共用方式為

Azure Spring Apps 登陸區域加速器的網路拓撲和連線能力

  • 發行項

本文說明放置 Spring Boot 工作負載之網路的設計考慮和建議。 您的目標設計取決於工作負載的需求,以及貴組織的安全性與合規性需求。

集中式平臺小組和應用程式小組會負責網路設計領域。 平臺小組會選取網路拓撲,可以是傳統的中樞輪輻模型,或Virtual WAN網路拓撲 (Microsoft 管理的) 。 應用程式小組負責輪輻網路的設計選擇。 工作負載預期相依于平臺所管理的共用服務。 應用程式小組必須瞭解這些相依性的影響,並傳達其需求,以便符合工作負載的整體目標。

如需平臺設計的詳細資訊,請參閱 網路拓撲和連線能力。

請遵循這些設計考慮和建議,作為子網、輸入和輸出控制項的最佳做法。

設計考量

  • 隔離。 中央小組可以提供虛擬網路,讓應用程式小組執行其工作負載。 如果 Spring Boot 工作負載與其他工作負載分開考慮,請考慮為 Spring App Service 執行時間和應用程式布建您自己的虛擬網路。

  • 子網。 當您選擇子網大小和應用程式數目時,請考慮應用程式的延展性。

    如果您使用現有的子網或自備路由表,請設定原則以確保 Azure Spring Apps 新增的規則不會更新或刪除。

    另一個層面是安全性。 請考慮允許或拒絕流量進入子網的規則。

  • 輸出 (輸出) 流量。 從虛擬網路傳送的流量必須透過Azure 防火牆或網路虛擬裝置路由傳送, (NVA) 。

    請考慮 Azure Spring Apps 所提供的內建負載平衡器限制。 根據您的需求,您可能需要使用使用者定義的路由 (UDR) 來自訂輸出路徑,例如透過 NVA 路由傳送所有流量。

  • 輸入 (輸入) 流量。 請考慮針對前往 Azure Spring Apps 的流量使用反向 Proxy。 根據您的需求,選擇原生選項,例如 Azure 應用程式閘道 和 Front Door,或區域服務,例如 API 管理 (APIM) 。 如果這些選項不符合工作負載的需求,則可以考慮非 Azure 服務。

設計建議

這些建議提供上述一組考慮的規範指引。

虛擬網路和子網路

  • Azure Spring Apps 需要您虛擬網路的擁有者許可權。 需要此角色,才能為部署和維護授與專用和動態服務主體。 如需詳細資訊,請參閱在虛擬網路中部署 Azure Spring 應用程式

  • 部署在私人網路中的 Azure Spring Apps 提供完整功能變數名稱 (FQDN) ,只能在私人網路記憶體取。 為 Spring 應用程式的 IP 位址建立 Azure 私人 DNS 區域。 將私人 DNS 連結至虛擬網路,方法是在 Azure Spring Apps 內指派私人 FQDN。 如需逐步指示,請參閱 在私人網路中存取您的應用程式

  • Azure Spring Apps 需要兩個專用子網。 一個子網具有服務執行時間,另一個子網則適用于 Spring Boot 應用程式。

    每個子網的 CIDR 區塊大小下限為 /28。 執行時間子網和應用程式子網需要 /28 的最小位址空間。 但您可以部署的 Spring 應用程式數目會影響子網的大小。 如需依子網範圍排列之應用程式實例數目上限的資訊,請參閱 使用較小的子網範圍

  • 如果您使用 Azure 應用程式閘道 作為 Azure Spring Apps 前面的反向 Proxy,則需要該實例的另一個子網。 如需詳細資訊,請參閱使用 應用程式閘道 作為反向 Proxy

  • 使用網路安全性群組 (子網上的 NSG) 來篩選東部-西部流量,以限制您服務執行時間子網的流量。

  • Azure Spring Apps 部署管理的資源群組和子網不得修改。

輸出流量

  • 根據預設,Azure Spring Apps 具有不受限制的輸出網際網路存取。 使用 NVA 例如Azure 防火牆來篩選北-南流量。 利用集中式中樞網路中Azure 防火牆,以減少管理額外負荷。

    注意

    需要輸出流量到 Azure Spring 元件,才能支援服務實例。 如需特定端點和埠的相關資訊,請參閱 Azure Spring Apps 網路需求

  • Azure Spring Apps 提供使用者定義的路由 (UDR) 輸出類型,以完全控制輸出流量路徑。 OutboundType 應在建立新的 Azure Spring Apps 服務實例時定義。 之後無法更新。 OutboundType 只能使用虛擬網路進行設定。 如需詳細資訊,請參閱 使用使用者定義的路由自訂 Azure Spring Apps 輸出

  • 應用程式必須與解決方案中的其他 Azure 服務通訊。 如果您的應用程式需要私人連線,請使用Azure Private Link支援的服務。

輸入流量

  • 使用反向 Proxy 來確保惡意使用者無法略過 WEB 應用程式防火牆, (WAF) 或規避節流限制。 建議使用整合式 WAF Azure 應用程式閘道。

    如果您使用企業層,請使用 Spring Cloud Gateway 應用程式的指派端點作為應用程式閘道的後端集區。 此端點會解析為 Azure Spring Apps 服務執行時間子網中的私人 IP 位址。

    在服務執行時間子網上新增 NSG,只允許來自應用程式閘道子網、Azure Spring Apps 子網和Azure Load Balancer的流量。

    注意

    您可以選擇反向 Proxy 的替代方法,例如 Azure Front Door 或非 Azure 服務。 如需設定選項的相關資訊,請參閱 透過反向 Proxy 公開 Azure Spring Apps

  • Azure Spring Apps 可以透過 VNet 插入或網路外部部署在虛擬網路中。 如需詳細資訊,請參閱 設定摘要

下一步

Azure Spring Apps 登陸區域加速器的安全性考慮