Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом разделе рассматриваются основные рекомендации по доставке внутренних и внешних приложений в безопасный, высокомасштабируемый и высокодоступный способ.
Рекомендации по проектированию.
Azure Load Balancer (внутренняя и общедоступная) обеспечивает высокий уровень доступности для доставки приложений на региональном уровне.
Шлюз приложений Azure обеспечивает безопасную доставку приложений HTTP/S на региональном уровне.
Azure Front Door обеспечивает безопасную доставку высокодоступных приложений HTTP/S в регионах Azure.
Диспетчер трафика Azure обеспечивает доставку глобальных приложений и может использоваться вместе с Azure Front Door для обеспечения дополнительной устойчивости.
Рекомендации по проектированию.
Выполнение доставки приложений в целевых зонах для внутренних и внешних приложений.
- Рассматривайте шлюз приложений как компонент приложения и развертывайте его в периферийной виртуальной сети, а не как общий ресурс в концентраторе.
- Для интерпретации оповещений брандмауэра веб-приложений обычно требуется глубокое знание приложения, чтобы решить, являются ли сообщения, которые активируют эти оповещения законными.
- При развертывании Шлюза приложений в центре могут возникнуть проблемы управления доступом на основе ролей, если команды управляют различными приложениями, но используют один и тот же экземпляр Шлюза приложений. Затем каждая команда имеет доступ ко всей конфигурации шлюза приложений.
- Если шлюз приложений рассматривается как общий ресурс, вы можете превысить ограничения шлюза приложений Azure.
- Дополнительные сведения об этом см. в сети нулевого доверия для веб-приложений.
Для безопасной доставки приложений HTTP/S используйте шлюз приложений версии 2 и убедитесь, что включена защита и политики WAF.
Используйте NVA партнера, если вы не можете использовать шлюз приложений версии 2 для безопасности приложений HTTP/S.
Разверните виртуальные сети шлюза приложений Azure версии 2 или партнера, используемые для входящих подключений HTTP/S в виртуальной сети целевой зоны и с приложениями, которые они защищаемы.
Используйте стандартный план защиты от атак DDoS для всех общедоступных IP-адресов в целевой зоне.
Используйте Azure Front Door с политиками WAF для доставки и защиты глобальных приложений HTTP/S, охватывающих регионы Azure.
Убедитесь, что вы ознакомились с рекомендациями по избыточности глобальной маршрутизации для критически важных веб-приложений при использовании Azure Front Door в архитектуре.
При использовании Front Door и Шлюза приложений для защиты приложений HTTP/S используйте политики WAF в Front Door. Блокировка шлюза приложений для получения трафика только из Front Door.
Используйте диспетчер трафика для доставки глобальных приложений, охватывающих протоколы, отличные от ПРОТОКОЛА HTTP/S.