Hybridní cloudové aplikace

  • 10 min

Společnost Tailwind Traders má několik aplikací, jejichž front-endové komponenty v současnosti běží místně v hraniční síti. Back-endové prvky jsou v chráněné interní síti. Jedním z cílů společnosti Tailwind Traders při přechodu na hybridní cloud je vyřadit hraniční síť z provozu a hostovat všechny veřejné úlohy v cloudu. Kvůli obavám souvisejícím s dodržováním předpisů a také kvůli obavám vlastníků úloh by některé z těchto aplikací neměly být hostovány v datacentru Azure, ale měly by fyzicky zůstat v prostorách společnosti Tailwind Traders.

Společnost Tailwind Traders má některé další aplikace, ke kterým se přistupuje prostřednictvím připojení VPN do interních chráněných sítí v datacentrech v Sydney, Melbourne a Aucklandu. Tyto aplikace obecně vyžadují ověřování uživatelů v místní instanci Active Directory.

V této lekci se dozvíte o technologiích, které společnosti Tailwind Traders umožní udržovat aplikace, ke kterým se uživatelé připojují prostřednictvím Azure, i když jsou samotná data nebo aplikace nadále hostovány na zařízeních společnosti Tailwind Traders.

Co je Azure Relay?

Azure Relay je služba, kterou můžete použít k bezpečnému zveřejnění úloh spuštěných v interní síti vaší organizace pro veřejný cloud. Tato služba to umožňuje bez nutnosti otevírat příchozí port v bráně firewall hraniční sítě.

Azure Relay podporuje následující scénáře mezi místními službami a aplikacemi běžícími v Azure:

  • Tradiční jednosměrná komunikace, komunikace typu požadavek/odpověď a komunikace peer-to-peer
  • Distribuce událostí kvůli povolení scénářů publikování/odběrů
  • Obousměrná komunikace prostřednictvím soketů bez vyrovnávací paměti přes hranice sítě

Azure Relay má následující funkce:

  • Hybridní připojení: Tato funkce používá otevřené standardní webové sokety. Můžete ji použít v architekturách s více platformami. Podporuje .NET Core, .NET Framework, JavaScript/Node.js, otevřené standardní protokoly a programovací modely se vzdáleným voláním procedur (RPC).
  • WCF Relay: Tato funkce používá k povolení vzdáleného volání procedur technologii Windows Communication Foundation (WCF). Tuto možnost mnoho zákazníků používá ve svých programech WCF. Funkce také podporuje rozhraní .NET Framework.

Azure Relay umožní společnosti Tailwind Traders publikovat některé aplikace, které běží v interní síti, pro klienty na internetu bez vyžadování připojení VPN. Společnost by také měla službu Azure Relay použít místo hybridního připojení k Azure App Service, pokud v Azure neběží žádná front-endová webová aplikace. Azure Relay by se měla používat místo proxy aplikací Microsoft Entra, pokud aplikace nevyžaduje ověřování Microsoft Entra.

Co jsou hybridní připojení služby App Service?

Funkce hybridních připojení služby Azure App Service může používat libovolný prostředek aplikace v libovolné síti, který posílá odchozí požadavky do Azure přes port 443. Hybridní připojení můžete například použít, když chcete webové aplikaci, která běží v Azure, povolit používat databází SQL Server spuštěnou v místním prostředí. Funkce hybridního připojení nabízí přístup z aplikace spuštěné v Azure do koncového bodu protokolu TCP (Transmission Control Protocol).

Hybridní připojení se neomezuje jenom na úlohy spuštěné na platformě Windows Serveru. Hybridní připojení můžete nakonfigurovat pro přístup k libovolnému prostředku, který funguje jako koncový bod TCP – bez ohledu na použitý aplikační protokol. Hybridní připojení můžete například nakonfigurovat mezi webovou aplikací spuštěnou v Azure a databází MySQL spuštěnou na místním linuxovém virtuálním počítači.

Hybridní připojení používají přenosového agenta, kterého nasadíte do místa, kde může zřídit připojení ke koncovému bodu protokolu TCP v interní síti a navázat připojení k Azure. K zabezpečení tohoto připojení se používá protokol TLS (Transport Layer Security) 1.2. K ověřování a autorizaci se používají klíče sdíleného přístupového podpisu (SAS).

Na následujícím obrázku je hybridní připojení webové aplikace spuštěné v Azure ke koncovému bodu databáze spuštěné v místním prostředí.

Diagram that shows hybrid connection between a web app in Azure and a database endpoint on-premises.

