Týmy, které spravují úlohy, často využívají plně kvalifikované názvy domén (FQDN) pro přístup zákazníků. Plně kvalifikované názvy domén se obvykle kombinují s indikací názvu serveru TLS (Transport Layer Security). S tímto přístupem můžou veřejné zákazníky přistupovat k úloze z veřejného internetu nebo podnikových zákazníků interně, směrování do aplikace může sledovat pevné cesty a mít různé úrovně zabezpečení nebo kvality služby (QoS).
Následující architektura ukazuje přístup k rozlišení způsobu zacházení s provozem na základě DNS (Domain Name System) a toho, jestli zákazník pochází z internetu nebo z podnikové sítě.
Architektura
Stáhněte si soubor aplikace Visio s touto architekturou.
Následující části pracovního postupu popisují dvě konfigurace: veřejný internetový pracovní postup a soukromý pracovní postup. Zkombinujte tyto dva pracovní postupy a implementujte architekturu hostování rozděleného mozku.
Pracovní postup veřejného internetu
Stáhněte si soubor aplikace Visio s touto architekturou.
Zákazníci posílají žádost o aplikaci app.contoso.com prostřednictvím veřejného internetu.
Zóna Azure DNS je nakonfigurovaná pro contoso.com doménu. Příslušné položky kanonického názvu (CNAME) jsou nakonfigurované pro koncové body služby Azure Front Door.
Externí zákazníci přistupuje k webové aplikaci prostřednictvím služby Azure Front Door, která funguje jako globální nástroj pro vyrovnávání zatížení a firewall webových aplikací (WAF).
Ve službě Azure Front Door
app.contoso.comje přiřazen jako plně kvalifikovaný název domény prostřednictvím tras v nakonfigurovaným koncovém bodu. Azure Front Door také hostuje certifikáty SNI protokolu TLS pro aplikace.Poznámka:
Azure Front Door nepodporuje certifikáty podepsané svým držitelem.
Azure Front Door směruje požadavky do nakonfigurované skupiny původu na základě hlavičky HTTP zákazníka
Host.Skupina původu je nakonfigurovaná tak, aby odkazovala na instanci služby Aplikace Azure Gateway prostřednictvím veřejné IP adresy služby Application Gateway.
Skupina zabezpečení sítě (NSG) je nakonfigurovaná v podsíti AppGW tak, aby umožňovala příchozí přístup na portu 80 a portu 443 ze značky služby AzureFrontDoor.Backend . Skupina zabezpečení sítě nepovoluje příchozí provoz na portu 80 a portu 443 ze značky internetové služby.
Poznámka:
Značka služby AzureFrontDoor.Backend neomezuje provoz výhradně na vaši instanci služby Azure Front Door. Ověření probíhá v další fázi.
Instance služby Application Gateway má naslouchací proces na portu 443. Provoz se směruje na back-end na základě názvu hostitele zadaného v rámci naslouchacího procesu.
Pokud chcete zajistit, aby provoz pochází z vašeho profilu služby Azure Front Door, nakonfigurujte vlastní pravidlo WAF, které zkontroluje hodnotu hlavičky
X-Azure-FDID.Azure vygeneruje jedinečný identifikátor pro každý profil služby Azure Front Door. Jedinečný identifikátor je hodnota ID služby Front Door umístěná na stránce přehledu webu Azure Portal.
Provoz dosahuje výpočetního prostředku, který je nakonfigurovaný jako back-endový fond ve službě Application Gateway.
Pracovní postup privátního podniku
Stáhněte si soubor aplikace Visio s touto architekturou.
Zákazníci zahájí žádost o app.contoso.com aplikaci z místního prostředí.
Plně kvalifikované názvy domén aplikací se konfigurují na místním poskytovateli DNS. Tento poskytovatel DNS může být místní servery DNS služby Windows Server Active Directory nebo jiná partnerová řešení. Položky DNS pro jednotlivé plně kvalifikované názvy domén aplikace jsou nakonfigurované tak, aby odkazovaly na privátní IP adresu instance služby Application Gateway.
Okruh Azure ExpressRoute nebo vpn typu site-to-site usnadňuje přístup ke službě Application Gateway.
