Szerkesztés

Többrégiós terheléselosztás a Traffic Manager, az Azure Firewall és az Application Gateway használatával

Azure Firewall
Azure Application Gateway
Azure Bastion
Azure Load Balancer
Azure Traffic Manager

Ez az architektúra HTTP(S) és nem HTTP(S) protokollt használó globális, internetes alkalmazásokhoz készült. A dns-alapú globális terheléselosztás, a regionális terheléselosztás két formája és a globális virtuális hálózatok közötti társviszony-létesítés egy magas rendelkezésre állású architektúrát biztosít, amely képes ellenállni a regionális kimaradásoknak. A forgalomvizsgálatot az Azure Web Application Firewall (WAF) és az Azure Firewall biztosítja.

Architektúrajegyzetek

A dokumentumban szereplő architektúra könnyen bővíthető egy küllős virtuális hálózat kialakításával, ahol az Azure Firewall a központi hálózaton, az Application Gateway pedig a központi hálózaton vagy küllőn található. Ha az Application Gateway üzembe van helyezve a központban, akkor is több Application Gatewayt szeretne, amelyek mindegyike egy adott alkalmazáshoz tartozik, hogy elkerülje az RBAC-ütközéseket, és ne érje el az Application Gateway korlátait (lásd az Application Gateway korlátait).

Virtuális WAN-környezetben az Application Gatewayek nem helyezhetők üzembe a központban, ezért küllős virtuális hálózatokban lesznek telepítve.

A javasolt architektúra a webes tartalom dupla ellenőrzését választja az Azure Firewall előtt található webalkalmazási tűzfalon (az Application Gatewayen alapulva). Más lehetőségek is léteznek, ahogyan azt a tűzfal és az Application Gateway is tartalmazza a virtuális hálózatokhoz, de ez a legrugalmasabb és legvégső megoldás: elérhetővé teszi az ügyfél IP-címét a végponti alkalmazás HTTP-fejlécében X-Forwarded-For , végpontok közötti titkosítást biztosít, és megakadályozza, hogy az ügyfelek megkerüljék a WAF-ot az alkalmazás eléréséhez.

Ha csak webalkalmazások vannak közzétéve (nem HTTP(S) alkalmazások), és a WAF és az Azure Firewall által végzett kettős ellenőrzés nem szükséges a webes forgalomhoz, az Azure Front Door jobb globális terheléselosztási megoldás lenne, mint a Traffic Manager. A Front Door egy 7. rétegbeli terheléselosztó HTTP(S) tartalomhoz, amely gyorsítótárazást, forgalomgyorsítást, SSL/TLS-megszakítást, tanúsítványkezelést, állapotteszteket és egyéb képességeket is biztosít. Az Application Gateway azonban jobb integrációt biztosít az Azure Firewalllal a rétegzett védelmi megközelítés érdekében.

Bejövő HTTP-forgalom

Diagram showing multi-region load balancing with Azure Firewall, Application Gateway and Traffic Manager for web traffic.

Töltse le az architektúra Visio-fájlját.

  1. Az Azure Traffic Manager DNS-alapú útválasztással végzi a bejövő forgalom terheléselosztását a két régióban. A Traffic Manager feloldja az alkalmazás DNS-lekérdezéseit az Azure-alkalmazás átjáróvégpontok nyilvános IP-címeire. Az Application Gateway-átjárók nyilvános végpontjai a Traffic Manager háttérvégpontjaiként szolgálnak a HTTP(S) forgalomhoz. A Traffic Manager többféle útválasztási módszer alapján oldja meg a DNS-lekérdezéseket. A böngésző közvetlenül a végponthoz csatlakozik; A Traffic Manager nem látja a HTTP(S) forgalmat.

  2. A rendelkezésre állási zónákban üzembe helyezett Application Gatewayek HTTP(S) forgalmat fogadnak a böngészőből, a Prémium szintű webalkalmazási tűzfalak pedig ellenőrzik a forgalmat a webes támadások észleléséhez. Az Application Gateway-átjárók forgalmat küldenek a háttérrendszerüknek, az előtérbeli virtuális gépek belső terheléselosztójának. Ehhez az adott folyamathoz a webkiszolgálók előtti belső terheléselosztó nem feltétlenül szükséges, mivel az Application Gateway képes elvégezni ezt a terheléselosztást. Ez azonban a nem HTTP(S) alkalmazások folyamatával való konzisztenciához tartozik.

