Hybride cloudtoepassingen

  • 10 minuten

Tailwind Traders heeft diverse toepassingen met front-endonderdelen die momenteel on-premises in een perimeternetwerk worden uitgevoerd. De back-endelementen bevinden zich in een beveiligd intern netwerk. Eén van de doelen van Tailwind Traders van zijn overstap naar een hybride cloud is het buiten gebruik stellen van het perimeternetwerk en het hosten van openbare workloads in de cloud. Vanwege nalevingseisen en de zorgen van workloadeigenaren moet een aantal van deze toepassingen fysiek op de faciliteiten van Tailwind Traders blijven in plaats van deze in een Azure-datacentrum te hosten.

Tailwind Traders heeft een aantal andere toepassingen die toegankelijk via VPN-verbindingen in de interne beveiligde netwerken in de datacentra in Sydney, Melbourne en Auckland. Bij deze toepassingen moeten gebruikers zich over het algemeen verifiëren bij hun on-premises Active Directory-instantie.

In deze les leert u meer over de technologieën waardoor Tailwind Traders toepassingen waarmee gebruikers verbinding maken via Azure kan onderhouden, zelfs wanneer gegevens of de toepassing zelf nog steeds worden gehost op apparatuur van Tailwind Traders.

Wat is Azure Relay?

Azure Relay is een service die u kunt gebruiken om workloads die worden uitgevoerd op het interne netwerk van uw organisatie veilig beschikbaar te maken voor de openbare cloud. De service stelt u in staat dit te doen zonder een inkomende poort op de firewall van een perimeternetwerk te hoeven openen.

Azure Relay biedt ondersteuning voor de volgende scenario's tussen on-premises services en toepassingen die worden uitgevoerd in Azure:

  • Traditioneel verkeer in één richting, aanvraag/antwoord en peer-to-peer-communicatie
  • Distributie van gebeurtenissen om publicatie-/abonneerscenario's in te schakelen
  • Bidirectionele en niet-gebufferde socketcommunicatie over netwerkbegrenzingen heen

Azure Relay biedt de volgende functies:

  • Hybride verbindingen. Voor deze functie worden open-standaard websockets gebruikt. Deze hybride verbindingen kunnen worden gebruikt in architecturen met meerdere platformen. Het biedt ondersteuning voor .NET Core, .NET Framework, JavaScript/Node.js, op standaarden gebaseerde open protocollen en RPC-programmeermodellen (Remote Procedure Call, externe procedureaanroepen).
  • WCF Relay. Voor deze functie wordt Windows Communication Foundation (WCF) gebruikt om externe procedureaanroepen in te schakelen. Dit is een optie die veel klanten gebruiken bij hun WCF-programma's. Het biedt ook ondersteuning voor .NET Framework.

Met behulp van Azure Relay kan Tailwind Traders een aantal toepassingen die op het interne netwerk worden uitgevoerd, publiceren naar clients op internet zonder dat hiervoor een VPN-verbinding is vereist. Het bedrijf moet Azure Relay gebruiken in plaats van hybride verbindingen van Azure App Service wanneer er geen front-end web-app is die in Azure wordt uitgevoerd. Azure Relay moet worden gebruikt in plaats van Microsoft Entra-toepassingsproxy wanneer voor de toepassing geen Microsoft Entra-verificatie is vereist.

Wat is Hybride verbindingen van Azure App Service?

Voor de functie Hybride verbindingen van App Service kan elke toepassingsresource worden gebruikt in elk netwerk waar vanuit uitgaande aanvragen naar Azure op poort 443 kunnen worden verzonden. U kunt bijvoorbeeld Hybride verbindingen gebruiken om toe te staan dat voor een web-app die wordt uitgevoerd in Azure een SQL Server-database wordt gebruikt die on-premises wordt uitgevoerd. De functie Hybride verbindingen geeft vanuit een app die in Azure wordt uitgevoerd toegang tot een TCP-eindpunt (Transmission Control Protocol).

Hybride verbindingen is niet beperkt tot workloads die worden uitgevoerd op Windows Server-platforms. U kunt Hybride verbindingen configureren om toegang te krijgen tot een resource die fungeert als een TCP-eindpunt, ongeacht welk toepassingsprotocol wordt gebruikt. U kunt bijvoorbeeld een hybride verbinding configureren tussen een web-app die wordt uitgevoerd in Azure en een MySQL-database die op een on-premises virtuele Linux-machine wordt uitgevoerd.

Voor Hybride verbindingen wordt een relay-agent gebruikt die u implementeert op een locatie waar de agent een verbinding tot stand kan brengen met het TCP-eindpunt op het interne netwerk en verbinding met Azure kan maken. Deze verbinding wordt beveiligd via Transport Layer Security (TLS) 1.2. SAS-sleutels (Shared Access Signature) worden gebruikt voor verificatie en autorisatie.

In de volgende afbeelding ziet u een hybride verbinding van App Service tussen een web-app die in Azure wordt uitgevoerd en een database-eindpunt dat on-premises wordt uitgevoerd.

Diagram that shows hybrid connection between a web app in Azure and a database endpoint on-premises.