Hybridní připojení mají následující funkce:

  • Aplikace běžící v Azure mohou zabezpečeně přistupovat do místních systémů a služeb.
  • Místní systémy nebo služby nemusí být přímo přístupné hostitelům na internetu.
  • V bráně firewall není nutné otevírat port, aby bylo možné povolit příchozí přístup z Azure do přenosového agenta. Veškerá komunikace je inicializována odchozím způsobem z přenosového agenta přes port 443.

Hybridní připojení mají následující omezení:

  • Nedají se použít k připojení sdílené složky SMB v místní síti.
  • Nemůžou používat protokol UDP (User Datagram Protocol).
  • Nemůžou přistupovat ke službám založeným na protokolu TCP, které používají dynamické porty.
  • Nepodporují protokol LDAP (Lightweight Directory Access Protocol) kvůli závislosti na protokolu UDP.
  • Nedají se použít k operaci připojení k doméně služby Active Directory Domain Services.

Díky hybridnímu připojení může společnost Tailwind Traders vyřadit z provozu několik svých aplikací, jejichž front-endy v současnosti běží v hraniční síti společnosti. Tyto aplikace je možné migrovat do Azure. Hybridní připojení pak zajistí bezpečné připojení k chráněným sítím, které hostují back-endové komponenty aplikací.

Co je proxy aplikace Microsoft Entra?

Proxy aplikací Microsoft Entra umožňuje poskytovat zabezpečený vzdálený přístup k webové aplikaci spuštěné v místním prostředí prostřednictvím externí adresy URL. Funkci proxy aplikací můžete nakonfigurovat tak, aby umožňovala vzdálený přístup a jednotné přihlašování k SharePointu, pracovnímu prostředí Microsoft Teams, webovým aplikacím služby IIS a Vzdálené ploše. Proxy aplikací můžete implementovat jako náhradu za připojení VPN do interních sítí nebo reverzní proxy servery.

Proxy aplikací funguje s následujícími aplikacemi:

  • Webové aplikace, které používají Integrované ověřování systému Windows.
  • Webové aplikace, které používají ověřování založené na hlavičkách nebo formulářích.
  • Aplikace hostované prostřednictvím Brány vzdálené plochy.

Proxy aplikací funguje následujícím způsobem:

  1. Uživatel se připojí k aplikaci prostřednictvím veřejně dostupného koncového bodu a pak provede přihlášení Microsoft Entra.
  2. Po přihlášení dojde k předání tokenu do zařízení uživatele.
  3. Klientské zařízení token předá službě proxy aplikací, která z něj vrátí hlavní název uživatele (UPN) a název objektu zabezpečení (SPN). Proxy aplikací pak předá požadavek konektoru proxy aplikací.
  4. Pokud je povolené jednotné přihlašování, provede konektor proxy aplikací další ověření.
  5. Konektor proxy aplikací předá požadavek místní aplikaci.
  6. Odpověď se prostřednictvím konektoru a proxy aplikací odešle uživateli.

Tento proces znázorňuje následující obrázek:

Diagram that shows Application Proxy functionality with the user outside the organizational network making a connection through Application Proxy to an on-premises application.

Uživatelé v interní síti, která umožňuje přímé připojení k aplikacím, by se měli používání Proxy aplikací vyhnout.

Společnost Tailwind Traders může pomocí proxy aplikace Microsoft Entra poskytnout externím uživatelům přístup k interním aplikacím, které používají ověřování active directory.

Prověřte si své znalosti

1.

Společnost Tailwind Traders má několik vícevrstvých aplikací, které bude migrovat do hybridního cloudu. V současnosti mají aplikace webovou vrstvu v hraniční síti společnosti Tailwind Traders a databázovou vrstvu na virtuálních počítačích v datovém centru v Sydney. V nové architektuře pro aplikace budou webové aplikace běžet v Azure. Kterou z následujících technologií by měla společnost Tailwind Traders použít k tomu, aby mohla vrstva webových aplikací v Azure komunikovat s databázovou vrstvou, která běží na virtuálních počítačích v datacentru v Sydney?

2.

Společnost Tailwind Traders chce publikovat aplikaci, která k ověřování používá účty služby Active Directory Domain Services, aby byla dostupná hostitelům na internetu. Společnost Tailwind Traders nakonfigurovala Microsoft Entra Připojení k synchronizaci místních identit, které se budou s touto aplikací používat s Microsoft Entra ID. Kterou z následujících hybridních technologií byste použili k publikování této aplikace pro hostitele na internetu, aby k ní měli přístup pomocí těchto synchronizovaných identit?