  3. Az Application Gateway és az előtérbeli belső terheléselosztó közötti forgalmat az Azure Firewall Premium elfogja az Application Gateway alhálózatán alkalmazott felhasználói útvonalakon keresztül. Az Azure Firewall Premium TLS-ellenőrzést alkalmaz a forgalomra a további biztonság érdekében. Az Azure Firewall zónaredundáns is. Ha az Azure Firewall fenyegetést észlel a forgalomban, a rendszer elveti a csomagokat. Ellenkező esetben a sikeres ellenőrzés után az Azure Firewall továbbítja a forgalmat a cél webes szintű belső terheléselosztónak.

  4. A webes réteg a háromrétegű alkalmazás első rétege, amely tartalmazza a felhasználói felületet, és elemzi a felhasználói interakciókat is. A webes szintű terheléselosztó mindhárom rendelkezésre állási zónában el van osztva, és a forgalmat a három webes szintű virtuális gép mindegyikére elosztja.

  5. A webes szintű virtuális gépek mindhárom rendelkezésre állási zónában el vannak osztva, és egy dedikált belső terheléselosztón keresztül kommunikálnak az üzleti szinttel.

  6. Az üzleti szint feldolgozza a felhasználói interakciókat, és meghatározza a következő lépéseket, és a webes és az adatszintek között helyezkedik el. Az üzleti szintű belső terheléselosztó elosztja a forgalmat az üzleti szintű virtuális gépek között a három rendelkezésre állási zónában. Az üzleti szintű terheléselosztó zónaredundáns, például a webes terheléselosztó.

  7. Az üzleti szintű virtuális gépek a rendelkezésre állási zónák között oszlanak meg, és a forgalmat az adatbázisok rendelkezésre állási csoport figyelője felé irányítják.

  8. Az adatréteg az alkalmazásadatokat általában egy adatbázisban, objektumtárban vagy fájlmegosztásban tárolja. Ez az architektúra sql serverrel rendelkezik a virtuális gépeken három rendelkezésre állási zónában. Rendelkezésre állási csoportban vannak, és elosztott hálózatnévvel (DNN) irányítják a forgalmat a rendelkezésre állási csoport figyelőjének terheléselosztás céljából.

Bejövő, nem HTTP-forgalom

Diagram showing multi-region load balancing with Azure Firewall, Application Gateway and Traffic Manager for non-web traffic.

Töltse le az architektúra Visio-fájlját.

  1. Az Azure Traffic Manager DNS-alapú útválasztással végzi a bejövő forgalom terheléselosztását a két régióban. A Traffic Manager feloldja az alkalmazás DNS-lekérdezéseit az Azure-végpontok nyilvános IP-címeire. Az Application Firewall nyilvános végpontjai a Traffic Manager háttérvégpontjaiként szolgálnak a nem HTTP(S) forgalomhoz. A Traffic Manager többféle útválasztási módszer alapján oldja meg a DNS-lekérdezéseket. A böngésző közvetlenül a végponthoz csatlakozik; A Traffic Manager nem látja a HTTP(S) forgalmat.

  2. Az Azure Firewall Premium zónaredundáns, és biztonsági okokból ellenőrzi a bejövő forgalmat. Ha az Azure Firewall fenyegetést észlel a forgalomban, a rendszer elveti a csomagokat. Ellenkező esetben a sikeres ellenőrzés után az Azure Firewall továbbítja a forgalmat a bejövő csomagokon a célhálózati címfordítást (DNAT) végző webes szintű belső terheléselosztónak.

  3. A webes réteg a háromrétegű alkalmazás első rétege, amely tartalmazza a felhasználói felületet, és elemzi a felhasználói interakciókat is. A webes szintű terheléselosztó mindhárom rendelkezésre állási zónában el van osztva, és a forgalmat a három webes szintű virtuális gép mindegyikére elosztja.