Skupina zabezpečení sítě je nakonfigurovaná v podsíti AppGW tak, aby umožňovala příchozí privátní požadavky z místních zákaznických sítí, ze kterých pochází provoz. Tato konfigurace zajišťuje, že ostatní zdroje privátního provozu nebudou mít přímý přístup k privátní IP adrese služby Application Gateway.
Application Gateway má naslouchací proces , který je nakonfigurovaný na portu 80 a portu 443. Provoz se směruje na back-end na základě názvu hostitele zadaného v rámci naslouchacího procesu.
Pouze privátní síťový provoz dosahuje výpočetních prostředků nakonfigurovaných jako back-endový fond ve službě Application Gateway.
Komponenty
DNS: Pro pracovní postup veřejného internetu musíte nakonfigurovat veřejnou zónu Azure DNS se správným názvem CNAME plně kvalifikovaného názvu domény koncového bodu služby Azure Front Door. Na privátní straně (enterprise) nakonfigurujte místního poskytovatele DNS (DNS služby Windows Server Active Directory nebo partnerské řešení) tak, aby každý plně kvalifikovaný název domény aplikace odkazovali na privátní IP adresu služby Application Gateway.
Privátní překladač Azure DNS: Privátní překladač DNS můžete použít pro překlad místních zákazníků. Podnikoví zákazníci můžou pomocí tohoto řešení DNS rozděleného mozku získat přístup k aplikacím bez procházení veřejného internetu.
Azure Front Door: Azure Front Door je globální nástroj pro vyrovnávání zatížení a WAF, který poskytuje rychlé a zabezpečené doručování webových aplikací zákazníkům po celém světě. V této architektuře Azure Front Door směruje externí zákazníky do instance služby Application Gateway a poskytuje možnosti ukládání do mezipaměti a optimalizace za účelem vylepšení uživatelského prostředí.
Application Gateway: Application Gateway je regionální nástroj pro vyrovnávání zatížení a WAF, který poskytuje vysokou dostupnost, škálovatelnost a zabezpečení webových aplikací. V této architektuře služba Application Gateway směruje externí a interní požadavky zákazníků na back-endové výpočetní prostředky a chrání webovou aplikaci před běžnými webovými útoky.
Azure Front Door i Application Gateway poskytují funkce WAF, ale privátní pracovní postup v tomto řešení nepoužívá Azure Front Door. Obě architektury proto používají funkci WAF služby Application Gateway.
ExpressRoute: ExpressRoute můžete použít k rozšíření místních sítí do Cloudu Microsoftu prostřednictvím privátního připojení s využitím poskytovatele připojení. V této architektuře můžete pomocí ExpressRoute usnadnit privátní připojení ke službě Application Gateway pro místní zákazníky.
Alternativy
Jako alternativní řešení můžete službu Azure Front Door odebrat a místo toho nasměrovat veřejný záznam AZURE DNS na veřejnou IP adresu služby Application Gateway. Na základě požadavků této architektury musíte provádět ukládání do mezipaměti a optimalizaci v vstupním bodě do Azure. Alternativní řešení proto není pro tento scénář možností. Další informace najdete v tématu Optimalizace nákladů.
Stáhněte si soubor aplikace Visio s touto architekturou.
Mezi další možné alternativy pro provoz veřejného příchozího přenosu dat v této architektuře patří:
Azure Traffic Manager: Traffic Manager je služba směrování provozu založená na DNS, která distribuuje provoz napříč různými oblastmi a koncovými body. Traffic Manager můžete místo služby Azure Front Door použít ke směrování externích zákazníků do nejbližší instance služby Application Gateway. Azure Front Door ale poskytuje funkce, jako jsou funkce WAF, ukládání do mezipaměti a spřažení relací. Traffic Manager tyto funkce neposkytuje.
Azure Load Balancer: Azure Load Balancer je nástroj pro vyrovnávání zatížení sítě, který poskytuje vysokou dostupnost a škálovatelnost provozu protokolu TCP (Transmission Control Protocol) a UDP (User Datagram Protocol). Load Balancer můžete místo služby Application Gateway použít ke směrování externích a interních požadavků zákazníků na back-endové webové servery. Application Gateway ale poskytuje funkce, jako jsou funkce WAF, ukončení protokolu SSL (Secure Sockets Layer) a spřažení relací na základě souborů cookie. Load Balancer tyto funkce neposkytuje.
