Share via

Az Azure Spring Apps kezdőzónagyorsítójának hálózati topológiája és kapcsolata

  • Cikk

Ez a cikk tervezési szempontokat és javaslatokat ír le arra a hálózatra vonatkozóan, amelyben a Spring Boot számítási feladat található. A célterv a számítási feladat követelményeitől, valamint a szervezet biztonsági és megfelelőségi követelményeitől függ.

A központosított platform csapata és az alkalmazás csapata osztozik a hálózattervezési terület felelősségében. A platformcsapat kiválasztja a hálózati topológiát, amely lehet hagyományos küllős modell vagy Virtual WAN hálózati topológia (Microsoft által felügyelt). Az alkalmazás csapata felel a küllős hálózat tervezési lehetőségeiért. A számítási feladat várhatóan a platform által kezelt megosztott szolgáltatásoktól függ. Az alkalmazás csapatának tisztában kell lennie a függőségek következményeivel, és közölnie kell a követelményeiket, hogy a számítási feladat általános céljai teljesüljenek.

A platform kialakításával kapcsolatos további információkért lásd: Hálózati topológia és kapcsolat.

Kövesse ezeket a tervezési szempontokat és javaslatokat ajánlott eljárásokként a szubnetting, a bejövő és a kimenő forgalom vezérlőihez.

Kialakítási szempontok

  • Elkülönítés. A központi csapat virtuális hálózatot biztosíthat az alkalmazáscsapatnak a számítási feladatok futtatásához. Ha a Spring Boot számítási feladat különvált a többi számítási feladattól, fontolja meg a saját virtuális hálózat kiépítését a Spring App szolgáltatás futtatókörnyezetéhez és az alkalmazáshoz.

  • Subnetting. Az alhálózat méretének és az alkalmazások számának kiválasztásakor vegye figyelembe az alkalmazás méretezhetőségét.

    Ha meglévő alhálózatokat használ, vagy saját útvonaltáblákat hoz létre, rendelkeznie kell szabályzatokkal annak biztosítására, hogy az Azure Spring Apps által hozzáadott szabályok ne legyenek frissítve vagy törölve.

    Egy másik szempont a biztonság. Fontolja meg azokat a szabályokat, amelyek engedélyezik vagy megtagadják az alhálózatba történő forgalmat.

  • Kimenő (kimenő) forgalom. A virtuális hálózatról érkező forgalmat Azure Firewall vagy hálózati virtuális berendezésen (NVA) keresztül kell irányítani.

    Vegye figyelembe az Azure Spring Apps által biztosított beépített terheléselosztó korlátait. A követelményeknek megfelelően előfordulhat, hogy testre kell szabnia a kimenő útvonalakat a felhasználó által definiált útválasztás (UDR) használatával, például az összes forgalom NVA-n keresztüli átirányításához.

  • Bejövő (bejövő) forgalom. Fontolja meg fordított proxy használatát az Azure Spring Apps felé irányuló forgalomhoz. A követelményeknek megfelelően válassza a natív beállításokat, például a Azure Application Gateway és a Front Doort, vagy a regionális szolgáltatásokat, például API Management (APIM). Ha ezek a lehetőségek nem felelnek meg a számítási feladat igényeinek, a nem Azure-szolgáltatások is megfontolhatók.

Tervezési javaslatok

Ezek a javaslatok előíró útmutatást nyújtanak az előző szempontokhoz.

Virtuális hálózat és alhálózatok

  • Az Azure Spring Apps tulajdonosi engedélyt igényel a virtuális hálózathoz. Ez a szerepkör egy dedikált és dinamikus szolgáltatásnév megadásához szükséges az üzembe helyezéshez és a karbantartáshoz. További információ: Azure Spring Apps üzembe helyezése virtuális hálózaton.

  • A magánhálózaton üzembe helyezett Azure Spring Apps teljes tartománynevet (FQDN) biztosít, amely csak a magánhálózaton belül érhető el. Hozzon létre egy Azure-beli privát DNS-zónát a Spring-alkalmazás IP-címéhez. Csatlakoztassa a privát DNS-t a virtuális hálózathoz egy privát teljes tartománynév Azure Spring Appsen belüli hozzárendelésével. Részletes útmutatásért lásd: Az alkalmazás elérése magánhálózaton.

