Hybridmolnprogram

10 minuter

Flera av Tailwind Traders program har klientdelskomponenter som körs lokalt i ett perimeternätverk. Elementen i serverdelen ligger i ett skyddat internt nätverk. Ett av Tailwind Traders mål med migreringen till ett hybridmoln är att sluta använda perimeternätverket och använda molnet för offentliga arbetsbelastningar. Av efterlevnadsskäl och som säkerhet för arbetsbelastningarnas ägare måste vissa av programmen finnas kvar fysiskt i Tailwind Traders lokaler snarare än att köras i ett Azure-datacenter.

Tailwind Traders har några andra program som nås via VPN-anslutningar till interna skyddade nätverk i datacentren i Sydney, Melbourne och Auckland. I de här programmen måste användarna vanligtvis autentiseras via den lokala Active Directory-instansen.

I den här lektionen får du lära dig mer om tekniker för att skapa hybridanslutningar. Dessa anslutningar gör det möjligt för Tailwind Traders att underhålla program som användarna kan ansluta till via Azure, även när data eller själva programmet finns på Tailwind Traders-utrustning.

Vad är Azure Relay?

Azure Relay är en tjänst som du kan använda för att på ett säkert sätt exponera arbetsbelastningar som körs i organisationens interna nätverk för det offentliga molnet. Tjänsten exponerar dessa arbetsbelastningar på ett säkert sätt utan att öppna en inkommande port i en brandvägg för perimeternätverket.

Azure Relay stöder följande scenarier mellan lokala tjänster och program som körs i Azure:

Traditionell enkelriktad trafik för begäranden/svar och peer-to-peer-kommunikation
Distribution av händelser i scenarier med publicering och prenumeration
Dubbelriktad och obuffrad socket-kommunikation mellan olika nätverk

Azure Relay har följande funktioner:

Hybridanslutningar. Den här funktionen använder webbsocketar med öppna standarder och kan användas i arkitekturer med flera plattformar. Funktionen har stöd för .NET Core, .NET Framework, JavaScript/Node.js, standardbaserade öppna protokoll och RPC-programmeringsmodeller (fjärrproceduranrop).
WCF-relä. Den här funktionen använder WCF (Windows Communication Foundation) för fjärrproceduranrop (RPC). Många kunder använder den här funktionen för sina WCF-program. Den har även stöd för .NET Framework.

Azure Relay gör det möjligt för Tailwind Traders att publicera vissa program som körs i det interna nätverket till klienter på Internet utan att någon VPN-anslutning behövs. Företaget bör använda Azure Relay i stället för Azure App Service Hybrid-anslutningar när det inte finns någon klientwebbapp som körs i Azure. Azure Relay bör användas i stället för Microsoft Entra-programproxy när programmet inte kräver Microsoft Entra-autentisering.

Vad är hybridanslutningar i App Service?

Funktionen för hybridanslutningar i App Service kan hantera alla programresurser i alla nätverk som kan skicka utgående förfrågningar till Azure via port 443. Du kan till exempel använda hybridanslutningar för att låta en webbapp som körs i Azure använda en SQL Server-databas som körs lokalt. Med hybridanslutningar kan du få åtkomst till en TCP-slutpunkt (Transmission Control Protocol) från en app som körs i Azure.

Hybridanslutningar kan inte bara användas för arbetsbelastningar som körs på Windows Server-plattformar. Du kan konfigurera hybridanslutningar för att få åtkomst till valfri resurs som fungerar som TCP-slutpunkt, oavsett vilket programprotokoll som används. Du kan till exempel konfigurera en hybridanslutning mellan en webbapp som körs i Azure och en MySQL-databas som körs på en lokal virtuell Linux-dator.

Hybridanslutningar använder en reläagent. Du distribuerar reläagenten på en plats där den kan upprätta en anslutning till TCP-slutpunkten i det interna nätverket och upprätta en anslutning till Azure. Den här anslutningen skyddas med TLS 1.2 (Transport Layer Security). SAS-nycklar (signatur för delad åtkomst) används för autentisering och auktorisering.

