Szerkesztés

Share via

Kezdőzónákkal integrált Azure Spring Apps

Azure Application Gateway
Azure Key Vault
Azure Spring Apps

Ez a referenciaarchitektúra üzembe helyezi az Azure Spring Apps alaparchitektúrát az Azure-beli kezdőzónákban.

Ebben a forgatókönyvben a szervezet elvárja, hogy a számítási feladat a központi csapatok (platform) által felügyelt összevont erőforrásokat használja. A központosított felügyeleti példák közé tartozik a helyszíni kapcsolatok hálózatkezelése, az identitáshozzáférés kezelése és a szabályzatok. Ez az útmutató feltételezi, hogy a szervezet azure-beli célzónákat fogadott el, amelyek egységes szabályozást alkalmaznak, és több számítási feladat költségeinek megtakarítására szolgálnak.

Fontos

Ez a referenciaarchitektúra az Azure Spring Apps célzónagyorsító útmutatójának része. Az ajánlott eljárások olyan számítási feladatok tulajdonosának szólnak, akik meg szeretnék felelni az előző elvárásoknak.

A számítási feladat egy , a szervezet által kiépített Azure-alkalmazás célzóna-előfizetésében van üzembe helyezve. Számítási feladat tulajdonosaként Ön az előfizetés erőforrásainak tulajdonosa.

A számítási feladat az Azure platform kezdőzónáinak előfizetésétől függ a megosztott erőforrásokhoz. Ezeket az erőforrásokat a platformcsapatok birtokolják. Ön azonban felelős a csapattal szemben támasztott vezetési követelményekért, így a számítási feladat a várt módon működik. Ez az útmutató ezeket a követelményeket platformcsapatként jegyzeteli.

Javasoljuk, hogy ismerje meg az Azure-beli célzónák fogalmát.

Az architektúra tervezési lehetőségeit a gyorsító fő műszaki tervezési területei ismertetik. További információ: Azure Spring Apps célzónagyorsító.

Tipp.

GitHub logo Az architektúrát egy gitHub-példa implementáció is alátámasztja, amely néhány tervezési lehetőséget szemléltet. A megvalósítást tekintheti az első lépésnek az éles környezet felé.

Architektúra

Az alábbi ábra a megközelítés architektúrájának szemléltetését mutatja be:

Diagram that shows an architecture for an Azure Spring Apps workload in a landing zone.

Az architektúra gyakori használati módjai többek között a következők:

  • Privát alkalmazások: Hibrid felhőkörnyezetekben üzembe helyezett belső alkalmazások.
  • Nyilvános alkalmazások: Külsőleg elérhető alkalmazások.

Ezek a használati esetek a biztonsági és hálózati forgalmi szabályok konfigurálása kivételével hasonlóak.

Összetevők

A következő szakaszok az architektúra összetevőit ismertetik. Az összetevők tulajdonosi felelősség szerint vannak felosztva, így könnyebben azonosíthatja, hogy mit oszthat meg a szervezet platformcsapataival. Az Azure-szolgáltatásokkal kapcsolatos termékdokumentációért tekintse meg a Kapcsolódó erőforrások szakaszt.

Alkalmazáscsoport tulajdonában lévő erőforrások

A csapat feladata az alábbi erőforrások létrehozása és karbantartása.

  • Az Azure Spring Apps Standard az Azure-ban üzemelteti a Java Spring Boot-alkalmazásokat.

  • Azure-alkalmazás Átjáró Standard_v2 az a fordított proxy, amely a bejövő webes forgalmat az Azure Spring Appsbe irányítja. Ez a termékváltozat integrált Azure Web Application Firewall-tűzfallal rendelkezik, amely az Open Web Application Security Project (OWASP) biztonsági réseinek forgalmát vizsgálja.

  • Az Azure-beli virtuális gépek ugróablakként szolgálnak a felügyeleti műveletekhez.

  • Az Azure Database for MySQL tárolja az alkalmazásadatokat.

  • Az Azure Key Vault titkos kulcsokat és konfigurációkat tárol, például kapcsolati sztring az adatbázishoz.

  • A Log Analytics az Azure Monitor egyik funkciója, amelyet Azure Monitor-naplóknak is neveznek. A Log Analytics egy monitorozási fogadó, amely naplókat és metrikákat tárol az alkalmazásból és az Azure-szolgáltatásokból.

