Сетевые функции Службы приложений Azure

Развертывание приложений в Службе приложений Azure можно выполнить несколькими способами. По умолчанию приложения, размещенные в Службе приложений Azure, доступны напрямую через Интернет и могут обращаться только к конечным точкам, размещенным в Интернете. Тем не менее для многих приложений необходимо управлять входящим и исходящим сетевым трафиком. Служба приложений включает в себя ряд функций, которые помогут вам удовлетворить эти потребности. Сложность заключается в выборе функции для решения определенной проблемы. Эта статья поможет определиться с выбором функций, основываясь на примерах использования.

Существует два типа развертываний Службы приложений Azure.

  • Многоклиентская общедоступная служба использует планы службы приложений в ценовых категориях Free, Shared, Basic, Standard, Premium, PremiumV2 и PremiumV3.
  • В среде службы приложений с одним клиентом (ASE) планы службы приложений для изолированного SKU размещаются непосредственно в виртуальной сети Azure.

Доступность функций зависит от того, используете ли вы многоклиентскую службу или ASE.

Примечание

Для приложений, развернутых в службе Azure Arc, сетевые функции недоступны.

Сетевые функции многоклиентской Службы приложений Azure

Служба приложений Azure представляет собой распределенную систему. Роли, которые обрабатывают входящие запросы HTTP или HTTPS, называются внешними интерфейсами. Роли, в которых размещается рабочие нагрузки клиента, называются рабочими процессами. Все роли в развертывании Службы приложений Azure существуют в многоклиентской сети. Так как в одной единице масштабирования Службы приложений Azure существует много различных клиентов, вы не можете подключить сеть службы приложений непосредственно к своей сети.

Вместо этого приходится использовать функции для управления различными аспектами взаимодействия приложений. Функции, которые обрабатывают запросы к приложению, нельзя использовать для решения проблем при выполнении вызовов из приложения. Аналогичным образом функции, устраняющие проблемы с вызовами из приложения, нельзя использовать для решения проблем в приложении.

Функции для входящих запросов Функции для исходящих запросов
Присвоение адреса приложению Гибридные подключения
Ограничения доступа Интеграция с виртуальной сетью на базе шлюза
Конечные точки служб интеграция с виртуальной сетью;
Частные конечные точки

Все эти функции можно использовать вместе, кроме отмеченных исключений. Функции можно сочетать, чтобы решать определенные проблемы.

Варианты использования и функции

Для любого варианта использования существует несколько способов решения проблемы. Выбор наиболее подходящей функции иногда выходит за рамки сценария использования. В следующих примерах использования входящих функций рассматривается использование сетевых функций Службы приложений Azure для решения проблем с управлением трафиком, передаваемых в приложение:

Вариант использования для входящего трафика Компонент
Поддержка требований SSL на основе IP-адреса для вашего приложения Присвоение адреса приложению
Поддержка неразделяемого выделенного адреса для входящего трафика приложения Присвоение адреса приложению
Ограничение доступа к приложению из набора четко определенных адресов Ограничения доступа
Ограничение доступа к приложению из ресурсов в виртуальной сети Конечные точки служб
Внутреннее Load Balancer (ILB) ASE
Частные конечные точки
Предоставление приложения с использованием частного IP-адреса в виртуальной сети Среда ASE с ILB
Частные конечные точки
Частный IP-адрес для входящего трафика на экземпляре Шлюза приложений Azure с конечными точками службы
Защита приложения с помощью брандмауэра веб-приложения (WAF) Шлюз приложений и внутренний балансировщик нагрузки ASE
Использование Шлюз приложений Azure с частными конечными точками
Использование Шлюза приложений с конечными точками служб
Azure Front Door с ограничениями доступа
Балансировка нагрузки трафика в приложениях в разных регионах Azure Front Door с ограничениями доступа
Балансировка нагрузки трафика в одном регионе Использование Шлюза приложений с конечными точками служб

В следующих сценариях показано, как использовать сетевые функции Служба приложений Azure для обеспечения требований к доступу для исходящего трафика в приложении.

