Hibrid felhőalkalmazások

  • 10 perc

A Tailwind Tradersnek több, jelenleg a szegélyhálózaton futó előtér-összetevőkkel rendelkező alkalmazása van. A háttérelemek a védett belső hálózaton találhatók. A Tailwind Traders egyik célja a hibrid felhőre való áttéréssel az, hogy megszüntethesse a szegélyhálózatát, és a nyilvánosan elérhető számítási feladatokat a felhőben futtathassa. A megfelelőségi megfontolások és a számítási feladatok tulajdonosainak aggályai miatt az alkalmazások némelyikének fizikailag a Tailwind Traders létesítményeiben kell maradnia az Azure-adatközpontban történő üzemeltetés helyett.

A Tailwind Traders néhány másik alkalmazása a sydney-i, melbourne-i és aucklandi adatközpontokban található belső, védett hálózatokkal létesített VPN-kapcsolatokkal érhető el. Ezek az alkalmazások általában azt követelik meg a felhasználóktól, hogy a saját helyszíni Active Directory-páldánnyal végezzenek hitelesítést.

Ebben a leckében megismerheti azokat a technológiákat, amelyek lehetővé teszik a Tailwind Traders számára azon alkalmazások kezelését, amelyekhez a felhasználók az Azure-on keresztül csatlakoznak annak ellenére, hogy az adatok vagy maguk az alkalmazások továbbra is a Tailwind Traders eszközein találhatók.

Mi az Azure Relay?

Az Azure Relay egy szolgáltatás, amellyel biztonságosan elérhetővé teheti a szervezet belső hálózatán futó számítási feladatokat a nyilvános felhőben. A szolgáltatással mindezt anélkül teheti meg, hogy bejövő portot kellene megnyitnia a szegélyhálózati tűzfalon.

Az Azure Relay a helyszíni szolgáltatások és az Azure-ban futó alkalmazások közötti alábbi forgatókönyveket támogatja:

  • Hagyományos egyirányú, kérelem/válasz típusú és társközi kommunikáció;
  • Eseményterjesztés a közzétételi/előfizetési forgatókönyvek lehetővé tételéhez
  • Hálózathatárokon átívelő, kétirányú és nem pufferelt szoftvercsatornás kommunikáció

Az Azure Relay az alábbi funkciókkal rendelkezik:

  • Hibrid kapcsolatok. Ez a funkció a WebSockets nyílt szabványt használja, és többplatformos architektúrákban használható. Támogatja a .NET Core-t, a .NET-keretrendszert, a JavaScript/Node.js-t, a szabványalapú nyílt protokollokat és a távoli eljáráshívást (RPC-t) használó programozási modelleket.
  • WCF Relay. Ez a funkció a Windows Communication Foundation (WCF) használatával engedélyezi a távoli eljáráshívásokat. Ezt a lehetőséget számos ügyfél használja a WCF-programjaival. A .NET-keretrendszert is támogatja.

Az Azure Relay lehetővé teszi a Tailwind Traders számára, hogy a belső hálózaton futó egyes alkalmazásokat VPN-kapcsolat nélkül tehesse közzé az interneten található ügyfelek számára. Ha a vállalatnak nincs az Azure-ban futó előtér-alkalmazása, az Azure Relayt érdemes használnia az Azure App Service hibrid kapcsolatai helyett. Az Azure Relayt a Microsoft Entra-alkalmazásproxy helyett akkor kell használni, ha az alkalmazás nem igényel Microsoft Entra-hitelesítést.

Mik az App Service hibrid kapcsolatai?

Az App Service hibrid kapcsolatok funkciója bármilyen alkalmazás-erőforrást használhat bármilyen olyan hálózaton, amely tud kimenő kéréseket küldeni az Azure-nak a 443-as porton. A hibrid kapcsolatokkal lehetővé teheti például egy Azure-ban futó webalkalmazás számára a helyszínen futó SQL Server-adatbázis használatát. A hibrid kapcsolatok funkció hozzáférést biztosít egy Azure-ban futó alkalmazásból egy Transmission Control Protocol- (TCP-) végponthoz.

A hibrid kapcsolatok nem korlátozódnak a Windows Server-platformokon futó számítási feladatokra. A hibrid kapcsolatokat a használt alkalmazásprotokolltól függetlenül konfigurálhatja bármely TCP-végpontként működő erőforrás elérésére. Konfigurálhat például hibrid kapcsolatot az Azure-ban futó webalkalmazás és a helyszíni linuxos virtuális gépen futó MySQL-adatbázis között.

A hibrid kapcsolatok funkció egy továbbítóügynököt használ, amelyet olyan helyen kell üzembe helyeznie, ahol az ügynök kapcsolatot létesíthet a belső hálózaton található TCP-végponttal és az Azure-ral. A kapcsolat védelmét a Transport Layer Security (TLS) 1.2 protokollon keresztül biztosítja. Hitelesítéshez és engedélyezéshez közös hozzáférésű jogosultságkód (SAS) kulcsokat használ.

Az alábbi kép az Azure-ban futó webalkalmazás és a helyszínen futó adatbázisvégpont közötti hibrid kapcsolatot ábrázol.

Diagram that shows hybrid connection between a web app in Azure and a database endpoint on-premises.