  4. A webes szintű virtuális gépek mindhárom rendelkezésre állási zónában el vannak osztva, és egy dedikált belső terheléselosztón keresztül kommunikálnak az üzleti szinttel.

  5. Az üzleti szint feldolgozza a felhasználói interakciókat, és meghatározza a következő lépéseket, és a webes és az adatszintek között helyezkedik el. Az üzleti szintű belső terheléselosztó elosztja a forgalmat az üzleti szintű virtuális gépek között a három rendelkezésre állási zónában. Az üzleti szintű terheléselosztó zónaredundáns, például a webes terheléselosztó.

  6. Az üzleti szintű virtuális gépek a rendelkezésre állási zónák között oszlanak meg, és a forgalmat az adatbázisok rendelkezésre állási csoport figyelője felé irányítják.

  7. Az adatréteg az alkalmazásadatokat általában egy adatbázisban, objektumtárban vagy fájlmegosztásban tárolja. Ez az architektúra sql serverrel rendelkezik a virtuális gépeken három rendelkezésre állási zónában. Rendelkezésre állási csoportban vannak, és elosztott hálózatnévvel (DNN) irányítják a forgalmat a rendelkezésre állási csoport figyelőjének terheléselosztás céljából.

Kimenő forgalom (minden protokoll)

A virtuális gépek javításfrissítéseinek vagy más internetkapcsolatának kimenő forgalmi folyamatai a számítási feladat virtuális gépeiről a felhasználó által megadott útvonalakon keresztül az Azure Firewallra kerülnek. Az Azure Firewall webes kategóriák, valamint hálózati és alkalmazásszabályok használatával kényszeríti ki a kapcsolati szabályokat, hogy a számítási feladatok ne férhessenek hozzá a nem megfelelő tartalomhoz vagy adatkiszivárgási forgatókönyvekhez.

Összetevők

  • Az Azure Firewall egy felhőalapú, Microsoft által felügyelt következő generációs tűzfal, amely mély csomagvizsgálatot biztosít az észak-, dél- és kelet-/nyugati forgalomhoz. Elosztható a rendelkezésre állási zónák között, és automatikus automatikus skálázást kínál az alkalmazásigény változásainak kezeléséhez.
  • Azure-alkalmazás Gateway egy 7. rétegbeli terheléselosztó, amely nem kötelező webalkalmazási tűzfal (WAF) funkcióval rendelkezik. Az Application Gateway v2 termékváltozata támogatja a rendelkezésre állási zónák redundanciáit, és a legtöbb forgatókönyv esetében ajánlott. Az Application Gateway konfigurálható horizontális automatikus skálázást is tartalmaz, hogy automatikusan reagáljon az alkalmazásigény változásaira.
  • Az Azure Traffic Manager egy DNS-alapú globális forgalmi terheléselosztó, amely a forgalmat a globális Azure-régiók szolgáltatásai között osztja el, miközben magas rendelkezésre állást és válaszkészséget biztosít. További információt a következő szakaszban talál: A Traffic Manager konfigurációja.
  • Az Azure Load Balancer egy 4. rétegbeli terheléselosztó. A zónaredundáns terheléselosztó továbbra is elosztja a forgalmat egy rendelkezésre állási zóna meghibásodásával a fennmaradó zónák között.
  • Az Azure DDoS Protection továbbfejlesztett funkciókkal rendelkezik az elosztott szolgáltatásmegtagadási (DDoS) támadások elleni védelemhez.
  • Az Azure DNS a DNS-tartományokhoz használható üzemeltetési szolgáltatás. A Microsoft Azure-infrastruktúrával biztosít névfeloldást. Ha tartományait az Azure-ban üzemelteti, DNS-rekordjait a többi Azure-szolgáltatáshoz is használt hitelesítő adatokkal, API-kkal, eszközökkel és számlázási információkkal kezelheti.
  • Az Azure saját DNS zónák az Azure DNS egyik funkciója. Az Azure DNS privát zónái névfeloldásokat biztosítanak egy virtuális hálózaton belül és a virtuális hálózatok között. A privát DNS-zónában lévő rekordok nem oldhatók fel az internetről. A privát DNS-zónák DNS-feloldása csak a hozzá társított virtuális hálózatokból működik.
  • Az Azure-beli virtuális gépek igény szerinti, méretezhető számítási erőforrások, amelyek rugalmasságot biztosítanak a virtualizáláshoz, de kiküszöbölik a fizikai hardverek karbantartási igényeit. Az operációs rendszer választási lehetőségei közé tartozik a Windows és a Linux. Az alkalmazások bizonyos összetevői lecserélhetők szolgáltatásként nyújtott platformalapú Azure-erőforrásokra (például az adatbázisra és az előtérszintre), de az architektúra nem változna jelentősen, ha a Private Link és az App Service VNet Integration használatával ezeket a PaaS-szolgáltatásokat a virtuális hálózatba hozná.
  • Az Azure-beli virtuálisgép-méretezési csoportok automatizált és elosztott terheléselosztású virtuális gépek skálázásával egyszerűbbé válik az alkalmazások felügyelete, és növeli a rendelkezésre állást.
  • A virtuális gépeken futó SQL Server lehetővé teszi, hogy az SQL Server teljes verzióját használja a felhőben anélkül, hogy bármilyen helyszíni hardvert kellene kezelnie.
  • Az Azure Virtual Network egy biztonságos magánhálózat a felhőben. Összekapcsolja a virtuális gépeket egymáshoz, az internethez és a helyek közötti hálózatokhoz.
  • A felhasználó által megadott útvonalak a virtuális hálózatok alapértelmezett útválasztásának felülbírálására szolgáló mechanizmus. Ebben a forgatókönyvben arra használják őket, hogy kényszerítse a bejövő és kimenő forgalom forgalmát az Azure Firewallon való áthaladásra.