Вариант использования для исходящего трафика Компонент
Доступ к ресурсам в виртуальной сети Azure в одном регионе. интеграция с виртуальной сетью;
ASE
Доступ к ресурсам в виртуальной сети Azure в другом регионе. Интеграция виртуальной сети и пиринг виртуальных сетей
Интеграция с виртуальной сетью на базе шлюза
ASE и пиринг между виртуальными сетями
Доступ к ресурсам, защищенным с помощью конечных точек службы интеграция с виртуальной сетью;
ASE
Доступ к ресурсам в частной сети, не подключенной к Azure Гибридные подключения
Доступ к ресурсам через каналы Azure ExpressRoute интеграция с виртуальной сетью;
ASE
Защита исходящего трафика веб-приложения Интеграция виртуальной сети и групп безопасности сети
ASE
Маршрутизация исходящего трафика из веб-приложения Интеграция виртуальной сети и таблиц маршрутизации
ASE

Поведение сети по умолчанию

Единицы масштабирования Службы приложений Azure поддерживают несколько клиентов в каждом развертывании. При использовании планов ценовых категорий "Бесплатный" и "Общий" рабочие нагрузки клиентов размещаются на многоклиентских рабочих процессах. При использовании планов категории "Базовый" и выше рабочие нагрузки клиентов размещаются в выделенных ресурсах плана службы приложений. Если вы используете стандартный план службы приложений, все приложения в этом плане будут выполняться в одном рабочем процессе. При масштабировании рабочего процесса все приложения в этом плане службы приложений будут реплицированы в новый рабочий процесс для каждого экземпляра в плане службы приложений.

Адреса для исходящего трафика

Предоставление рабочих виртуальных машин осуществляется на основе планов службы приложений. В планах "Бесплатный", "Общий", "Базовый", "Стандартный" и "Премиум" используется один и тот же тип рабочей машины. В плане категории "Премиум" версии 2 используется другой тип виртуальной машины. В плане категории "Премиум" версии 3 используется третий тип виртуальной машины. При изменении семейства виртуальных машин вы получаете новый набор исходящих адресов. При переходе с плана "Стандартный" на план "Премиум" версии 2 исходящие адреса будут изменены. При переходе с плана "Премиум" версии 2 на план "Премиум" версии 3 исходящие адреса будут изменены. В некоторых старых единицах масштабирования входящие и исходящие адреса меняются при переходе с плана "Стандартный" на "Премиум" версии 2.

Для исходящих вызовов используется несколько адресов. Исходящие адреса, используемые приложением для выполнения исходящих вызовов, перечислены в свойствах вашего приложения. Эти адреса являются общими для всех приложений, работающих в одном семействе рабочих виртуальных машин в развертывании Службы приложений Azure. Чтобы просмотреть список всех адресов, которые ваше приложение может использовать в единице масштабирования, используйте свойство possibleOutboundAddresses.

Снимок экрана, на котором показаны параметры приложения.

Служба приложений имеет ряд конечных точек, которые используются для управления службой. Эти адреса публикуются в отдельном документе и также находятся в теге AppServiceManagement службы IP-адресов. Тег AppServiceManagement используется только в средах Службы приложений Azure, где необходимо разрешить такой трафик. Входящие адреса Cлужбы приложений Azure записываются в теге AppService службы IP-адресов. Тег службы IP-адресов, содержащий исходящие адреса, используемые Службой приложений Azure, не существует.

Схема, на которой показан входящий и исходящий трафик Службы приложений Azure.

Присвоение адреса приложению

Присвоение адреса приложению — это дополнительная возможность, доступная благодаря подключению SSL на основе IP-адресов. Для доступа к ней требуется настроить SSL-соединение для приложения. Эту функцию можно использовать для вызовов SSL на основе IP-адреса. Кроме того, ее можно использовать, чтобы предоставить приложению уникальный адрес.

Схема, на которой показан адрес, назначенный приложению.

При использовании адреса, назначенного приложению, трафик по-прежнему проходит через те же роли внешнего интерфейса, которые служат для обработки всего входящего трафика для единицы масштабирования Службы приложений Azure. Однако адрес, назначенный приложению, может использовать только ваше приложение. Варианты использования этой функции

  • Поддержка требований SSL на основе IP-адреса для вашего приложения.
  • Присвоение выделенного адреса приложению, которое не является общим.