A hibrid kapcsolatok a következő funkciókat biztosítják:

  • Az Azure-ban futó alkalmazások biztonságosan érhetik el a helyszíni rendszereket és szolgáltatásokat.
  • A helyszíni rendszernek vagy szolgáltatásnak nem kell közvetlenül elérhetőnek lennie az interneten található gazdagépek számára.
  • Nem kell portot megnyitni a tűzfalon az Azure-ból érkező, a továbbítóügynökhöz irányuló bejövő hozzáférés engedélyezéséhez. Minden kommunikációt a továbbítóügynök kezdeményez kimenő kommunikációként a 443-as porton.

A hibrid kapcsolatok funkcióra a következő korlátozások vonatkoznak:

  • Nem használható SMB-megosztás helyszíni hálózaton való csatlakoztatására.
  • Nem használat User Datagram Protocolt (UDP).
  • Nem érheti el a dinamikus portokat használó TCP-alapú szolgáltatásokat.
  • Nem támogatja a Lightweight Directory Access Protocolt (LDAP-t), mert az a UDP-re támaszkodik.
  • Nem használható az Active Directory Domain Services tartományhoz csatlakoztatási műveletének végrehajtásához.

A Tailwind Traders a hibrid kapcsolatoknak köszönhetően több olyan alkalmazást is megszüntet, amelyek előtér-összetevői jelenleg a Tailwind Traders szegélyhálózatán futnak. Ezek az alkalmazások az Azure-ba migrálhatók. Ettől kezdve a hibrid kapcsolatok funkció kínál biztonságos kapcsolatot az alkalmazás háttér-összetevőit üzemeltető védett hálózatokhoz.

Mi a Microsoft Entra alkalmazásproxy?

A Microsoft Entra alkalmazásproxyval biztonságos távoli hozzáférést biztosíthat egy helyszíni környezetben futó webalkalmazáshoz egy külső URL-címen keresztül. Az alkalmazásproxy konfigurálható a távelérés és a SharePointba, a Microsoft Teamsbe, az IIS-webalkalmazásokba és a távoli asztalra történő egyszeri bejelentkezés engedélyezésére. Az alkalmazásproxy helyettesítheti a belső hálózatokhoz vagy fordított proxykhoz használt VPN-eket.

Az alkalmazásproxy a következő alkalmazásokkal működik:

  • Beépített Windows-hitelesítést használó webalkalmazások
  • Fejlécalapú vagy űrlapalapú hitelesítést használó webalkalmazások
  • Távoli asztali átjárón keresztül futtatott alkalmazások

Az alkalmazásproxy működése a következő:

  1. A felhasználó egy nyilvánosan elérhető végponton keresztül csatlakozik az alkalmazáshoz, majd egy Microsoft Entra-bejelentkezést hajt végre.
  2. A bejelentkezés befejezését követően a rendszer egy jogkivonatot továbbít a felhasználó eszközére.
  3. Az ügyféleszköz az alkalmazásproxy-szolgáltatásnak továbbítja a jogkivonatot, amely visszaadja az egyszerű felhasználónevet (UPN-t) és a rendszerbiztonsági tag nevét (SPN-t) a jogkivonatból. Az alkalmazásproxy ezután az alkalmazásproxy-összekötőnek továbbítja a kérést.
  4. Ha engedélyezve lett az egyszeri bejelentkezés, az alkalmazásproxy-összekötő további hitelesítést végez.
  5. Az alkalmazásproxy-összekötő a helyszíni alkalmazásnak továbbítja a kérést.
  6. A válasz küldése a felhasználónak az összekötőn és az alkalmazásproxy-szolgáltatáson keresztül történik.

Az alábbi ábra ezt a folyamatot szemlélteti:

Diagram that shows Application Proxy functionality with the user outside the organizational network making a connection through Application Proxy to an on-premises application.

Az alkalmazásokhoz való közvetlen csatlakozást lehetővé tevő belső hálózatok felhasználóinak kerülniük kell az alkalmazásproxy használatát.

A Tailwind Traders a Microsoft Entra alkalmazásproxyval hozzáférést biztosíthat a külső felhasználóknak az Active Directory-hitelesítést használó belső alkalmazásokhoz.

Tesztelje tudását

1.

A Tailwind Traders számos többszintes alkalmazással rendelkezik, amelyeket a hibrid felhőbe fognak migrálni. Az alkalmazások webes rétegei jelenleg a Tailwind Traders szegélyhálózatán vannak, adatbázisrétege pedig a sydney-i adatközpont virtuális gépein található. Az új alkalmazásarchitektúrában a webalkalmazások az Azure-ban futnak majd. Az alábbi technológiák közül melyeket kell használnia a Tailwind Tradersnek az Azure-ban található webalkalmazás-réteg és a sydney-i adatközpontban található virtuális gépeken futó adatbázisréteg kommunikációjának lehetővé tételéhez?

2.

A Tailwind Traders egy olyan alkalmazást szeretne közzétenni, amely Active Directory Domain Services-fiókokat használ a hitelesítéshez, hogy elérhető legyen az interneten található gazdagépek számára. A Tailwind Traders úgy konfigurálta a Microsoft Entra Csatlakozás, hogy szinkronizálja az alkalmazással használt helyszíni identitásokat a Microsoft Entra-azonosítóval. Az alábbi hibrid technológiák közül melyiket használná az alkalmazásnak az interneten található gazdagépek számára történő közzétételére, hogy a gazdagépek ezekkel a szinkronizált identitásokkal érhessék el az alkalmazást?