規劃應用程式傳遞

此區段探索重要建議，以透過安全、高調整性和高可用性的方式，傳遞對內和對外應用程式。

設計考量：

• Azure Load Balancer (內部和公用) 為區域等級的應用程式傳遞提供高可用性。

• Azure 應用程式閘道允許在區域等級安全傳遞 HTTP/S 應用程式。

• Azure Front Door 允許跨 Azure 區域安全傳遞高可用性 HTTP/S 應用程式。

• Azure 流量管理員允許傳遞全域應用程式。

設計建議：

• 在對內和對外應用程式的登陸區域內執行應用程式傳遞。

  • 將應用程式閘道視為應用程式元件，並將其部署在輪輻虛擬網路中，而不是中樞的共用資源。
  • 若要解譯Web 應用程式防火牆警示，您通常需要深入瞭解應用程式，以決定觸發這些警示的訊息是否合法。
  • 當您在中樞中部署應用程式閘道時，當小組管理不同的應用程式但使用相同的 應用程式閘道 實例時，可能會面臨角色型存取控制問題。 每個小組接著可以存取整個應用程式閘道設定。
  • 如果將應用程式閘道視為共用資源，您可能會超過 Azure 應用程式閘道限制。
  • 如需詳細資訊，請參閱 Web 應用程式的零信任網路。

• 針對 HTTP/S 應用程式的安全傳遞，請使用應用程式閘道第 2 版，並確定已啟用 WAF 保護和原則。

• 如果您無法使用應用程式閘道第 2 版來取得 HTTP/S 應用程式的安全性，請使用合作夥伴 NVA。

• 在登陸區域虛擬網路內部署用於輸入 HTTP/S 連線的 Azure 應用程式閘道第 2 版或合作夥伴 NVA，以及其所保護的應用程式。

• 針對登陸區域中的所有公用 IP 位址，使用 DDoS 標準保護計劃。

• 使用 Azure Front Door 搭配 WAF 原則，以提供並協助保護橫跨 Azure 區域的全域 HTTP/S 應用程式。

• 當您使用 Front Door 和應用程式閘道來協助保護 HTTP/S 應用程式時，請在 Front Door 中使用 WAF 原則。 鎖定應用程式閘道，只接收來自 Front Door 的流量。

• 使用流量管理員來傳遞橫跨 HTTP/S 以外通訊協定的全域應用程式。