Чтобы узнать, как присвоить адрес приложению, см. статью Добавление сертификата TLS/SSL в Службу приложений Azure.

Ограничения доступа

Ограничения доступа позволяют фильтровать входящие запросы. Действие фильтрации выполняется на внешних ролях, которые находятся выше рабочих ролей, в которых выполняются приложения. Так как внешние роли находятся выше рабочих ролей, рекомендуем ввести ограничения доступа в качестве защиты для приложений на уровне сети.

Эта функция позволяет создать список правил разрешений и запретов, которые оцениваются в порядке приоритета. Аналогичным образом работает функция группы безопасности сети (NSG) в сети Azure. Эту функцию можно использовать в ASE или в многоклиентской службе. При использовании с ILB ASE можно ограничить доступ из частных блоков адресов.

Примечание

Для каждого приложения можно настроить до 512 правил ограничения доступа.

Схема, иллюстрирующая ограничения доступа.

Правила ограничения доступа на основе IP-адресов

Функция ограничений доступа на основе IP-адресов позволяет ограничить IP-адреса, которые могут быть использованы для доступа к приложению. Поддерживаются форматы IPv4 и IPv6. Варианты использования этой функции

  • Ограничение доступа к приложению из набора четко определенных адресов.
  • Ограничение доступа к трафику, поступающему через внешнюю службу балансировки нагрузки или другие сетевые устройства с известными IP-адресами исходящего трафика.

Сведения о том, как включить эту функцию, см. в разделе Настройка ограничений доступа.

Примечание

Правила ограничения доступа на основе IP-адресов применяются для обработки диапазонов адресов виртуальной сети только в том случае, если приложение находится в среде Службы приложений Azure. Если приложение находится в многоклиентской службе, необходимо использовать конечные точки службы, чтобы ограничить трафик избранными подсетями виртуальной сети.

Правила ограничения доступа на основе конечных точек службы

Конечные точки службы позволяют блокировать входящий доступ к приложению исходными адресами из набора выбранных вами подсетей. Эту функцию можно использовать вместе с ограничениями доступа по IP-адресам. Использование конечных точек службы несовместимо с удаленной отладкой. Если вы хотите использовать удаленную отладку в приложении, клиент не может находиться в подсети, в которой включены конечные точки службы. Процесс настройки конечных точек службы аналогичен процессу настройки ограничений доступа по IP-адресу. Вы можете создать список правил для разрешения и отклонения доступа, который включает в себя общедоступные адреса и подсети в виртуальных сетях.

Примечание

Правила ограничения доступа, основанные на конечных точках служб, не поддерживаются в приложениях, использующих SSL на основе IP-адресов (адрес, назначенный приложению).

Варианты использования этой функции

  • Настройте шлюз приложений таким образом, чтобы блокировать входящий трафик для приложения.
  • Ограничение доступа к приложению из ресурсов в виртуальной сети. К этим ресурсам могут относиться виртуальные машины, среды ASE или даже другие приложения, использующие интеграцию с виртуальной сетью.

Схема, иллюстрирующая использование конечных точек службы со Шлюзом приложений Azure.

Дополнительные сведения о настройке конечных точек службы в приложении см. в статье Ограничения доступа для Службы приложений Azure.

Правила ограничения доступа на основе тегов службы

Теги служб Azure — это четко определенные наборы IP-адресов для служб Azure. Теги служб служат для группировки диапазонов IP-адресов, которые используются в различных службах Azure. Кроме того, они часто также относятся к конкретным регионам. Это позволяет фильтровать входящий трафик от конкретных служб Azure.

Полный список тегов и дополнительные сведения см. по ссылке "Теги служб Azure" выше. Сведения о том, как включить эту функцию, см. в разделе Настройка ограничений доступа.

