Udostępnij za pośrednictwem


Zagadnienia dotyczące topologii sieci i łączności dla akceleratora strefy docelowej usługi App Service

Ten artykuł zawiera zagadnienia dotyczące projektowania i zalecenia dotyczące topologii sieci i łączności, które można zastosować podczas korzystania z akceleratora strefy docelowej usługi aplikacja systemu Azure Service. Sieć ma kluczowe znaczenie dla niemal wszystkich elementów w strefie docelowej.

Zagadnienia dotyczące topologii sieci i łączności dla tej architektury zależą od wymagań hostowanych obciążeń oraz wymagań dotyczących zabezpieczeń i zgodności organizacji.

Uwagi dotyczące projektowania

Podczas wdrażania rozwiązania App Service na platformie Azure należy dokładnie rozważyć wymagania dotyczące sieci, aby upewnić się, że aplikacja działa prawidłowo. Podczas planowania wdrożenia należy wziąć pod uwagę kilka kluczowych czynników:

  • Określ wymagania dotyczące sieci dla aplikacji.

    • Ruch przychodzący. Jeśli aplikacja udostępnia usługi internetowe, takie jak witryna internetowa lub interfejs API, prawdopodobnie musi mieć możliwość odbierania ruchu przychodzącego z Internetu. Aby upewnić się, że aplikacja może akceptować połączenia przychodzące, należy skonfigurować ją tak, aby nasłuchiwać na odpowiednich portach.
    • Dostęp do innych zasobów platformy Azure. Aplikacja może wymagać dostępu do zasobów na platformie Azure, takich jak konta magazynu lub bazy danych, przy użyciu prywatnego punktu końcowego. Te zasoby mogą znajdować się w sieci wirtualnej platformy Azure lub w innych usługach platformy Azure.
    • PROTOKÓŁ SSL/TLS. Aby ułatwić zabezpieczanie komunikacji między aplikacją a jej użytkownikami, należy włączyć szyfrowanie SSL/TLS. Dzięki temu ruch między aplikacją a jej użytkownikami jest szyfrowany, co pomaga chronić poufne informacje przed przechwyceniem przez osoby trzecie.
    • Ograniczenia adresów IP. W zależności od wymagań może być konieczne zezwolenie lub zablokowanie dostępu do aplikacji z określonych adresów IP lub zakresów. Dzięki temu można zwiększyć bezpieczeństwo i ograniczyć dostęp do aplikacji do określonych użytkowników lub lokalizacji.
  • Wybierz warstwę planu usługi App Service. Użyj wymagań sieciowych aplikacji, aby określić odpowiednią warstwę dla planu usługi App Service. Warto zapoznać się z różnymi warstwami planu usługi App Service i ich funkcjami, aby określić, która z nich najlepiej odpowiada Twoim potrzebom.

Usługa App Service z wieloma dzierżawami

  • Rozwiązanie wielodostępne usługi App Service współudzieli jeden przychodzący adres IP i wiele wychodzących adresów IP z innymi zasobami usługi App Service w jednej jednostce wdrażania. Te adresy IP mogą ulec zmianie z różnych powodów. Jeśli potrzebujesz spójnych wychodzących adresów IP dla rozwiązania usługi App Service z wieloma dzierżawami, możesz skonfigurować bramę translatora adresów sieciowych lub użyć integracji sieci wirtualnej.

  • Jeśli potrzebujesz dedykowanego adresu IP dla rozwiązania usługi App Service, możesz użyć adresu przypisanego przez aplikację, z przodu wystąpienia usługi App Service z bramą aplikacji (która ma przypisany statyczny adres IP) lub użyć certyfikatu SSL opartego na adresie IP, aby przypisać dedykowany adres IP do aplikacji za pośrednictwem platformy usługi App Service.

  • Jeśli musisz nawiązać połączenie z rozwiązania usługi App Service z usługami lokalnymi, prywatnymi lub ograniczonymi adresami IP, rozważ następujące kwestie:

    • W przypadku wdrożenia usługi App Service z wieloma dzierżawami wywołanie usługi App Service może pochodzić z szerokiego zakresu adresów IP. Może być potrzebna integracja z siecią wirtualną.
    • Usług takich jak API Management i Application Gateway można używać do wywołań serwera proxy między granicami sieci. Te usługi mogą udostępniać statyczny adres IP, jeśli jest potrzebny.
  • Do wdrożenia usługi App Service z wieloma dzierżawami można użyć prywatnego lub publicznego punktu końcowego. W przypadku korzystania z prywatnego punktu końcowego publiczne ujawnienie rozwiązania usługi App Service zostanie wyeliminowane. Jeśli potrzebujesz prywatnego punktu końcowego rozwiązania usługi App Service, aby był dostępny za pośrednictwem Internetu, rozważ użycie usługi Application Gateway do uwidocznienia rozwiązania usługi App Service.

  • Wdrożenie usługi App Service z wieloma dzierżawami uwidacznia zestaw portów. Nie ma możliwości blokowania ani kontrolowania dostępu do tych portów we wdrożeniu usługi App Service z wieloma dzierżawami.

