Azure-alkalmazás szolgáltatás egy hatékony webalkalmazás-üzemeltetési platform. Az App Service-infrastruktúrára épülő Azure Functions lehetővé teszi a kiszolgáló nélküli és eseményvezérelt számítási feladatok egyszerű létrehozását. Mindkét szolgáltatást gyakran használják több-bérlős megoldásokban.
A Azure-alkalmazás szolgáltatás és az Azure Functions funkciói, amelyek támogatják a több-bérlős szolgáltatást
Azure-alkalmazás szolgáltatás és az Azure Functions számos olyan funkciót tartalmaz, amelyek támogatják a több-bérlős szolgáltatást.
Custom domain names
Azure-alkalmazás Szolgáltatás lehetővé teszi helyettesítő DNS használatát és saját helyettesítő TLS-tanúsítványok hozzáadását. Bérlőspecifikus altartományok használata esetén a helyettesítő DNS- és TLS-tanúsítványok lehetővé teszik a megoldás nagy számú bérlőre való egyszerű skálázását anélkül, hogy minden új bérlőhöz manuális újrakonfigurálásra volna szükség.
Ha bérlőspecifikus egyéni tartományneveket használ, előfordulhat, hogy sok egyéni tartománynevet kell hozzáadnia az alkalmazáshoz. Nehézkessé válhat sok egyéni tartománynév kezelése, különösen akkor, ha egyéni TLS-tanúsítványokat igényelnek. Az App Service felügyelt TLS-tanúsítványokat biztosít, amelyek csökkentik az egyéni tartományok használatakor szükséges munkát. Vannak azonban megfontolandó korlátok, például hogy hány egyéni tartomány alkalmazható egyetlen alkalmazásra.
Integráció az Azure Front Doorral
Az App Service és az Azure Functions integrálható az Azure Front Doorlal, hogy a megoldás internetes összetevőjeként működjön. Az Azure Front Door lehetővé teszi webalkalmazási tűzfal (WAF) és peremhálózati gyorsítótárazás hozzáadását, valamint egyéb teljesítményoptimalizálást is biztosít. Egyszerűen újrakonfigurálhatja a forgalmi folyamatokat, hogy a változó üzleti vagy technikai követelmények alapján különböző háttérrendszerekre irányíthassa a forgalmat.
Ha az Azure Front Doort több-bérlős alkalmazással használja, azzal kezelheti az egyéni tartományneveket, és megszakíthatja a TLS-kapcsolatokat. Az App Service-alkalmazás ezután egyetlen gazdagépnévvel van konfigurálva, és az összes forgalom áthalad az alkalmazáson, ami segít elkerülni az egyéni tartománynevek több helyen történő kezelését.
A fenti példához hasonlóan az Azure Front Door konfigurálható a kérés fejlécének Hostmódosítására. Az ügyfél által küldött eredeti Host fejlécet a rendszer a X-Forwarded-Host fejlécen keresztül propagálja, és az alkalmazáskód ezen a fejlécen keresztül megfeleltetheti a kérést a megfelelő bérlőnek.
Figyelmeztetés:
Ha az alkalmazás cookie-kat vagy átirányítási válaszokat küld, különös figyelmet kell vállalnia. A kérés fejlécének Host módosítása érvénytelenítheti ezeket a válaszokat. További információkért tekintse meg a gazdagépnév megőrzésének ajánlott eljárásait.
Privát végpontok vagy App Service-hozzáférési korlátozások használatával biztosíthatja, hogy a forgalom a Front Dooron keresztül haladjon az alkalmazás elérése előtt.
További információ az Azure Front Door több-bérlős megoldásban való használatáról: Az Azure Front Door használata több-bérlős megoldásban
Hitelesítés és engedélyezés
Azure-alkalmazás szolgáltatás érvényesítheti a hitelesítési jogkivonatokat az alkalmazás nevében. Amikor az App Service kérést kap, ellenőrzi, hogy teljesülnek-e az alábbi feltételek:
- A kérés tartalmaz egy jogkivonatot.
