Partager via

Planifier la livraison d’applications

  • Article

Cette section explore les principales recommandations pour la livraison d’applications internes et externes de manière sécurisée, hautement évolutive et hautement disponible.

Considérations relatives à la conception :

  • Azure Load Balancer (interne et public) offre une haute disponibilité pour la livraison d’applications à un niveau régional.

  • Azure Application Gateway autorise la livraison sécurisée d’applications HTTP/S à un niveau régional.

  • Azure Front Door permet la livraison sécurisée d’applications HTTP/S hautement disponibles dans les régions Azure.

  • Azure Traffic Manager permet la livraison d’applications globales.

Recommandations relatives à la conception :

  • Effectuez une livraison d’application dans les zones d’atterrissage pour des applications internes et externes.

    • Considérez Application Gateway comme un composant d'application et déployez-le dans un réseau virtuel spoke et non comme une ressource partagée dans le hub.
    • Pour interpréter les alertes du pare-feu d’applications web, vous devez généralement avoir une connaissance approfondie de l'application afin de déterminer si les messages qui déclenchent ces alertes sont légitimes.
    • Vous risquez de rencontrer des problèmes de contrôle d'accès en fonction du rôle si vous déployez Application Gateway dans le hub lorsque des équipes gèrent des applications différentes mais utilisent la même instance d'Application Gateway. Chaque équipe a ensuite accès à l’ensemble de la configuration d’Application Gateway.
    • Si vous traitez Application Gateway comme une ressource partagée, vous risquez de dépasser les limites d’Azure Application Gateway.
    • Pour plus d’informations à ce sujet, consultez Réseau Confiance Zéro pour les applications web.

  • Pour une livraison sécurisée d’applications HTTP/S, utilisez le service Application Gateway v2 en veillant à ce que la protection et les stratégies WAF soient activées.

  • Utilisez un appliance virtuelle réseau de partenaire si vous ne pouvez pas utiliser le service Application Gateway v2 pour la sécurité des applications HTTP/S.

  • Déployez Azure Application Gateway v2 ou des appliances virtuelles réseau de partenaires utilisées pour les connexions HTTP/S entrantes à l’intérieur du réseau virtuel de la zone d’atterrissage et avec les applications qu’elles sécurisent.

  • Utilisez un plan de protection DDoS standard pour toutes les adresses IP publiques dans une zone d’atterrissage.

  • Utilisez Azure Front Door avec des stratégies WAF pour livrer et protéger des applications HTTP/S globales qui s’étendent sur des régions Azure.

  • Quand vous utilisez Front Door et Application Gateway pour protéger des applications HTTP/S, utilisez des stratégies WAF dans Front Door. Verrouillez Application Gateway pour recevoir le trafic uniquement de Front Door.

  • Utilisez Traffic Manager pour livrer des applications globales qui couvrent des protocoles autres que HTTP/S.