Megoldás részletei

Traffic Manager – A Traffic Managert úgy konfiguráltuk, hogy teljesítményalapú útválasztást használjon. A felhasználó számára a legalacsonyabb késésű végpontra irányítja a forgalmat. A Traffic Manager automatikusan módosítja a terheléselosztási algoritmust a végpont késésének változásakor. A Traffic Manager automatikus feladatátvételt biztosít regionális leállások esetén. Prioritásos útválasztással és rendszeres állapot-ellenőrzésekkel határozza meg, hogy hol kell irányítani a forgalmat.

Rendelkezésre állási zónák – Az architektúra három rendelkezésre állási zónát használ. A zónák egy magas rendelkezésre állású architektúrát hoznak létre az Application Gatewayekhez, a belső terheléselosztókhoz és a virtuális gépekhez minden régióban. Zónakimaradás esetén a régió többi rendelkezésre állási zónája átveszi a terhelést, ami nem váltana ki regionális feladatátvételt.

Application Gateway – Bár a Traffic Manager DNS-alapú regionális terheléselosztást biztosít, az Application Gateway számos olyan képességet biztosít, mint az Azure Front Door, de regionális szinten, például:

  • Webalkalmazási tűzfal (WAF)
  • Transport Layer Security- (TLS-) visszafejtés
  • Útvonalalapú útválasztás
  • Cookie-alapú munkamenet-affinitás

Az Azure Firewall – Az Azure Firewall Premium hálózati biztonságot nyújt az általános (webes és nem webes) alkalmazások számára, és háromféle folyamatot vizsgál ebben az architektúrában:

  • Az Application Gateway bejövő HTTP-folyamatait prémium szintű Azure Firewall TLS-ellenőrzés védi.
  • A nyilvános internetről bejövő, nem HTTP(s) folyamatok vizsgálata az Azure Firewall Premium többi funkciójával együtt zajlik.
  • Az Azure-beli virtuális gépekről érkező kimenő folyamatokat az Azure Firewall ellenőrzi, hogy megakadályozza az adatok kiszivárgását, valamint a tiltott helyekhez és alkalmazásokhoz való hozzáférést.