- A jogkivonat érvényes.
- A kérés engedélyezve van.
Ha valamelyik feltétel nem teljesül, az App Service letilthatja a kérést, vagy átirányíthatja a felhasználót az identitásszolgáltatójához, hogy bejelentkezhessenek.
Ha a bérlők a Microsoft Entra-azonosítót használják identitásrendszerként, konfigurálhatja Azure-alkalmazás szolgáltatást a /common végpont használatára a felhasználói jogkivonatok érvényesítéséhez. Ez biztosítja, hogy a felhasználó Microsoft Entra-bérlőitől függetlenül a jogkivonatok érvényesítve és elfogadva legyenek.
A Azure-alkalmazás Szolgáltatást az Azure AD B2C-vel is integrálhatja a felhasználók hitelesítéséhez.
További információ:
- App Service-engedélyezés
- Hitelesítés konfigurálása minta webalkalmazásban az Azure AD B2C használatával
- Több-bérlős Microsoft Entra-identitások használata
Hozzáférési korlátozások
Hozzáférés-korlátozásokkal korlátozhatja az alkalmazás felé irányuló forgalmat. Ezekkel megadhatja az alkalmazáshoz csatlakozható IP-címtartományokat vagy virtuális hálózatokat.
Ha több-bérlős megoldással dolgozik, vegye figyelembe a hozzáférés-korlátozási szabályok maximális számát. Ha például minden bérlőhöz létre kell hoznia egy hozzáférési korlátozási szabályt, előfordulhat, hogy túllépi az engedélyezett szabályok maximális számát. Ha nagyobb számú szabályra van szüksége, fontolja meg egy fordított proxy, például az Azure Front Door üzembe helyezését.
Elkülönítési modellek
Ha több-bérlős rendszert használ a Azure-alkalmazás Szolgáltatás vagy az Azure Functions használatával, döntést kell hoznia a használni kívánt elkülönítési szintről. A forgatókönyv legjobb elkülönítési modelljének kiválasztásához tekintse meg a bérlői modelleket, és tekintse meg a több-bérlős megoldások számítási architekturális megközelítéseiben megadott útmutatást.
A Azure-alkalmazás Service és az Azure Functions használatakor tisztában kell lennie a következő alapvető fogalmakkal:
- A Azure-alkalmazás szolgáltatásban a csomag az üzemeltetési infrastruktúrát jelöli. Az alkalmazások egyetlen, az adott infrastruktúrán futó alkalmazást jelölnek. Több alkalmazást is üzembe helyezhet egyetlen csomagban.
- Az Azure Functionsben az üzemeltetés és az alkalmazás is különül el, de további üzemeltetési lehetőségek állnak rendelkezésre a rugalmas üzemeltetéshez, ahol az Azure Functions kezeli a skálázást. Az egyszerűség kedvéért ebben a cikkben az üzemeltetési infrastruktúrát tekintjük tervnek , mivel az itt ismertetett alapelvek az App Service-ra és az Azure Functionsre is érvényesek, függetlenül a használt üzemeltetési modelltől.
Az alábbi táblázat a Azure-alkalmazás Service és az Azure Functions fő bérlői elkülönítési modelljei közötti különbségeket foglalja össze:
| Szempont | Megosztott alkalmazások | Alkalmazások bérlőnként megosztott csomagokkal | Csomagok bérlőnként |
|---|---|---|---|
| Konfigurációk elkülönítése | Alacsony | Közepes. Az alkalmazásszintű beállítások a bérlőnek vannak szentelve, a csomagszintű beállítások meg vannak osztva | Magas. Minden bérlő saját konfigurációval rendelkezhet |
| Teljesítményelkülönítés | Alacsony | Alacsony közepes. Lehetséges, hogy zajos szomszédproblémák merülnek fel | Magas |
| Az üzembe helyezés összetettsége | Alacsony | Közepes | Magas |
| Működési összetettség | Alacsony | Magas | Magas |
| Erőforrásköltség | Alacsony | Alacsony-magas az alkalmazástól függően | Magas |
| Példaforgatókönyv | Nagyméretű több-bérlős megoldás megosztott alkalmazásszinttel | Olyan alkalmazások migrálása, amelyek nem ismerik a bérlői bérletet az Azure-ba, miközben költséghatékonyak | Egybérlős alkalmazásszint |
Megosztott alkalmazások
Egy megosztott alkalmazást egyetlen csomagban helyezhet üzembe, és használhatja a megosztott alkalmazást az összes bérlőjéhez.