Фильтрация заголовков HTTP для правил ограничения доступа

Для всех правил ограничения доступа можно добавить дополнительную фильтрацию заголовков HTTP. Это обеспечивает дополнительную проверку входящих запросов и фильтрацию на основе конкретных значений заголовков HTTP. Заголовок может иметь до 8 значений для каждого правила. В настоящее время поддерживается следующий список заголовков HTTP:

  • X-Forwarded-For
  • X-Forwarded-Host
  • X-Azure-FDID
  • X-FD-HealthProbe.

Ниже рассмотрены некоторые варианты использования фильтрации заголовков HTTP.

  • Ограничение доступа к трафику с прокси-серверов, пересылающих имя узла.
  • Ограничение доступа к определенному экземпляру Azure Front Door с помощью правила тега службы и ограничения заголовка X-Azure-FDID.

Частная конечная точка

Частная конечная точка — это сетевой интерфейс, который надежно и безопасно подключается к веб-приложению по частной ссылке Azure. Частная конечная точка использует частный IP-адрес из виртуальной сети, фактически переводя веб-приложение в виртуальную сеть. Эта функция предназначена только для входящих потоков веб-приложения. Дополнительные сведения см. в статье Использование частных конечных точек для веб-приложений Azure.

Варианты использования этой функции

  • Ограничение доступа к приложению из ресурсов виртуальной сети.
  • Предоставление приложения с использованием частного IP-адреса в виртуальной сети.
  • Защита приложения с помощью брандмауэра веб-приложений.

Использование частных конечных точек помогает предотвратить утечку данных, так как единственные ресурсы, к которым можно получить доступ в частной конечной точке, — это приложение, с помощью которого она настроена.

Гибридные подключения

Гибридные подключения Службы приложений Azure позволяют приложениям выполнять исходящие вызовы к указанным конечным точкам TCP. Конечная точка может быть расположена в локальной среде, виртуальной сети или в любом другом местоположении, где разрешена передача исходящего трафика в Azure через порт 443. Чтобы использовать эту функцию, необходимо установить агент ретрансляции "Диспетчер гибридных подключений" на узле Windows Server 2012 или более поздней версии. Диспетчер гибридных подключений должен иметь доступ к Azure Relay через порт 443. Вы можете скачать Диспетчер гибридных подключений с помощью пользовательского интерфейса гибридных подключений Microsoft Azure службы приложений на портале.

Схема, показывающая сетевой поток гибридных подключений.

В основе гибридных подключений службы приложений лежит функция гибридных подключений Azure Relay. Служба приложений использует особую форму функции, которая поддерживает только отправку исходящих вызовов из приложения на узел и порт TCP. Эти узел и порт должны быть разрешены только на узле, где установлен Диспетчер гибридных подключений Microsoft Azure.

Когда приложение в службе приложений выполняет поиск DNS на узле и порте, указанных в параметрах гибридного подключения, трафик автоматически перенаправляется через гибридное подключение и из Диспетчера гибридных подключений Microsoft Azure. Дополнительные сведения см. в статье Гибридные подключения Службы приложений Azure.

Эта функция обычно используется в следующих целях.

  • Доступ к ресурсам в частных сетях, которые не подключены к Azure с помощью VPN или ExpressRoute.
  • Поддержка миграции локальных приложений в Службу приложений Azure без перемещения вспомогательных баз данных.
  • Предоставление доступа с улучшенной безопасностью к выделенному узлу и порту гибридного подключения. Большинство сетевых функций открывают доступ к сети. Использование гибридных подключений позволяет ограничить доступ одним узлом и портом.
  • Обслуживание сценариев не могут быть использованы другие способы исходящего подключения.
  • Разработка в Службе приложений Azure должна осуществляться таким образом, чтобы приложения могли с легкостью использовать локальные ресурсы.

Так как эта функция обеспечивает доступ к локальным ресурсам без исключений брандмауэра для входящего трафика, она популярна среди разработчиков. Другие сетевые функции для управления исходящими подключениями службы приложений задействуют виртуальную сеть Azure. Гибридные подключения не проходят через виртуальную сеть. Их можно использовать для обслуживания более широкого спектра потребностей.

