Hybridmolnprogram

  • 10 minuter

Flera av Tailwind Traders program har klientdelskomponenter som körs lokalt i ett perimeternätverk. Elementen i serverdelen ligger i ett skyddat internt nätverk. Ett av Tailwind Traders mål med migreringen till ett hybridmoln är att sluta använda perimeternätverket och använda molnet för offentliga arbetsbelastningar. Av efterlevnadsskäl och som säkerhet för arbetsbelastningarnas ägare måste vissa av programmen finnas kvar fysiskt i Tailwind Traders lokaler snarare än att köras i ett Azure-datacenter.

Tailwind Traders har några andra program som nås via VPN-anslutningar till interna skyddade nätverk i datacentren i Sydney, Melbourne och Auckland. I de här programmen måste användarna vanligtvis autentiseras via den lokala Active Directory-instansen.

I den här lektionen får du lära dig hur Tailwind Traders kan hantera program som användare ansluter till via Azure, även om data eller själva programmet fortfarande körs på Tailwind Traders utrustning.

Vad är Azure Relay?

Azure Relay är en tjänst som du kan använda för att på ett säkert sätt exponera arbetsbelastningar som körs i organisationens interna nätverk för det offentliga molnet. utan att öppna en inkommande port i brandväggen för ett perimeternätverk.

Azure Relay stöder följande scenarier mellan lokala tjänster och program som körs i Azure:

  • Traditionell enkelriktad trafik för begäranden/svar och peer-to-peer-kommunikation
  • Distribution av händelser i scenarier med publicering och prenumeration
  • Dubbelriktad och obuffrad socket-kommunikation mellan olika nätverk

Azure Relay har följande funktioner:

  • Hybridanslutningar. Den här funktionen använder webbsocketar med öppna standarder och kan användas i arkitekturer med flera plattformar. Funktionen har stöd för .NET Core, .NET Framework, JavaScript/Node.js, standardbaserade öppna protokoll och RPC-programmeringsmodeller (fjärrproceduranrop).
  • WCF-relä. Den här funktionen använder WCF (Windows Communication Foundation) för fjärrproceduranrop (RPC). Många kunder använder den här funktionen för sina WCF-program. Den har även stöd för .NET Framework.

Azure Relay gör det möjligt för Tailwind Traders att publicera vissa program som körs i det interna nätverket till klienter på Internet utan att någon VPN-anslutning behövs. Företaget bör använda Azure Relay snarare än hybridanslutningar i Azure App Service om det inte finns någon klientwebbapp som körs i Azure. Azure Relay bör användas i stället för Microsoft Entra-programproxy när programmet inte kräver Microsoft Entra-autentisering.

Vad är hybridanslutningar i App Service?

Funktionen för hybridanslutningar i App Service kan hantera alla programresurser i alla nätverk som kan skicka utgående förfrågningar till Azure via port 443. Du kan till exempel använda hybridanslutningar för att låta en webbapp som körs i Azure använda en SQL Server-databas som körs lokalt. Med hybridanslutningar kan du få åtkomst till en TCP-slutpunkt (Transmission Control Protocol) från en app som körs i Azure.

Hybridanslutningar kan inte bara användas för arbetsbelastningar som körs på Windows Server-plattformar. Du kan konfigurera hybridanslutningar för att få åtkomst till valfri resurs som fungerar som TCP-slutpunkt, oavsett vilket programprotokoll som används. Du kan till exempel konfigurera en hybridanslutning mellan en webbapp som körs i Azure och en MySQL-databas som körs på en lokal virtuell Linux-dator.

Hybridanslutningar använder en reläagent som du distribuerar på en plats där agenten kan upprätta en anslutning till TCP-slutpunkten i det interna nätverket och dessutom en anslutning till Azure. Den här anslutningen skyddas med TLS 1.2 (Transport Layer Security). SAS-nycklar (signatur för delad åtkomst) används för autentisering och auktorisering.

I bilden nedan ser du en hybridanslutning mellan en webbapp som körs i Azure och en databasslutpunkt som körs lokalt.

Diagram som visar hybridanslutning mellan en webbapp i Azure och en databasslutpunkt lokalt.