Ez általában a legköltséghatékonyabb megoldás, és a legkisebb üzemeltetési többletterhelést igényli, mivel kevesebb erőforrást kell kezelni. A teljes tervet a terhelés vagy az igény alapján skálázhatja, és a csomagot megosztó összes bérlő kihasználhatja a megnövekedett kapacitást.
Fontos tisztában lenni az App Service kvótáival és korlátaival, például az egyetlen alkalmazáshoz hozzáadható egyéni tartományok maximális számával és a kiosztható csomagok maximális számával.
A modell használatához az alkalmazáskódnak több-bérlősnek kell lennie.
Alkalmazások bérlőnként megosztott csomagokkal
Dönthet úgy is, hogy több bérlő között osztja meg a csomagot, de minden bérlőhöz külön alkalmazásokat helyez üzembe. Ez logikai elkülönítést biztosít az egyes bérlők között, és ez a megközelítés a következő előnyöket nyújtja:
- Költséghatékonyság: Az üzemeltetési infrastruktúra megosztásával általában csökkentheti a bérlőnkénti teljes költségeket.
- A konfiguráció elkülönítése: Minden bérlői alkalmazás saját tartománynévvel, TLS-tanúsítvánnyal, hozzáférési korlátozásokkal és jogkivonat-engedélyezési szabályzatokkal rendelkezhet.
- A frissítések elkülönítése: Minden bérlő alkalmazás bináris fájljai frissíthetők az ugyanazon csomagban lévő többi alkalmazástól függetlenül.
Mivel azonban a csomag számítási erőforrásai meg vannak osztva, előfordulhat, hogy az alkalmazások zajos szomszéd probléma tárgyát képezik. Emellett az is korlátozott, hogy hány alkalmazás helyezhető üzembe egyetlen csomagban.
Megjegyzés:
Ne használjon üzembehelyezési pontokat a különböző bérlőkhöz. A tárolóhelyek nem biztosítják az erőforrások elkülönítését. Üzembe helyezési forgatókönyvekhez vannak kialakítva, ha az alkalmazásnak rövid ideig futó több verziójára van szüksége, például a kék-zöld üzemelő példányokra és egy kanári-bevezetési stratégiára.
Csomagok bérlőnként
Az elkülönítés legerősebb szintje egy dedikált terv üzembe helyezése egy bérlő számára. Ez a dedikált csomag biztosítja, hogy a bérlő teljes mértékben kihasználja az adott csomaghoz lefoglalt kiszolgálói erőforrásokat.
Ezzel a módszerrel skálázhatja a megoldást, hogy az egyes bérlők teljesítményelkülönítést biztosítsanak, és elkerülhesse a zajos szomszéd problémát. Ugyanakkor magasabb költségekkel is jár, mert az erőforrásokat nem osztják meg több bérlővel. Emellett figyelembe kell vennie az egyetlen Azure-erőforráscsoportban üzembe helyezhető csomagok maximális számát is.
Gazdagép API-k
Api-kat Azure-alkalmazás Service-n és Azure Functionsen is üzemeltethet. A platform kiválasztása a szükséges funkciókészlettől és skálázási lehetőségektől függ.
