Compartilhar via

Topologia de rede e conectividade para o acelerador de zona de destino do Azure Spring Apps

  • Artigo

Este artigo descreve considerações de design e recomendações para a rede em que a carga de trabalho do Spring Boot é colocada. Seu design de destino depende dos requisitos da carga de trabalho e dos requisitos de segurança e conformidade da sua organização.

A equipe de plataforma centralizada e a equipe de aplicativos compartilham a responsabilidade da área de design de rede. A equipe de plataforma seleciona a topologia de rede, que pode ser um modelo hub-spoke tradicional ou WAN Virtual topologia de rede (gerenciada pela Microsoft). A equipe de aplicativos é responsável pelas opções de design da rede spoke. Espera-se que a carga de trabalho tenha dependências de serviços compartilhados que a plataforma gerencia. A equipe de aplicativos deve entender as implicações dessas dependências e comunicar seus requisitos para que as metas gerais da carga de trabalho sejam atendidas.

Para obter mais informações sobre o design da plataforma, consulte Topologia de rede e conectividade.

Siga estas considerações e recomendações de design como práticas recomendadas para controles de sub-rede, entrada e saída.

Considerações sobre o design

  • Isolamento. A equipe central pode fornecer uma rede virtual para que a equipe de aplicativos execute suas cargas de trabalho. Se a carga de trabalho do Spring Boot tiver uma separação de preocupações de outras cargas de trabalho, considere provisionar sua própria rede virtual para o runtime do serviço spring app e o aplicativo.

  • Sub-redes. Considere a escalabilidade do aplicativo quando você escolher o tamanho da sub-rede e o número de aplicativos.

    Se você usar sub-redes existentes ou trazer suas próprias tabelas de rotas, tenha políticas em vigor para garantir que as regras adicionadas pelo Azure Spring Apps não sejam atualizadas ou excluídas.

    Outro aspecto é a segurança. Considere as regras que permitem ou negam o tráfego para a sub-rede.

  • Tráfego de saída (saída). O tráfego proveniente da rede virtual deve ser roteado por meio de Firewall do Azure ou NVA (dispositivo virtual de rede).

    Considere as limitações do balanceador de carga interno fornecido pelo Azure Spring Apps. Com base em seus requisitos, talvez seja necessário personalizar caminhos de saída usando UDR (roteamento definido pelo usuário), por exemplo, para rotear todo o tráfego por meio de uma NVA.

  • Tráfego de entrada (entrada). Considere usar um proxy reverso para o tráfego que vai para o Azure Spring Apps. Com base em seus requisitos, escolha opções nativas, como Gateway de Aplicativo do Azure e Front Door ou serviços regionais, como Gerenciamento de API (APIM). Se essas opções não atenderem às necessidades da carga de trabalho, os serviços que não são do Azure poderão ser considerados.

Recomendações sobre design

Essas recomendações fornecem diretrizes prescritivas para o conjunto anterior de considerações.

Rede virtual e sub-redes

  • O Azure Spring Apps requer permissão de proprietário para sua rede virtual. Essa função é necessária para conceder uma entidade de serviço dedicada e dinâmica para implantação e manutenção. Para obter mais informações, confira Implantar o Azure Spring Apps em uma rede virtual.

  • O Azure Spring Apps implantado em uma rede privada fornece um FQDN (nome de domínio totalmente qualificado) acessível somente dentro da rede privada. Crie uma zona DNS privada do Azure para o endereço IP do aplicativo Spring. Vincule o DNS privado à sua rede virtual atribuindo um FQDN privado no Azure Spring Apps. Para obter instruções passo a passo, consulte Acessar seu aplicativo em uma rede privada.

  • O Azure Spring Apps requer duas sub-redes dedicadas. Uma sub-rede tem o runtime de serviço e a outra sub-rede é para os aplicativos Spring Boot.

    O tamanho mínimo do bloco CIDR de cada uma dessas sub-redes é /28. A sub-rede de runtime e a sub-rede do aplicativo precisam de um espaço de endereço mínimo de /28. Mas o número de aplicativos Spring que você pode implantar influencia o tamanho da sub-rede. Para obter informações sobre o máximo de instâncias de aplicativo por intervalo de sub-rede, consulte Usando intervalos de sub-rede menores.

  • Se você usar Gateway de Aplicativo do Azure como proxy reverso na frente do Azure Spring Apps, precisará de outra sub-rede para essa instância. Para obter mais informações, consulte Usando Gateway de Aplicativo como o proxy reverso.

  • Use NSGs (Grupos de Segurança de Rede) em sub-redes para filtrar o tráfego leste-oeste para restringir o tráfego para sua sub-rede de runtime de serviço.

  • Grupos de recursos e sub-redes que a implantação do Azure Spring Apps gerencia não devem ser modificados.

Tráfego de saída

  • Por padrão, o Azure Spring Apps tem acesso irrestrito à Internet de saída. Use uma NVA como Firewall do Azure para filtrar o tráfego norte-sul. Aproveite Firewall do Azure na rede de hub centralizada para reduzir a sobrecarga de gerenciamento.

    Observação

    O tráfego de saída para componentes do Azure Spring é necessário para dar suporte às instâncias de serviço. Para obter informações sobre pontos de extremidade e portas específicos, consulte Requisitos de rede do Azure Spring Apps.

  • O Azure Spring Apps fornece um tipo de saída UDR (rota definida pelo usuário) para controlar totalmente o caminho de tráfego de saída. OutboundType deve ser definido quando uma nova instância de serviço do Azure Spring Apps é criada. Ele não pode ser atualizado posteriormente. OutboundType pode ser configurado somente com uma rede virtual. Para obter mais informações, consulte Personalizar a saída do Azure Spring Apps com uma rota definida pelo usuário.

  • O aplicativo precisa se comunicar com outros serviços do Azure na solução. Use Link Privado do Azure para serviços com suporte se seus aplicativos exigirem conectividade privada.

Tráfego de entrada

  • Use um proxy reverso para garantir que usuários mal-intencionados sejam impedidos de ignorar o WAF (firewall do aplicativo Web) ou contornar os limites de limitação. Gateway de Aplicativo do Azure com WAF integrado é recomendado.

    Se você estiver usando a camada Enterprise, use o ponto de extremidade atribuído do aplicativo Spring Cloud Gateway como o pool de back-end do Gateway de Aplicativo. Esse ponto de extremidade é resolvido para um endereço IP privado na sub-rede do runtime do serviço Azure Spring Apps.

    Adicione um NSG na sub-rede de runtime do serviço que permite o tráfego somente da sub-rede Gateway de Aplicativo, da sub-rede do Azure Spring Apps e Azure Load Balancer.

    Observação

    Você pode escolher uma alternativa para o proxy reverso, como o Azure Front Door ou serviços que não são do Azure. Para obter informações sobre as opções de configuração, consulte Expor o Azure Spring Apps por meio de um proxy reverso.

  • O Azure Spring Apps pode ser implantado em uma rede virtual por meio de injeção de VNet ou fora da rede. Para obter mais informações, consulte Resumo da configuração.

Próximas etapas

Considerações de segurança para o acelerador de zona de destino do Azure Spring Apps