Podrobnosti scénáře
Tento scénář řeší problém hostování webové aplikace, která obsluhuje externí i interní zákazníky. Tato architektura zajišťuje, že provoz dodržuje odpovídající cestu na základě původu zákazníka. Tato architektura:
Poskytuje rychlý a spolehlivý přístup přes internet k webové aplikaci pro nepodnikové zákazníky po celém světě.
Poskytuje podnikovým zákazníkům možnost přistupovat k aplikaci bez procházení veřejného internetu.
Chrání webovou aplikaci před běžnými webovými útoky a škodlivým provozem.
Potenciální případy použití
Tuto architekturu použijte pro scénáře, které vyžadují:
Split-brain DNS: Toto řešení používá Azure Front Door pro externí zákazníky a Application Gateway pro interní zákazníky s různými záznamy DNS pro každou službu. Tento přístup pomáhá optimalizovat výkon sítě, zabezpečení a dostupnost pro různé zákazníky.
Škálovatelnost aplikací: Toto řešení používá službu Application Gateway, která může distribuovat provoz mezi nakonfigurované back-endové výpočetní prostředky. Tento přístup pomáhá zlepšit výkon a dostupnost aplikací a podporovat horizontální škálování.
Důležité informace
Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.
Spolehlivost
Spolehlivost zajišťuje, že vaše aplikace může splňovat závazky, které uděláte pro vaše zákazníky. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro spolehlivost.
Identifikovat body selhání: V této architektuře DNS rozděleného mozku závisí spolehlivost na správné fungování klíčových komponent, jako jsou Azure Front Door, Application Gateway a konfigurace DNS. Musíte identifikovat potenciální body selhání, jako jsou chybné konfigurace, problémy s certifikátem SSL nebo přetížení kapacity.
Dopad posouzení: Musíte posoudit dopad selhání. U externích zákazníků může jakékoli přerušení služby Azure Front Door, které slouží jako brána, ovlivnit globální přístup. Pro interní zákazníky by mohlo přerušení služby Application Gateway bránit podnikovým operacím.
Implementujte strategie zmírnění rizik: Pokud chcete zmírnit rizika, implementujte redundanci napříč několika zónami dostupnosti, používejte sondy stavu pro monitorování v reálném čase a zajistěte správnou konfiguraci směrování DNS pro externí i interní provoz. Ujistěte se, že pravidelně aktualizujete záznamy DNS a máte plán zotavení po havárii.
Monitorování nepřetržitě: Pokud chcete mít přehled o stavu systému, používejte funkce služby Azure Monitor. Nastavte upozornění na anomálie a připravte plán reakce na incidenty, který bude okamžitě řešit potenciální problémy.
Dodržování těchto principů zajišťuje robustní a spolehlivý systém, který dokáže odolat výzvám a udržovat kontinuitu služeb.
Zabezpečení
Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v kontrolním seznamu pro kontrolu návrhu zabezpečení.
Použijte nulová důvěra (Zero Trust) přístup: V nastavení DNS rozděleného mozku použijte nulová důvěra (Zero Trust) přístup. Explicitně ověřte identitu zákazníka, ať už pochází z internetu nebo podnikové sítě. Tento přístup zajišťuje, že autorizované akce provádějí jenom důvěryhodné entity.
Implementace: Implementujte MICROSOFT Entra ID pro robustní správu identit. Pomocí zásad podmíněného přístupu Microsoft Entra vynucujte přísné řízení přístupu na základě kontextu zákazníka, stavu zařízení a umístění.
Posouzení účinnosti zabezpečení: Vyhodnoťte efektivitu bezpečnostních opatření pro vaši úlohu s duálním přístupem implementací:
Obranné investice: Pravidelně vyhodnocujte efektivitu služby Azure Front Door a Application Gateway. Zajistěte, aby poskytovaly smysluplnou ochranu před hrozbami.