  • Zaplanuj prawidłowo podsieci dla integracji wychodzącej sieci wirtualnej i rozważ liczbę wymaganych adresów IP. Integracja sieci wirtualnej zależy od dedykowanej podsieci. Podczas aprowizowania podsieci platformy Azure platforma Azure zastrzega sobie pięć adresów IP. Jeden adres IP jest używany z podsieci integracji dla każdego wystąpienia planu usługi App Service. Podczas skalowania aplikacji do czterech wystąpień, na przykład są używane cztery adresy IP. W przypadku skalowania w górę lub w dół wymagana przestrzeń adresowa jest podwojona przez krótki czas. Ma to wpływ na dostępne obsługiwane wystąpienia dla danego rozmiaru podsieci.

  • Ponieważ nie można zmienić rozmiaru podsieci po przypisaniu, musisz użyć podsieci, która jest wystarczająco duża, aby uwzględnić skalę, którą może osiągnąć aplikacja. Aby uniknąć problemów z pojemnością podsieci, użyj /26 z 64 adresami na potrzeby integracji sieci wirtualnej.

  • Jeśli łączysz się z wielodostępnym rozwiązaniem usługi App Service i potrzebujesz dedykowanego adresu wychodzącego, użyj bramy translatora adresów sieciowych.

App Service Environment (jednodostępne)

  • Zdecyduj o projekcie sieci środowiska App Service Environment: zewnętrznym lub wewnętrznym module równoważenia obciążenia. Użyj wdrożenia zewnętrznego, jeśli potrzebujesz bezpośredniego dostępu z Internetu. Użyj wewnętrznego wdrożenia modułu równoważenia obciążenia, aby uwidocznić dostęp tylko z poziomu sieci wirtualnej, w której wdrożono środowisko App Service Environment. Drugie wdrożenie zapewnia kolejny poziom zabezpieczeń i kontroli dostępu sieciowego do aplikacji.
  • Usługa App Services w środowisku App Service Environment pobiera statyczne, dedykowane adresy IP dla komunikacji przychodzącej i wychodzącej przez cały okres istnienia środowiska App Service Environment.
  • Jeśli musisz nawiązać połączenie ze środowiska App Service Environment z usługami lokalnymi, prywatnymi lub ograniczonymi adresami IP, środowisko App Service Environment działa w kontekście sieci wirtualnej.
  • Podczas wdrażania środowiska App Service Environment można wybrać rozmiar podsieci. Nie można później zmienić rozmiaru. Zalecamy rozmiar /24, który ma 256 adresów i może obsłużyć maksymalny rozmiar środowiska App Service Environment i wszelkie potrzeby skalowania.

Zalecenia dotyczące projektowania

Poniższe najlepsze rozwiązania dotyczą dowolnego wdrożenia usługi App Service.

  • Połączenie do rozwiązania usługi App Service:
    • Zaimplementuj zaporę aplikacji internetowej platformy Azure przed rozwiązaniem usługi App Service. Użyj usługi Azure Front Door, Application Gateway lub usługi partnerskiej, aby zapewnić tę ochronę opartą na programie OWASP. Możesz użyć usługi Azure Front Door lub Application Gateway dla jednego regionu lub obu tych regionów. Jeśli potrzebujesz routingu ścieżki w regionie, użyj usługi Application Gateway. Jeśli potrzebujesz równoważenia obciążenia w wielu regionach i zapory aplikacji internetowej, użyj usługi Azure Front Door.
    • Korzystając z prywatnego punktu końcowego dla usługi App Service, możesz uzyskać dostęp do aplikacji za pośrednictwem prywatnego punktu końcowego opartego na sieci, a nie publicznego punktu końcowego internetowego. W przypadku korzystania z prywatnego punktu końcowego możesz ograniczyć dostęp do aplikacji tylko do użytkowników w sieci wirtualnej, co zapewnia kolejną warstwę zabezpieczeń dla aplikacji, obniżone koszty ruchu wychodzącego danych i lepszą wydajność.
    • Użyj ograniczeń dostępu, aby upewnić się, że rozwiązanie usługi App Service można uzyskać tylko z prawidłowych lokalizacji. Jeśli na przykład wdrożenie usługi App Service z wieloma dzierżawami hostuje interfejsy API i jest obsługiwane przez usługę API Management, skonfiguruj ograniczenie dostępu, aby można było uzyskać dostęp tylko z usługi API Management.
  • Połączenie z rozwiązania usługi App Service:
  • Skorzystaj z wbudowanych narzędzi, aby rozwiązać problemy z siecią.
  • Unikaj wyczerpania portów SNAT przy użyciu pul połączeń. Wielokrotnie tworzenie połączeń z tym samym hostem i portem może powodować powolne czasy odpowiedzi, sporadyczne błędy 5xx, przekroczenia limitu czasu lub problemy z połączeniem z zewnętrznym punktem końcowym.
  • Postępuj zgodnie z zaleceniami opisanymi w sekcji Zabezpieczenia sieciowe punktu odniesienia zabezpieczeń platformy Azure dla usługi App Service.

Celem topologii sieci i zagadnień dotyczących łączności dla akceleratora strefy docelowej usługi App Service jest udostępnienie szablonu wysokiego poziomu w celu zaimplementowania skalowalnego i odpornego środowiska na potrzeby wdrażania usług App Services. Ten szablon koncentruje się na architekturze sieci i łączności i może pomóc w szybkim i wydajnym skonfigurowaniu strefy docelowej na platformie Azure do hostowania rozwiązań usługi App Services.