Aracılığıyla paylaş

Azure Spring Apps giriş bölgesi hızlandırıcısı için ağ topolojisi ve bağlantı

  • Makale

Bu makalede Spring Boot iş yükünün yerleştirildiği ağ için tasarımla ilgili önemli noktalar ve öneriler açıklanmaktadır. Hedef tasarımınız iş yükünün gereksinimlerine ve kuruluşunuzun güvenlik ve uyumluluk gereksinimlerine bağlıdır.

Merkezi platform ekibi ve uygulama ekibi, ağ tasarım alanının sorumluluğunu paylaşır. Platform ekibi, geleneksel merkez-uç modeli veya Sanal WAN ağ topolojisi (Microsoft tarafından yönetilen) olabilecek ağ topolojisini seçer. Uygulama ekibi uç ağının tasarım seçimlerinden sorumludur. İş yükünün platformun yönettiği paylaşılan hizmetlere bağımlılıkları olması beklenir. Uygulama ekibinin bu bağımlılıkların etkilerini anlaması ve iş yükünün genel hedeflerine ulaşmak için gereksinimlerini iletmesi gerekir.

Platform tasarımı hakkında daha fazla bilgi için bkz . Ağ topolojisi ve bağlantı.

Alt ağ oluşturma, giriş ve çıkış denetimleri için en iyi yöntemler olarak bu tasarım konularını ve önerilerini izleyin.

Tasarım konusunda dikkat edilmesi gerekenler

  • Yalıtım. Merkezi ekip, uygulama ekibinin iş yüklerini çalıştırması için bir sanal ağ sağlayabilir. Spring Boot iş yükünde diğer iş yüklerinden endişeler ayrımı varsa, Spring App service çalışma zamanı ve uygulama için kendi sanal ağınızı sağlamayı göz önünde bulundurun.

  • Alt ağ oluşturma. Alt ağın boyutunu ve uygulama sayısını seçtiğinizde uygulamanın ölçeklenebilirliğini göz önünde bulundurun.

    Mevcut alt ağları kullanıyorsanız veya kendi yol tablolarınızı getiriyorsanız, Azure Spring Apps tarafından eklenen kuralların güncelleştirilmediğini veya silinmediğinden emin olmak için ilkeleriniz vardır.

    Bir diğer yönü de güvenliktir. Alt ağa gelen trafiğe izin veren veya trafiği reddeden kuralları göz önünde bulundurun.

  • Çıkış (giden) trafiği. Sanal ağdan giden trafik Azure Güvenlik Duvarı veya ağ sanal gereci (NVA) üzerinden yönlendirilmelidir.

    Azure Spring Apps tarafından sağlanan yerleşik yük dengeleyicinin sınırlamalarını göz önünde bulundurun. Gereksinimlerinize bağlı olarak, örneğin tüm trafiği bir NVA üzerinden yönlendirmek için kullanıcı tanımlı yönlendirmeyi (UDR) kullanarak çıkış yollarını özelleştirmeniz gerekebilir.

  • Giriş (gelen) trafiği. Azure Spring Apps'e giden trafik için ters ara sunucu kullanmayı göz önünde bulundurun. Gereksinimlerinize bağlı olarak, Azure Application Gateway ve Front Door gibi yerel seçenekleri veya API Management (APIM) gibi bölgesel hizmetleri seçin. Bu seçenekler iş yükünün gereksinimlerini karşılamıyorsa Azure dışı hizmetler göz önünde bulundurulabilir.

Tasarım önerileri

Bu öneriler, önceki dikkat edilmesi gerekenler kümesi için açıklayıcı rehberlik sağlar.

Sanal ağ ve alt ağlar

  • Azure Spring Apps sanal ağınızda sahip izni gerektirir. Bu rol, dağıtım ve bakım için ayrılmış ve dinamik bir hizmet sorumlusu vermek için gereklidir. Daha fazla bilgi için bkz. Azure Spring Apps'i sanal ağda dağıtma.

  • Özel bir ağda dağıtılan Azure Spring Apps, yalnızca özel ağ içinde erişilebilen tam etki alanı adı (FQDN) sağlar. Spring uygulamanızın IP adresi için bir Azure özel DNS bölgesi oluşturun. Azure Spring Apps içinde özel bir FQDN atayarak özel DNS'yi sanal ağınıza bağlayın. Adım adım yönergeler için bkz. Özel ağda uygulamanıza erişme.

