Dela via

Nätverkstopologi och anslutningsöverväganden för Acceleratorn för App Service-landningszonen

  • Artikel

Den här artikeln innehåller designöverväganden och rekommendationer för nätverkstopologi och anslutning som du kan använda när du använder Azure App Service-acceleratorn för landningszoner. Nätverk är centralt för nästan allt i en landningszon.

Nätverkstopologin och anslutningsövervägandena för den här arkitekturen beror på kraven för de arbetsbelastningar som hanteras och på organisationens säkerhet och efterlevnadskrav.

Utformningsbeaktanden

När du distribuerar en App Service-lösning i Azure måste du noga överväga nätverkskrav för att säkerställa att programmet fungerar korrekt. Det finns flera viktiga faktorer att tänka på när du planerar en distribution:

  • Fastställa nätverkskraven för ditt program.

    • Inkommande trafik. Om din app tillhandahåller webbaserade tjänster, till exempel en webbplats eller ett API, måste den förmodligen kunna ta emot inkommande trafik från Internet. För att säkerställa att din app kan acceptera inkommande anslutningar måste du konfigurera den så att den lyssnar på lämpliga portar.
    • Åtkomst till andra Azure-resurser. Din app kan behöva komma åt resurser i Azure, till exempel lagringskonton eller databaser, med hjälp av dess privata slutpunkt. Dessa resurser kan finnas i ett virtuellt Azure-nätverk eller andra Azure-tjänster.
    • SSL/TLS. För att skydda kommunikationen mellan din app och dess användare måste du aktivera SSL/TLS-kryptering. Detta säkerställer att trafiken mellan din app och dess användare krypteras, vilket hjälper till att skydda känslig information från att fångas upp av tredje part.
    • IP-begränsningar. Beroende på dina krav kan du behöva tillåta eller blockera åtkomst till din app från specifika IP-adresser eller intervall. Detta kan ge förbättrad säkerhet och begränsa åtkomsten till din app till specifika användare eller platser.

  • Välj en App Service-plannivå. Använd nätverkskraven för ditt program för att fastställa lämplig nivå för din App Service-plan. Det är en bra idé att granska de olika App Service-plannivåerna och deras funktioner för att avgöra vilken som passar bäst för dina behov.

App Service-tjänst för flera klientorganisationer

  • En App Service-lösning för flera klientorganisationer delar en enda inkommande IP-adress och flera utgående IP-adresser med andra App Service-resurser i en enda distributionsenhet. Dessa IP-adresser kan ändras av olika orsaker. Om du behöver konsekventa utgående IP-adresser för en App Service-lösning för flera innehavare kan du konfigurera en NAT-gateway eller använda integrering av virtuella nätverk.

  • Om du behöver en dedikerad IP-adress för din App Service-lösning kan du använda en apptilldelad adress, fronta Din App Service-instans med en programgateway (som tilldelas en statisk IP-adress) eller använda ett IP-baserat SSL-certifikat för att tilldela en dedikerad IP-adress till din app via App Service-plattformen.

  • När du behöver ansluta från en App Service-lösning till lokala, privata eller IP-begränsade tjänster bör du tänka på följande:

    • I en App Service-distribution med flera klientorganisationer kan ett App Service-anrop komma från ett stort antal IP-adresser. Du kan behöva integrering av virtuella nätverk.
    • Du kan använda tjänster som API Management och Application Gateway för proxyanrop mellan nätverksgränser. Dessa tjänster kan tillhandahålla en statisk IP-adress om du behöver en.

  • Du kan använda en privat eller en offentlig slutpunkt för en App Service-distribution med flera klientorganisationer. När du använder en privat slutpunkt elimineras offentlig exponering för App Service-lösningen. Om du behöver den privata slutpunkten för App Service-lösningen för att vara tillgänglig via Internet kan du överväga att använda Application Gateway för att exponera App Service-lösningen.

  • En App Service-distribution med flera klientorganisationer exponerar en uppsättning portar. Det går inte att blockera eller kontrollera åtkomsten till dessa portar i en App Service-distribution med flera klientorganisationer.