  • Azure-alkalmazás Elemzések alkalmazásteljesítmény-kezelési (APM) eszközként használják az összes alkalmazásmonitorozási adat gyűjtésére és közvetlenül a Log Analyticsben való tárolására.

Platformcsapat tulajdonában lévő erőforrások

Ez az architektúra feltételezi, hogy a következő erőforrások már léteznek. Ezeket az erőforrásokat a szervezet központi csapatai birtokolják és tartják karban. Az alkalmazás ezektől a szolgáltatásoktól függ a működési költségek csökkentése és a költségek optimalizálása érdekében.

  • Az Azure Firewall ellenőrzi és korlátozza a kimenő forgalmat.

  • Az Azure Bastion biztonságos hozzáférést biztosít a felügyeleti jump boxhoz.

  • Az Azure ExpressRoute privát kapcsolatot biztosít a helyszíni és az Azure-infrastruktúra között.

  • Az Azure DNS helyszíni névfeloldást biztosít.

  • Az Azure VPN Gateway távoli csapatokkal köti össze az alkalmazást a helyszíni hálózaton.

Alkalmazásokkal kapcsolatos szempontok

A referencia-implementáció tartalmaz egy mintaalkalmazást, amely egy Azure Spring Apps-példányban üzemeltetett tipikus mikroszolgáltatási alkalmazást mutat be. A következő szakaszok az üzemeltetett alkalmazás részleteit ismertetik. További információ: PetClinic Store minta.

Szolgáltatásészlelés

Mikroszolgáltatás-mintában a szolgáltatásregisztrációs adatbázis képességét támogatni kell a felhasználói kérések útválasztásához és a szolgáltatások közötti kommunikációhoz.

A szolgáltatásoknak képesnek kell lenniük más szolgáltatásokkal való kommunikációra. Új példányok létrehozásakor a rendszer hozzáadja őket a beállításjegyzékhez, hogy dinamikusan felderíthetőek legyenek. Ebben az architektúrában a felügyelt Spring Cloud Service Registry (OSS) engedélyezve van az Azure Spring Appshez. Ez a szolgáltatás fenntartja az élő alkalmazáspéldányok nyilvántartását, lehetővé teszi az ügyféloldali terheléselosztást, és leválasztja a szolgáltatókat az ügyfelekről anélkül, hogy tartománynév-szolgáltatásra (DNS-re) támaszkodik.

Az Azure Spring Apps-példány implementálja az átjáró útválasztási mintáját, amely egyetlen belépési pontot biztosít a külső forgalom számára. Az átjáró átirányítja a bejövő kéréseket a beállításjegyzékben található aktív szolgáltatáspéldányokhoz. Ebben a kialakításban a minta a Spring Cloud Gateway nyílt forráskódú implementációjával valósul meg. Olyan szolgáltatáskészletet kínál, amely magában foglalja a hitelesítést és az engedélyezést, a rugalmassági funkciókat és a sebességkorlátozást.

Konfigurációs kiszolgáló

Mikroszolgáltatások esetén a konfigurációs adatokat el kell különíteni a kódtól. Ebben az architektúrában az Azure Spring Apps Config Server lehetővé teszi az erőforrások kezelését egy csatlakoztatható adattáron keresztül, amely támogatja a helyi tároló- és Git-adattárakat.

Redundancia

Rendelkezésre állási zónákat használhat egy Azure Spring Apps-példány létrehozásakor.

Ezzel a funkcióval az Azure Spring Apps automatikusan elosztja az alapvető erőforrásokat a mögöttes Azure-infrastruktúra logikai szakaszai között. Ez a disztribúció magasabb szintű rendelkezésre állást biztosít, és védelmet nyújt a hardverhibák és a tervezett karbantartási események ellen.

A zónaredundancia biztosítja, hogy a mögöttes virtuálisgép-csomópontok egyenletesen legyenek elosztva az összes rendelkezésre állási zónában. A zónaredundancia azonban nem garantálja az alkalmazáspéldányok egyenletes elosztását. Ha egy alkalmazáspéldány meghiúsul, mert a található zóna leáll, az Azure Spring Apps létrehoz egy új alkalmazáspéldányt az alkalmazáshoz egy másik rendelkezésre állási zónában lévő csomóponton.

