Hálózatkezelés SaaS-számítási feladatokhoz az Azure-ban
A hálózat biztosítja az ügyfelek saaS-alkalmazáshoz való hozzáférésének gerincét, és lehetővé teszi a megoldás összetevői közötti kommunikációt. A hálózat tervezése közvetlen hatással van a megoldás biztonságára, műveleteire, költségeire, teljesítményére és megbízhatóságára. A felhőkörnyezet növekedésével a hálózati stratégia strukturált megközelítése még fontosabbá válik.
Hálózati telepítési stratégia és topológia kiválasztása
Az SaaS-megoldások egyedi hálózati követelményekkel rendelkeznek. Ahogy egyre több ügyfelet készít elő, és a használatuk nő, a hálózatkezelési követelmények megváltoznak. A növekedés kezelése kihívást jelenthet a korlátozott erőforrások, például az IP-címtartományok miatt. A hálózat kialakítása hatással van a biztonságra és az ügyfelek elkülönítésére. A hálózati stratégia megtervezése segít a növekedés kezelésében, a biztonság javításában és a működési összetettség csökkentésében.
Kialakítási szempontok
Tervezze meg a hálózat üzembehelyezési stratégiáját a bérlői modell alapján. Döntse el, hogy a hálózati erőforrások meg lesznek-e osztva az ügyfelek között, egyetlen ügyfélnek vagy kombinációnak szentelve. Ez a választás hatással van az alkalmazás működésére, biztonságára és ügyfélelkülönítésére.
Gyakori, hogy több ügyfél között oszt meg hálózati erőforrásokat, például virtuális hálózatokat és Azure Front Door-profilokat. Ez a megközelítés csökkenti a költségeket és a működési többletterheket. Emellett leegyszerűsíti a kapcsolatot. Az ügyfél erőforrásait egyszerűen csatlakoztathatja megosztott erőforrásokhoz, például megosztott tárfiókokhoz vagy vezérlősíkhoz.
Azonban az egyes ügyfelek számára dedikált hálózati erőforrásokra lehet szükség a magas biztonság és megfelelőség kialakításához. Az ügyfelek közötti magas szintű hálózati szegmentálás támogatásához például a virtuális hálózatokat használja határként. Dedikált erőforrásokra lehet szükség, ha az összes ügyfél hálózati erőforrásainak száma meghaladja az egyetlen megosztott hálózat kapacitását.
Tervezze meg az egyes ügyfelek számára szükséges hálózati erőforrások számát az azonnali és jövőbeli követelmények figyelembevételével. Az ügyfélkövetelmények és az Azure-erőforráskorlátok konkrét eredményeket kényszeríthetnek ki. A különböző erőforrások különböző üzembehelyezési stratégiákat igényelhetnek, például különálló hálózatokat használhatnak az ügyfél tulajdonában lévő Azure-beli virtuális hálózatokkal való virtuális társviszony-létesítéshez.
Az erőforrások SaaS-megoldásokban való megosztásáról további információt az SaaS-számítási feladatok erőforrás-szervezetében talál.
A hálózati topológiák ismertetése. A hálózati topológiák általában három kategóriába sorolhatók:
Egysíkú hálózat: Egyetlen, elkülönített hálózat, amely alhálózatokkal rendelkezik szegmentálásra. Akkor alkalmas, ha egyetlen több-bérlős alkalmazással rendelkezik, egyszerű hálózati elrendezéssel. A lapos hálózatok elérik az erőforráskorlátokat, és méretezéskor több hálózatot igényelnek, ami növeli a többletterhelést és a költségeket. Ha több alkalmazást szeretne üzemeltetni, vagy dedikált üzembehelyezési bélyegeket szeretne használni ugyanazon a virtuális hálózaton belül, előfordulhat, hogy összetett hálózati elrendezésre van szüksége.