Omezení blast-radius: Ujistěte se, že obsahuje porušení zabezpečení v omezeném rozsahu. Například efektivně izolujte externí a interní toky provozu.
Předpokládejme porušení zabezpečení: Potvrďte, že útočníci můžou narušit bezpečnostní prvky. Připravte se na takové scénáře.
Implementujte bezpečnostní opatření: Implementujte segmentaci sítě, mikros segmentaci a skupiny zabezpečení sítě. Předpokládejme, že útočník může získat přístup a navrhnout kompenzační ovládací prvky odpovídajícím způsobem.
Integrujte tyto principy zabezpečení do architektury DNS rozděleného mozku a vytvořte robustní a odolný systém, který chrání interní a externí přístup k vaší úloze.
Další vylepšení zabezpečení
Application Gateway: WaF ve službě Application Gateway můžete použít k ochraně webových aplikací před běžnými ohroženími zabezpečení webu a zneužitím. Azure Private Link můžete také použít k bezpečnému přístupu k back-endovým aplikačním serverům ze služby Application Gateway, aniž byste je zpřístupovali veřejnému internetu.
Azure Firewall: Do virtuální sítě centra můžete přidat bránu Azure Firewall a pomocí analýzy hrozeb služby Azure Firewall blokovat škodlivý provoz ze známých škodlivých IP adres a domén. Azure Firewall můžete použít také jako proxy server DNS k zachycení a kontrole provozu DNS a použití pravidel filtrování DNS.
Azure Front Door: Službu Azure Web Application Firewall můžete použít k ochraně webových aplikací před běžnými ohroženími zabezpečení webu a zneužitím na hraničních zařízeních. Pomocí služby Private Link s úrovní Azure Front Door Premium můžete také bezpečně přistupovat k back-endovým aplikačním serverům z Azure Front Dooru, aniž byste je zpřístupovali veřejnému internetu.
Optimalizace nákladů
Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro optimalizaci nákladů.
Back-endové výpočetní prostředky: Mnoho faktorů, jako je výběr skladové položky, počet replik a oblast, řídí náklady na provoz back-endových výpočetních služeb. Než vyberete nejlepší možnost pro úlohu, nezapomeňte zvážit všechny prvky výpočetního prostředku .
Application Gateway: Náklady služby Application Gateway závisí na počtu instancí, velikosti instancí a množství zpracovaných dat. Náklady můžete optimalizovat pomocí automatického škálování a upravit počet instancí na základě poptávky po provozu. Můžete také nasadit zónově redundantní skladové položky napříč zónami dostupnosti, abyste snížili potřebu dalších instancí pro vysokou dostupnost.
Azure Front Door: Náklady na Azure Front Door závisí na počtu pravidel směrování, počtu požadavků HTTP nebo HTTPS a na množství přenášených dat. Pomocí úrovně Azure Front Door Standard nebo úrovně Premium můžete získat jednotné prostředí se službou Azure Content Delivery Network, firewallem webových aplikací Azure a službou Private Link. Pomocí funkce stroje pravidel služby Azure Front Door můžete také přizpůsobit správu provozu a optimalizovat výkon a náklady.
Pokud váš scénář nevyžaduje globální přístup nebo další funkce služby Azure Front Door, můžete toto řešení použít pouze se službou Application Gateway. Všechny veřejné záznamy DNS můžete nasměrovat na veřejnou IP adresu nakonfigurovanou pro naslouchací procesy služby Application Gateway.
Podívejte se na příklad tohoto řešení , který se blíží typickému použití komponent v této architektuře. Upravte náklady tak, aby vyhovovaly vašemu scénáři.
Přispěvatelé
Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.
Hlavní autor:
- Troy Hite | Vedoucí architekt cloudových řešení
Další přispěvatelé:
- Mays Algebary | Senior Azure Networking Global Blackbelt
- Adam Torkar | Senior Azure Networking Global Blackbelt
- Michael McKechney | Hlavní specialista na technologie Azure
Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.
Další kroky
- Konfigurace infrastruktury služby Application Gateway
- Kompletní TLS se službou Azure Front Door
- Přidání vlastní domény do Azure Front Door
- Co je geografické filtrování v doméně pro Azure Front Door