Partager via

Considérations relatives à la topologie et à la connectivité réseau pour l’accélérateur de zone d’atterrissage App Service

  • Article

Cet article fournit des considérations et des recommandations relatives à la conception pour la topologie et la connectivité du réseau que vous pouvez appliquer quand vous utilisez l’accélérateur de zone d’atterrissage Azure App Service. La mise en réseau est au cœur de presque tout ce qui se passe dans une zone d’atterrissage.

Les considérations relatives à la topologie et à la connectivité du réseau pour cette architecture dépendent des exigences des charges de travail hébergées et des exigences de sécurité et de conformité de votre organisation.

Remarques relatives à la conception

Quand vous déployez une solution App Service sur Azure, vous devez prendre en compte soigneusement les exigences réseau pour vous assurer que votre application fonctionne correctement. Quand vous planifiez un déploiement, vous devez tenir compte de plusieurs facteurs clés :

  • Déterminez les exigences réseau pour votre application.

    • Trafic entrant. Si votre application fournit des services web tels qu’un site web ou une API, elle doit probablement être en mesure de recevoir du trafic entrant provenant d’Internet. Pour vous assurer que votre application peut accepter les connexions entrantes, vous devez la configurer afin qu’elle écoute sur les ports appropriés.
    • Accès à d’autres ressources Azure. Votre application doit peut-être être en mesure d’accéder à des ressources sur Azure, telles que des comptes de stockage ou des bases de données, en utilisant son point de terminaison privé. Ces ressources peuvent se trouver dans un réseau virtuel Azure ou d’autres services Azure.
    • SSL/TLS. Pour aider à sécuriser la communication entre votre application et ses utilisateurs, vous devez activer le chiffrement SSL/TLS. Cela garantit que le trafic entre votre application et ses utilisateurs est chiffré, ce qui aide à protéger les informations sensibles contre toute interception par des tiers.
    • Restrictions d’adresse IP. Selon vos exigences, vous devrez peut-être autoriser ou bloquer l’accès à votre application à partir d’adresses IP ou de plages spécifiques. Cela peut améliorer la sécurité et limiter l’accès à votre application par des utilisateurs ou des emplacements spécifiques.

  • Choisissez un niveau de plan App Service. Utilisez les exigences réseau de votre application pour déterminer le niveau approprié pour votre plan App Service. Il est judicieux de passer en revue les différents niveaux de plan App Service et leurs fonctionnalités pour déterminer celui qui est le mieux adapté à vos besoins.

Service multilocataire App Service

  • Une solution multilocataire App Service partage une seule adresse IP entrante et plusieurs adresses IP sortantes avec d’autres ressources App Service dans une seule unité de déploiement. Ces adresses IP peuvent changer pour diverses raisons. Si vous avez besoin d’adresses IP sortantes cohérentes pour une solution App Service multilocataire, vous pouvez configurer une passerelle NAT ou utiliser l’intégration à un réseau virtuel.

  • Si vous avez besoin d’une adresse IP dédiée pour votre solution App Service, vous pouvez utiliser une adresse affectée par l’application, mettre en front-end votre instance d’App Service avec une passerelle d’application (qui se voit attribuer une adresse IP statique) ou utiliser un certificat SSL basé sur IP pour affecter une adresse IP dédiée à votre application par le biais de la plateforme App Service.

  • Quand vous avez besoin de vous connecter aux services locaux, privés ou restreints à des adresses IP à partir d’une solution App Service, considérez que :

    • Dans un déploiement App Service multilocataire, un appel App Service peut provenir d’un large éventail d’adresses IP. Vous devrez peut-être utiliser l’intégration à un réseau virtuel.
    • Vous pouvez utiliser des services tels que Gestion des API et Application Gateway pour traiter des appels par proxy entre les limites réseau. Ces services peuvent fournir une adresse IP statique si vous en avez besoin.

  • Vous pouvez utiliser un point de terminaison privé ou public pour un déploiement App Service multilocataire. Quand vous utilisez un point de terminaison privé, l’exposition publique à la solution App Service est éliminée. Si vous avez besoin que le point de terminaison privé de la solution App Service soit accessible via Internet, envisagez d’utiliser Application Gateway pour exposer la solution App Service.

  • Un déploiement App Service multilocataire expose un ensemble de ports. Il n’existe aucun moyen de bloquer ou de contrôler l’accès à ces ports dans un déploiement App Service multilocataire.