  • Azure Spring Apps için iki ayrılmış alt ağ gerekir. Bir alt ağ hizmet çalışma zamanına, diğer alt ağ ise Spring Boot uygulamalarına yöneliktir.

    Bu alt ağların her birinin en düşük CIDR blok boyutu /28'dir. Çalışma zamanı alt ağı ve uygulama alt ağı en az /28 adres alanına ihtiyaç duyar. Ancak dağıtabileceğiniz Spring uygulamalarının sayısı alt ağın boyutunu etkiler. Alt ağ aralığına göre en fazla uygulama örneği hakkında bilgi için bkz. Daha küçük alt ağ aralıkları kullanma.

  • Azure Spring Apps'in önünde ters ara sunucu olarak Azure Application Gateway kullanıyorsanız, bu örnek için başka bir alt ağa ihtiyacınız vardır. Daha fazla bilgi için bkz. Ters proxy olarak Application Gateway kullanma.

  • Hizmet çalışma zamanı alt ağınızla trafiği kısıtlamak üzere doğu-batı trafiğini filtrelemek için alt ağlarda Ağ Güvenlik Grupları'nı (NSG) kullanın.

  • Azure Spring Apps dağıtımının yönettiği kaynak grupları ve alt ağlar değiştirilmemelidir.

Çıkış trafiği

  • Varsayılan olarak, Azure Spring Apps sınırsız giden İnternet erişimine sahiptir. Kuzey-güney trafiğini filtrelemek için Azure Güvenlik Duvarı gibi bir NVA kullanın. Yönetim yükünü azaltmak için merkezi merkez ağındaki Azure Güvenlik Duvarı yararlanın.

    Not

    Hizmet örneklerini desteklemek için Azure Spring bileşenlerine çıkış trafiği gereklidir. Belirli uç noktalar ve bağlantı noktaları hakkında bilgi için bkz. Azure Spring Apps ağ gereksinimleri.

  • Azure Spring Apps, çıkış trafik yolunu tam olarak denetlemek için kullanıcı tanımlı bir yol (UDR) giden türü sağlar. OutboundType yeni bir Azure Spring Apps hizmet örneği oluşturulduğunda tanımlanmalıdır. Daha sonra güncelleştirilemez. OutboundType yalnızca bir sanal ağ ile yapılandırılabilir. Daha fazla bilgi için bkz. Azure Spring Apps çıkışını kullanıcı tanımlı bir yol ile özelleştirme.

  • Uygulamanın çözümdeki diğer Azure hizmetleriyle iletişim kurması gerekir. Uygulamalarınız özel bağlantı gerektiriyorsa desteklenen hizmetler için Azure Özel Bağlantı kullanın.

Giriş trafiği

  • Kötü amaçlı kullanıcıların web uygulaması güvenlik duvarını (WAF) atlamasını veya azaltma sınırlarını aşmasını önlemek için ters ara sunucu kullanın. Tümleşik WAF ile Azure Application Gateway önerilir.

    Kurumsal katmanı kullanıyorsanız Spring Cloud Gateway uygulamasının atanan uç noktasını Application Gateway arka uç havuzu olarak kullanın. Bu uç nokta, Azure Spring Apps hizmet çalışma zamanı alt ağındaki bir özel IP adresine çözümür.

    Hizmet çalışma zamanı alt ağına yalnızca Application Gateway alt ağından, Azure Spring Apps alt ağından ve Azure Load Balancer gelen trafiğe izin veren bir NSG ekleyin.

    Not

    Ters ara sunucu için Azure Front Door veya Azure dışı hizmetler gibi bir alternatif seçebilirsiniz. Yapılandırma seçenekleri hakkında bilgi için bkz. Azure Spring Apps'i ters ara sunucu aracılığıyla kullanıma sunma.

  • Azure Spring Apps, sanal ağ ekleme yoluyla veya ağ dışında bir sanal ağda dağıtılabilir. Daha fazla bilgi için bkz . Yapılandırma özeti.

Sonraki adımlar

Azure Spring Apps giriş bölgesi hızlandırıcısı için güvenlikle ilgili dikkat edilmesi gerekenler