Dela via

Nätverkstopologi och anslutning för Azure Spring Apps-acceleratorn för landningszoner

  • Artikel

Den här artikeln beskriver designöverväganden och rekommendationer för nätverket där Spring Boot-arbetsbelastningen placeras. Måldesignen beror på kraven för arbetsbelastningen och organisationens krav på säkerhet och efterlevnad.

Det centraliserade plattformsteamet och programteamet delar ansvaret för nätverksdesignområdet. Plattformsteamet väljer nätverkstopologin, som kan vara en traditionell hub-spoke-modell eller Virtual WAN nätverkstopologi (Microsoft-hanterad). Programteamet ansvarar för designvalen för ekernätverket. Arbetsbelastningen förväntas ha beroenden för delade tjänster som plattformen hanterar. Programteamet måste förstå konsekvenserna av dessa beroenden och kommunicera sina krav så att de övergripande målen för arbetsbelastningen uppfylls.

Mer information om plattformsdesign finns i Nätverkstopologi och anslutning.

Följ dessa designöverväganden och rekommendationer som metodtips för kontroller för underanpassning, ingress och utgående.

Designöverväganden

  • Isolering. Det centrala teamet kan tillhandahålla ett virtuellt nätverk där programteamet kan köra sina arbetsbelastningar. Om Spring Boot-arbetsbelastningen skiljer sig från andra arbetsbelastningar bör du överväga att etablera ett eget virtuellt nätverk för Spring App-tjänstens körning och programmet.

  • Subnetting. Överväg programmets skalbarhet när du väljer storleken på undernätet och antalet program.

    Om du använder befintliga undernät eller tar med dina egna routningstabeller ska du ha principer för att säkerställa att regler som läggs till av Azure Spring Apps inte uppdateras eller tas bort.

    En annan aspekt är säkerhet. Överväg regler som tillåter eller nekar trafik till undernätet.

  • Utgående (utgående) trafik. Trafik som går från det virtuella nätverket måste dirigeras via Azure Firewall eller virtuell nätverksinstallation (NVA).

    Överväg begränsningarna för den inbyggda lastbalanseraren som tillhandahålls av Azure Spring Apps. Baserat på dina krav kan du behöva anpassa utgående sökvägar med hjälp av användardefinierad routning (UDR), till exempel för att dirigera all trafik via en NVA.

  • Inkommande (inkommande) trafik. Överväg att använda en omvänd proxy för trafik som går till Azure Spring Apps. Baserat på dina krav väljer du interna alternativ, till exempel Azure Application Gateway och Front Door, eller regionala tjänster, till exempel API Management (APIM). Om dessa alternativ inte uppfyller arbetsbelastningens behov kan tjänster som inte är Azure-tjänster övervägas.

Designrekommendationer

Dessa rekommendationer ger normativ vägledning för den föregående uppsättningen överväganden.

Virtuellt nätverk och undernät

  • Azure Spring Apps kräver ägarbehörighet till ditt virtuella nätverk. Den här rollen krävs för att bevilja ett dedikerat och dynamiskt tjänsthuvudnamn för distribution och underhåll. Mer information finns i Distribuera Azure Spring Apps i ett virtuellt nätverk.

  • Azure Spring Apps som distribueras i ett privat nätverk tillhandahåller ett fullständigt kvalificerat domännamn (FQDN) som endast är tillgängligt i det privata nätverket. Skapa en privat DNS-zon i Azure för IP-adressen för din Spring-app. Länka den privata DNS:n till ditt virtuella nätverk genom att tilldela ett privat FQDN i Azure Spring Apps. Stegvisa instruktioner finns i Komma åt ditt program i ett privat nätverk.

  • Azure Spring Apps kräver två dedikerade undernät. Ett undernät har tjänstkörningen och det andra undernätet är för Spring Boot-programmen.

    Den minsta CIDR-blockstorleken för vart och ett av dessa undernät är /28. Körningsundernätet och programundernätet behöver ett minsta adressutrymme på /28. Men antalet Spring-appar som du kan distribuera påverkar undernätets storlek. Information om maximalt antal appinstanser efter undernätsintervall finns i Använda mindre undernätsintervall.

  • Om du använder Azure Application Gateway som omvänd proxy framför Azure Spring Apps behöver du ett annat undernät för den instansen. Mer information finns i Använda Application Gateway som omvänd proxy.

  • Använd Nätverkssäkerhetsgrupper (NSG:er) i undernät för att filtrera trafik mellan öst och väst för att begränsa trafiken till tjänstkörningsundernätet.

  • Resursgrupper och undernät som hanteras av Azure Spring Apps-distributionen får inte ändras.

Utgående trafik

  • Som standard har Azure Spring Apps obegränsad utgående internetåtkomst. Använd en NVA, till exempel Azure Firewall för att filtrera nord-syd-trafik. Dra nytta av Azure Firewall i det centraliserade hubbnätverket för att minska hanteringskostnaderna.

    Anteckning

    Utgående trafik till Azure Spring-komponenter krävs för att stödja tjänstinstanserna. Information om specifika slutpunkter och portar finns i Nätverkskrav för Azure Spring Apps.

  • Azure Spring Apps tillhandahåller en användardefinierad utgående vägtyp (UDR) för att helt styra utgående trafiksökväg. OutboundType definieras när en ny Azure Spring Apps-tjänstinstans skapas. Det går inte att uppdatera den efteråt. OutboundType kan endast konfigureras med ett virtuellt nätverk. Mer information finns i Anpassa Azure Spring Apps-utgående med en användardefinierad väg.

  • Programmet måste kommunicera med andra Azure-tjänster i lösningen. Använd Azure Private Link för tjänster som stöds om dina program kräver privat anslutning.

Inkommande trafik

  • Använd en omvänd proxy för att säkerställa att skadliga användare hindras från att kringgå brandväggen för webbprogram (WAF) eller kringgå begränsningar. Azure Application Gateway med integrerad WAF rekommenderas.

    Om du använder Enterprise-nivån använder du den tilldelade slutpunkten för Spring Cloud Gateway-appen som serverdelspool för Application Gateway. Den här slutpunkten matchar en privat IP-adress i Azure Spring Apps-tjänstens runtime-undernät.

    Lägg till en NSG i tjänstkörningsundernätet som endast tillåter trafik från Application Gateway undernät, Azure Spring Apps-undernät och Azure Load Balancer.

    Anteckning

    Du kan välja ett alternativ för omvänd proxy, till exempel Azure Front Door eller tjänster som inte är Azure. Information om konfigurationsalternativ finns i Exponera Azure Spring Apps via en omvänd proxy.

  • Azure Spring Apps kan distribueras i ett virtuellt nätverk via VNet-inmatning eller utanför nätverket. Mer information finns i Konfigurationssammanfattning.

Nästa steg

Säkerhetsöverväganden för Azure Spring Apps-acceleratorn för landningszoner