Virtuális hálózatok közötti társviszony - A régiók közötti társviszonyt "globális virtuális hálózati társviszonynak" nevezzük. A globális virtuális hálózatok közötti társviszony-létesítés alacsony késésű, nagy sávszélességű adatreplikálást biztosít a régiók között. Ezzel a globális társviszony-létesítéssel adatokat továbbíthat Azure-előfizetések, Microsoft Entra-bérlők és üzembehelyezési modellek között. Küllős környezetben a küllős hálózatok között virtuális hálózatok közötti társviszonyok léteznének.

Javaslatok

Az alábbi javaslatok megfelelnek az Azure Well-Architected Framework (WAF) alappilléreinek. A WAF-pillérek olyan alapelveket vezérelnek, amelyek segítenek biztosítani a felhőbeli számítási feladatok minőségét. További információ: Microsoft Azure Well-Architected Framework.

Megbízhatóság

Régiók – Használjon legalább két Azure-régiót a magas rendelkezésre álláshoz. Az alkalmazást több Azure-régióban is üzembe helyezheti aktív/passzív vagy aktív/aktív konfigurációkban. Több régió is segít elkerülni az alkalmazás állásidejét, ha az alkalmazás egy alrendszere meghibásodik.

  • A Traffic Manager automatikusan átadja a feladatátvételt a másodlagos régiónak, ha az elsődleges régió meghibásodik.
  • Az igényeinek leginkább megfelelő régiók kiválasztásának technikai, szabályozási szempontokon és rendelkezésre állási zónákon kell alapulnia.

Régiópárok – A régiópárok használata a legnagyobb rugalmasság érdekében. Győződjön meg arról, hogy mindkét régiópár támogatja az alkalmazás által igényelt összes Azure-szolgáltatást (lásd a régiók szerinti szolgáltatásokat). A régiópárok két előnye:

  • A tervezett Azure-frissítések egyenként jelennek meg a párosított régiókban az állásidő és az alkalmazáskimaradás kockázatának minimalizálása érdekében.
  • Az adatok továbbra is ugyanabban a földrajzi helyen találhatók, mint a párjuk (kivéve Dél-Brazília) adózási és jogi okokból.

Rendelkezésre állási zónák – Több rendelkezésre állási zóna használata az Application Gateway, az Azure Firewall, az Azure Load Balancer és az alkalmazásszintek támogatásához, ha elérhető.

Az Application Gateway automatikus skálázása és példányai – Konfigurálja az Application Gatewayt legalább két példánysal az állásidő elkerülése érdekében, és automatikus skálázást, hogy dinamikusan alkalmazkodjon az alkalmazáskapacitás változó igényeihez.

For more information, see:

Globális útválasztás

Globális útválasztási módszer – Az ügyfelek igényeinek leginkább megfelelő forgalom-útválasztási módszer használata. A Traffic Manager több forgalomirányítási módszert támogat a forgalom determinisztikus átirányításához a különböző szolgáltatásvégpontokhoz.

Beágyazott konfiguráció – A Traffic Manager használata beágyazott konfigurációban, ha részletesebb vezérlésre van szüksége egy régión belüli előnyben részesített feladatátvétel kiválasztásához.

For more information, see:

Globális forgalmi nézet

A Traffic Manager Traffic View használatával megtekintheti a forgalmi mintákat és a késési metrikákat. A Traffic View segítségével megtervezheti a lábnyom új Azure-régiókra való kiterjesztését.

Részletekért tekintse meg a Traffic Manager Traffic View nézetet .

Application Gateway

Használja az Application Gateway v2 termékváltozatot a beépített automatizált rugalmasság érdekében.

  • Az Application Gateway v2 termékváltozata automatikusan biztosítja, hogy az új példányok a tartalék tartományok között futnak, és frissítsék a tartományokat. Ha zónaredundanciát választ, a legújabb példányok a rendelkezésre állási zónák között is létrejönnek a hibatűrés érdekében.

  • Az Application Gateway 1-es verziójának termékváltozata támogatja a magas rendelkezésre állású forgatókönyveket két vagy több példány üzembe helyezésekor. Az Azure ezeket a példányokat frissítési és tartalék tartományok között osztja el, hogy a példányok ne legyenek egyszerre sikertelenek. A v1 termékváltozat támogatja a méretezhetőséget, ha ugyanazon átjáró több példányát is hozzáadja a terhelés megosztásához.