  • Az Azure Spring Appshez két dedikált alhálózat szükséges. Az egyik alhálózat rendelkezik a szolgáltatás futtatókörnyezetével, a másik pedig a Spring Boot-alkalmazásokhoz.

    Az egyes alhálózatok CIDR-blokkjainak minimális mérete /28. A futtatókörnyezeti alhálózatnak és az alkalmazás alhálózatának legalább /28 címtérre van szüksége. Az üzembe helyezhető Spring-alkalmazások száma azonban befolyásolja az alhálózat méretét. Az alkalmazáspéldányok alhálózati tartományonkénti maximális értékéről további információt a Kisebb alhálózati tartományok használata című témakörben talál.

  • Ha Azure Application Gateway használ fordított proxyként az Azure Spring Apps előtt, szüksége lesz egy másik alhálózatra az adott példányhoz. További információ: A Application Gateway használata fordított proxyként.

  • Az alhálózatokon a hálózati biztonsági csoportok (NSG-k) használatával szűrheti a kelet-nyugati forgalmat a szolgáltatás futtatókörnyezeti alhálózatára irányuló forgalom korlátozásához.

  • Az Azure Spring Apps üzembe helyezésével kezelt erőforráscsoportokat és alhálózatokat nem szabad módosítani.

Kimenő forgalom

  • Alapértelmezés szerint az Azure Spring Apps korlátlan kimenő internet-hozzáféréssel rendelkezik. Használjon NVA-t, például Azure Firewall az észak-déli forgalom szűréséhez. Használja ki a központosított központi hálózat Azure Firewall előnyeit a felügyeleti többletterhelés csökkentése érdekében.

    Megjegyzés

    A szolgáltatáspéldányok támogatásához az Azure Spring-összetevők felé történő kimenő forgalomra van szükség. Az egyes végpontokkal és portokkal kapcsolatos információkért lásd: Azure Spring Apps hálózati követelmények.

  • Az Azure Spring Apps felhasználó által definiált kimenő útvonalat (UDR) biztosít a kimenő forgalom útvonalának teljes vezérléséhez. OutboundType egy új Azure Spring Apps-szolgáltatáspéldány létrehozásakor kell definiálni. Később nem frissíthető. OutboundType csak virtuális hálózattal konfigurálható. További információ: Az Azure Spring Apps kimenő forgalmának testreszabása felhasználó által megadott útvonallal.

  • Az alkalmazásnak kommunikálnia kell a megoldás többi Azure-szolgáltatásával. Ha az alkalmazások privát kapcsolatot igényelnek, használja a Azure Private Link a támogatott szolgáltatásokhoz.

Bejövő forgalom

  • Használjon fordított proxyt annak biztosítására, hogy a rosszindulatú felhasználók ne kerüljék meg a webalkalmazási tűzfalat (WAF) vagy megkerüljék a szabályozási korlátokat. Azure Application Gateway integrált WAF használata ajánlott.

    Ha a vállalati szintet használja, használja a Spring Cloud Gateway alkalmazás hozzárendelt végpontját a Application Gateway háttérkészleteként. Ez a végpont egy privát IP-címre oldódik fel az Azure Spring Apps szolgáltatás futtatókörnyezeti alhálózatában.

    Adjon hozzá egy NSG-t a szolgáltatás futtatókörnyezeti alhálózatához, amely csak a Application Gateway alhálózatról, az Azure Spring Apps alhálózatról és Azure Load Balancer engedélyezi a forgalmat.

    Megjegyzés

    Választhat alternatívát a fordított proxyhoz, például az Azure Front Doorhoz vagy a nem Azure-szolgáltatásokhoz. A konfigurációs lehetőségekről további információt az Azure Spring Apps fordított proxyn keresztül történő elérhetővé tételével foglalkozó cikkben talál.

  • Az Azure Spring Apps virtuális hálózaton keresztül vagy a hálózaton kívül is üzembe helyezhető. További információ: Konfiguráció összefoglalása.

Következő lépések

Az Azure Spring Apps kezdőzónagyorsítójának biztonsági szempontjai