Обратите внимание на то, что в параметрах гибридных подключений Службы приложений Azure не учитываются параметры более высоких уровней. Поэтому эту функцию можно использовать для доступа к базе данных, веб-службе или произвольному сокету TCP на мейнфрейме. По сути, она служит для туннелирования пакетов TCP.

Гибридные подключения широко используются в процессах разработки, а также в рабочих приложениях. Эта функция отлично подходит для получения доступа к веб-службе или базе данных, но не предназначена для ситуаций, где предполагается создание множества подключений.

Интеграция с виртуальной сетью на базе шлюза

Интеграция обязательной виртуальной сети шлюза в службе приложений позволяет приложениям выполнять исходящие запросы в виртуальной сети Azure. Эта функция служит для подключения узла, на котором выполняется приложение, к шлюзу виртуальной сети Microsoft Azure с помощью VPN типа "точка — сеть". При включении функции приложение получает один из адресов типа "точка — сеть", назначенных каждому экземпляру. Эта функция позволяет получать доступ к ресурсам в классической виртуальной сети или виртуальной сети Azure Resource Manager в любом регионе.

Схема интеграции виртуальной сети, обязательной для шлюза.

Эта функция решает проблему доступа к ресурсам в других виртуальных сетях. Она также может быть использована для подключения через виртуальную сеть к другим виртуальным сетям или к локальной среде. Функция несовместима с виртуальными сетями, подключенными к ExpressRoute, но работает с сетями, подключенными к VPN типа "сеть — сеть". Не рекомендуется использовать эту функцию из приложения в среде службы приложений (ASE), так как ASE уже находится в вашей виртуальной сети. Варианты использования этой функции

  • Доступ к ресурсам на частных IP-адресах в классических виртуальных сетях.
  • Доступ к ресурсам в локальной среде при наличии VPN типа "сеть — сеть".
  • Доступ к ресурсам в разных регионах виртуальных сетей, не являющихся одноранговыми в виртуальной сети в регионе.

Если эта функция включена, приложение будет использовать DNS-сервер, настроенный для целевой виртуальной сети. Дополнительные сведения об этой функции см. в разделе Интеграция Службы приложений Azure с виртуальной сетью.

Интеграция с региональной виртуальной сетью

Интеграция обязательной виртуальной сети для шлюза, полезна, но не решает проблему доступа к ресурсам через ExpressRoute. Помимо работы с подключениями ExpressRoute, необходимо, чтобы приложения могли выполнять вызовы служб, защищенных конечной точкой службы. Другие возможности интеграции с виртуальной сетью могут обеспечить эти потребности.

Функция интеграции с региональной виртуальной сетью позволяет разместить серверную часть приложения в подсети диспетчер ресурсов виртуальной сети в том же регионе, что и ваше приложение. Эта функция недоступна из среды Службы приложений Azure, которая уже находится в виртуальной сети. Варианты использования этой функции

  • Доступ к ресурсам в виртуальных сетях Azure Resource Manager в одном регионе.
  • Доступ к ресурсам в равноправных виртуальных сетях, включая подключения между регионами.
  • Доступ к ресурсам, защищенным с помощью конечных точек службы.
  • Доступ к ресурсам, доступным через подключения ExpressRoute или VPN.
  • Доступ к ресурсам в частных сетях без необходимости и стоимости шлюза виртуальной сети.
  • Помощь в обеспечении безопасности всего исходящего трафика.
  • Принудительное туннелирование всего исходящего трафика.

Схема, иллюстрирующая интеграцию виртуальной сети.

Дополнительные сведения см. в статье Интеграция Cлужбы приложений Azure с виртуальной сетью.

Среда службы приложений

Среда cлужбы приложений Azure (ASE) — это развертывание службы приложений Azure для одного клиента в виртуальной сети Azure. Ниже приведены несколько сценариев использования для этой функции.

  • Доступ к ресурсам в виртуальной сети
  • Доступ к ресурсам через подключения ExpressRoute.
  • Предоставление приложений в виртуальной сети с использованием частного адреса.
  • Доступ к ресурсам через конечные точки служб.
  • Доступ к ресурсам в частных конечных точках.