  • Planifiez correctement vos sous-réseaux pour l’intégration à un réseau virtuel sortant et tenez compte du nombre d’adresses IP requises. L’intégration au réseau virtuel dépend d’un sous-réseau dédié. Quand vous provisionnez un sous-réseau Azure, Azure réserve cinq adresses IP. Une seule adresse IP du sous-réseau d’intégration est utilisée pour chaque instance de plan App Service. Quand vous définissez l’échelle de votre application sur quatre instances, par exemple, quatre adresses IP sont utilisées. Quand vous effectuez un scale-up ou un scale-down, l’espace d’adressage requis est doublé pendant une courte durée. Cela affecte les instances prises en charge disponibles pour une taille de sous-réseau donnée.

  • Comme il n’est pas possible de changer la taille d’un sous-réseau après l’attribution, vous devez utiliser un sous-réseau suffisamment grand pour les besoins futurs de votre application. Pour éviter tout problème de capacité du sous-réseau, utilisez un /26 avec 64 adresses pour l’intégration à un réseau virtuel.

  • Si vous vous connectez à une solution App Service multilocataire et que vous avez besoin d’une adresse sortante dédiée, utilisez une passerelle NAT.

App Service Environment (monolocataire)

  • Choisissez une conception réseau App Service Environment : équilibreur de charge externe ou interne. Utilisez un déploiement externe quand vous avez besoin d’un accès direct à partir d’Internet. Utilisez un déploiement d’équilibreur de charge interne pour exposer l’accès uniquement à partir du réseau virtuel où l’environnement App Service Environment est déployé. Ce dernier déploiement offre un autre niveau de sécurité et de contrôle sur l’accès réseau aux applications.
  • App Services dans un environnement App Service Environment obtient des adresses IP statiques dédiées pour la communication entrante et sortante, pendant la durée de vie de l’environnement App Service Environment.
  • Quand vous devez vous connecter à partir d’un environnement App Service Environment à des services locaux, privés ou restreints à des adresses IP, l’environnement App Service Environment s’exécute dans le contexte d’un réseau virtuel.
  • Vous choisissez la taille du sous-réseau quand vous déployez un environnement App Service Environment. Vous ne pouvez pas changer la taille ultérieurement. Nous recommandons la taille /24, qui comprend 256 adresses et qui peut gérer un environnement App Service Environment de taille maximale ainsi que les besoins de mise à l’échelle.

Recommandations de conception

Les bonnes pratiques suivantes s’appliquent à tout déploiement d’App Service.

  • Connexion à une solution App Service :
    • Implémentez un pare-feu d’applications web Azure devant votre solution App Service. Utilisez Azure Front Door, Application Gateway ou un service partenaire pour fournir cette protection basée sur OWASP. Vous pouvez utiliser Azure Front Door ou Application Gateway pour une seule région ou les deux pour plusieurs régions. Si vous avez besoin d’un routage de chemin dans la région, utilisez Application Gateway. Si vous avez besoin d’un équilibrage de charge multirégion et de Web Application Firewall, utilisez Azure Front Door.
    • En utilisant un point de terminaison privé pour App Service, vous pouvez accéder à l’application via un point de terminaison réseau privé plutôt qu’un point de terminaison public basé sur Internet. Quand vous utilisez un point de terminaison privé, vous pouvez restreindre l’accès à l’application aux seuls utilisateurs de votre réseau virtuel, ce qui offre une autre couche de sécurité pour votre application, réduit les coûts de sortie des données et améliore les performances.
    • Utilisez des restrictions d’accès pour vous assurer que la solution App Service ne peut être atteinte qu’à partir d’emplacements valides. Par exemple, si un déploiement d’App Service multilocataire héberge des API et est piloté par Gestion des API, configurez une restriction d’accès afin que la solution App Service soit accessible uniquement à partir de Gestion des API.
  • Connexion à partir d’une solution App Service :
  • Utilisez les outils intégrés pour résoudre les problèmes réseau.
  • Évitez l’épuisement des ports SNAT en utilisant des pools de connexions. La création répétitive de connexions au même hôte et au même port peut entraîner des temps de réponse lents, des erreurs 5xx intermittentes, des délais d’expiration ou des problèmes de connexion au point de terminaison externe.
  • Suivez les recommandations décrites dans la section Sécurité réseau de la base de référence de sécurité Azure pour App Service.

L'objectif des considérations relatives à la topologie de réseau et à la connectivité pour l'accélérateur de la zone d'atterrissage des services applicatifs est de fournir un modèle de haut niveau pour mettre en œuvre un environnement évolutif et résilient pour le déploiement d’App Services. Ce modèle se concentre sur l'architecture et la connectivité du réseau et peut vous aider à mettre en place rapidement et efficacement une zone d'atterrissage dans Azure pour héberger des solutions App Services.