Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan consideraciones de diseño y recomendaciones para la topología de red y la conectividad que puede aplicar al usar el acelerador de zonas de aterrizaje de Azure App Service. Las redes son fundamentales para casi todo en una zona de aterrizaje.
Las consideraciones de conectividad y topología de red para esta arquitectura dependen de los requisitos de las cargas de trabajo que se hospedan y de los requisitos de seguridad y cumplimiento de su organización.
Consideraciones de diseño
Al implementar una solución de App Service en Azure, debe tener en cuenta cuidadosamente los requisitos de red para asegurarse de que la aplicación funciona correctamente. Hay varios factores clave que se deben tener en cuenta al planear una implementación:
Determine los requisitos de red de la aplicación.
- Tráfico entrante. Si la aplicación proporciona servicios basados en web, como un sitio web o una API, es probable que tenga que poder recibir tráfico entrante de Internet. Para asegurarse de que la aplicación puede aceptar conexiones entrantes, debe configurarla para que escuche en los puertos adecuados.
- Acceso a otros recursos de Azure. Es posible que la aplicación tenga que tener acceso a los recursos en Azure, como las cuentas de almacenamiento o las bases de datos, mediante su punto de conexión privado. Estos recursos pueden encontrarse dentro de una red virtual de Azure u otros servicios de Azure.
- SSL/TLS. Para ayudar a proteger la comunicación entre la aplicación y sus usuarios, debe habilitar el cifrado SSL/TLS. Al hacerlo, se garantiza que el tráfico entre la aplicación y sus usuarios esté cifrado, lo que ayuda a proteger la información confidencial de ser interceptada por terceros.
- Restricciones de IP. Según sus requisitos, es posible que tenga que permitir o bloquear el acceso a la aplicación desde direcciones IP o intervalos específicos. Si lo hace, puede proporcionar seguridad mejorada y limitar el acceso a la aplicación a usuarios o ubicaciones específicos.
Elija un nivel de plan de App Service. Use los requisitos de red de la aplicación para determinar el nivel adecuado para el plan de App Service. Es recomendable revisar los distintos niveles de plan de App Service y sus características para determinar cuál es el más adecuado para sus necesidades.
Servicio multiinquilino de App Service
Una solución multiinquilino de App Service comparte una única dirección IP de entrada y varias direcciones IP de salida con otros recursos de App Service en una sola unidad de implementación. Estas direcciones IP pueden cambiar por diversos motivos. Si necesita direcciones IP de salida coherentes para una solución de App Service multiinquilino, puede configurar una puerta de enlace NAT o usar la integración de red virtual.
Si necesita una dirección IP dedicada para la solución de App Service, puede usar una dirección asignada por la aplicación, frente a la instancia de App Service con una puerta de enlace de aplicaciones (que se asigna una dirección IP estática) o usar un certificado SSL basado en IP para asignar una dirección IP dedicada a la aplicación a través de la plataforma de App Service.
Cuando necesite conectarse desde una solución de App Service a servicios locales, privados o restringidos por IP, tenga en cuenta lo siguiente:
- En una implementación de App Service multiinquilino, una llamada de App Service se puede originar desde una amplia gama de direcciones IP. Es posible que necesite integración de red virtual.
- Puede usar servicios como API Management y Application Gateway para llamadas de proxy entre límites de red. Estos servicios pueden proporcionar una dirección IP estática si necesita una.
Puede usar un punto de conexión privado o público para una implementación de App Service multiinquilino. Cuando se usa un punto de conexión privado, se elimina la exposición pública a la solución de App Service. Si necesita que el punto de conexión privado de la solución de App Service sea accesible a través de Internet, considere la posibilidad de usar Application Gateway para exponer la solución de App Service.
Una implementación multiinquilino de App Service expone un conjunto de puertos. No hay ninguna manera de bloquear o controlar el acceso a estos puertos en una implementación de App Service multitenant.