Küllős és küllős: Központosított központosított hálózat elkülönített küllős hálózatokhoz való társviszony-létesítéssel. Nagy méretezhetőségre és az ügyfelek elkülönítésére alkalmas, mivel minden ügyfél vagy alkalmazás saját küllővel rendelkezik, és csak a központtal kommunikál. Szükség szerint gyorsan üzembe helyezhet további küllőket, hogy a központban lévő erőforrásokat az összes küllő használni tudja. A központon keresztüli tranzitív vagy küllős kommunikáció alapértelmezés szerint le van tiltva, ami segít fenntartani az ügyfelek elkülönítését az SaaS-megoldásokban.
Nincs hálózat: Az Azure PaaS-szolgáltatásokhoz használatos, ahol összetett számítási feladatokat üzemeltethet virtuális hálózatok üzembe helyezése nélkül. Például Azure-alkalmazás szolgáltatás lehetővé teszi a közvetlen integrációt más PaaS-szolgáltatásokkal az Azure gerinchálózatán keresztül. Bár ez a megközelítés leegyszerűsíti a felügyeletet, korlátozza a biztonsági vezérlők üzembe helyezésének rugalmasságát és a teljesítmény optimalizálásának képességét. Ez a megközelítés jól működik a natív felhőalkalmazások esetében. A megoldás fejlődésével várhatóan idővel áttér egy küllős topológiára.
Kompromisszum: Összetettség és biztonság. Meghatározott hálózati határ nélkül kiindulva csökkentheti a hálózati összetevők, például a biztonsági csoportok, az IP-címtér és a tűzfalak kezelésének működési terheit. A hálózati szegély azonban elengedhetetlen a legtöbb számítási feladathoz. Hálózati biztonsági vezérlők hiányában erős identitás- és hozzáférés-kezelésre kell támaszkodnia, hogy megvédje a számítási feladatokat a rosszindulatú forgalomtól.
Ismerje meg, hogy a többrégiós architektúra hogyan befolyásolja a hálózati topológiákat. A virtuális hálózatokat használó többrégiós architektúrákban a legtöbb hálózati erőforrás külön van üzembe helyezve az egyes régiókban, mivel a tűzfalak, a virtuális hálózati átjárók és a hálózati biztonsági csoportok nem oszthatók meg régiók között.
Tervezési javaslatok
| Ajánlás | Juttatás |
|---|---|
| Döntse el, hogy mely hálózati összetevők legyenek megosztva, és mely összetevők legyenek dedikáltak az ügyfél számára. Megoszthatja a példányonként számlázott erőforrásokat, például az Azure Firewallt, az Azure Bastiont és az Azure Front Doort. |
Kiegyensúlyozott támogatást tapasztal a biztonsági és az elkülönítési követelmények között, miközben csökkenti a költségeket és a működési terheket. |
| Kezdje lapos topológiával vagy hálózati megközelítés nélkül. Mindig először tekintse át a biztonsági követelményeket, mivel ezek a megközelítések korlátozott elkülönítést és forgalomvezérlést biztosítanak. |
Egyszerűbb hálózati topológiák használatával csökkentheti a megoldás összetettségét és költségeit. |
| Fontolja meg a küllős topológiákat az összetett igényekhez, vagy ha dedikált virtuális hálózatokat helyez üzembe ügyfélenként. A központ használatával megosztott hálózati erőforrásokat üzemeltethet az ügyfélhálózatokon. | A központi hálózaton keresztüli erőforrások megosztásával egyszerűbben méretezheti a skálázást és javíthatja a költséghatékonyságot. |
Biztonságos hálózati szegély tervezése
A hálózati szegély az alkalmazás és más hálózatok, köztük az internet közötti biztonsági határt határozza meg. A hálózat peremhálózatának dokumentálásával különbséget tehet a forgalom különböző típusai között:
- Bejövő forgalom, amely külső forrásból érkezik a hálózatba.
- Belső forgalom, amely a hálózaton belüli összetevők között zajlik.