Hybride verbindingen biedt de volgende functionaliteit:

  • Apps die in Azure worden uitgevoerd, hebben beveiligd toegang tot on-premises systemen en services.
  • De on-premises systemen of de on-premises services hoeven niet direct toegankelijk te zijn voor hosts op internet.
  • U hoeft geen poort in de firewall te openen om inkomend verkeer van Azure toegang tot de relay-agent te geven. De volledige communicatie wordt op een uitgaande manier via poort 443 gestart vanaf de relay-agent.

Voor Hybride verbindingen gelden de volgende beperkingen:

  • De functie kan niet worden gebruikt om een SMB-share op een on-premises netwerk te bevestigen.
  • Het kan geen gebruik maken van UDP (User Datagram Protocol).
  • Het heeft geen toegang tot op TCP gebaseerde services waarvoor dynamische poorten worden gebruikt.
  • Het biedt geen ondersteuning voor LDAP (Lightweight Directory Access Protocol) vanwege de afhankelijkheid van het UDP.
  • Het kan niet worden gebruikt om een bewerking voor Active Directory Domain Services-domeindeelname uit te voeren.

Hybride verbindingen biedt Tailwind Traders de mogelijkheid om diverse toepassingen, waarvan de front-ends momenteel in het perimeternetwerk van Tailwind Traders worden uitgevoerd, buiten gebruik te stellen. Deze apps kunnen naar Azure worden gemigreerd. Hybride verbindingen krijgt vervolgens een beveiligde verbinding met beveiligde netwerken waarop de back-endonderdelen van de app worden gehost.

Wat is Microsoft Entra-toepassingsproxy?

Met de Microsoft Entra-toepassingsproxy kunt u beveiligde externe toegang bieden tot een webtoepassing die wordt uitgevoerd in een on-premises omgeving via een externe URL. U kunt de toepassingsproxy configureren om externe toegang en eenmalige aanmelding bij SharePoint, Microsoft Teams, IIS-webtoepassingen en Remote Desktop toe te staan. De toepassingsproxy kan worden geïmplementeerd ter vervanging van VPN's met interne netwerken of reverse proxy's.

De toepassingsproxy kan worden gebruikt in de volgende toepassingen:

  • Webtoepassingen waarvoor geïntegreerde Windows-verificatie wordt gebruikt
  • Webtoepassingen waarvoor op headers of formulieren gebaseerde verificatie wordt gebruikt
  • Toepassingen die worden gehost via Remote Desktop Gateway

De toepassingsproxy kan op de volgende manier worden gebruikt:

  1. De gebruiker maakt verbinding met de toepassing via een openbaar beschikbaar eindpunt en voert vervolgens een Microsoft Entra-aanmelding uit.
  2. Er wordt een token doorgestuurd naar het apparaat van de gebruiker nadat het aanmelden is voltooid.
  3. Het token wordt op het clientapparaat doorgestuurd naar de toepassingsproxyservice; vervolgens worden de UPN (User Principal Name) en de SPN (Security Principal Name) van het token geretourneerd. De toepassingsproxy stuurt de aanvraag vervolgens door naar de toepassingsproxyconnector.
  4. Als eenmalige aanmelding is ingeschakeld, voert de toepassingsproxyconnector aanvullende verificatie uit.
  5. De toepassingsproxyconnector stuurt de aanvraag door naar de on-premises toepassing.
  6. Het antwoord wordt via de connector en de toepassingsproxyservice naar de gebruiker verzonden.

In de volgende afbeelding wordt dit proces weergegeven:

Diagram that shows Application Proxy functionality with the user outside the organizational network making a connection through Application Proxy to an on-premises application.

Gebruikers van interne netwerken waarop directe verbindingen met toepassingen zijn toegestaan, moeten het gebruik van de toepassingsproxy vermijden.

Tailwind Traders kan microsoft Entra-toepassingsproxy gebruiken om externe gebruikers toegang te geven tot interne toepassingen die gebruikmaken van Active Directory-verificatie.

Test uw kennis

1.

Tailwind Traders heeft verschillende apps met meerdere lagen die worden gemigreerd naar de hybride cloud. De apps bevinden zich momenteel samen met de internetlagen op het perimeternetwerk van Tailwind Traders en de databaselaag op virtuele machines in het datacentrum in Sydney. De nieuwe toepassingsarchitectuur bevat web-apps die worden uitgevoerd in Azure. Welke van de volgende technologieën moet Tailwind Traders gebruiken om communicatie toe te staan tussen de web-applaag in Azure en de databaselaag die op virtuele machines in het datacentrum in Sydney wordt uitgevoerd?

2.

Tailwind Traders wil een toepassing publiceren waarvoor Active Directory Domain Services-accounts voor verificatie worden gebruikt, zodat deze toegankelijk is voor hosts op internet. Tailwind Traders heeft Microsoft Entra Verbinding maken geconfigureerd om de on-premises identiteiten die met deze toepassing worden gebruikt te synchroniseren met Microsoft Entra-id. Welke van de volgende hybride technologieën gebruikt u om deze toepassing te publiceren voor hosts op internet zodat ze toegang krijgen met deze gesynchroniseerde identiteiten?