Поделиться через

Топология сети и подключение для акселератора целевых зон Azure Spring Apps

  • Статья

В этой статье описываются вопросы проектирования и рекомендации для сети, в которой размещается рабочая нагрузка Spring Boot. Целевая структура зависит от требований рабочей нагрузки, а также от требований к безопасности и соответствию требованиям вашей организации.

Централизованная команда платформы и группа приложений разделяют ответственность за область проектирования сетей. Команда платформы выбирает сетевую топологию, которая может быть традиционной звездообразной моделью или Виртуальная глобальная сеть топологией сети (под управлением Майкрософт). Команда приложений отвечает за выбор проектирования периферийной сети. Ожидается, что рабочая нагрузка будет иметь зависимости от общих служб, которыми управляет платформа. Команда приложений должна понимать последствия этих зависимостей и сообщать о своих требованиях, чтобы были выполнены общие цели рабочей нагрузки.

Дополнительные сведения о структуре платформы см. в статье Топология сети и подключение.

Следуйте этим рекомендациям и рекомендациям по проектированию в качестве рекомендаций для элементов управления подсетями, входящего и исходящего трафика.

Рекомендации по проектированию

  • Изоляция. Центральная команда может предоставить команде приложений виртуальную сеть для выполнения рабочих нагрузок. Если рабочая нагрузка Spring Boot отделяет проблемы от других рабочих нагрузок, рассмотрите возможность подготовки собственной виртуальной сети для среды выполнения службы приложений Spring и приложения.

  • Подсеть. Учитывайте масштабируемость приложения при выборе размера подсети и количества приложений.

    Если вы используете существующие подсети или используете собственные таблицы маршрутов, у вас есть политики, которые гарантируют, что правила, добавленные Azure Spring Apps, не обновляются и не удаляются.

    Еще один аспект — безопасность. Рассмотрим правила, которые разрешают или запрещают трафик в подсеть.

  • Исходящий трафик. Трафик, поступающий из виртуальной сети, должен направляться через Брандмауэр Azure или сетевой виртуальный (модуль) (NVA).

    Рассмотрите ограничения встроенной подсистемы балансировки нагрузки, предоставляемой Azure Spring Apps. В зависимости от ваших требований может потребоваться настроить пути исходящего трафика с помощью определяемой пользователем маршрутизации (UDR), например для маршрутизации всего трафика через NVA.

  • Входящий (входящий) трафик. Рассмотрите возможность использования обратного прокси-сервера для трафика, который будет отправляться в Azure Spring Apps. В зависимости от требований выберите собственные параметры, такие как Шлюз приложений Azure и Front Door, или региональные службы, такие как Управление API (APIM). Если эти варианты не соответствуют требованиям рабочей нагрузки, можно рассмотреть службы, не относящиеся к Azure.

Рекомендации по проектированию

Эти рекомендации содержат рекомендации по предыдущему набору рекомендаций.

Виртуальные сети и подсети

  • Для Azure Spring Apps требуется разрешение владельца виртуальной сети. Эта роль необходима для предоставления выделенного и динамического субъекта-службы для развертывания и обслуживания. Дополнительные сведения см. в статье Развертывание Azure Spring Apps в виртуальной сети.

  • Azure Spring Apps, развернутая в частной сети, предоставляет полное доменное имя (FQDN), доступное только в частной сети. Создайте частную зону DNS Azure для IP-адреса приложения Spring. Свяжите частный DNS-сервер с виртуальной сетью, назначив частное полное доменное имя в Azure Spring Apps. Пошаговые инструкции см. в статье Доступ к приложению в частной сети.

  • Для Azure Spring Apps требуется две выделенные подсети. Одна подсеть имеет среду выполнения службы, а другая — для приложений Spring Boot.

    Минимальный размер блока CIDR каждой из этих подсетей составляет /28. Для подсети среды выполнения и подсети приложения требуется минимальное адресное пространство /28. Но количество приложений Spring, которые можно развернуть, влияет на размер подсети. Сведения о максимальном размере экземпляров приложений по диапазону подсети см. в статье Использование небольших диапазонов подсети.

  • Если вы используете Шлюз приложений Azure в качестве обратного прокси-сервера перед Azure Spring Apps, вам потребуется другая подсеть для этого экземпляра. Дополнительные сведения см. в статье Использование Шлюз приложений в качестве обратного прокси-сервера.

  • Используйте группы безопасности сети (NSG) в подсетях, чтобы фильтровать трафик с востока на запад, чтобы ограничить трафик в подсети среды выполнения службы.

  • Группы ресурсов и подсети, которыми управляет развертывание Azure Spring Apps, не должны изменяться.

Исходящий трафик

  • По умолчанию в Azure Spring Apps есть неограниченный исходящий доступ к Интернету. Используйте NVA, например Брандмауэр Azure, для фильтрации трафика с севера на юг. Воспользуйтесь преимуществами Брандмауэр Azure в централизованной сети концентратора, чтобы сократить затраты на управление.

    Примечание

    Для поддержки экземпляров службы требуется исходящий трафик к компонентам Azure Spring. Сведения о конкретных конечных точках и портах см. в статье Требования к сети Azure Spring Apps.

  • Azure Spring Apps предоставляет тип исходящего трафика, определяемый пользователем (UDR), чтобы полностью контролировать путь исходящего трафика. OutboundType должен быть определен при создании нового экземпляра службы Azure Spring Apps. После этого его нельзя обновить. OutboundType можно настроить только с помощью виртуальной сети. Дополнительные сведения см. в статье Настройка исходящего трафика Azure Spring Apps с помощью определяемого пользователем маршрута.

  • Приложение должно взаимодействовать с другими службами Azure в решении. Используйте Приватный канал Azure для поддерживаемых служб, если приложениям требуется частное подключение.

Входящий трафик

  • Используйте обратный прокси-сервер, чтобы запретить злоумышленникам обойти брандмауэр веб-приложения (WAF) или обойти ограничения регулирования. рекомендуется Шлюз приложений Azure с интегрированным WAF.

    Если вы используете уровень "Корпоративный", используйте назначенную конечную точку приложения шлюза Spring Cloud в качестве серверного пула Шлюз приложений. Эта конечная точка разрешается в частный IP-адрес в подсети среды выполнения службы Azure Spring Apps.

    Добавьте группу безопасности сети в подсеть среды выполнения службы, которая разрешает трафик только из подсети Шлюз приложений, подсети Azure Spring Apps и Azure Load Balancer.

    Примечание

    Вы можете выбрать альтернативу для обратного прокси-сервера, например Azure Front Door или службы, не относящиеся к Azure. Сведения о параметрах конфигурации см. в статье Предоставление Azure Spring Apps через обратный прокси-сервер.

  • Azure Spring Apps можно развернуть в виртуальной сети с помощью внедрения виртуальной сети или за ее пределами. Дополнительные сведения см. в разделе Сводка по конфигурации.

Дальнейшие действия

Вопросы безопасности для акселератора целевых зон Azure Spring Apps