Overwegingen voor netwerktopologie en connectiviteit voor de App Service landingszoneversneller

  • Artikel

Dit artikel bevat ontwerpoverwegingen en aanbevelingen voor netwerktopologie en connectiviteit die u kunt toepassen wanneer u de Azure App Service landingszoneversneller gebruikt. Netwerken staat centraal in bijna alles in een landingszone.

De netwerktopologie en connectiviteitsoverwegingen voor deze architectuur zijn afhankelijk van de vereisten van de workloads die worden gehost en van de beveiligings- en nalevingsvereisten van uw organisatie.

Overwegingen bij het ontwerpen

Wanneer u een App Service-oplossing in Azure implementeert, moet u zorgvuldig rekening houden met de netwerkvereisten om ervoor te zorgen dat uw toepassing goed werkt. Er zijn verschillende belangrijke factoren om rekening mee te houden wanneer u een implementatie plant:

  • Bepaal de netwerkvereisten voor uw toepassing.

    • Binnenkomend verkeer. Als uw app webservices biedt, zoals een website of API, moet deze waarschijnlijk inkomend verkeer van internet kunnen ontvangen. Om ervoor te zorgen dat uw app binnenkomende verbindingen kan accepteren, moet u deze configureren om te luisteren op de juiste poorten.
    • Toegang tot andere Azure-resources. Uw app moet mogelijk toegang hebben tot resources in Azure, zoals opslagaccounts of databases, met behulp van het privé-eindpunt. Deze resources bevinden zich mogelijk in een virtueel Azure-netwerk of andere Azure-services.
    • SSL/TLS. Om de communicatie tussen uw app en de gebruikers te beveiligen, moet u SSL/TLS-versleuteling inschakelen. Dit zorgt ervoor dat het verkeer tussen uw app en de gebruikers ervan wordt versleuteld, waardoor gevoelige informatie wordt beschermd tegen onderschepping door derden.
    • IP-beperkingen. Afhankelijk van uw vereisten moet u mogelijk toegang tot uw app toestaan of blokkeren vanaf specifieke IP-adressen of bereiken. Dit kan een betere beveiliging bieden en de toegang tot uw app beperken tot specifieke gebruikers of locaties.

  • Kies een App Service planlaag. Gebruik de netwerkvereisten van uw toepassing om de juiste laag voor uw App Service-abonnement te bepalen. Het is een goed idee om de verschillende App Service planlagen en hun functies te bekijken om te bepalen welke het meest geschikt is voor uw behoeften.

App Service-service voor meerdere tenants

  • Een App Service oplossing met meerdere tenants deelt één binnenkomend IP-adres en meerdere uitgaande IP-adressen met andere App Service resources in één implementatie-eenheid. Deze IP-adressen kunnen om verschillende redenen veranderen. Als u consistente uitgaande IP-adressen nodig hebt voor een App Service-oplossing met meerdere tenants, kunt u een NAT-gateway configureren of virtuele netwerkintegratie gebruiken.

  • Als u een toegewezen IP-adres nodig hebt voor uw App Service-oplossing, kunt u een door de app toegewezen adres gebruiken, uw App Service exemplaar fronten met een toepassingsgateway (waaraan een statisch IP-adres is toegewezen) of een IP-gebaseerd SSL-certificaat gebruiken om een toegewezen IP-adres aan uw app toe te wijzen via het App Service-platform.

  • Wanneer u vanuit een App Service-oplossing verbinding moet maken met on-premises, privé- of IP-beperkte services, moet u rekening houden met het volgende:

    • In een App Service-implementatie met meerdere tenants kan een App Service-aanroep afkomstig zijn van een breed scala aan IP-adressen. Mogelijk hebt u integratie van virtuele netwerken nodig.
    • U kunt services zoals API Management en Application Gateway gebruiken voor proxy-aanroepen tussen netwerkgrenzen. Deze services kunnen een statisch IP-adres bieden als u dat nodig hebt.

  • U kunt een privé- of een openbaar eindpunt gebruiken voor een App Service-implementatie met meerdere tenants. Wanneer u een privé-eindpunt gebruikt, wordt openbare blootstelling aan de App Service-oplossing geëlimineerd. Als u wilt dat het privé-eindpunt van de App Service-oplossing toegankelijk is via internet, kunt u overwegen om Application Gateway te gebruiken om de App Service oplossing beschikbaar te maken.

  • Een multitenant App Service implementatie maakt een set poorten beschikbaar. Er is geen manier om de toegang tot deze poorten te blokkeren of te beheren in een App Service-implementatie met meerdere tenants.