Ha engedélyezi a saját erőforrását az Azure Spring Appsben, például a saját állandó tárterületét, engedélyezze a zónaredundanciát az erőforrás számára. További információ: Saját állandó tárterület engedélyezése az Azure Spring Appsben.

A rendelkezésre állási zónák nem minden régióban támogatottak. Annak megtekintéséhez, hogy mely régiók támogatják a rendelkezésre állási zónákat, tekintse meg a rendelkezésre állási zóna támogatásával rendelkező Azure-régiókat.

Méretezhetőség

Az Azure Spring Apps automatikus skálázási képességeket biztosít a dobozon kívül, amelyek lehetővé teszik az alkalmazások számára a metrikaküszöbök alapján vagy egy adott időszak alatt történő skálázást. Az automatikus skálázás akkor ajánlott, ha az alkalmazásoknak vertikális felskálázásra vagy vertikális felskálázásra van szükségük a változó igényekre reagálva.

Az Azure Spring Apps emellett támogatja az alkalmazások manuális skálázását a processzor, a memória/GB példányonkénti és az alkalmazáspéldányok számának módosításával. Ez a skálázási típus alkalmas olyan egyszeri skálázási tevékenységekhez, amelyeket bizonyos alkalmazások esetében érdemes elvégezni. Módosítsa az értékeket az alkalmazás skálázási igényeinek megfelelően, és győződjön meg arról, hogy a beállítások az egyes attribútumok maximális korlátain belül vannak.

Fontos

Az alkalmazások manuális méretezése a beállítások módosításával eltér az Azure Portal automatikus méretezési beállításának manuális méretezési beállításától.

Hálózati szempontok

Ebben a kialakításban a számítási feladat a platformcsapat tulajdonában lévő erőforrásoktól függ a helyszíni erőforrások eléréséhez, a kimenő forgalom szabályozásához stb. További információ: Azure Spring Apps célzónagyorsító: Hálózati topológia és kapcsolat.

hálózati topológia,

A platformcsapat határozza meg a hálózati topológiát. Ebben az architektúrában küllős topológiát feltételezünk.

Központi virtuális hálózat

A kapcsolati előfizetés egy központi virtuális hálózatot tartalmaz, amelyet a teljes szervezet megosztott. A hálózat a platformcsapat tulajdonában és fenntartásában lévő hálózati erőforrásokat tartalmazza. Az architektúra hatóköre a következő platformcsoport-erőforrásokat tartalmazza:

  • Az Azure Firewall szabályozza az internet felé irányuló kimenő forgalmat.
  • Az Azure Bastion biztosítja a felügyeleti jump boxhoz való hozzáférést.
Küllős virtuális hálózat

Az alkalmazás kezdőzónája legalább egy, a központi hálózathoz társviszonyban lévő előre kiépített virtuális hálózatával rendelkezik. Ön rendelkezik a hálózat erőforrásaival, például a terheléselosztóval, amely az internetről irányítja és védi az Azure Spring Apps bejövő HTTP-kapcsolatait.

Az előre kiépített virtuális hálózatnak és társviszonyoknak támogatniuk kell a számítási feladat várható növekedését. Becsülje meg a virtuális hálózat méretét, és rendszeresen értékelje ki a követelményeket a platformcsapattal. További információ: Virtuális hálózat követelményei.

Fontos

Platformcsapat

  • Rendelje hozzá az Azure Spring Apps erőforrás-szolgáltatói Owner jogosultságait a létrehozott virtuális hálózathoz.
  • Adjon meg különböző címeket a társviszony-létesítésben részt vevő virtuális hálózatokhoz.
  • Olyan IP-címtereket foglaljon le, amelyek elég nagyok ahhoz, hogy tartalmazzák a szolgáltatás futtatókörnyezetét és az üzembehelyezési erőforrásokat, és támogatják a méretezhetőséget is.

Virtuális hálózat injektálása és subnetting

Az Azure Spring Apps a VNET-injektálási folyamaton keresztül van üzembe helyezve a hálózatban. Ez a folyamat elkülöníti az alkalmazást az internettől, a magánhálózatok rendszereitől, más Azure-szolgáltatásoktól és még a szolgáltatás futtatókörnyezetétől is. Az alkalmazásból érkező és kimenő forgalom hálózati szabályok alapján engedélyezett vagy megtagadható.

