Planera för programleverans

  • Artikel

I det här avsnittet beskrivs viktiga rekommendationer för att leverera interna och externa program på ett säkert, mycket skalbart och högtillgängligt sätt.

Designöverväganden:

  • Azure Load Balancer (intern och offentlig) ger hög tillgänglighet för programleverans på regional nivå.

  • Azure Application Gateway möjliggör säker leverans av HTTP/S-program på regional nivå.

  • Azure Front Door möjliggör säker leverans av HTTP/S-program med hög tillgänglighet i Azure-regioner.

  • Azure Traffic Manager tillåter leverans av globala program.

Designrekommendationer:

  • Utföra programleverans inom landningszoner för både interna och externa program.

    • Behandla Application Gateway som en programkomponent och distribuera den i ett virtuellt ekernätverk, inte som en delad resurs i hubben.
    • För att tolka Web Application Firewall aviseringar behöver du vanligtvis djupgående kunskaper om programmet för att avgöra om de meddelanden som utlöser dessa aviseringar är legitima.
    • Du kan stöta på problem med rollbaserad åtkomstkontroll om du distribuerar Application Gateway i hubben när team hanterar olika program men använder samma instans av Application Gateway. Varje team har sedan åtkomst till hela Application Gateway konfigurationen.
    • Om du behandlar Application Gateway som en delad resurs kan du överskrida Azure Application Gateway gränser.
    • Läs mer om detta i Nätverket med noll förtroende för webbprogram.

  • För säker leverans av HTTP/S-program använder du Application Gateway v2 och ser till att WAF-skydd och principer är aktiverade.

  • Använd en partner-NVA om du inte kan använda Application Gateway v2 för säkerheten för HTTP/S-program.

  • Distribuera Azure Application Gateway v2- eller partner-NVA:erna som används för inkommande HTTP/S-anslutningar i det virtuella nätverket i landningszonen och med de program som de skyddar.

  • Använd en DDoS-standardskyddsplan för alla offentliga IP-adresser i en landningszon.

  • Använd Azure Front Door med WAF-principer för att leverera och skydda globala HTTP/S-program som sträcker sig över Azure-regioner.

  • När du använder Front Door och Application Gateway för att skydda HTTP/S-program använder du WAF-principer i Front Door. Lås Application Gateway för att endast ta emot trafik från Front Door.

  • Använd Traffic Manager för att leverera globala program som omfattar andra protokoll än HTTP/S.