  • Plan uw subnetten correct voor uitgaande integratie van virtuele netwerken en houd rekening met het aantal VEREISTE IP-adressen. Integratie van virtuele netwerken is afhankelijk van een toegewezen subnet. Wanneer u een Azure-subnet inricht, reserveert Azure vijf IP-adressen. Er wordt één IP-adres uit het integratiesubnet gebruikt voor elk exemplaar van het App Service-plan. Wanneer u uw app bijvoorbeeld naar vier exemplaren schaalt, worden er vier IP-adressen gebruikt. Wanneer u omhoog of omlaag schaalt, wordt de vereiste adresruimte gedurende korte tijd verdubbeld. Dit is van invloed op de beschikbare ondersteunde exemplaren voor een bepaalde subnetgrootte.

  • Omdat u de grootte van een subnet na de toewijzing niet kunt wijzigen, moet u een subnet gebruiken dat groot genoeg is voor de schaal die uw app kan bereiken. Om problemen met subnetcapaciteit te voorkomen, gebruikt u een /26 met 64 adressen voor integratie van virtuele netwerken.

  • Als u verbinding maakt met een App Service-oplossing met meerdere tenants en u een toegewezen uitgaand adres nodig hebt, gebruikt u een NAT-gateway.

App Service Environment (één tenant)

  • Bepaal een App Service Environment netwerkontwerp: externe of interne load balancer. Gebruik een externe implementatie wanneer u directe toegang vanaf internet nodig hebt. Gebruik een interne load balancer-implementatie om toegang alleen beschikbaar te maken vanuit het virtuele netwerk waar de App Service Environment is geïmplementeerd. De laatste implementatie biedt een ander niveau van beveiliging en controle over de netwerktoegang tot de apps.
  • App Services in een App Service Environment krijgt statische, toegewezen IP-adressen voor inkomende en uitgaande communicatie, voor de levensduur van de App Service Environment.
  • Wanneer u vanaf een App Service Environment verbinding wilt maken met on-premises, privé- of IP-beperkte services, wordt de App Service Environment uitgevoerd binnen de context van een virtueel netwerk.
  • U kiest de grootte van het subnet wanneer u een App Service Environment implementeert. U kunt de grootte niet op een later tijdstip wijzigen. We raden een grootte van /24 aan, die 256 adressen heeft en een maximale grootte App Service Environment en eventuele schaalbehoeften kan verwerken.

Ontwerpaanbeveling

De volgende aanbevolen procedures zijn van toepassing op elke implementatie van App Service.

  • Verbinding maken met een App Service-oplossing:
    • Implementeer een Azure Web Application Firewall vóór uw App Service-oplossing. Gebruik Azure Front Door, Application Gateway of een partnerservice om deze op OWASP gebaseerde beveiliging te bieden. U kunt Azure Front Door of Application Gateway gebruiken voor één regio of beide voor meerdere regio's. Als u padroutering in de regio nodig hebt, gebruikt u Application Gateway. Als u taakverdeling voor meerdere regio's en Web Application Firewall nodig hebt, gebruikt u Azure Front Door.
    • Door een privé-eindpunt voor App Service te gebruiken, hebt u toegang tot de app via een privé- en netwerkeindpunt in plaats van een openbaar interneteindpunt. Wanneer u een privé-eindpunt gebruikt, kunt u de toegang tot de app beperken tot alleen gebruikers in uw virtuele netwerk. Dit biedt een andere beveiligingslaag voor uw app, lagere kosten voor uitgaande gegevens en verbeterde prestaties.
    • Gebruik toegangsbeperkingen om ervoor te zorgen dat de App Service-oplossing alleen kan worden bereikt vanaf geldige locaties. Als bijvoorbeeld een App Service-implementatie met meerdere tenants API's host en wordt fronted door API Management, stelt u een toegangsbeperking in zodat de App Service-oplossing alleen toegankelijk is vanuit API Management.
  • Verbinding maken vanuit een App Service-oplossing:
  • Gebruik de ingebouwde hulpprogramma's om netwerkproblemen op te lossen.
  • Vermijd SNAT-poortuitputting met behulp van verbindingsgroepen. Het herhaaldelijk maken van verbindingen met dezelfde host en poort kan leiden tot trage reactietijden, onregelmatige 5xx-fouten, time-outs of verbindingsproblemen met externe eindpunten.
  • Volg de aanbevelingen die worden beschreven in de sectie Netwerkbeveiliging van de Azure-beveiligingsbasislijn voor App Service.

Het doel van netwerktopologie en connectiviteitsoverwegingen voor de App Service landingszoneversneller is om een blauwdruk op hoog niveau te bieden voor het implementeren van een schaalbare en tolerante omgeving voor het implementeren van App Services. Deze blauwdruk, gericht op netwerkarchitectuur en connectiviteit, kan u helpen snel en efficiënt een landingszone in Azure in te stellen voor het hosten van App Services-oplossingen.