- Kimenő forgalom, amely elhagyja a hálózatot.
Minden folyamat különböző kockázatokat és vezérlőket tartalmaz. Például több biztonsági vezérlőre van szükség a bejövő forgalom vizsgálatához és feldolgozásához.
Fontos
Általános ajánlott eljárásként mindig kövesse a nulla megbízhatósági megközelítést. Győződjön meg arról, hogy az összes forgalmat ellenőrzik és ellenőrzik, beleértve a belső forgalmat is.
Előfordulhat, hogy az ügyfelek speciális megfelelőségi követelményekkel is rendelkeznek, amelyek befolyásolják az architektúrát. Ha például SOC 2-megfelelőségre van szükségük, különböző hálózati vezérlőket kell implementálniuk, például tűzfalat, webalkalmazási tűzfalat és hálózati biztonsági csoportokat a biztonsági követelmények teljesítéséhez. Még ha nem is kell azonnal megfelelnie, vegye figyelembe ezeket a bővíthetőségi tényezőket az architektúra tervezésekor.
Tekintse meg az SE:06 hálózati és kapcsolati javaslatait
Kialakítási szempontok
Bejövő forgalom védelme és kezelése. Vizsgálja meg ezt a forgalmat a bejövő fenyegetések esetén.
A tűzfalak lehetővé teszik a rosszindulatú IP-címek letiltását és a speciális elemzések elvégzését a behatolási kísérletek elleni védelem érdekében. A tűzfalak azonban költségesek lehetnek. A biztonsági követelmények felmérése annak meghatározásához, hogy szükség van-e tűzfalra.
A webalkalmazások sebezhetők az olyan gyakori támadásokkal szemben, mint az SQL-injektálás, a helyek közötti szkriptelés és az OWASP 10 leggyakoribb biztonsági rése. Az Azure Web Application Firewall védelmet nyújt ezek ellen a támadások ellen, és integrálva van az Application Gateway és az Azure Front Door használatával. Tekintse át ezeknek a szolgáltatásoknak a szintjeit, és ismerje meg, hogy mely WAF-képességek mely termékekben érhetők el.
A DDoS-támadások veszélyt jelentenek az internetes alkalmazásokra. Az Azure alapszintű védelmet biztosít díjmentesen. Az Azure DDoS Protection speciális védelmet nyújt a forgalmi minták megismerésével és a védelem ennek megfelelően történő módosításával, bár ezek költségesek. Ha a Front Doort használja, használja ki a beépített DDoS-képességeket.
A biztonságon túl a bejövő forgalmat is módosíthatja az alkalmazás teljesítményének javítása érdekében gyorsítótárazás és terheléselosztás használatával.
Fontolja meg egy fordított proxyszolgáltatás, például az Azure Front Door használatát a globális HTTP(S) forgalomkezeléshez. Másik lehetőségként használhatja az Application Gatewayt vagy más Azure-szolgáltatásokat a bejövő forgalom vezérléséhez. A terheléselosztási lehetőségekről az Azure-ban a Terheléselosztási lehetőségek című témakörben olvashat bővebben.
Belső forgalom védelme. Győződjön meg arról, hogy az alkalmazás és összetevői közötti forgalom biztonságos, hogy megakadályozza a rosszindulatú hozzáférést. Ezen erőforrások védelme és a teljesítmény javítása az interneten keresztüli útválasztás helyett belső forgalom használatával. Az Azure Private Linket gyakran használják az Azure-erőforrásokhoz való csatlakozáshoz egy belső IP-címen keresztül a hálózaton belül. Egyes erőforrástípusok esetében a szolgáltatásvégpontok költséghatékonyabb alternatívát jelenthetnek. Ha engedélyezi az erőforrások nyilvános internetkapcsolatát, ismerje meg, hogyan korlátozhatja a forgalmat IP-címek és alkalmazásidentitások, például felügyelt identitások használatával.
