Considerações sobre topologia de rede e conectividade para o acelerador de zona de aterrissagem do Serviço de Aplicativo

Este artigo fornece considerações de design e recomendações para topologia de rede e conectividade que você pode aplicar quando usa o acelerador de zona de aterrissagem do Serviço de Aplicativo do Azure. O networking é fundamental para quase tudo em uma zona de pouso.

As considerações de topologia de rede e conectividade para essa arquitetura dependem dos requisitos das cargas de trabalho hospedadas e dos requisitos de segurança e conformidade da sua organização.

Considerações de design

Ao implantar uma solução do Serviço de Aplicativo no Azure, você precisa considerar cuidadosamente os requisitos de rede para garantir que seu aplicativo funcione corretamente. Há vários fatores importantes a serem considerados ao planejar uma implantação:

• Determine os requisitos de rede para seu aplicativo.

  • Tráfego de entrada. Se seu aplicativo fornece serviços baseados na Web, como um site ou API, ele provavelmente precisa ser capaz de receber tráfego de entrada da Internet. Para garantir que seu aplicativo possa aceitar conexões de entrada, você precisa configurá-lo para escutar nas portas apropriadas.
  • Acesso a outros recursos do Azure. Seu aplicativo pode precisar ser capaz de acessar recursos no Azure, como contas de armazenamento ou bancos de dados, usando seu ponto de extremidade privado. Esses recursos podem estar localizados em uma rede virtual do Azure ou em outros serviços do Azure.
  • SSL/TLS. Para ajudar a proteger a comunicação entre seu aplicativo e seus usuários, você precisa habilitar a criptografia SSL/TLS. Isso garante que o tráfego entre seu aplicativo e seus usuários seja criptografado, o que ajuda a proteger informações confidenciais de serem intercetadas por terceiros.
  • Restrições de PI. Dependendo dos seus requisitos, poderá ter de permitir ou bloquear o acesso à sua aplicação a partir de endereços IP ou intervalos específicos. Isso pode fornecer segurança aprimorada e limitar o acesso ao seu aplicativo a usuários ou locais específicos.

• Escolha uma camada de plano do Serviço de Aplicativo. Use os requisitos de rede do seu aplicativo para determinar a camada apropriada para seu plano do Serviço de Aplicativo. É uma boa ideia analisar as várias camadas do plano do Serviço de Aplicativo e seus recursos para determinar qual é mais adequado às suas necessidades.

Serviço multilocatário do Serviço de Aplicativo

• Uma solução multilocatária do Serviço de Aplicativo compartilha um único endereço IP de entrada e vários endereços IP de saída com outros recursos do Serviço de Aplicativo em uma única unidade de implantação. Esses endereços IP podem mudar por vários motivos. Se você precisar de endereços IP de saída consistentes para uma solução de Serviço de Aplicativo multilocatário, poderá configurar um gateway NAT ou usar a integração de rede virtual.

• Se precisar de um endereço IP dedicado para sua solução do Serviço de Aplicativo, você poderá usar um endereço atribuído ao aplicativo, frontar sua instância do Serviço de Aplicativo com um gateway de aplicativo (ao qual é atribuído um endereço IP estático) ou usar um certificado SSL baseado em IP para atribuir um endereço IP dedicado ao seu aplicativo por meio da plataforma do Serviço de Aplicativo.

• Quando você precisar se conectar de uma solução do Serviço de Aplicativo a serviços locais, privados ou com restrição de IP, considere que:

  • Em uma implantação do Serviço de Aplicativo multilocatário, uma chamada do Serviço de Aplicativo pode ser originada de uma ampla variedade de endereços IP. Você pode precisar de integração de rede virtual.
  • Você pode usar serviços como Gerenciamento de API e Application Gateway para fazer chamadas de proxy entre limites de rede. Esses serviços podem fornecer um endereço IP estático, se você precisar de um.

• Você pode usar um ponto de extremidade privado ou público para uma implantação do Serviço de Aplicativo multilocatário. Quando você usa um ponto de extremidade privado, a exposição pública à solução do Serviço de Aplicativo é eliminada. Se você precisar que o ponto de extremidade privado da solução do Serviço de Aplicativo esteja acessível pela Internet, considere usar o Gateway de Aplicativo para expor a solução do Serviço de Aplicativo.

• Uma implantação do Serviço de Aplicativo multilocatário expõe um conjunto de portas. Não há como bloquear ou controlar o acesso a essas portas em uma implantação do Serviço de Aplicativo multilocatário.