I bilden nedan ser du en hybridanslutning mellan en webbapp som körs i Azure och en databasslutpunkt som körs lokalt.

Hybridanslutningar har följande funktioner:

Appar som körs i Azure kan komma åt lokala system och tjänster på ett säkert sätt.
Den lokala datorn eller tjänsten behöver inte gå att nå direkt från värdar på internet.
Du behöver inte öppna någon port i brandväggen för att tillåta inkommande åtkomst från Azure till reläagenten. All kommunikation initieras utgående från reläagenten via port 443.

Hybridanslutningar har följande begränsningar:

De kan inte användas för att montera en SMB-resurs i ett lokalt nätverk.
De kan inte använda UDP (User Datagram Protocol).
De kan inte komma åt TCP-baserade tjänster som använder dynamiska portar.
De saknar stöd för LDAP (Lightweight Directory Access Protocol) på grund av beroendet av UDP.
De kan inte användas för domänkopplingar i Active Directory Domain Services.

För Tailwind Traders möjliggör hybridanslutningar pensioneringen av flera program som för närvarande kör sina klientdelar i Tailwind Traders perimeternätverk. De här apparna kan migreras till Azure. Hybridanslutningar kan sedan tillhandahålla en säker anslutning till skyddade nätverk som är värdar för appens serverdelskomponenter.

Vad är Microsoft Entra-programproxy?

Med Microsoft Entra-programproxy kan du ge säker fjärråtkomst till ett webbprogram som körs i en lokal miljö via en extern URL. Du kan konfigurera Programproxy för att tillåta fjärråtkomst och enkel inloggning till SharePoint, Microsoft Teams, IIS-webbprogram och Fjärrskrivbord. Programproxy kan implementeras och ersätta VPN-anslutningar till interna nätverk eller omvända proxyservrar.

Programproxy fungerar med följande program:

Webbprogram som använder integrerad Windows-autentisering
Webbprogram som använder huvud- eller formulärbaserad autentisering
Program som hanteras via Fjärrskrivbordsgateway

Programproxy fungerar så här:

Användaren ansluter till programmet via en offentligt tillgänglig slutpunkt och utför sedan en Microsoft Entra-inloggning.
Efter inloggningen vidarebefordras en token till användarens enhet.
Klientenheten vidarebefordrar token till tjänsten Programproxy, som returnerar användarens huvudnamn (UPN, User Principal Name) och säkerhetsobjektsnamnet (SPN, Security Principal Name) från token. Förfrågningen vidarebefordras sedan till anslutningsappen för Programproxy.
Anslutningsappen för programproxy utför ytterligare autentisering om enkel inloggning är aktiverad.
Anslutningsappen vidarebefordrar förfrågningen till det lokala programmet.
Svaret skickas via anslutningsappen och tjänsten Programproxy till användaren.

Du ser processen i följande bild:

Programproxy bör inte användas med interna nätverk som tillåter direkt anslutning till program.

Tailwind Traders kan använda Microsoft Entra-programproxy för att ge externa användare åtkomst till interna program som använder Active Directory-autentisering.

Tailwind Traders har flera appar med flera nivåer som de planerar att migrera till sitt hybridmoln. Apparna körs för närvarande med webbnivåerna i Tailwind Traders perimeternätverk och databasnivån på virtuella datorer i datacentret i Sydney. Den nya programarkitekturen har webbappar som körs i Azure. Vilken av följande tekniker bör Tailwind Traders använda för att säkerställa kommunikationen mellan webbappnivån i Azure och databasnivån på virtuella datorer i datacentret i Sydney?

Azure Relay

Azure App Service Hybrid Connection

Microsoft Entra-programproxy

Tailwind Traders vill publicera ett program som använder Active Directory Domain Services-konton för autentisering så att det är tillgängligt för värdar på internet. Tailwind Traders konfigurerar Microsoft Entra Connect för att synkronisera de lokala identiteter som används med det här programmet till Microsoft Entra-ID. Vilken av följande hybridtekniker skulle du använda för att publicera programmet till värdar på internet, så att de kan komma åt det med de synkroniserade identiteterna?