A kimenő forgalom védelme. Egyes megoldásokban vizsgálja meg a kimenő forgalmat az adatszivárgás megakadályozása érdekében, különösen a jogszabályi megfelelőség és a vállalati ügyfelek számára. Tűzfalak használatával kezelheti és tekintheti át a kimenő forgalmat, letiltva a jogosulatlan helyekhez való csatlakozást.
Tervezze meg, hogyan méretezheti a kimenő kapcsolatokat és az SNAT-t. A forráshálózati címfordítás (SNAT) portkimerülése hatással lehet a több-bérlős alkalmazásokra. Ezeknek az alkalmazásoknak gyakran külön hálózati kapcsolatokra van szükségük minden bérlőhöz, és az erőforrások ügyfelek közötti megosztása növeli az SNAT kimerülésének kockázatát az ügyfélbázis növekedésével. Az SNAT-kimerültséget az Azure NAT Gateway, az Azure Firewallhoz hasonló tűzfalak vagy a két megközelítés kombinációjával mérsékelheti.
Tervezési javaslatok
| Ajánlás | Juttatás |
|---|---|
| Az interneten elérhető hálózati végpontok katalógusának karbantartása. Rögzítse az olyan részleteket, mint az IP-cím (ha statikus), a gazdagép neve, a portok, a használt protokollok és a kapcsolatok indoklása. Dokumentálja, hogyan tervezi az egyes végpontok védelmét. |
Ez a lista képezi a szegélydefiníció alapját, így explicit döntéseket hozhat a forgalom megoldáson keresztüli kezeléséről. |
| A hozzáférés korlátozására és a védelem fokozására szolgáló Azure-szolgáltatások képességeinek megismerése. A tárfiókvégpontok ügyfeleknek való felfedéséhez például további vezérlőkre van szükség, például közös hozzáférésű jogosultságkódokra, tárfiók tűzfalakra, valamint külön tárfiókok belső és külső használatra való használatára. |
Kiválaszthatja a biztonsági, költség- és teljesítményigényeknek megfelelő vezérlőket. |
| HTTP-alapú alkalmazások esetén használjon fordított proxyt, például az Azure Front Doort vagy az Application Gatewayt. | A fordított proxyk számos képességet biztosítanak a teljesítményfejlesztéshez, a rugalmassághoz, a biztonsághoz és a működési összetettség csökkentéséhez. |
| A bejövő forgalom vizsgálata webalkalmazási tűzfal használatával. Kerülje a webes erőforrások, például az App Service vagy az Azure Kubernetes Service (AKS) közvetlenül az internetre való felfedését. |
Hatékonyabban védheti webalkalmazásait a gyakori fenyegetések ellen, és csökkentheti a megoldás általános kitettségét. |
| Az alkalmazás védelme a DDoS-támadásokkal szemben. Használja az Azure Front Doort vagy az Azure DDoS Protectiont a nyilvános végpontok által használt protokolloktól függően. |
Védje meg a megoldást egy gyakori támadási típustól. |
| Ha az alkalmazás nagy léptékű kimenő kapcsolatot igényel, használjon NAT-átjárót vagy tűzfalat további SNAT-portok biztosításához. | A nagyobb léptékű skálázást is támogathatja. |
Hálózatok közötti kapcsolatok
Bizonyos esetekben előfordulhat, hogy az Azure-on kívüli erőforrásokhoz kell csatlakoznia, például egy ügyfél magánhálózatán belüli adatokhoz vagy egy másik felhőszolgáltató eszközeihez egy többfelhős beállításban. Ezek az igények bonyolíthatják a hálózat kialakítását, és különböző megközelítéseket igényelnek a hálózatközi kapcsolatok implementálásához az ön igényeinek megfelelően.