• Planeje suas sub-redes corretamente para integração de rede virtual de saída e considere o número de endereços IP necessários. A integração de rede virtual depende de uma sub-rede dedicada. Quando você provisiona uma sub-rede do Azure, o Azure reserva cinco IPs. Um endereço IP é usado da sub-rede de integração para cada instância do plano do Serviço de Aplicativo. Quando você dimensiona seu aplicativo para quatro instâncias, por exemplo, quatro endereços IP são usados. Quando você aumenta ou diminui a escala, o espaço de endereçamento necessário é dobrado por um curto período de tempo. Isso afeta as instâncias suportadas disponíveis para um determinado tamanho de sub-rede.

• Como não é possível alterar o tamanho de uma sub-rede após a atribuição, você precisa usar uma sub-rede grande o suficiente para acomodar a escala que seu aplicativo pode alcançar. Para evitar problemas com a capacidade da sub-rede, use um /26 com 64 endereços para integração de rede virtual.

• Se você estiver se conectando a uma solução do Serviço de Aplicativo multilocatário e precisar de um endereço de saída dedicado, use um gateway NAT.

Ambiente do Serviço de Aplicativo (locatário único)

• Decida sobre um design de rede do Ambiente do Serviço de Aplicativo: balanceador de carga externo ou interno. Use uma implantação externa quando precisar de acesso direto da Internet. Use uma implantação de balanceador de carga interno para expor o acesso somente de dentro da rede virtual onde o Ambiente do Serviço de Aplicativo está implantado. A última implantação fornece outro nível de segurança e controle sobre o acesso à rede para os aplicativos.
• Os Serviços de Aplicativo em um Ambiente do Serviço de Aplicativo obtêm endereços IP estáticos e dedicados para comunicação de entrada e saída, durante o tempo de vida do Ambiente do Serviço de Aplicativo.
• Quando você precisa se conectar de um Ambiente do Serviço de Aplicativo a serviços locais, privados ou restritos a IP, o Ambiente do Serviço de Aplicativo é executado no contexto de uma rede virtual.
• Você escolhe o tamanho da sub-rede ao implantar um Ambiente do Serviço de Aplicativo. Não é possível alterar o tamanho posteriormente. Recomendamos um tamanho /24, que tem 256 endereços e pode lidar com um Ambiente de Serviço de Aplicativo de tamanho máximo e quaisquer necessidades de dimensionamento.

Recomendações de design

As práticas recomendadas a seguir se aplicam a qualquer implantação do Serviço de Aplicativo.

• Conectando-se a uma solução do Serviço de Aplicativo:
  • Implemente um firewall de aplicativo Web do Azure na frente da sua solução do Serviço de Aplicativo. Use o Azure Front Door, o Application Gateway ou um serviço de parceiro para fornecer essa proteção baseada em OWASP. Você pode usar o Azure Front Door ou o Application Gateway para uma única região ou ambos para várias regiões. Se você precisar de roteamento de caminho na região, use o Application Gateway. Se você precisar de balanceamento de carga de várias regiões e Firewall de Aplicativo Web, use o Azure Front Door.
  • Usando um ponto de extremidade privado para o Serviço de Aplicativo, você pode acessar o aplicativo por meio de um ponto de extremidade privado baseado em rede, em vez de um ponto de extremidade público baseado na Internet. Ao usar um ponto de extremidade privado, você pode restringir o acesso ao aplicativo apenas aos usuários em sua rede virtual, o que fornece outra camada de segurança para seu aplicativo, custos de saída de dados reduzidos e desempenho aprimorado.
  • Use restrições de acesso para garantir que a solução do Serviço de Aplicativo possa ser acessada somente de locais válidos. Por exemplo, se uma implantação do Serviço de Aplicativo multilocatário estiver hospedando APIs e for liderada pelo Gerenciamento de API, configure uma restrição de acesso para que a solução do Serviço de Aplicativo possa ser acessada somente do Gerenciamento de API.
• Conectando-se a partir de uma solução do Serviço de Aplicativo:
  • Quando precisar de conectividade privada com outros serviços do Azure, use o Azure Private Link se ele for suportado pelos serviços.
• Use as ferramentas internas para solucionar problemas de rede.
• Evite o esgotamento da porta SNAT usando pools de conexões. A criação repetida de conexões com o mesmo host e porta pode causar tempos de resposta lentos, erros intermitentes de 5xx, tempos limite ou problemas de conexão de ponto de extremidade externo.
• Siga as recomendações descritas na seção Segurança de rede da linha de base de segurança do Azure para o Serviço de Aplicativo.

O objetivo das considerações de topologia de rede e conectividade para o acelerador de zona de aterrissagem do Serviço de Aplicativo é fornecer um modelo de alto nível para implementar um ambiente escalável e resiliente para implantar os Serviços de Aplicativo. Este modelo concentra-se na arquitetura de rede e na conectividade e pode ajudá-lo a configurar rápida e eficientemente uma zona de aterrissagem no Azure para hospedar soluções dos Serviços de Aplicativo.