Planee las subredes correctamente para la integración de red virtual saliente y tenga en cuenta el número de direcciones IP necesarias. La integración de red virtual depende de una subred dedicada. Al aprovisionar una subred de Azure, Azure reserva cinco direcciones IP. Una dirección IP se usa desde la subred de integración para cada instancia del plan de App Service. Al escalar la aplicación a cuatro instancias, por ejemplo, se usan cuatro direcciones IP. Al escalar o reducir verticalmente, el espacio de direcciones necesario se duplica durante un breve período de tiempo. Esto afecta a las instancias admitidas disponibles para un tamaño de subred determinado.
Dado que no puedes cambiar el tamaño de una subred después de la asignación, debes usar una subred lo suficientemente grande como para dar cabida a la escala a la que pueda llegar la aplicación. Para evitar problemas con la capacidad de subred, use un /26 con 64 direcciones para la integración de red virtual.
Si necesita una dirección de salida dedicada al conectarse a una solución multiinquilino de App Service, use NAT Gateway.
App Service Environment (inquilino único)
- Decida sobre un diseño de red de App Service Environment: equilibrador de carga externo o interno. Use una implementación externa cuando necesite acceso directo desde Internet. Utilice un equilibrador de carga interno para exponer el acceso solo desde dentro de la red virtual donde se implementa el App Service Environment. Esta última implementación proporciona otro nivel de seguridad y control sobre el acceso de red a las aplicaciones.
- App Services implementados en un App Service Environment obtiene direcciones IP estáticas y dedicadas para la comunicación entrante y saliente, durante la vigencia de App Service Environment.
- Cuando necesite conectarse desde una instancia de App Service Environment a servicios locales, privados o restringidos por IP, App Service Environment se ejecuta en el contexto de una red virtual.
- Elija el tamaño de la subred al implementar una instancia de App Service Environment. No se puede cambiar el tamaño más adelante. Se recomienda un tamaño de /24, que tiene 256 direcciones y puede controlar un entorno de App Service de tamaño máximo y cualquier necesidad de escalado.
Recomendaciones de diseño
Los procedimientos recomendados siguientes se aplican a cualquier implementación de App Service.
- Conexión a una solución de App Service:
- Implemente un firewall de aplicaciones web de Azure delante de la solución de App Service. Use Azure Front Door, Application Gateway o un servicio de asociado para proporcionar esta protección basada en OWASP. Puede usar Azure Front Door o Application Gateway para una sola región, o ambas para varias regiones. Si necesita enrutamiento de ruta de acceso en la región, use Application Gateway. Si necesita equilibrio de carga de varias regiones y firewall de aplicaciones web, use Azure Front Door.
- Mediante el uso de un punto de conexión privado para App Service, puede acceder a la aplicación a través de un punto de conexión privado basado en red en lugar de un punto de conexión público basado en Internet. Cuando usa un punto de conexión privado, puede restringir el acceso a la aplicación solo a los usuarios de la red virtual, lo que proporciona otra capa de seguridad para la aplicación, menores costos de salida de datos y un rendimiento mejorado.
- Use restricciones de acceso para asegurarse de que solo se puede acceder a la solución de App Service desde ubicaciones válidas. Por ejemplo, si una implementación multiinquilino de App Service hospeda las API y está en frente de API Management, configure una restricción de acceso para que solo se pueda acceder a la solución de App Service desde API Management.
- Conexión desde una solución de App Service:
- Si necesita conectividad privada con otros servicios de Azure, use Azure Private Link si es compatible con los servicios.
- Use las herramientas integradas para solucionar problemas de red.
- Evite el agotamiento de puertos SNAT mediante grupos de conexiones. La creación repetida de conexiones al mismo host y puerto puede provocar tiempos de respuesta lentos, errores 5xx intermitentes, tiempos de espera o problemas de conexión de punto de conexión externo.
- Siga las recomendaciones que se describen en la sección Seguridad de red de la línea de base de seguridad de Azure para App Service.
El objetivo de la topología de red y las consideraciones de conectividad para el acelerador de zona de aterrizaje de App Service es proporcionar una plantilla de alto nivel para implementar un entorno escalable y resistente para implementar App Services. Esta plantilla se centra en la arquitectura y conectividad de red y puede ayudarle a configurar de forma rápida y eficaz una zona de aterrizaje en Azure para hospedar soluciones de App Services.