Bármelyik platformot is használja az API üzemeltetéséhez, fontolja meg az Azure API Management használatát az API-alkalmazás előtt. Az API Management számos olyan funkciót kínál, amelyek hasznosak lehetnek a több-bérlős megoldásokhoz, többek között az alábbiakhoz:
- Központi pont az összes hitelesítéshez. Ilyen lehet például a bérlőazonosító meghatározása egy jogkivonat jogcíméből vagy más kérés metaadataiból.
- Különböző API-háttérrendszerekre irányuló kérések átirányítása, amelyek a kérés bérlőazonosítóján alapulhatnak. Ez akkor lehet hasznos, ha több üzembehelyezési bélyeget üzemeltet saját, független API-alkalmazásokkal, de minden kéréshez egyetlen API-URL-címmel kell rendelkeznie.
Hálózatkezelés és több-bérlősség
IP-címek
Számos több-bérlős alkalmazásnak csatlakoznia kell a bérlők helyszíni hálózatához az adatok küldéséhez.
Ha egy ismert statikus IP-címről vagy ismert statikus IP-címkészletről szeretne kimenő forgalmat küldeni, fontolja meg a NAT-átjáró használatát. A NAT Gateway több-bérlős megoldásokban való használatával kapcsolatos további információkért tekintse meg az Azure NAT Gateway több-bérlős használatának szempontjait. Az App Service útmutatást nyújt a NAT-átjáróval való integrációhoz.
Ha nincs szüksége statikus kimenő IP-címre, hanem időnként ellenőriznie kell az alkalmazás által a kimenő forgalomhoz használt IP-címet, lekérdezheti az App Service-telepítés aktuális IP-címét.
Quotas
Mivel az App Service maga egy több-bérlős szolgáltatás, gondoskodnia kell a megosztott erőforrások használatáról. A hálózatkezelés olyan terület, amelyet különös figyelmet kell fordítania, mivel vannak olyan korlátok, amelyek hatással vannak arra, hogy az alkalmazás hogyan működhet bejövő és kimenő hálózati kapcsolatokkal, beleértve a forráshálózati címfordítást (SNAT) és a TCP-portkorlátokat.
Ha az alkalmazás nagy számú adatbázishoz vagy külső szolgáltatáshoz csatlakozik, akkor az alkalmazás SNAT-portkimerülésének lehet kitéve. Általánosságban elmondható, hogy az SNAT-portok kimerülése azt jelzi, hogy a kód nem használja fel megfelelően a TCP-kapcsolatokat, és még egy több-bérlős megoldás esetében is ügyeljen arra, hogy kövesse a kapcsolatok újrafelhasználására vonatkozó ajánlott eljárásokat.
Egyes több-bérlős megoldásokban azonban a különböző IP-címekhez való kimenő kapcsolatok száma SNAT-portkimerülést eredményezhet, még akkor is, ha helyes kódolási eljárásokat követ. Ezekben a forgatókönyvekben fontolja meg az alábbi lehetőségek egyikét:
- A NAT Gateway üzembe helyezése az alkalmazás számára elérhető SNAT-portok számának növeléséhez. A NAT Gateway több-bérlős megoldásokban való használatával kapcsolatos további információkért tekintse meg az Azure NAT Gateway több-bérlős használatának szempontjait.
- Szolgáltatásvégpontok használata az Azure-szolgáltatásokhoz való csatlakozáskor a terheléselosztó korlátainak megkerüléséhez.
Még ha ezek a vezérlők is érvényben vannak, nagy számú bérlő esetén is megközelítheti a korlátokat, ezért érdemes további App Service-csomagokra vagy üzembehelyezési bélyegekre méretezni.
Közreműködők
Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.
Fő szerző:
- John Downs | Az Azure-hoz készült FastTrack vezető ügyfélmérnöke
Egyéb közreműködők:
- Thiago Almeida | Fő programmenedzser, Azure Functions
- Arsen Vladimirskiy | Az Azure-hoz készült FastTrack vezető ügyfélmérnöke
A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.
Következő lépések
Tekintse át a több-bérlős megoldások tervezőinek és fejlesztőinek szánt erőforrásokat.