Hybridanslutningar har följande funktioner:

  • Appar som körs i Azure kan komma åt lokala system och tjänster på ett säkert sätt.
  • Den lokala datorn eller tjänsten behöver inte gå att nå direkt från värdar på internet.
  • Du behöver inte öppna någon port i brandväggen för att tillåta inkommande åtkomst från Azure till reläagenten. All kommunikation initieras utgående från reläagenten via port 443.

Hybridanslutningar har följande begränsningar:

  • De kan inte användas för att montera en SMB-resurs i ett lokalt nätverk.
  • De kan inte använda UDP (User Datagram Protocol).
  • De kan inte komma åt TCP-baserade tjänster som använder dynamiska portar.
  • De saknar stöd för LDAP (Lightweight Directory Access Protocol) på grund av beroendet av UDP.
  • De kan inte användas för domänkopplingar i Active Directory Domain Services.

Hybridanslutningar gör att Tailwind Traders kan sluta använda flera program vars klientdelar för närvarande körs i Tailwind Traders perimeternätverk. De här apparna kan migreras till Azure. Hybridanslutningar tillhandahåller sedan säker anslutning till de skyddade nätverk där apparnas serverkomponenter körs.

Vad är Microsoft Entra-programproxy?

Med Microsoft Entra-programproxy kan du ge säker fjärråtkomst till ett webbprogram som körs i en lokal miljö via en extern URL. Du kan konfigurera Programproxy för att tillåta fjärråtkomst och enkel inloggning till SharePoint, Microsoft Teams, IIS-webbprogram och Fjärrskrivbord. Programproxy kan implementeras och ersätta VPN-anslutningar till interna nätverk eller omvända proxyservrar.

Programproxy fungerar med följande program:

  • Webbprogram som använder integrerad Windows-autentisering
  • Webbprogram som använder huvud- eller formulärbaserad autentisering
  • Program som hanteras via Fjärrskrivbordsgateway

Programproxy fungerar så här:

  1. Användaren ansluter till programmet via en offentligt tillgänglig slutpunkt och utför sedan en Microsoft Entra-inloggning.
  2. Efter inloggningen vidarebefordras en token till användarens enhet.
  3. Klientenheten vidarebefordrar token till tjänsten Programproxy, som returnerar användarens huvudnamn (UPN, User Principal Name) och säkerhetsobjektsnamnet (SPN, Security Principal Name) från token. Förfrågningen vidarebefordras sedan till anslutningsappen för Programproxy.
  4. Om enkel inloggning är aktiverad utför anslutningsappen ytterligare autentisering.
  5. Anslutningsappen vidarebefordrar förfrågningen till det lokala programmet.
  6. Svaret skickas via anslutningsappen och tjänsten Programproxy till användaren.

Du ser processen i följande bild:

Diagram som visar Programproxy funktioner med användaren utanför organisationens nätverk som upprättar en anslutning via Programproxy till ett lokalt program.

Programproxy bör inte användas med interna nätverk som tillåter direkt anslutning till program.

Tailwind Traders kan använda Microsoft Entra-programproxy för att ge externa användare åtkomst till interna program som använder Active Directory-autentisering.

Kontrollera dina kunskaper

1.

Tailwind Traders har flera nivåindelade appar som ska migreras till företagets hybridmoln. Apparna körs för närvarande med webbnivåerna i Tailwind Traders perimeternätverk och databasnivån på virtuella datorer i datacentret i Sydney. I den nya programarkitekturen kommer webbappar att köras i Azure. Vilken av följande tekniker bör Tailwind Traders använda för att säkerställa kommunikationen mellan webbappnivån i Azure och databasnivån på virtuella datorer i datacentret i Sydney?

2.

Tailwind Traders vill publicera ett program som använder Active Directory Domain Services-konton för autentisering så att det är tillgängligt för värdar på internet. Tailwind Traders har konfigurerat Microsoft Entra Connect för att synkronisera de lokala identiteter som ska användas med det här programmet till Microsoft Entra-ID. Vilken av följande hybridtekniker skulle du använda för att publicera programmet till värdar på internet, så att de kan komma åt det med de synkroniserade identiteterna?