Kialakítási szempontok
Azonosítsa azokat a végpontokat, amelyekhez az alkalmazásnak csatlakoznia kell. Előfordulhat, hogy az alkalmazásnak más szolgáltatásokkal, például tárolási szolgáltatásokkal és adatbázisokkal kell kommunikálnia. Dokumentálja a tulajdonost, a helyet és a kapcsolat típusát. Ezután kiválaszthatja a megfelelő módszert a végpontokhoz való csatlakozáshoz. Gyakori megközelítések a következők:
Erőforrás helye Tulajdonos Megfontolandó csatlakozási lehetőségek Azure Vevő - Privát végpont (a Microsoft Entra ID-bérlők között)
- Virtuális hálózatok közötti társviszony -létesítés (Microsoft Entra ID-bérlők között)
- Szolgáltatásvégpont (a Microsoft Entra ID-bérlők között)
Másik felhőszolgáltató ISV vagy ügyfél - Helyek közötti VPN
- ExpressRoute
- Internet
Helyszíni ISV vagy ügyfél - Helyek közötti VPN
- ExpressRoute
- Internet
Privát kapcsolat és privát végpont. Biztonságos kapcsolatot biztosít a különböző Azure-erőforrásokhoz, beleértve a virtuális gépek belső terheléselosztóihoz. Lehetővé teszik az SaaS-megoldáshoz való privát hozzáférést az ügyfelek számára, bár a költségekkel kapcsolatos szempontokat is figyelembe veszik.
Kompromisszum: Biztonság és költség. A privát kapcsolat biztosítja, hogy a forgalom a magánhálózaton belül maradjon, és ajánlott a Microsoft Entra-bérlők közötti hálózati kapcsolatokhoz. Az egyes privát végpontok azonban költségekkel járnak, amelyek a biztonsági igények alapján összeadhatók. A szolgáltatásvégpontok költséghatékony alternatívát jelenthetnek, amely a Microsoft gerinchálózatán tartja a forgalmat, miközben bizonyos szintű privát kapcsolatot biztosít.Szolgáltatásvégpont. A Forgalmat a PaaS-erőforrásokhoz irányítja a Microsoft gerinchálózatán keresztül, biztosítva a szolgáltatások közötti kommunikációt. Költséghatékonyak lehetnek a nagy sávszélességű alkalmazások esetében, de a biztonság érdekében konfigurálni és karbantartani kell a hozzáférés-vezérlési listákat. A Microsoft Entra ID-bérlők szolgáltatásvégpontjainak támogatása az Azure-szolgáltatástól függően változik. Ellenőrizze az egyes használt szolgáltatások termékdokumentációját.
A virtuális hálózatok közötti társviszony-létesítés két virtuális hálózatot köt össze, így az egyik hálózat erőforrásai hozzáférhetnek az IP-címekhez a másikban. Megkönnyíti a privát erőforrásokhoz való kapcsolódást egy Azure-beli virtuális hálózaton. A hozzáférés hálózati biztonsági csoportokkal kezelhető, de az elkülönítés kényszerítése kihívást jelenthet. Ezért fontos, hogy a hálózati topológiát konkrét ügyféligények alapján tervezze meg.
A virtuális magánhálózatok (VPN-ek) biztonságos alagutat hoznak létre az interneten keresztül két hálózat között, beleértve a felhőszolgáltatókat és a helyszíni helyeket is. A helyek közötti VPN-ek minden hálózatban hálózati berendezéseket használnak a konfigurációhoz. Alacsony költségű csatlakozási lehetőséget kínálnak, de telepítést igényelnek, és nem garantálják a kiszámítható átviteli sebességet.
Az ExpressRoute dedikált, nagy teljesítményű, privát kapcsolatot biztosít az Azure és más felhőszolgáltatók vagy helyszíni hálózatok között. Kiszámítható teljesítményt biztosít, és elkerüli az internetes forgalmat, de magasabb költségekkel jár, és összetettebb konfigurációt igényel.