Az elkülönítés alhálózatokon keresztül történik. Ön a felelős az alhálózatok kiosztásáért a küllős virtuális hálózaton. Az Azure Spring Appshez két dedikált alhálózat szükséges a szolgáltatás futtatókörnyezetéhez és a Java Spring Boot-alkalmazásokhoz.

Az alhálózatokat egyetlen Azure Spring Apps-példánynak kell dedikáltnak lennie. Több példány nem oszthatja meg ugyanazokat az alhálózatokat.

Az alhálózatok minimális mérete /28. A tényleges méret az Azure Spring Apps által támogatott alkalmazáspéldányok számától függ. További információ: Kisebb alhálózati tartományok használata.

Figyelmeztetés:

A kijelölt alhálózat mérete nem fedheti át a meglévő virtuális hálózati címteret. A méret nem lehet átfedésben egyetlen társhálózati vagy helyszíni alhálózat címtartományával sem.

Hálózati vezérlők

Azure-alkalmazás webalkalmazási tűzfallal rendelkező átjáró korlátozza a küllős virtuális hálózat bejövő forgalmát az internetről. A webalkalmazási tűzfalszabályok http/s kapcsolatokat engedélyeznek vagy tiltanak le.

A hálózaton belüli forgalmat az alhálózatokon található hálózati biztonsági csoportok (NSG-k) vezérlik. Az NSG-k a konfigurált IP-címek és portok alapján szűrik a forgalmat. Ebben a kialakításban az NSG-k az összes alhálózatra kerülnek. Az Azure Bastion alhálózat engedélyezi a HTTPS-forgalmat az internetről, az átjárószolgáltatásokból, a terheléselosztókból és a virtuális hálózatból. Az alhálózatról csak RDP- és SSH-kommunikáció engedélyezett a virtuális hálózatokkal.

A privát kapcsolatok az Azure Spring Apps és más Azure-szolgáltatások, például a kulcstartóhoz és az adatbázishoz való hozzáférés szabályozására szolgálnak. A privát végpontok egy külön alhálózatba kerülnek.

Az alkalmazásgazda DNS-rekordjait az Azure saját DNS kell tárolni, hogy földrajzi hiba esetén is rendelkezésre álljon.

Bár a kapcsolati előfizetés privát DNS-zónákkal rendelkezik, hozzon létre saját Azure saját DNS zónákat a privát végpontok által elért szolgáltatások támogatásához.

Fontos

Platformcsapat

  • Delegálja az Azure saját DNS zónákat az alkalmazás csapatának.
  • A központi hálózaton állítsa a DNS-kiszolgáló alapértelmezett (Azure által biztosított) értékét az alkalmazáscsapat által felügyelt privát DNS-zónák támogatására.

A virtuális hálózatból kimenő forgalmat korlátozni kell az adatkiszivárgási támadások megakadályozása érdekében. Ezt a forgalmat a központosított Azure Firewall (következő ugrás) irányítja, amely lehetővé teszi vagy letiltja a folyamatot egy teljes tartománynév (FQDN) használatával.

Fontos

Platformcsapat

  • UDR-ek létrehozása egyéni útvonalakhoz.
  • Azure-szabályzatok hozzárendelésével megakadályozhatja, hogy az alkalmazás csapata olyan alhálózatokat hozzon létre, amelyek nem rendelkeznek az új útvonaltáblával.
  • Adjon megfelelő szerepköralapú hozzáférés-vezérlési (RBAC) engedélyeket az alkalmazáscsapatnak, hogy a számítási feladatok követelményei alapján bővíthessék az útvonalakat.

Identitás- és hozzáférés-kezelés

A számítási feladat identitásának implementálásának összhangban kell lennie a szervezeti ajánlott eljárásokkal, hogy az alkalmazás ne sértse meg a szervezeti biztonságot vagy a szabályozási határokat. További információ: Azure Spring Apps célzónagyorsító: Identitás- és hozzáférés-kezelés.

A Microsoft Entra-azonosító az Azure Spring Apps-példányt használó felhasználók és szolgáltatások hitelesítéséhez ajánlott.

Az ajánlott módszer az, hogy engedélyezi a Microsoft Entra által felügyelt identitásokat az Azure-erőforrásokhoz az alkalmazás számára, hogy az alkalmazás önalázonos hitelesítést végezzen más szolgáltatásokban. Ebben az architektúrában a rendszer által hozzárendelt felügyelt identitásokat használják a könnyű kezelés érdekében.

