Topologi jaringan dan pertimbangan konektivitas untuk akselerator zona pendaratan App Service

  • Artikel

Artikel ini memberikan pertimbangan desain dan rekomendasi untuk topologi jaringan dan konektivitas yang dapat Anda terapkan saat menggunakan akselerator zona pendaratan Azure App Service. Jaringan adalah pusat dari hampir semua yang ada di zona pendaratan.

Topologi jaringan dan pertimbangan konektivitas untuk arsitektur ini bergantung pada persyaratan beban kerja yang dihosting dan pada persyaratan keamanan dan kepatuhan organisasi Anda.

Mempertimbangkan rancangan

Saat Anda menyebarkan solusi App Service di Azure, Anda perlu mempertimbangkan persyaratan jaringan dengan hati-hati untuk memastikan bahwa aplikasi Anda berfungsi dengan baik. Ada beberapa faktor utama yang perlu dipertimbangkan saat Anda merencanakan penyebaran:

  • Tentukan persyaratan jaringan untuk aplikasi Anda.

    • Lalu lintas masuk. Jika aplikasi Anda menyediakan layanan berbasis web seperti situs web atau API, aplikasi mungkin harus dapat menerima lalu lintas masuk dari internet. Untuk memastikan bahwa aplikasi Anda dapat menerima koneksi masuk, Anda perlu mengonfigurasinya untuk mendengarkan port yang sesuai.
    • Akses ke sumber daya Azure lainnya. Aplikasi Anda mungkin harus dapat mengakses sumber daya di Azure, seperti akun penyimpanan atau database, dengan menggunakan titik akhir privatnya. Sumber daya ini mungkin terletak dalam jaringan virtual Azure atau layanan Azure lainnya.
    • SSL/TLS. Untuk membantu mengamankan komunikasi antara aplikasi Anda dan penggunanya, Anda perlu mengaktifkan enkripsi SSL/TLS. Melakukannya memastikan bahwa lalu lintas antara aplikasi Anda dan penggunanya dienkripsi, yang membantu melindungi informasi sensitif agar tidak disadap oleh pihak ketiga.
    • Pembatasan IP. Bergantung pada kebutuhan Anda, Anda mungkin perlu mengizinkan atau memblokir akses ke aplikasi Anda dari alamat atau rentang IP tertentu. Melakukannya dapat memberikan peningkatan keamanan dan membatasi akses ke aplikasi Anda ke pengguna atau lokasi tertentu.

  • Pilih tingkat paket App Service. Gunakan persyaratan jaringan aplikasi Anda untuk menentukan tingkat yang sesuai untuk paket App Service Anda. Sebaiknya tinjau berbagai tingkat paket App Service dan fiturnya untuk menentukan mana yang paling cocok untuk kebutuhan Anda.

App Service layanan multi-penyewa

  • Solusi multi-penyewa App Service berbagi satu alamat IP masuk dan beberapa alamat IP keluar dengan sumber daya App Service lainnya dalam satu unit penyebaran. Alamat IP ini dapat berubah karena berbagai alasan. Jika Anda memerlukan alamat IP keluar yang konsisten untuk solusi App Service multi-penyewa, Anda dapat mengonfigurasi gateway NAT atau menggunakan integrasi jaringan virtual.

  • Jika Anda memerlukan alamat IP khusus untuk solusi App Service, Anda dapat menggunakan alamat yang ditetapkan aplikasi, di depan instans App Service Anda dengan gateway aplikasi (yang diberi alamat IP statis), atau menggunakan sertifikat SSL berbasis IP untuk menetapkan alamat IP khusus ke aplikasi Anda melalui platform App Service.

  • Saat Anda perlu terhubung dari solusi App Service ke layanan lokal, privat, atau terbatas IP, pertimbangkan bahwa:

    • Dalam penyebaran App Service multi-penyewa, panggilan App Service dapat berasal dari berbagai alamat IP. Anda mungkin memerlukan integrasi jaringan virtual.
    • Anda dapat menggunakan layanan seperti API Management dan Application Gateway untuk mem-proksi panggilan antara batas jaringan. Layanan ini dapat menyediakan alamat IP statis jika Anda membutuhkannya.

  • Anda dapat menggunakan titik akhir privat atau publik untuk penyebaran App Service multi-penyewa. Saat Anda menggunakan titik akhir privat, paparan publik terhadap solusi App Service dihilangkan. Jika Anda memerlukan titik akhir privat solusi App Service agar dapat diakses melalui internet, pertimbangkan untuk menggunakan Application Gateway untuk mengekspos solusi App Service.

  • Penyebaran App Service multi-penyewa memaparkan sekumpulan port. Tidak ada cara untuk memblokir atau mengontrol akses ke port ini dalam penyebaran App Service multi-penyewa.

