být směrován přes Azure Firewall nebo síťové virtuální zařízení (NVA).

    Vezměte v úvahu omezení integrovaného nástroje pro vyrovnávání zatížení, který poskytuje Azure Spring Apps. V závislosti na vašich požadavcích možná budete muset přizpůsobit výchozí cesty pomocí směrování definovaného uživatelem( UDR), například ke směrování veškerého provozu přes síťové virtuální zařízení.

  • Příchozí (příchozí) provoz. Zvažte použití reverzního proxy serveru pro provoz směřující do Azure Spring Apps. Na základě vašich požadavků zvolte nativní možnosti, jako jsou Azure Application Gateway a Front Door, nebo místní služby, jako je API Management (APIM). Pokud tyto možnosti nevyhovují potřebám úlohy, je možné zvážit služby mimo Azure.

Doporučení k návrhu

Tato doporučení poskytují normativní pokyny pro předchozí sadu důležitých aspektů.

Virtuální sítě a podsítě

  • Azure Spring Apps vyžaduje oprávnění vlastníka vaší virtuální sítě. Tato role se vyžaduje k udělení vyhrazeného a dynamického instančního objektu pro nasazení a údržbu. Další informace najdete v tématu Nasazení Azure Spring Apps ve virtuální síti.

  • Azure Spring Apps nasazené v privátní síti poskytuje plně kvalifikovaný název domény (FQDN), který je přístupný jenom v rámci privátní sítě. Vytvořte zónu privátního DNS Azure pro IP adresu vaší aplikace Spring. Propojte privátní DNS s vaší virtuální sítí přiřazením privátního plně kvalifikovaného názvu domény v rámci Azure Spring Apps. Podrobné pokyny najdete v tématu Přístup k aplikaci v privátní síti.

  • Azure Spring Apps vyžaduje dvě vyhrazené podsítě. Jedna podsíť má modul runtime služby a druhá je určená pro aplikace Spring Boot.

    Minimální velikost bloku CIDR každé z těchto podsítí je /28. Podsíť modulu runtime a podsíť aplikace potřebují minimální adresní prostor /28. Počet aplikací Spring, které můžete nasadit, ale ovlivňuje velikost podsítě. Informace o maximálním počtu instancí aplikací podle rozsahu podsítě najdete v tématu Použití menších rozsahů podsítí.

  • Pokud jako reverzní proxy server před Azure Spring Apps použijete Azure Application Gateway, potřebujete pro tuto instanci další podsíť. Další informace najdete v tématu Použití Application Gateway jako reverzního proxy serveru.

  • Pomocí skupin zabezpečení sítě (NSG) v podsítích můžete filtrovat provoz mezi východem a západem a omezit tak provoz do podsítě modulu runtime služby.

  • Skupiny prostředků a podsítě, které spravuje nasazení Azure Spring Apps, se nesmí měnit.

Výchozí přenos

  • Ve výchozím nastavení má Azure Spring Apps neomezený odchozí přístup k internetu. K filtrování provozu sever-jih použijte síťové virtuální zařízení, jako je Azure Firewall. Využijte výhod Azure Firewall v centralizované centrální síti, abyste snížili režii na správu.

    Poznámka

    K podpoře instancí služby se vyžaduje výchozí přenos dat do komponent Azure Spring. Informace o konkrétních koncových bodech a portech najdete v tématu Požadavky na síť Azure Spring Apps.

  • Azure Spring Apps poskytuje typ odchozí trasy definované uživatelem, který plně řídí cestu výchozího provozu. OutboundType By měla být definována při vytvoření nové instance služby Azure Spring Apps. Nelze ho potom aktualizovat. OutboundType lze nakonfigurovat pouze s virtuální sítí. Další informace najdete v tématu Přizpůsobení výchozího přenosu dat Azure Spring Apps pomocí trasy definované uživatelem.

  • Aplikace musí komunikovat s dalšími službami Azure v řešení. Pokud vaše aplikace vyžadují privátní připojení, použijte Azure Private Link pro podporované služby.

Příchozí přenos dat

  • Pomocí reverzního proxy serveru zajistěte, aby uživatelé se zlými úmysly nemohli obejít firewall webových aplikací (WAF) nebo obcházet limity omezování. doporučujeme Azure Application Gateway s integrovaným WAF.

    Pokud používáte úroveň Enterprise, použijte přiřazený koncový bod aplikace Spring Cloud Gateway jako back-endový fond Application Gateway. Tento koncový bod se překládá na privátní IP adresu v podsíti modulu runtime služby Azure Spring Apps.

    Do podsítě modulu runtime služby přidejte skupinu zabezpečení sítě, která povoluje provoz jenom z podsítě Application Gateway, podsítě Azure Spring Apps a Azure Load Balancer.

    Poznámka

    Můžete zvolit alternativu reverzního proxy serveru, jako jsou služby Azure Front Door nebo služby mimo Azure. Informace o možnostech konfigurace najdete v tématu Zveřejnění azure Spring Apps prostřednictvím reverzního proxy serveru.

  • Azure Spring Apps je možné nasadit ve virtuální síti prostřednictvím injektáže virtuální sítě nebo mimo síť. Další informace najdete v tématu Souhrn konfigurace.

Další kroky

Důležité informace o zabezpečení akcelerátoru cílové zóny Azure Spring Apps