  • Planera dina undernät korrekt för utgående integrering av virtuella nätverk och ta hänsyn till antalet IP-adresser som krävs. Integrering av virtuella nätverk är beroende av ett dedikerat undernät. När du etablerar ett Azure-undernät reserverar Azure fem IP-adresser. En IP-adress används från integrationsundernätet för varje App Service-planinstans. När du skalar din app till fyra instanser används till exempel fyra IP-adresser. När du skalar upp eller ned fördubblas det nödvändiga adressutrymmet under en kort tid. Detta påverkar tillgängliga instanser som stöds för en viss undernätsstorlek.

  • Eftersom du inte kan ändra storleken på ett undernät efter tilldelningen måste du använda ett undernät som är tillräckligt stort för att hantera den skala som appen kan nå. Om du vill undvika problem med undernätskapacitet använder du en /26 med 64 adresser för integrering av virtuella nätverk.

  • Om du ansluter till en App Service-lösning för flera klientorganisationer och du behöver en dedikerad utgående adress använder du en NAT-gateway.

App Service-miljön (enskild klientorganisation)

  • Besluta om en App Service-miljön nätverksdesign: extern eller intern lastbalanserare. Använd en extern distribution när du behöver direkt åtkomst från Internet. Använd en intern distribution av lastbalanserare för att endast exponera åtkomst från det virtuella nätverk där App Service-miljön distribueras. Den senare distributionen ger en annan nivå av säkerhet och kontroll över nätverksåtkomst till apparna.
  • App Services i en App Service-miljön hämtar statiska, dedikerade IP-adresser för inkommande och utgående kommunikation under App Service-miljön livslängd.
  • När du behöver ansluta från en App Service-miljön till lokala, privata eller IP-begränsade tjänster körs App Service-miljön inom ramen för ett virtuellt nätverk.
  • Du väljer storleken på undernätet när du distribuerar en App Service-miljön. Du kan inte ändra storleken vid ett senare tillfälle. Vi rekommenderar en storlek på /24, som har 256 adresser och kan hantera en maximal storlek App Service-miljön och eventuella skalningsbehov.

Designrekommendationer

Följande metodtips gäller för all distribution av App Service.

  • Anslut till en App Service-lösning:
    • Implementera en Azure-brandvägg för webbprogram framför din App Service-lösning. Använd Azure Front Door, Application Gateway eller en partnertjänst för att tillhandahålla detta OWASP-baserade skydd. Du kan använda antingen Azure Front Door eller Application Gateway för en enda region eller båda för flera regioner. Om du behöver sökvägsroutning i regionen använder du Application Gateway. Om du behöver belastningsutjämning i flera regioner och brandväggen för webbaserade program använder du Azure Front Door.
    • Genom att använda en privat slutpunkt för App Service kan du komma åt appen via en privat, nätverksbaserad slutpunkt i stället för en offentlig, Internetbaserad slutpunkt. När du använder en privat slutpunkt kan du begränsa åtkomsten till appen till endast användare i ditt virtuella nätverk, vilket ger ytterligare ett säkerhetslager för din app, minskade kostnader för utgående data och bättre prestanda.
    • Använd åtkomstbegränsningar för att säkerställa att App Service-lösningen endast kan nås från giltiga platser. Om till exempel en App Service-distribution med flera klientorganisationer är värd för API:er och frontas av API Management konfigurerar du en åtkomstbegränsning så att App Service-lösningen endast kan nås från API Management.
  • Anslut från en App Service-lösning:
  • Använd de inbyggda verktygen för att felsöka nätverksproblem.
  • Undvik SNAT-portöverbelastning med hjälp av anslutningspooler. Om du upprepade gånger skapar anslutningar till samma värd och port kan det orsaka långsamma svarstider, tillfälliga 5xx-fel, tidsgränser eller anslutningsproblem för externa slutpunkter.
  • Följ rekommendationerna som beskrivs i avsnittet Nätverkssäkerhet i Azure-säkerhetsbaslinjen för App Service.

Målet med nätverkstopologi och anslutningsöverväganden för Acceleratorn för App Service-landningszonen är att tillhandahålla en mall på hög nivå för att implementera en skalbar och elastisk miljö för distribution av App Services. Den här mallen fokuserar på nätverksarkitektur och nätverksanslutning och kan hjälpa dig att snabbt och effektivt konfigurera en landningszon i Azure som värd för App Services-lösningar.