Az engedélyezéshez használja az Azure Szerepköralapú hozzáférés-vezérlést (RBAC) a minimális jogosultság elvének alkalmazásával az engedélyek megadásakor.

Figyelési szempontok

Az Azure célzónaplatform megosztott megfigyelhetőségi erőforrásokat biztosít a felügyeleti előfizetések részeként. A saját monitorozási erőforrások kiépítése azonban ajánlott a számítási feladat általános felügyeletének egyszerűsítése érdekében. További információ: Azure Spring Apps célzónagyorsító: Monitorozási műveletek.

Ez az architektúra a következő erőforrásokat hozza létre:

  • Azure-alkalmazás Elemzések az Alkalmazásteljesítmény-figyelés (APM) megoldás, amely java-ügynökön keresztül teljes mértékben integrálva van a szolgáltatásba. Ez az ügynök további kód megkövetelése nélkül biztosít betekintést az összes üzembe helyezett alkalmazásba és függőségbe.
  • Az Azure Log Analytics-munkaterület az Azure-szolgáltatásokból és az alkalmazásból összegyűjtött összes naplóhoz és metrikához egységes fogadó.

Konfigurálja az Azure Spring Apps-példányt úgy, hogy diagnosztikai naplókat küldjön az alkalmazásból a kiépített Log Analytics-munkaterületre. További információ: Alkalmazások monitorozása a végpontok között.

Naplókat és metrikákat gyűjthet más Azure-szolgáltatásokhoz. A rendszerindítási diagnosztika engedélyezve van a jump boxhoz, így a virtuális gép indítójaként rögzítheti az eseményeket.

Konfigurálja a diagnosztikai beállításokat , hogy az összes többi Azure-erőforrás erőforrásnaplóit elküldje egy Log Analytics-munkaterületre. Az erőforrásnaplók csak akkor lesznek összegyűjtve, ha célhelyre irányítják őket. Minden Azure-erőforráshoz saját diagnosztikai beállítás szükséges.

Adat-korreláció több munkaterületről

A számítási feladat és az infrastruktúra összetevői által létrehozott naplókat és metrikákat a rendszer a számítási feladat Log Analytics-munkaterületén menti. A központosított szolgáltatások, például az Active Directory és az Azure Firewall által létrehozott naplókat és metrikákat azonban a platformcsapatok által felügyelt központi Log Analytics-munkaterületre menti a rendszer. A különböző fogadók adatainak korrelációja összetettséghez vezethet.

Vegyünk egy olyan felhasználói folyamatot, amelyben a számítási feladat függőségekkel rendelkezik a központosított szolgáltatásoktól. Az adatok egy része összegyűjthető a számítási feladatok szintjén, és exportálható a központi Log Analytics-munkaterületre, ahol a platformnaplókkal van összefüggésben.

Más bejegyzések azonban csak a számítási feladat munkaterületén létezhetnek olyan problémák miatt, mint az adatmennyiség, a formátum együttműködési képessége vagy a biztonsági korlátozások. Az egyetlen felhasználói folyamat két vagy több munkaterületén található nem rögzített naplóbejegyzések megnehezíthetik bizonyos problémák elhárítását. Ezek a hozzáadott összetettségek megkövetelik, hogy a csapatok együttműködjenek az alkalmazásesemények hibaelhárítása érdekében.

Ha segítségre van szüksége az ilyen típusú együttműködéshez, ismerkedjen meg a szervezet által beállított eljárásokkal. Biztonsági incidens esetén előfordulhat, hogy a számítási feladatszintű rendszergazdáknak át kell tekinteniük a rendszer naplóit a rosszindulatú tevékenységek jelei miatt, vagy a naplóik másolatait az incidenskezelőknek további elemzés céljából. Amikor a számítási feladatok rendszergazdái alkalmazásproblémákat hárítanak el, előfordulhat, hogy a platform rendszergazdáinak segítségre van szükségük a vállalati hálózatkezelés, a biztonság vagy más platformszolgáltatások naplóbejegyzéseinek korrelálásához.