Az Application Gatewaynek megbízhatónak kell lennie az Azure Firewall hitelesítésszolgáltatói tanúsítványában.

Azure Firewall

Ebben a kialakításban az Azure Firewall prémium szintű verziójára van szükség a TLS-vizsgálat biztosításához. Az Azure Firewall elfogja az Application Gateway és a saját tanúsítványokat létrehozó webes szintű virtuális gépek közötti TLS-munkameneteket, valamint megvizsgálja a virtuális hálózatokból a nyilvános internetre irányuló kimenő forgalmat. Erről a kialakításról további információt az Azure Firewall és az Application Gateway használatával rendelkező webalkalmazások nulla megbízhatóságú hálózatában talál.

Állapotadat-mintavételi javaslatok

Íme néhány javaslat a Traffic Manager, az Application Gateway és a Load Balancer állapottesztjeihez.

Traffic Manager

Végpont állapota – Hozzon létre egy végpontot, amely az alkalmazás általános állapotát jelenti. A Traffic Manager HTTP-mintavételt használ az egyes régiók rendelkezésre állásának figyeléséhez. A mintavétel 200-as HTTP-választ vár egy megadott URL-címhez. Használja az állapotadat-mintavételhez létrehozott végpontot. Ellenkező esetben a mintavétel kifogástalan végpontot jelenthet, ha az alkalmazás kritikus részei meghibásodnak.

További információkért lásd az állapotvégpont monitorozási mintáját.

Feladatátvételi késés – A Traffic Manager feladatátvételi késéssel rendelkezik. A késés időtartamát a következő tényezők határozzák meg:

  • Szondázási időközök: Milyen gyakran ellenőrzi a mintavétel a végpont állapotát.
  • Eltűrhető hibák száma: A mintavétel hány hibát tolerál a végpont kifogástalan állapotának megjelölése előtt.
  • Mintavétel időtúllépése: mennyi ideig tart, amíg a Traffic Manager nem megfelelőnek tekinti a végpontot.
  • Élettartam (TTL): A DNS-kiszolgálóknak frissítenie kell az IP-cím gyorsítótárazott DNS-rekordjait. Az időtartam a DNS TTL-től függ. Az alapértelmezett TTL 300 másodperc (5 perc), de ezt az értéket a Traffic Manager-profil létrehozásakor konfigurálhatja.

További információ: Traffic Manager monitorozás.

Application Gateway és Load Balancer

Ismerkedjen meg az Application Gateway és a terheléselosztó állapotadat-mintavételi szabályzataival, hogy biztosan megértse a virtuális gépek állapotát. Íme egy rövid áttekintés:

  • Az Application Gateway mindig HTTP-mintavételt használ.

  • A Load Balancer HTTP-t vagy TCP-t is képes kiértékelni. HTTP-mintavételt akkor használjon, ha egy virtuális gép HTTP-kiszolgálót futtat. Használja a TCP-t minden máshoz.

  • A HTTP-mintavételek HTTP GET-kérést küldenek egy megadott elérési útra, és HTTP 200-választ figyelnek. Ez az elérési út lehet a gyökérútvonal ("/"), vagy egy állapotfigyelési végpont, amely egyéni logikát implementál az alkalmazás állapotának ellenőrzéséhez.

  • A végpontnak engedélyeznie kell a névtelen HTTP-kérelmeket. Ha egy mintavétel nem tud elérni egy példányt az időtúllépési időszakon belül, az Application Gateway vagy a Load Balancer leállítja a forgalom küldését az adott virtuális gépre. A mintavétel továbbra is ellenőrzi a virtuális gépet, és visszaadja a háttérkészletnek, ha a virtuális gép ismét elérhetővé válik.

For more information, see:

Működés eredményessége

Erőforráscsoportok – Erőforráscsoportok használatával kezelheti az Azure-erőforrásokat élettartam, tulajdonos és egyéb jellemzők szerint.