Tervezze meg a cél alapján. Előfordulhat, hogy különböző Microsoft Entra ID-bérlőkben lévő erőforrásokhoz kell csatlakoznia, különösen akkor, ha a célerőforrás egy ügyfél Azure-előfizetésében található. Fontolja meg privát végpontok, helyek közötti VPN vagy virtuális hálózatok társviszony-létesítését. További információ: Virtuális hálózatok társviszony-létesítése különböző Microsoft Entra ID-bérlőkben.
Ha egy másik felhőszolgáltatóban üzemeltetett erőforrásokhoz szeretne csatlakozni, gyakori, hogy nyilvános internetkapcsolatot, helyek közötti VPN-t vagy ExpressRoute-ot használ. További információ: Kapcsolat más felhőszolgáltatókkal.
A kapcsolat hálózati topológiára gyakorolt hatásainak megismerése. Egy Azure-beli virtuális hálózat csak egy virtuális hálózati átjáróval rendelkezhet, amely helyek közötti VPN-en vagy ExpressRoute-on keresztül több helyre is csatlakozhat. Az átjárón keresztüli kapcsolatok száma azonban korlátozott, és az ügyfélforgalom elkülönítése kihívást jelenthet. A különböző helyekhez való több kapcsolat esetén ennek megfelelően tervezze meg a hálózati topológiát, akár úgy is, hogy minden ügyfél számára külön virtuális hálózatot helyez üzembe.
Az IP-címek tervezésének következményeinek megismerése. Egyes csatlakozási módszerek automatikusan biztosítják a hálózati címfordítást (NAT), elkerülve az átfedésben lévő IP-címekkel kapcsolatos problémákat. A virtuális hálózatok közötti társviszony-létesítés és az ExpressRoute azonban nem hajtja végre a NAT-ot. Ezen módszerek használatakor gondosan tervezze meg a hálózati erőforrásokat és az IP-címfoglalásokat, hogy elkerülje az átfedésben lévő IP-címtartományokat, és biztosítsa a jövőbeli növekedést. Az IP-címek tervezése összetett lehet, különösen akkor, ha harmadik felekhez, például ügyfelekhez csatlakozik, ezért fontolja meg az IP-címtartományokkal való esetleges ütközéseket.
A hálózati kimenő forgalom számlázásának ismertetése. Az Azure általában akkor számláz a kimenő hálózati forgalomért, ha elhagyja a Microsoft-hálózatot, vagy az Azure-régiók között mozog. Többrégiós vagy többfelhős megoldások tervezésekor fontos tisztában lenni a költségekkel. Az architekturális lehetőségek, például az Azure Front Door vagy az ExpressRoute használata, hatással lehetnek a hálózati forgalom számlázására.
Tervezési javaslatok
| Ajánlás | Juttatás |
|---|---|
| Előnyben részesítse a privát hálózatkezelési módszereket a hálózatok közötti csatlakozáshoz a biztonság rangsorolása érdekében. A kapcsolódó biztonsági és teljesítménybeli következmények kiértékelése után csak az interneten keresztüli útválasztást érdemes megfontolni. |
A privát forgalom biztonságos hálózati útvonalon halad át, amely segít csökkenteni a biztonsági kockázatok számos típusát. |
| Az Azure-környezetekben üzemeltetett ügyfélerőforrásokhoz való csatlakozáskor használja a Private Linket, a szolgáltatásvégpontokat vagy a virtuális hálózati társviszonyokat. | Megtarthatja a forgalmat a Microsoft-hálózaton, ami segít csökkenteni a költségeket és az üzemeltetés összetettségét más megközelítésekhez képest. |
| Ha felhőszolgáltatókon vagy helyszíni hálózatokon keresztül csatlakozik, használja a helyek közötti VPN-eket vagy az ExpressRoute-ot. | Ezek a technológiák biztonságos kapcsolatokat biztosítanak a szolgáltatók között. |
Üzembe helyezés az ügyfelek tulajdonában lévő környezetekben
Előfordulhat, hogy az üzleti modell megköveteli az alkalmazás vagy annak összetevőinek üzemeltetését az ügyfél Azure-környezetében. Az ügyfél felügyeli saját Azure-előfizetését, és közvetlenül fizeti az alkalmazás futtatásához szükséges erőforrások költségeit. A megoldásszolgáltató feladata a megoldás kezelése, például a kezdeti üzembe helyezés, a konfiguráció alkalmazása és a frissítések üzembe helyezése az alkalmazásban.