С помощью ASE вам не нужно использовать интеграцию с виртуальной сетью, так как ASE уже находится в вашей виртуальной сети. Для получения доступа к таким ресурсам, как SQL или службы хранилища Microsoft Azure, через конечные точки службы включите конечные точки службы в подсети ASE. Если вы хотите получить доступ к ресурсам в виртуальной сети или частных конечных точках в виртуальной сети, вам не нужно выполнять дополнительную настройку. Например, вам нужно обеспечить доступ к ресурсам с помощью подключения ExpressRoute — от вас не требуется ничего настраивать в ASE или в приложениях, так как вы уже находитесь в виртуальной сети.

Для предоставления приложений в ILB ASE можно использовать частные IP-адреса, поэтому вы можете с легкостью добавлять устройства WAF, чтобы предоставить доступ через Интернет только к определенным приложениям и обеспечить безопасность остальных. Эта функция помогает упростить разработку многоуровневых приложений.

В настоящее время некоторые из этих возможностей не поддерживаются из многоклиентской службы, но доступны из Среды службы приложений Azure. Ниже приведены некоторые примеры:

  • Размещение приложений в службе для одного клиента.
  • Увеличение масштаба до большего числа экземпляров по сравнению с многоклиентской службой.
  • Загрузка частных сертификатов клиента ЦС для использования приложениями с закрытыми конечными точками, защищенными центром сертификации.
  • Принудительное использование протокола TLS 1.1 для всех приложений, размещенных в системе, без возможности отключения на уровне приложения.

Схема, иллюстрирующая структуру ASE в виртуальной сети.

ASE обеспечивает оптимальную среду для размещения изолированных и выделенных приложений, но при этом создает сложности с управлением. Прежде чем внедрять ASE в использование, необходимо учесть следующие моменты.

  • ASE работает внутри виртуальной сети, но имеет зависимости вне ее. Эти зависимости должны быть разрешены. См. статью Рекомендации по работе с сетями в среде Службы приложений Azure.
  • В отличие от многоклиентских служб, ASE не поддерживает мгновенное масштабирование. Необходимо прогнозировать потребность в масштабировании, а не реагировать на уже возникшую.
  • ASE имеет более высокую стоимость. Чтобы использовать ASE максимально эффективно, следует заранее спланировать для нее обширные рабочие нагрузки.
  • Приложения в ASE не могут выборочно ограничивать доступ к другим приложениям в ASE.
  • ASE находится в подсети, таким образом, все правила работы с сетью применяются ко всему трафику в этой среде. Чтобы назначить правила входящего трафика только для одного приложения, используйте ограничения доступа.

Объединение функций

Функции, указанные для многоклиентской службы, можно использовать совместно для решения более сложных вариантов использования. Здесь описаны два наиболее распространенных варианта использования. Они приведены исключительно в качестве примеров. Зная возможности различных функций, можно удовлетворить практически всем требованиям к архитектуре системы.

Размещение приложения в виртуальной сети

Как разместить приложение в виртуальной сети? Если приложение размещено в виртуальной сети, входящие и исходящие конечные точки приложения находятся в пределах этой сети. ASE — лучший способ решения этой проблемы. Тем не менее объединение функции позволяет удовлетворить большую часть потребностей многоклиентской службы. Например, можно размещать приложения только для интрасети с частными адресами для входящих и исходящих вызовов. Для этого используйте следующие возможности.

  • Создание шлюза приложений с частными адресами для входящих и исходящих вызовов.
  • Защита входящего трафика приложения с помощью конечных точек службы.
  • Интеграция с виртуальной сетью для размещения серверной части приложения в виртуальной сети.

Такой стиль развертывания не предполагает выделение адреса для трафика, исходящего в Интернет, или возможность полной блокировки исходящего трафика из приложения. Однако он обеспечивает ряд возможностей, которые доступны только с помощью ASE.

