Share via

Görev açısından kritik iş yükleri için ağ ve bağlantı

  • Makale

Görev açısından kritik başvuru mimarisindeki kaynakların bölgesel olarak dağıtılması için sağlam bir ağ altyapısı gerekir.

Azure hizmetlerinin yüksek oranda kullanılabilir bir uygulama sağlamak için bir araya geldiği genel olarak dağıtılmış bir tasarım önerilir. Bölgesel damga pullarıyla birlikte küresel yük dengeleyici, güvenilir bağlantı yoluyla bu garantiyi sağlar.

Bölgesel damga pulları mimarideki dağıtılabilir birimdir. Hızlı bir şekilde yeni bir damga pulu dağıtma özelliği ölçeklenebilirlik sağlar ve yüksek kullanılabilirliği destekler. Damga pulları yalıtılmış bir sanal ağ tasarımını izler. Çapraz damgalı trafik önerilmez. Sanal ağ eşlemeleri veya diğer damgalara VPN bağlantıları gerekli değildir.

Mimari, bölgesel damga pullarının kısa ömürlü olarak tanımlanmasında kasıtlı olarak tasarlanmıştır. Altyapının genel durumu genel kaynaklarda depolanır.

Trafiği iyi durumdaki damgalara yönlendirmek ve güvenlik hizmetleri sağlamak için genel bir yük dengeleyici gereklidir. Belirli özelliklere sahip olmalıdır.

  • Yük dengeleyicinin trafiği yönlendirmeden önce kaynağın durumunu denetleyebilmesi için sistem durumu yoklaması gereklidir.

  • Ağırlıklı trafik dağıtımı.

İsteğe bağlı olarak, kenarda önbelleğe alma gerçekleştirebilmelidir. Ayrıca, web uygulaması güvenlik duvarı (WAF) kullanarak giriş için güvenlik güvencesi sağlayın.

Başvuru mimarisi için ağ diyagramı.

Bu mimarinin bir Visio dosyasını indirin.

Trafik girişi

Mimaride tanımlanan uygulama İnternet'e yöneliktir ve çeşitli gereksinimlere sahiptir:

  • Genel olan ve trafiği bağımsız bölgesel damga pulları arasında dağıtabilen bir yönlendirme çözümü.

  • Sistem durumu denetiminde düşük gecikme süresi ve iyi durumda olmayan damgalara trafik göndermeyi durdurma özelliği.

  • Uçta kötü amaçlı saldırıları önleme.

  • Uçta önbelleğe alma yetenekleri sağlayın.

Tasarımdaki tüm trafik için giriş noktası Azure Front Door üzerindendir. Front Door, HTTP(S) trafiğini kayıtlı arka uçlara/çıkış noktalarına yönlendiren genel bir yük dengeleyicidir. Front Door, her arka uçta/kaynakta bir URI'ye istek veren sistem durumu yoklamalarını kullanır. Başvuru uygulamasında çağrılan URI bir sistem durumu hizmetidir. Sistem sağlığı hizmeti damganın durumunu tanıtıyor. Front Door, tek bir damga pulu durumunu belirlemek ve trafiği uygulama isteklerine hizmet verebilen iyi durumdaki damga damgalarına yönlendirmek için yanıtı kullanır.

Azure Front Door ile Azure İzleyici tümleştirmesi, trafik, güvenlik, başarı ve hata ölçümleri ve uyarılarda neredeyse gerçek zamanlı izleme sağlar.

Azure Front Door ile tümleştirilmiş Azure Web Uygulaması Güvenlik Duvarı, ağa girmeden önce uçta saldırıları önlemek için kullanılır.

Başvuru mimarisi için ağ girişi diyagramı.

Yalıtılmış sanal ağ - API

Mimarideki API, trafik yalıtım sınırı olarak Azure Sanal Ağları'nı kullanır. Bir sanal ağdaki bileşenler başka bir sanal ağdaki bileşenlerle doğrudan iletişim kuramaz.

Uygulama platformuna yönelik istekler standart bir SKU dış Azure Load Balancer ile dağıtılır. Yük dengeleyiciye ulaşan trafiğin Azure Front Door üzerinden yönlendirildiğinden emin olmak için bir denetim yapılır. Bu denetim, tüm trafiğin Azure WAF tarafından denetlenmesini sağlar.

Mimarinin işlemleri ve dağıtımı için kullanılan derleme aracılarının yalıtılmış ağa ulaşabilmesi gerekir. Yalıtılmış ağ, aracıların iletişim kurmasına izin vermek için açılabilir. Alternatif olarak, şirket içinde barındırılan aracılar sanal ağda dağıtılabilir.