Fontos

Platformcsapat

  • Engedélyezze az RBAC-nek, hogy lekérdezhesse és elolvassa a megfelelő platformerőforrások naplós fogadóit.
  • Naplók engedélyezése a következőhöz AzureFirewallApplicationRule: , AzureFirewallNetworkRuleés AzureFirewallDnsProxy. Az alkalmazás csapatának figyelnie kell az alkalmazásból érkező forgalomfolyamokat és a DNS-kiszolgálóra irányuló kéréseket.
  • Adjon az alkalmazás csapatának megfelelő engedélyeket a műveletek elvégzéséhez.

További információ: Azure Spring Apps célzónagyorsító: Monitorozási műveletek.

Állapotminták

Azure-alkalmazás Átjáró állapotadat-mintavételekkel biztosítja, hogy a bejövő forgalom rugalmas háttérpéldányokhoz legyen irányítva. Az Azure Spring Apps felkészültségi, livenessi és indítási mintavételei ajánlottak. Ha hiba történik, ezek a mintavételek segíthetnek a kecses leállásban. További információ: Állapotminták konfigurálása.

Biztonsági szempontok

A központosított csapatok hálózatkezelési és identitásvezérlőket biztosítanak a platform részeként. A számítási feladatnak azonban biztonsági megfizethetőségekkel kell rendelkeznie a támadási felület csökkentéséhez. További információ: Azure Spring Apps célzónagyorsító: Biztonság.

Inaktív adatok

A inaktív adatokat titkosítani kell. Maga az alkalmazás állapot nélküli. Minden adat megmarad egy külső adatbázisban, ahol ez az architektúra az Azure Database for MySQL-t használja. Ez a szolgáltatás titkosítja az adatokat, beleértve a lekérdezések futtatásakor létrehozott biztonsági másolatokat és ideiglenes fájlokat.

Átvitt adatok

Az átvitt adatokat titkosítani kell. A felhasználó böngészője és Azure-alkalmazás átjárója közötti forgalmat titkosítva kell biztosítani, hogy az adatok ne változhassanak az átvitel során. Ebben az architektúrában Azure-alkalmazás Átjáró csak HTTPS-forgalmat fogad el, és tárgyalja a TLS kézfogását. Ezt az ellenőrzést az Application Gateway alhálózat NSG-szabályai kényszerítik. A TLS-tanúsítvány közvetlenül az üzembe helyezés során töltődik be.

Az Application Gatewayről az Azure Spring Apps-példányra irányuló forgalom újra van titkosítva, hogy csak a biztonságos forgalom érje el az alkalmazást. Az Azure Spring Apps szolgáltatás futtatókörnyezete fogadja ezt a forgalmat, és TLS-végpontként működik. Ettől a ponttól kezdve az alkalmazáson belüli szolgáltatásközi kommunikáció nincs titkosítva. A többi Azure PaaS-szolgáltatással és a szolgáltatás futtatókörnyezetével való kommunikáció azonban TLS-en keresztül történik.

Dönthet úgy, hogy a TLS-kommunikációt az Azure Spring Appsen keresztül valósítja meg. Fontolja meg a kompromisszumokat. Negatív hatással lehet a késésre és a műveletekre.

Az átvitt adatokat meg kell vizsgálni a biztonsági rések miatt. A webalkalmazási tűzfal integrálva van az Application Gatewayrel, és további szempontokat is figyelembe vesz az OWASP biztonsági réseit blokkoló forgalommal kapcsolatban. Konfigurálhatja a webalkalmazási tűzfalat fenyegetésriasztások észlelésére, figyelésére és naplózására. Vagy beállíthatja a szolgáltatást a szabályok által észlelt behatolások és támadások blokkolására.

DDoS elleni védelem

Az elosztott szolgáltatásmegtagadás (DDoS) a kérésekkel való túlterheléssel képes leépíteni egy rendszert. Az alapszintű DDoS-védelem az infrastruktúra szintjén minden Azure-szolgáltatás számára engedélyezve van az ilyen támadások elleni védelemhez. Fontolja meg az Azure DDoS Protection szolgáltatásra való frissítést, hogy kihasználhassa az olyan funkciók előnyeit, mint a figyelés, a riasztások, az alkalmazás küszöbértékeinek beállítása. További információ: Azure DDoS Protection Service – gyakori kérdések.