Virtuális hálózatok közötti társviszony-létesítés – Virtuális hálózatok közötti társviszony-létesítés használatával zökkenőmentesen csatlakoztathat két vagy több virtuális hálózatot az Azure-ban. A virtuális hálózatok kapcsolati célokból egyként jelennek meg. A társhálózatok virtuális gépei közötti forgalom a Microsoft gerinchálózati infrastruktúrát használja. Győződjön meg arról, hogy a virtuális hálózatok címtere nem fedi egymást.

Virtuális hálózat és alhálózatok – Hozzon létre egy külön alhálózatot az alhálózat egyes szintjeihez. Virtuális gépeket és erőforrásokat, például az Application Gatewayt és a Load Balancert egy alhálózatokkal rendelkező virtuális hálózatba kell telepítenie.

Biztonság

Webalkalmazási tűzfal – Az Azure-alkalmazás Gateway WAF-funkciója HTTP-szinten észleli és megakadályozza a támadásokat, például az SQL-injektálást (SQLi) vagy a helyek közötti szkriptelést (CSS).

Következő generációs tűzfal – Az Azure Firewall Premium további védelmi réteget biztosít a nem webes támadások, például a HTTP(S) vagy bármely más protokollon keresztül feltöltött rosszindulatú fájlok vizsgálatával.

Végpontok közötti titkosítás – A forgalom mindig titkosítva van az Azure-hálózaton való áthaladáskor. Az Application Gateway és az Azure Firewall is titkosítja a forgalmat, mielőtt elküldené azt a megfelelő háttérrendszerbe.

Elosztott szolgáltatásmegtagadás (DDoS) – Az Azure DDoS Network Protection használatával nagyobb DDoS-védelmet biztosít, mint az Azure által biztosított alapszintű védelem.

Hálózati biztonsági csoportok (NSG-k) – Az NSG-k használatával korlátozhatja a virtuális hálózaton belüli hálózati forgalmat. Az itt látható háromrétegű architektúrában például az adatszint csak az üzleti szintről fogadja a forgalmat, a webes előtérről nem. Csak az üzleti szint tud közvetlenül kommunikálni az adatbázisszinttel. A szabály érvényesítéséhez az adatbázisszintnek az üzleti szintű alhálózat kivételével minden bejövő forgalmat blokkolnia kell.

  1. Bejövő forgalom engedélyezése az üzleti szintű alhálózatról.
  2. Engedélyezze a bejövő forgalmat magáról az adatbázisszintű alhálózatról. Ez a szabály lehetővé teszi az adatbázis virtuális gépei közötti kommunikációt. Az adatbázis-replikációnak és a feladatátvételnek erre a szabályra van szüksége.
  3. Tiltsa le a virtuális hálózatról érkező összes bejövő forgalmat a szabály címkéjének használatával VirtualNetwork az alapértelmezett NSG-szabályokban szereplő engedélyezési utasítás felülírásához.

Hozza létre a 3. szabályt az első szabályoknál alacsonyabb prioritással (magasabb számmal).

A szolgáltatáscímkék használatával hálózati hozzáférési vezérlőket határozhat meg a hálózati biztonsági csoportokon vagy az Azure Firewallon.

További információ: Application Gateway-infrastruktúra konfigurációja.

Költségoptimalizálás

For more information, see:

Teljesítmény hatékonysága

Virtuálisgép-méretezési csoportok – Virtuálisgép-méretezési csoportok használatával automatizálhatja a virtuális gépek méretezhetőségét. A virtuálisgép-méretezési csoportok minden Windows- és Linux rendszerű virtuálisgép-méretben elérhetők. Csak az üzembe helyezett virtuális gépekért és a felhasznált mögöttes infrastruktúra-erőforrásokért kell fizetnie. Nincsenek növekményes díjak. A virtuálisgép-méretezési csoportok előnyei a következők:

  • Több virtuális gép egyszerű létrehozása és kezelése
  • Magas rendelkezésre állás és alkalmazásrugalmasság
  • Automatikus skálázás az erőforrás-igény változásakor

További információ: Virtuálisgép-méretezési csoportok.

További lépések

Az azonos technológiákat használó további referenciaarchitektúrákért lásd: