Netzwerk und Konnektivität für unternehmenskritische Workloads
Die regionale Verteilung von Ressourcen in der unternehmenskritischen Referenzarchitektur erfordert eine robuste Netzwerkinfrastruktur.
Ein global verteiltes Design wird empfohlen, wo Azure-Dienste zusammenkommen, um eine hochverfügbare Anwendung bereitzustellen. Der globale Lastenausgleich in Kombination mit regionalen Stamps bietet eine Garantie durch zuverlässige Konnektivität.
Die regionalen Stamps sind die bereitstellbare Einheit in der Architektur. Die Möglichkeit, schnell einen neuen Stamp bereitzustellen, bietet Skalierbarkeit und unterstützt Hochverfügbarkeit. Die Stamps halten ein isoliertes virtuelles Netzwerkdesign ein. Stampübergreifender Datenverkehr wird nicht empfohlen. Peerings virtueller Netzwerke oder VPN-Verbindungen mit anderen Stamps sind nicht erforderlich.
Die Architektur definiert die regionalen Stamps mit Absicht als kurzlebig. Der globale Zustand der Infrastruktur wird in den globalen Ressourcen gespeichert.
Ein globaler Lastenausgleich ist erforderlich, um Datenverkehr an fehlerfreie Stamps weiterzuleiten und Sicherheitsdienste bereitzustellen. Er muss über bestimmte Funktionen verfügen.
Integritätstest sind erforderlich, damit der Lastenausgleich die Integrität des Ursprungs überprüfen kann, bevor der Datenverkehr weitergeleitet wird.
Gewichtete Datenverkehrsverteilung.
Optional sollte er in der Lage sein, Zwischenspeicherung am Edge auszuführen. Stellen Sie außerdem eine Sicherheitszusicherung für eingehenden Datenverkehr unter Verwendung der Web Application Firewall (WAF) bereit.
Laden Sie eine Visio-Datei dieser Architektur herunter.
Eingehender Datenverkehr
Die in der Architektur definierte Anwendung ist über da Internet erreichbar und besitzt mehrere Anforderungen:
Eine Routinglösung, die global ist und den Datenverkehr zwischen unabhängigen regionalen Stamps verteilen kann.
Niedrige Wartezeiten bei der Integritätsprüfung und die Möglichkeit das Senden von Datenverkehr an fehlerhafte Stamps zu beenden.
Verhinderung böswilliger Angriffe am Edge.
Bereitstellen von Zwischenspeicherungsfunktionen am Edge.
Der Einstiegspunkt für den gesamten Datenverkehr im Design erfolgt über Azure Front Door. Front Door ist ein globaler Lastenausgleich, der HTTP(S)-Datenverkehr an registrierte Back-Ends/Ursprünge weiterleitet. Front Door verwendet Integritätstests, die Anforderungen an einen URI in jedem Back-End/Ursprung senden. In der Referenzimplementierung ist der aufgerufene URI ein Integritätsdienst. Der Integritätsdienst kündigt die Integrität des Stamps an. Front Door verwendet die Antwort, um die Integrität eines einzelnen Stamps zu bestimmen und Datenverkehr an fehlerfreie Stamps weiterzuleiten, die in der Lage sind, Anwendungsanforderungen zu erfüllen.
Die Integration von Azure Front Door in Azure Monitor bietet Überwachung von Datenverkehr, Sicherheit, Erfolgs- und Fehlermetriken sowie Warnungen in Quasi-Echtzeit.
Azure Web Application Firewall, integriert in Azure Front Door, wird verwendet, um Angriffe am Edge zu verhindern, bevor sie in das Netzwerk gelangen können.
Isoliertes virtuelles Netzwerk – API
Die API in der Architektur verwendet Azure Virtual Networks als Grenze für die Isolierung des Datenverkehrs. Komponenten in einem virtuellen Netzwerk können nicht direkt mit Komponenten in einem anderen virtuellen Netzwerk kommunizieren.
Anforderungen an die Anwendungsplattform werden mit einem externen Azure Load Balancer einer Standard-SKU verteilt. Es gibt eine Überprüfung, um sicherzustellen, dass der Datenverkehr, der den Lastenausgleich erreicht, über Azure Front Door geleitet wurde. Dadurch wird sichergestellt, dass der gesamte Datenverkehr vom Azure WAF untersucht wurde.
Build-Agents, die für den Betrieb und die Bereitstellung der Architektur verwendet werden, müssen in der Lage sein, in das isolierte Netzwerk zu gelangen. Das isolierte Netzwerk kann geöffnet werden, um Agents die Kommunikation zu gestatten. Alternativ können selbstgehostete Agents im virtuellen Netzwerk bereitgestellt werden.
Die Überwachung des Netzwerkdurchsatzes, der Leistung der einzelnen Komponenten und der Integrität der Anwendung ist erforderlich.
Kommunikationsabhängigkeit der Anwendungsplattform
Die Anwendungsplattform, die mit den einzelnen Stamps in der Infrastruktur verwendet wird, weist die folgenden Kommunikationsanforderungen auf:
Die Anwendungsplattform muss sicher mit Microsoft PaaS-Diensten kommunizieren können.
Die Anwendungsplattform muss bei Bedarf sicher mit anderen Microsoft PaaS-Diensten kommunizieren können.
Die Architektur, wie sie definiert ist, verwendet Azure Key Vault zum Speichern von Geheimnissen wie Verbindungszeichenfolgen und API-Schlüsseln, um sicher über das Internet mit Azure-PaaS-Diensten zu kommunizieren. Die Anwendungsplattform über das Internet für diese Kommunikation verfügbar zu machen, geht mit möglichen Risiken einher. Geheimnisse können kompromittiert werden, und eine erhöhte Sicherheit und Überwachung der öffentlichen Endpunkte wird empfohlen.
Erweiterte Überlegungen zum Netzwerkbetrieb
In diesem Abschnitt werden die Vor- und Nachteile alternativer Ansätze zum Netzwerkdesign erläutert. Alternative Überlegungen zum Netzwerkbetrieb und die Verwendung von privaten Azure-Endpunkten bilden den Fokus in den folgenden Abschnitten.
Subnetze und NSG
Subnetze innerhalb der virtuellen Netzwerke können zum Segmentieren des Datenverkehrs innerhalb des Designs verwendet werden. Subnetzisolierung trennt Ressourcen für verschiedene Funktionen.
Netzwerksicherheitsgruppen können verwendet werden, um den Datenverkehr zu steuern, der in und aus jedem Subnetz zulässig ist. Innerhalb der NSGs verwendete Regeln können den Datenverkehr auf Grundlage von IP-Adresse, Port und Protokoll einschränken, um unerwünschten Datenverkehr in das Subnetz zu blockieren.
Private Endpunkte – eingehender Datenverkehr
Die Premium-SKU von Front Door unterstützt die Verwendung von privaten Azure-Endpunkten. Private Endpunkte machen einen Azure-Dienst an einer privaten IP-Adresse in einem virtuellen Netzwerk verfügbar. Verbindungen werden zwischen Diensten sicher und privat hergestellt, ohne dass der Datenverkehr an öffentliche Endpunkte weitergeleitet werden muss.
Azure Front Door Premium und private Azure-Endpunkte ermöglichen vollständig private Computecluster in den einzelnen Stamps. Der Datenverkehr wird für alle Azure-PaaS-Dienste vollständig gesperrt.
Die Verwendung privater Endpunkte erhöht die Sicherheit des Designs. Sie führt jedoch eine andere Fehlerquelle ein. Öffentliche Endpunkte, die in den Anwendungsstamps verfügbar gemacht werden, sind nicht mehr erforderlich und können nicht mehr von einem möglichen DDoS-Angriff verwendet werden.
Die erhöhte Sicherheit muss gegen den erhöhten Zuverlässigkeitsaufwand, höhere Kosten und Komplexität abgewogen werden.
Selbstgehostete Build-Agents müssen für die Stampbereitstellung verwendet werden. Die Verwaltung dieser Agents geht mit einem Wartungsmehraufwand einher.
Private Endpunkte – Anwendungsplattform
Private Endpunkte werden für alle in diesem Entwurf verwendeten Azure-PaaS-Dienste unterstützt. Mit privaten Endpunkten, die für die Anwendungsplattform konfiguriert sind, würde sämtliche Kommunikation über das virtuelle Netzwerk des Stamps geleitet.
Die öffentlichen Endpunkte der einzelnen Azure-PaaS-Dienste können so konfiguriert werden, dass kein öffentlicher Zugriff zulässig ist. Dies würde die Ressourcen von öffentlichen Angriffen isolieren, die Ausfallzeiten und Einschränkungen verursachen könnten, die sich auf Zuverlässigkeit und Verfügbarkeit auswirken.
Selbstgehostete Build-Agents müssen, genau wie oben, für die Stampbereitstellung verwendet werden. Die Verwaltung dieser Agents geht mit einem Wartungsmehraufwand einher.
Nächste Schritte
Stellen Sie die Referenzimplementierung bereit, um ein umfassendes Verständnis der Ressourcen und ihrer Konfiguration in dieser Architektur zu erhalten.