Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La distribuzione a livello di area delle risorse in un'architettura cruciale richiede un'infrastruttura di rete solida.
Una progettazione distribuita a livello globale è consigliata in cui i servizi di Azure si riuniscono per fornire un'applicazione a disponibilità elevata. Il servizio di bilanciamento del carico globale combinato con i timbri a livello di area garantisce la connettività affidabile.
Progettare indicatori di distribuzione a livello di area come unità distribuibili per carichi di lavoro cruciali. La possibilità di distribuire in modo efficiente nuovi modelli di distribuzione offre scalabilità e supporta l'alta disponibilità. Progettare stampi di distribuzione con un design di rete virtuale isolato. Il traffico dati incrociato non è consigliato. I peering di rete virtuale o le connessioni VPN tra i timbri di distribuzione non sono necessari.
L'architettura è studiata per definire i francobolli regionali come transitori. Lo stato globale dell'infrastruttura viene archiviato nelle risorse globali.
È necessario un bilanciamento del carico globale per instradare il traffico verso istanze sane e fornire servizi di sicurezza. Deve avere determinate funzionalità.
La verifica dello stato di salute è richiesta affinché il servizio di bilanciamento del carico possa controllare lo stato di salute del server di origine prima di instradare il traffico.
Distribuzione del traffico ponderata.
Facoltativamente, dovrebbe essere in grado di eseguire il caching ai margini della rete. Fornire inoltre una garanzia di sicurezza per l'ingresso tramite web application firewall (WAF).
Scarica il file Visio di questa architettura.
Traffico in ingresso
L'applicazione definita nell'architettura è con connessione Internet e presenta diversi requisiti:
Soluzione di routing globale che può distribuire il traffico tra unità regionali indipendenti.
Bassa latenza nel controllo dell'integrità e possibilità di interrompere l'invio del traffico a timbri non integri.
Prevenzione di attacchi dannosi alla periferia.
Fornire funzionalità di memorizzazione nella cache ai margini.
Instradare tutto il traffico attraverso Frontdoor di Azure come punto di ingresso per carichi di lavoro cruciali. Frontdoor è un servizio di bilanciamento del carico globale che instrada il traffico HTTP(S) a back-end/origini registrate. Configurare Front Door per utilizzare sonde di integrità che emettono richieste a un URI in ciascun back-end/origine. L'URI chiamata deve essere un servizio sanitario dedicato. Il servizio sanitario promuove la salute di ogni marchio di implementazione. Front Door usa la risposta per determinare l'integrità dei singoli punti di distribuzione e indirizzare il traffico a punti operativi in grado di gestire le richieste delle applicazioni.
L'integrazione di Frontdoor di Azure con Monitoraggio di Azure offre un monitoraggio quasi in tempo reale del traffico, della sicurezza, dell'esito positivo e degli errori e degli avvisi.
Web application firewall di Azure, integrato con Frontdoor di Azure, viene usato per evitare attacchi al perimetro prima di entrare nella rete.
Rete virtuale isolata - API
Usare reti virtuali di Azure come limite di isolamento del traffico per le API cruciali. I componenti in una rete virtuale non possono comunicare direttamente con i componenti in un'altra rete virtuale.
Azure Load Balancer esterno standard distribuisce le richieste alla piattaforma dell'applicazione. Verifica che il traffico che raggiunge il servizio di bilanciamento del carico sia stato instradato tramite Frontdoor di Azure, assicurando che Azure WAF controlli tutto il traffico.
Gli agenti di build usati per operazioni e distribuzione devono essere in grado di collegarsi alla rete isolata. La rete isolata può essere aperta per consentire agli agenti di comunicare. In alternativa, distribuisci agenti autogestiti nella rete virtuale.
È necessario il monitoraggio della velocità effettiva di rete, le prestazioni dei singoli componenti e l'integrità dell'applicazione.
Dipendenza di comunicazione della piattaforma applicativa
Progettare la piattaforma dell'applicazione per singoli francobolli con i requisiti di comunicazione seguenti:
La piattaforma dell'applicazione deve essere in grado di comunicare in modo sicuro con i servizi Microsoft PaaS.
La piattaforma dell'applicazione deve essere in grado di comunicare in modo sicuro con altri servizi quando necessario.
Usare Azure Key Vault per archiviare segreti, ad esempio stringhe di connessione e chiavi API, per comunicare in modo sicuro tramite Internet ai servizi PaaS di Azure. Esistono possibili rischi per esporre la piattaforma dell'applicazione su Internet per questa comunicazione. I segreti possono essere compromessi e si raccomanda di aumentare la sicurezza e il monitoraggio degli endpoint pubblici.
Considerazioni sulla rete estesa
In questa sezione vengono illustrati i vantaggi e i svantaggi degli approcci alternativi alla progettazione della rete. Considerazioni di rete alternative e l'uso di endpoint privati di Azure è l'obiettivo delle sezioni seguenti.
Subnet e gruppi di sicurezza di rete
Le subnet all'interno delle reti virtuali possono essere usate per segmentare il traffico all'interno della progettazione. L'isolamento della subnet separa le risorse per funzioni diverse.
I gruppi di sicurezza di rete controllano il traffico consentito all'interno e all'esterno di ogni subnet. Le regole usate all'interno dei gruppi di sicurezza di rete limitano il traffico in base a IP, porta e protocollo per bloccare il traffico indesiderato che entra o esce dalla subnet.
Endpoint privati - Ingresso
La versione Premium di Frontdoor supporta l'uso di endpoint privati di Azure. Gli endpoint privati espongono un servizio di Azure a un indirizzo IP privato in una rete virtuale. Le connessioni vengono effettuate in modo sicuro e privato tra i servizi senza la necessità di instradare il traffico agli endpoint pubblici.
Frontdoor di Azure Premium ed endpoint privati di Azure consentono cluster di calcolo completamente privati nei singoli timbri. Il traffico è completamente bloccato per tutti i servizi PaaS di Azure.
L'uso di endpoint privati aumenta la sicurezza dei carichi di lavoro cruciali. Gli indicatori di distribuzione delle applicazioni non devono esporre endpoint pubblici e l'uso di endpoint privati riduce il rischio di attacchi di rete, inclusi gli attacchi DDoS. Tuttavia, introduce un altro punto di errore.
L'aumento della sicurezza deve essere ponderato rispetto all'aumento dell'affidabilità, dei costi e della complessità.
Utilizzare agenti di build self-hosted per il provisioning di modelli di distribuzione. La gestione di questi agenti comporta un sovraccarico di manutenzione.
Endpoint privati - Piattaforma dell'applicazione
Gli endpoint privati sono supportati per tutti i servizi PaaS di Azure consigliati per carichi di lavoro cruciali. Con gli endpoint privati configurati per la piattaforma dell'applicazione, tutte le comunicazioni passano attraverso la rete virtuale del timbro.
Gli endpoint pubblici dei singoli servizi PaaS di Azure possono essere configurati per impedire l'accesso pubblico. Questo processo isola le risorse dagli attacchi pubblici che potrebbero causare tempi di inattività e limitazione che influiscono sull'affidabilità e sulla disponibilità.
Usare agenti di compilazione self-hosted per le operazioni di stamp di distribuzione. La gestione di questi agenti comporta un sovraccarico di manutenzione.
