本節探討以安全、高度可調整且高可用性的方式提供內部面向和外部面向應用程式的重要建議。
設計考慮:
Azure Load Balancer(內部和公用)為區域層級的應用程式傳遞提供高可用性。
Azure 應用程式閘道允許在區域層級安全地傳遞 HTTP/S 應用程式。
Azure Front Door 允許跨 Azure 區域安全地傳遞高可用性 HTTP/S 應用程式。
Azure Traffic Manager 允許全球應用程式的交付,並可與 Azure Front Door 搭配使用以提升韌性。
設計建議:
針對內部面向和外部面向應用程式,在登陸區域內執行應用程式傳遞。
- 將應用程式閘道視為應用程式元件,並將其部署在輪輻虛擬網路中,而不是中樞中的共享資源。
- 若要解譯 Web 應用程式防火牆警示,您通常需要深入瞭解應用程式,以判斷觸發這些警示的訊息是否合法。
- 如果您在中樞部署應用程式閘道時,當小組管理不同的應用程式,但使用相同的應用程式閘道實例時,可能會面臨角色型訪問控制問題。 然後,每個小組都能夠存取整個應用程式閘道組態。
- 如果您將應用程式閘道視為共享資源,可能會超過 Azure 應用程式閘道限制。
- 如需詳細資訊,請參閱 Web 應用程式的零信任網路。
若要安全地傳遞 HTTP/S 應用程式,請使用應用程式閘道 v2,並確定已啟用 WAF 保護和原則。
如果您無法使用應用程式閘道 v2 來取得 HTTP/S 應用程式的安全性,請使用合作夥伴 NVA。
部署用於登陸區域虛擬網路內輸入 HTTP/S 連線的 Azure 應用程式閘道 v2 或合作夥伴 NVA,以及它們所保護的應用程式。
針對登陸區域中的所有公用IP位址,使用 DDoS 標準保護方案。
搭配 WAF 原則使用 Azure Front Door 來傳遞及協助保護跨越 Azure 區域的全域 HTTP/S 應用程式。
在架構中使用 Azure Front Door 時,務必查閱有關關鍵 任務網路應用的全球路由冗餘 指引。
當您使用 Front Door 和應用程式閘道來協助保護 HTTP/S 應用程式時,請在 Front Door 中使用 WAF 原則。 鎖定應用程式閘道,只接收來自 Front Door 的流量。
使用流量管理員傳遞跨越 HTTP/S 以外通訊協定的全域應用程式。