  • Rencanakan subnet Anda dengan benar untuk integrasi jaringan virtual keluar dan pertimbangkan jumlah alamat IP yang diperlukan. Integrasi jaringan virtual tergantung pada subnet khusus. Saat Anda menyediakan subnet Azure, Azure mencadangkan lima IP. Satu alamat IP digunakan dari subnet integrasi untuk setiap instans paket App Service. Saat Anda menskalakan aplikasi ke empat instans, misalnya, empat alamat IP digunakan. Saat Anda meningkatkan atau menurunkan skala, ruang alamat yang diperlukan digandakan untuk waktu yang singkat. Ini memengaruhi instans yang didukung yang tersedia untuk ukuran subnet tertentu.

  • Karena Anda tidak dapat mengubah ukuran subnet setelah penugasan, Anda perlu menggunakan subnet yang cukup besar untuk mengakomodasi skala yang mungkin dijangkau aplikasi Anda. Untuk menghindari masalah dengan kapasitas subnet, gunakan /26 dengan 64 alamat untuk integrasi jaringan virtual.

  • Jika Anda menyambungkan ke solusi App Service multi-penyewa dan memerlukan alamat keluar khusus, gunakan gateway NAT.

lingkungan App Service (penyewa tunggal)

  • Tentukan desain jaringan lingkungan App Service: penyeimbang beban eksternal atau internal. Gunakan penyebaran eksternal saat Anda memerlukan akses langsung dari internet. Gunakan penyebaran load balancer internal untuk mengekspos akses hanya dari dalam jaringan virtual tempat lingkungan App Service disebarkan. Penyebaran terakhir memberikan tingkat keamanan dan kontrol lain atas akses jaringan ke aplikasi.
  • App Services di Lingkungan App Service mendapatkan alamat IP statis dan khusus untuk komunikasi masuk dan keluar, selama masa pakai Lingkungan App Service.
  • Saat Anda perlu terhubung dari Lingkungan App Service ke layanan lokal, privat, atau terbatas IP, lingkungan App Service berjalan dalam konteks jaringan virtual.
  • Anda memilih ukuran subnet saat menyebarkan lingkungan App Service. Anda tidak dapat mengubah ukuran di lain waktu. Kami merekomendasikan ukuran /24, yang memiliki 256 alamat dan dapat menangani Lingkungan App Service berukuran maksimum dan kebutuhan penskalaan apa pun.

Rekomendasi desain

Praktik terbaik berikut berlaku untuk penyebaran App Service apa pun.

  • Menyambungkan ke solusi App Service:
    • Terapkan firewall aplikasi web Azure di depan solusi App Service Anda. Gunakan Azure Front Door, Application Gateway, atau layanan mitra untuk memberikan perlindungan berbasis OWASP ini. Anda dapat menggunakan Azure Front Door atau Application Gateway untuk satu wilayah, atau keduanya untuk beberapa wilayah. Jika Anda memerlukan perutean jalur di wilayah tersebut, gunakan Application Gateway. Jika Anda memerlukan penyeimbangan beban multi-wilayah dan Web Application Firewall, gunakan Azure Front Door.
    • Dengan menggunakan titik akhir privat untuk App Service, Anda dapat mengakses aplikasi melalui titik akhir privat berbasis jaringan daripada titik akhir publik berbasis internet. Saat menggunakan titik akhir privat, Anda dapat membatasi akses ke aplikasi hanya untuk pengguna di jaringan virtual Anda, yang menyediakan lapisan keamanan lain untuk aplikasi Anda, mengurangi biaya keluar data, dan meningkatkan performa.
    • Gunakan pembatasan akses untuk memastikan bahwa solusi App Service hanya dapat dicapai dari lokasi yang valid. Misalnya, jika penyebaran App Service multi-penyewa menghosting API dan dihadapkan oleh API Management, siapkan pembatasan akses sehingga solusi App Service hanya dapat diakses dari API Management.
  • Menyambungkan dari solusi App Service:
  • Gunakan alat bawaan untuk memecahkan masalah jaringan.
  • Hindari kelelahan port SNAT dengan menggunakan kumpulan koneksi. Berulang kali membuat koneksi ke host dan port yang sama dapat menyebabkan waktu respons yang lambat, kesalahan 5xx terputus-terputus, waktu habis, atau masalah koneksi titik akhir eksternal.
  • Ikuti rekomendasi yang diuraikan di bagian Keamanan jaringan dari garis besar keamanan Azure untuk App Service.

Tujuan dari topologi jaringan dan pertimbangan konektivitas untuk akselerator zona pendaratan App Service adalah untuk memberikan cetak biru tingkat tinggi untuk menerapkan lingkungan yang dapat diskalakan dan tangguh untuk menyebarkan App Services. Cetak biru ini, yang berfokus pada arsitektur dan konektivitas jaringan, dapat membantu Anda menyiapkan zona pendaratan dengan cepat dan efisien di Azure untuk menghosting solusi App Services.