Secret management

A Microsoft Teljes felügyelet biztonsági megközelítéséhez titkos kulcsokat, tanúsítványokat és hitelesítő adatokat kell biztonságos tárolóban tárolni. Az ajánlott szolgáltatás az Azure Key Vault.

Az Azure-szolgáltatástól és a szándéktól függően más módokon is tárolhat titkos kulcsokat. Ez az architektúra a következő megközelítést alkalmazza:

  • A tanúsítványok betöltése az üzembe helyezés során megtörténik.
  • A MySQL-kapcsolat a Service Csatlakozás or használatával valósul meg.

Költségoptimalizálási stratégiák

Az elosztott rendszer kialakításának természetéből adódóan az infrastruktúra-szórás valóság. Ez a valóság váratlan és ellenőrizhetetlen költségeket eredményez. Az Azure Spring Apps az igények kielégítése és a költségek optimalizálása érdekében méretezhető összetevők használatával készült. Ennek az architektúrának az alapja az Azure Kubernetes Service (AKS). A szolgáltatás célja, hogy csökkentse a Kubernetes kezelésével járó összetettséget és működési többletterhelést, és a fürt működési költségeinek hatékonyságát is magában foglalja.

Különböző alkalmazásokat és alkalmazástípusokat helyezhet üzembe az Azure Spring Apps egyetlen példányán. A szolgáltatás támogatja az olyan metrikák vagy ütemezések által aktivált alkalmazások automatikus skálázását, amelyek javíthatják a kihasználtságot és a költséghatékonyságot.

Az Alkalmazás Elemzések és az Azure Monitor használatával is csökkentheti a működési költségeket. Az átfogó naplózási megoldás által biztosított láthatóság révén automatizálást valósíthat meg a rendszer összetevőinek valós idejű skálázásához. Naplóadatokat is elemezhet, hogy feltárja az alkalmazáskódban azokat a hatékonysági hiányosságokat, amelyekkel javítható a rendszer általános költsége és teljesítménye.

Forgatókönyv üzembe helyezése

A referenciaarchitektúra központi telepítése az Azure Spring Apps célzónagyorsítójában érhető el a GitHubon. Az üzembe helyezés Terraform-sablonokat használ.

Az adattárban található összetevők olyan alapokat biztosítanak, amelyeket testre szabhat a környezetéhez. Az implementáció olyan megosztott erőforrásokkal rendelkező központi hálózatot hoz létre, mint például az Azure Firewall, szemléltető célokra. Ez a csoportosítás leképezhető külön célzóna-előfizetésekre a számítási feladatok és a platformfüggvények elkülönítése érdekében.

Az architektúra üzembe helyezéséhez kövesse a részletes utasításokat.

VMware-támogatás a nagyvállalati szinttel

Ha felügyelt VMware Tanzu-támogatást® szeretne az élő üzembe helyezéshez, fontolja meg az Azure Spring Apps Enterprise szintre való frissítést. A VMware Tanzu® szolgáltatásregisztrációs adatbázisa integrálva van az Azure Spring Appshez, amely lehetővé teszi a szolgáltatások felderítését és regisztrálását.

Az átjáró-útválasztáshoz válthat a VMware Spring Cloud Gatewayre. Olyan szolgáltatáskészletet kínál, amely magában foglalja a hitelesítést és az engedélyezést, a rugalmassági funkciókat és a sebességkorlátozást.

A Vállalati szinten a Tanzu® alkalmazáskonfigurációs szolgáltatása lehetővé teszi a Kubernetes natív ConfigMap-erőforrásainak kezelését, amelyek egy vagy több Git-adattárban meghatározott tulajdonságokból vannak feltöltve.

Ezen a szinten más VMware-szolgáltatások is támogatottak. További információ: Nagyvállalati szint az Azure Marketplace-en.

A referencia-implementáció az Azure Spring Apps Enterprise termékváltozatot támogatja üzembe helyezési lehetőségként. Ebben a beállításban van néhány architektúrabeli változás. Az Azure Database for PostgreSQL rugalmas kiszolgálójának egy példányát használja az Azure Virtual Network-integrációval és az Azure Cache for Redis privát végponttal. A mintaalkalmazás a Fitness Store alkalmazás.

Következő lépések

Az architektúrában használt Azure-szolgáltatások termékdokumentációját az alábbi cikkekben találja:

További megvalósítási forgatókönyvekért tekintse meg a következő cikkeket: