Aracılığıyla paylaş

App Service giriş bölgesi hızlandırıcısı için ağ topolojisi ve bağlantı konuları

  • Makale

Bu makalede, Azure Uygulaması Hizmeti giriş bölgesi hızlandırıcısını kullanırken uygulayabileceğiniz ağ topolojisi ve bağlantı için tasarım konuları ve öneriler sağlanmaktadır. Ağ, giriş bölgesindeki neredeyse her şeyin merkezidir.

Bu mimarinin ağ topolojisi ve bağlantı konuları, barındırılan iş yüklerinin gereksinimlerine ve kuruluşunuzun güvenlik ve uyumluluk gereksinimlerine bağlıdır.

Tasarımla ilgili dikkat edilecek noktalar

Azure'da bir App Service çözümü dağıtırken, uygulamanızın düzgün çalıştığından emin olmak için ağ gereksinimlerini dikkatli bir şekilde dikkate almanız gerekir. Dağıtım planlarken göz önünde bulundurmanız gereken birkaç önemli faktör vardır:

  • Uygulamanız için ağ gereksinimlerini belirleyin.

    • Gelen trafik. Uygulamanız web sitesi veya API gibi web tabanlı hizmetler sağlıyorsa, büyük olasılıkla İnternet'ten gelen trafiği alabilmesi gerekir. Uygulamanızın gelen bağlantıları kabul etmesini sağlamak için uygun bağlantı noktalarını dinleyecek şekilde yapılandırmanız gerekir.
    • Diğer Azure kaynaklarına erişim. Uygulamanızın özel uç noktasını kullanarak Azure'da depolama hesapları veya veritabanları gibi kaynaklara erişebilmesi gerekebilir. Bu kaynaklar bir Azure sanal ağında veya diğer Azure hizmetlerinde bulunabilir.
    • SSL/TLS. Uygulamanızla kullanıcıları arasındaki iletişimin güvenliğini sağlamaya yardımcı olmak için SSL/TLS şifrelemesini etkinleştirmeniz gerekir. Bunun yapılması, uygulamanız ve kullanıcıları arasındaki trafiğin şifrelenmesini sağlar ve bu da hassas bilgilerin üçüncü taraflar tarafından kesilmesine karşı korunmasına yardımcı olur.
    • IP kısıtlamaları. Gereksinimlerinize bağlı olarak, belirli IP adreslerinden veya aralıklardan uygulamanıza erişime izin vermeniz veya erişimi engellemeniz gerekebilir. Bunu yapmak, gelişmiş güvenlik sağlayabilir ve uygulamanıza erişimi belirli kullanıcılar veya konumlarla sınırlandırabilir.

  • App Service planı katmanını seçin. App Service planınıza uygun katmanı belirlemek için uygulamanızın ağ gereksinimlerini kullanın. Gereksinimlerinize en uygun olanı belirlemek için çeşitli App Service plan katmanlarını ve bunların özelliklerini gözden geçirmek iyi bir fikirdir.

App Service çok kiracılı hizmet

  • App Service çok kiracılı bir çözüm, tek bir dağıtım birimindeki diğer App Service kaynaklarıyla tek bir gelen IP adresini ve birden çok giden IP adresini paylaşır. Bu IP adresleri çeşitli nedenlerle değişebilir. Çok kiracılı bir App Service çözümü için tutarlı giden IP adreslerine ihtiyacınız varsa, NAT ağ geçidi yapılandırabilir veya sanal ağ tümleştirmesini kullanabilirsiniz.

  • App Service çözümünüz için ayrılmış bir IP adresine ihtiyacınız varsa, uygulama tarafından atanan bir adres kullanabilir, App Service örneğinizin önüne bir uygulama ağ geçidi (statik IP adresi atanır) ekleyebilir veya App Service platformu aracılığıyla uygulamanıza ayrılmış bir IP adresi atamak için IP tabanlı bir SSL sertifikası kullanabilirsiniz.

  • Bir App Service çözümünden şirket içi, özel veya IP kısıtlı hizmetlere bağlanmanız gerektiğinde şunları göz önünde bulundurun:

    • Çok kiracılı bir App Service dağıtımında, App Service çağrısı çok çeşitli IP adreslerinden kaynaklanabilir. Sanal ağ tümleştirmesi gerekebilir.
    • Ağ sınırları arasında ara sunucu çağrıları yapmak için API Management ve Application Gateway gibi hizmetleri kullanabilirsiniz. Bu hizmetler, gerekirse statik bir IP adresi sağlayabilir.

  • Çok kiracılı app service dağıtımı için özel veya genel uç nokta kullanabilirsiniz. Özel uç nokta kullandığınızda, App Service çözümüne genel kullanıma açık olması ortadan kalkar. App Service çözümünün özel uç noktasının İnternet üzerinden erişilebilir olması gerekiyorsa, App Service çözümünü kullanıma açmak için Application Gateway'i kullanmayı göz önünde bulundurun.

  • Çok kiracılı App Service dağıtımı bir dizi bağlantı noktasını kullanıma sunar. Çok kiracılı app service dağıtımında bu bağlantı noktalarına erişimi engellemenin veya denetlemenin hiçbir yolu yoktur.

  • Giden sanal ağ tümleştirmesi için alt ağlarınızı doğru planlayın ve gerekli IP adreslerinin sayısını göz önünde bulundurun. Sanal ağ tümleştirmesi ayrılmış bir alt ağa bağlıdır. Azure alt ağı sağladığınızda Azure beş IP ayırır. Her App Service planı örneği için tümleştirme alt ağından bir IP adresi kullanılır. Uygulamanızı dört örneğe ölçeklendirdiğinizde, örneğin dört IP adresi kullanılır. Ölçeği artırdığınızda veya azalttığınızda, gerekli adres alanı kısa bir süre için iki katına çıkar. Bu, belirli bir alt ağ boyutu için kullanılabilir desteklenen örnekleri etkiler.

  • Atamadan sonra alt ağın boyutunu değiştiremediğinizden, uygulamanızın ulaşabileceği ölçeğe uyum sağlamak için yeterince büyük bir alt ağ kullanmanız gerekir. Alt ağ kapasitesiyle ilgili sorunları önlemek için sanal ağ tümleştirmesi için 64 adres içeren bir /26 kullanın.

  • Çok kiracılı bir App Service çözümüne bağlanıyorsanız ve ayrılmış bir giden adresine ihtiyacınız varsa NAT ağ geçidi kullanın.

App Service Ortamı (tek kiracılı)

  • App Service Ortamı ağ tasarımına karar verin: dış veya iç yük dengeleyici. İnternet'ten doğrudan erişime ihtiyacınız olduğunda bir dış dağıtım kullanın. Erişimi yalnızca App Service Ortamı dağıtıldığı sanal ağ içinden kullanıma açmak için iç yük dengeleyici dağıtımı kullanın. İkinci dağıtım, uygulamalara ağ erişimi üzerinde başka bir güvenlik ve denetim düzeyi sağlar.
  • App Service Ortamı Uygulama Hizmetleri, App Service Ortamı ömrü boyunca gelen ve giden iletişim için statik, ayrılmış IP adresleri alır.
  • Bir App Service Ortamı şirket içi, özel veya IP kısıtlanmış hizmetlere bağlanmanız gerektiğinde, App Service Ortamı sanal ağ bağlamında çalışır.
  • Bir App Service Ortamı dağıtırken alt ağın boyutunu seçersiniz. Boyutu daha sonra değiştiremezsiniz. 256 adresi olan ve en büyük boyutlu App Service Ortamı ve tüm ölçeklendirme gereksinimlerini işleyebilen /24 boyutunu öneririz.

Tasarım önerileri

Aşağıdaki en iyi yöntemler, App Service'in herhangi bir dağıtımı için geçerlidir.

  • App Service çözümüne Bağlan:
    • App Service çözümünüzün önüne bir Azure web uygulaması güvenlik duvarı uygulayın. Bu OWASP tabanlı korumayı sağlamak için Azure Front Door, Application Gateway veya bir iş ortağı hizmeti kullanın. Azure Front Door veya Application Gateway'i tek bir bölge için veya her ikisini birden çok bölge için kullanabilirsiniz. Bölgede yol yönlendirmeye ihtiyacınız varsa Application Gateway'i kullanın. Çok bölgeli yük dengeleme ve Web Uygulaması Güvenlik Duvarı gerekiyorsa Azure Front Door'ı kullanın.
    • App Service için özel uç nokta kullanarak, uygulamaya genel, İnternet tabanlı uç nokta yerine özel, ağ tabanlı bir uç nokta üzerinden erişebilirsiniz. Özel uç nokta kullandığınızda, uygulamaya erişimi yalnızca sanal ağınızdaki kullanıcılarla kısıtlayabilirsiniz. Bu, uygulamanız için başka bir güvenlik katmanı, daha düşük veri çıkışı maliyetleri ve geliştirilmiş performans sağlar.
    • App Service çözümüne yalnızca geçerli konumlardan ulaşılabilmesini sağlamak için erişim kısıtlamalarını kullanın. Örneğin, çok kiracılı bir App Service dağıtımı API'leri barındıriyorsa ve API Management tarafından önleniyorsa, App Service çözümüne yalnızca API Management'tan erişilebilmesi için bir erişim kısıtlaması ayarlayın.
  • App Service çözümünden Bağlan:
  • Ağ sorunlarını gidermek için yerleşik araçları kullanın.
  • Bağlantı havuzlarını kullanarak SNAT bağlantı noktası tükenmesini önle. Aynı konak ve bağlantı noktasına sürekli bağlantı oluşturmak yavaş yanıt sürelerine, aralıklı 5xx hatalarına, zaman aşımlarına veya dış uç nokta bağlantı sorunlarına neden olabilir.
  • App Service için Azure güvenlik temelinin Ağ güvenliği bölümünde açıklanan önerileri izleyin.

App Service giriş bölgesi hızlandırıcısı için ağ topolojisi ve bağlantı konusunda dikkat edilmesi gerekenler hedefi, App Services dağıtımı için ölçeklenebilir ve dayanıklı bir ortam uygulamak üzere üst düzey bir şablon sağlamaktır. Bu şablon ağ mimarisine ve bağlantıya odaklanır ve App Services çözümlerini barındırmak için Azure'da bir giriş bölgesini hızlı ve verimli bir şekilde ayarlamanıza yardımcı olabilir.