Создание многоуровневых приложений

Многоуровневое приложение — это приложение, в котором доступ к серверным приложениям API предоставляется только из внешнего уровня. Существует два способа создания многоуровневого приложения. Начните с использования интеграции с виртуальной сетью, чтобы подключить внешнее веб-приложение к подсети в виртуальной сети. Это позволит веб-приложению выполнять вызовы в виртуальной сети. После подключения внешнего приложения к виртуальной сети необходимо выбрать способ блокировки доступа к API приложения. Вы можете:

  • Разместить внешний интерфейс и приложение API в одном ILB ASE и предоставить доступ к внешнему приложению через Интернет с помощью шлюза приложений.
  • Разместить внешний интерфейс в многоклиентской службе, а серверную часть — в ILB ASE.
  • Разместить внешний интерфейс и приложение API в многоклиентской службе.

Если вы размещаете внешний интерфейс и приложение API для многоуровневого приложения, вы можете сделать следующее.

  • Предоставить доступ к приложению API с помощью частных конечных точек в виртуальной сети:

    Схема, иллюстрирующая использование частных конечных точек в двухуровневом приложении.

  • Использовать конечные точки службы, чтобы входящий трафик к приложению API поступал только из подсети, используемой внешним веб-приложением.

    Схема, иллюстрирующая использование конечных точек службы для защиты приложения.

Ниже приведены некоторые рекомендации, которые помогут выбрать метод использования.

  • При использовании конечных точек службы необходимо защитить только трафик, поступающий к приложению API в подсети интеграции. Это помогает защитить приложение API, но может произойти утечка данных из внешнего приложения в другие приложения, размещенные в службе.
  • При использовании частных конечных точек у вас есть две подсети, что повышает сложность структуры. Кроме того, частная конечная точка является ресурсом верхнего уровня, что ведет к увеличению затрат на управление. Преимущество использования частных конечных точек заключается в исключении утечки данных.

Любой из этих методов подходит для использования с несколькими внешними интерфейсами. Конечные точки службы проще использовать в развертывании небольшого масштаба — их можно просто включить для приложения API во внешней подсети интеграции. При добавлении дополнительных внешних приложений необходимо настроить все приложения API, чтобы включить конечные точки службы в подсеть интеграции. При использовании частных конечных точек увеличивается сложность структуры, но после установки частной конечной точки не нужно вносить изменения в приложения API.

бизнес-приложения;

Бизнес-приложения — это внутренние приложения, которые обычно недоступны через Интернет. Эти приложения вызываются из корпоративных сетей, доступ к которым строго контролируется. Использование ILB ASE позволяет с легкостью размещать бизнес-приложения. При использовании многоклиентской службы можно использовать частные конечные точки или конечные точки службы совместно со шлюзом приложений. Существует два сценария, в которых следует использовать шлюз приложений с конечными точками службы вместо частных конечных точек.

  • Необходимо обеспечить защиту бизнес-приложений с помощью брандмауэр веб-приложений.
  • Необходимо распределить нагрузку между несколькими экземплярами бизнес-приложений.

Если ни одно из этих требований не актуально, следует использовать частные конечные точки. Если в Службе приложений Azure доступны частные конечные точки, вы можете использовать частные адреса для размещения приложений в виртуальной сети. Доступ к частной конечной точке, размещенной в виртуальной сети, можно предоставить через подключения ExpressRoute и VPN.

При настройке частных конечных точек для предоставления приложения будет использоваться частный адрес, но вы должны будете настроить DNS для доступа к этому адресу из локальной среды. Чтобы использовать эту конфигурацию, необходимо настроить переадресацию из частной зоны Azure DNS, которая содержит частные конечные точки, на локальные DNS-серверы. Частные зоны Azure DNS не поддерживают переадресацию зон, однако для этой цели можно использовать DNS-сервер. Шаблон сервера пересылки DNS упрощает пересылку частной зоны Azure DNS на локальные DNS-серверы.

Порты Службы приложений Azure

При сканировании Службы приложений Azure можно найти несколько портов, доступных для входящих подключений. В многоклиентской службе нельзя заблокировать эти порты или контролировать доступ к ним. Ниже приведен список доступных портов.

Использование Порт или порты
HTTP/HTTPS 80, 443
Управление 454, 455
FTP/FTPS 21, 990, 10001-10300
Удаленная отладка в Visual Studio 4020, 4022, 4024
Служба веб-развертывания 8172
Использование инфраструктуры 7654, 1221