Ağ aktarım hızının izlenmesi, tek tek bileşenlerin performansı ve uygulamanın sistem durumu gereklidir.

Uygulama platformu iletişim bağımlılığı

Altyapıdaki tek tek damgalarla kullanılan uygulama platformu aşağıdaki iletişim gereksinimlerine sahiptir:

  • Uygulama platformunun Microsoft PaaS hizmetleriyle güvenli bir şekilde iletişim kurabilmesi gerekir.

  • Uygulama platformunun gerektiğinde diğer hizmetlerle güvenli bir şekilde iletişim kurabilmesi gerekir.

Tanımlandığı gibi mimari, bağlantı dizeleri ve API anahtarları gibi gizli dizileri depolamak ve İnternet üzerinden Azure PaaS hizmetlerine güvenli bir şekilde iletişim kurmak için Azure Key Vault kullanır. Bu iletişim için uygulama platformunu İnternet üzerinden kullanıma sunarken olası riskler vardır. Gizli diziler tehlikeye girebilir ve genel uç noktaların güvenliği ve izlenmesi önerilir.

Uygulama platformu iletişim bağımlılıklarının diyagramı.

Genişletilmiş ağ konusunda dikkat edilmesi gerekenler

Bu bölümde ağ tasarımına yönelik alternatif yaklaşımların avantajları ve dezavantajları ele alınmaktadır. Aşağıdaki bölümlerde, ağ konusunda dikkat edilmesi gereken diğer noktalar ve Azure Özel uç noktalarının kullanımı ele alınmaktadır.

Alt ağlar ve NSG

Sanal ağların içindeki alt ağlar, tasarımın içindeki trafiği segmentlere ayırmak için kullanılabilir. Alt ağ yalıtımı, farklı işlevler için kaynakları ayırır.

Ağ güvenlik grupları, her alt ağ içinde ve dışında izin verilen trafiği denetlemek için kullanılabilir. NSG'ler içinde kullanılan kurallar, alt ağa istenmeyen trafiği engellemek için IP, bağlantı noktası ve protokol temelinde trafiği sınırlandırmak için kullanılabilir.

Özel uç noktalar - Giriş

Front Door'un premium SKU'su Azure Özel Uç Noktalarının kullanımını destekler. Özel uç noktalar, bir Azure hizmetini sanal ağdaki özel bir IP adresinde kullanıma sunar. Trafiği genel uç noktalara yönlendirmeye gerek kalmadan hizmetler arasında güvenli ve özel bağlantılar yapılır.

Azure Front Door premium ve Azure Özel Uç Noktaları, tek tek damgalarda tam özel işlem kümelerini etkinleştirir. Tüm Azure PaaS hizmetleri için trafik tamamen kilitlenir.

Özel uç noktaların kullanılması tasarımın güvenliğini artırır. Ancak, başka bir hata noktasına neden olur. Uygulama damgalarında kullanıma sunulan genel uç noktalar artık gerekli değildir ve artık erişilebilir ve olası bir DDoS saldırısına maruz kalmaz.

Artan güvenlik, artan güvenilirlik eforu, maliyeti ve karmaşıklığıyla karşı karşıya olmalıdır.

Damga pulu dağıtımı için şirket içinde barındırılan derleme aracıları kullanılmalıdır. Bu aracıların yönetimi bir bakım yüküyle birlikte gelir.

Özel uç noktalarla başvuru mimarisi için ağ girişi diyagramı.

Özel uç noktalar - Uygulama platformu

Özel uç noktalar, bu tasarımda kullanılan tüm Azure PaaS hizmetleri için desteklenir. Uygulama platformu için özel uç noktalar yapılandırıldığında, tüm iletişim damga pulu sanal ağı üzerinden ilerler.

Tek tek Azure PaaS hizmetlerinin genel uç noktaları genel erişime izin verilmeyen şekilde yapılandırılabilir. Bu, kaynakları, güvenilirlik ve kullanılabilirliği etkileyen kapalı kalma süresine ve azaltmaya neden olabilecek genel saldırılardan yalıtır.

Şirket içinde barındırılan derleme aracıları, yukarıdaki gibi damga dağıtımı için kullanılmalıdır. Bu aracıların yönetimi bir bakım yüküyle birlikte gelir.

Özel uç noktalarla uygulama platformu iletişim bağımlılıklarının diyagramı.

Sonraki adımlar

Bu mimaride kullanılan kaynakları ve yapılandırmalarını tam olarak anlamak için başvuru uygulamasını dağıtın.

Uygulama: Mission-Critical Online