通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

应用服务登陆区域加速器的网络拓扑和连接注意事项

本文提供有关使用 Azure 应用服务登陆区域加速器时可以应用的网络拓扑和连接的设计注意事项和建议。 网络是登陆区域中几乎所有功能的核心。

此体系结构的网络拓扑和连接注意事项取决于托管的工作负荷的要求以及组织的安全性和符合性要求。

设计注意事项

在 Azure 上部署应用服务解决方案时,需要仔细考虑网络要求,以确保应用程序正常运行。 规划部署时需要考虑几个关键因素:

  • 确定应用程序的网络要求。

    • 传入流量。 如果你的应用提供基于 Web 的服务(如网站或 API),它可能需要能够接收来自 Internet 的传入流量。 若要确保应用可以接受传入连接,需要将其配置为侦听相应的端口。
    • 访问其他 Azure 资源。 应用可能需要能够使用其专用终结点访问 Azure 上的资源,例如存储帐户或数据库。 这些资源可能位于 Azure 虚拟网络或其他 Azure 服务中。
    • SSL/TLS。 若要帮助保护应用与其用户之间的通信,需要启用 SSL/TLS 加密。 这样做可确保对应用与其用户之间的流量进行加密,这有助于防止第三方截获敏感信息。
    • IP 限制。 根据要求,可能需要允许或阻止从特定 IP 地址或范围访问应用。 这样做可以提供改进的安全性,并限制对特定用户或位置的应用的访问。

  • 选择应用服务计划层。 使用应用程序的网络要求来确定应用服务计划的相应层。 最好查看各种应用服务计划层及其功能,以确定哪种层最适合你的需求。

应用服务多租户服务

  • 应用服务多租户解决方案与单个部署单元中的其他应用服务资源共享单个入站 IP 地址和多个出站 IP 地址。 出于 各种原因,这些 IP 地址可能会更改。 如果需要多租户应用服务解决方案的一致出站 IP 地址,可以配置 NAT 网关 或使用 虚拟网络集成

  • 如果需要为应用服务方案分配专用 IP 地址,可以使用应用分配的地址,或通过将应用服务实例置于拥有静态 IP 地址的应用程序网关前,以及通过应用服务平台使用基于 IP 的 SSL 证书为您的应用分配专用 IP 地址。

  • 需要从应用服务解决方案连接到本地、专用或 IP 受限服务时,请考虑:

    • 在多租户应用服务部署中,应用服务调用可能源自各种 IP 地址。 可能需要 虚拟网络集成
    • 可以使用 API 管理和 应用程序网关等服务在网络边界之间代理调用。 如果需要,这些服务可以提供静态 IP 地址。

  • 可以将专用终结点或公共终结点用于多租户应用服务部署。 使用专用终结点时,不需公开应用服务解决方案。 如果需要通过 Internet 访问应用服务解决方案的专用终结点,请考虑使用应用程序网关公开应用服务解决方案。

  • 多租户应用服务部署公开 一组端口。 在多租户应用服务部署中,无法阻止或控制对这些端口的访问。

  • 正确规划子网以便进行出站虚拟网络集成,并考虑所需的 IP 地址数。 虚拟网络集成取决于专用子网。 预配 Azure 子网时,Azure 会保留五个 IP。 每个应用服务计划实例的集成子网使用一个 IP 地址。 当你将应用程序扩展为四个实例时,例如,使用了四个 IP 地址。 进行扩展或缩减时,所需的地址空间会在短时间内增加一倍。 对于指定的子网大小,这会影响其可用的受支持实例。

  • 由于分配后无法更改子网的大小,因此需要使用足够大的子网来容纳应用可能达到的规模。 为了避免子网容量出现任何问题,请使用带 64 个地址的 /26 进行虚拟网络集成。

  • 如果要连接到多租户应用服务解决方案,并且需要专用出站地址,请使用 NAT 网关

应用服务环境(单租户)

  • 确定应用服务环境网络设计:外部或内部负载均衡器。 需要从 Internet 直接访问时,请使用外部部署。 使用内部负载均衡器部署来公开仅从部署应用服务环境的虚拟网络内进行的访问。 后者部署提供另一级别的安全性和对应用的网络访问的控制。
  • 应用服务环境中的应用服务在应用服务环境的生存期内获取用于入站和出站通信的静态专用 IP 地址。
  • 需要从应用服务环境连接到本地、专用或 IP 受限服务时,应用服务环境将在虚拟网络的上下文中运行。
  • 部署应用服务环境时,可以选择子网的大小。 以后无法更改大小。 建议大小为 /24,其中包含 256 个地址,可以处理最大大小的应用服务环境和任何缩放需求。

设计建议

以下最佳做法适用于应用服务的任何部署。

  • 连接到应用服务解决方案:
    • 在应用服务解决方案前面实现 Azure Web 应用程序防火墙 。 使用 Azure Front Door应用程序网关或合作伙伴服务提供基于 OWASP 的保护。 可以将 Azure Front Door 或应用程序网关用于单个区域,也可以同时对多个区域使用。 如果需要区域中的路径路由,请使用应用程序网关。 如果需要多区域负载均衡和 Web 应用程序防火墙,请使用 Azure Front Door。
    • 通过使用应用服务的专用终结点,可以通过基于网络的专用终结点(而不是基于 Internet 的公共终结点)访问应用。 使用专用终结点时,可以将对应用的访问限制为仅对虚拟网络中的用户进行访问,从而为应用提供另一层安全性、降低数据出口成本并提高性能。
    • 使用访问限制来确保只能从有效位置访问应用服务解决方案。 例如,如果多租户应用服务部署托管 API 并且由 API 管理前端,请设置访问限制,以便只能从 API 管理访问应用服务解决方案。
  • 从应用服务解决方案进行连接:
  • 使用 内置工具 排查网络问题。
  • 使用连接池避免 SNAT 端口耗尽 。 重复创建与同一主机和端口的连接可能会导致响应时间缓慢、间歇性 5xx 错误、超时或外部终结点连接问题。
  • 按照应用服务的 Azure 安全基线的 网络安全 部分中概述的建议进行。

应用服务登陆区域加速器的网络拓扑和连接注意事项的目标是提供一个高级模板,以实现可缩放且可复原的环境来部署应用服务。 此模板侧重于网络体系结构和连接,可帮助你快速高效地在 Azure 中设置登陆区域来托管应用服务解决方案。