Ilyen helyzetekben az ügyfelek gyakran hozzák magukkal a saját hálózatukat, és üzembe helyezik az alkalmazást egy általuk meghatározott hálózati helyre. Az Azure Managed Applications olyan képességeket kínál, amelyek megkönnyítik ezt a folyamatot. További információ: Meglévő virtuális hálózat használata az Azure Managed Applications használatával.
Kialakítási szempontok
IP-címtartományok és ütközések. Amikor az ügyfelek virtuális hálózatokat helyeznek üzembe és kezelnek, ők felelősek a hálózati ütközések és a skálázás kezeléséért. Azonban különböző ügyfélhasználati forgatókönyveket kell előre látnia. Tervezze meg az ip-címek hatékony használatával minimális IP-címtérrel rendelkező környezetekben történő üzembe helyezéseket, és kerülje a szigorú kódolású IP-címtartományokat az ügyféltartományokkal való átfedések elkerülése érdekében.
Másik lehetőségként helyezzen üzembe egy dedikált virtuális hálózatot a megoldáshoz. Privát kapcsolat vagy virtuális hálózatok közötti társviszony-létesítéssel engedélyezheti az ügyfelek számára az erőforrásokhoz való csatlakozást. Ezeket a megközelítéseket a hálózatközi kapcsolatok ismertetik. Ha meghatározta a bejövő és kimenő pontokat, értékelje ki a NAT-ot az IP-címek átfedése által okozott problémák kiküszöbölésére.
Hálózati hozzáférés biztosítása felügyeleti célokra. Tekintse át az ügyfélkörnyezetekben üzembe helyezendő erőforrásokat, és tervezze meg, hogyan fogja őket elérni a monitorozáshoz, kezeléshez vagy újrakonfigurálásukhoz. Ha az erőforrások privát IP-címekkel vannak üzembe helyezve egy ügyfél által birtokolt környezetben, győződjön meg arról, hogy rendelkezik egy hálózati elérési úttal, amellyel elérheti őket a saját hálózatáról. Fontolja meg, hogyan könnyítheti meg az alkalmazás és az erőforrás változásait, például az alkalmazás új verziójának leküldését vagy egy Azure-erőforráskonfiguráció frissítését.
Egyes megoldásokban használhatja az Azure Managed Applications által biztosított képességeket, például az igény szerinti hozzáférést és az alkalmazások frissítéseinek üzembe helyezését. Ha további vezérlésre van szüksége, üzemeltethet egy végpontot az ügyfél hálózatán belül, amelyhez a vezérlősík csatlakozhat, és hozzáférést biztosít az erőforrásokhoz. Ez a módszer további Azure-erőforrásokat és fejlesztést igényel a biztonsági, üzemeltetési és teljesítménykövetelmények teljesítéséhez. Ennek a megközelítésnek a megvalósítására példaként tekintse meg az Azure Managed Applications frissítési mintáját.
Tervezési javaslatok
| Ajánlás | Juttatás |
|---|---|
| Az Azure Managed Applications használatával üzembe helyezheti és kezelheti az ügyfél által üzembe helyezett erőforrásokat. | Az Azure Managed Applications számos olyan képességet biztosít, amelyek lehetővé teszik az erőforrások üzembe helyezését és kezelését az ügyfél Azure-előfizetésében. |
| Csökkentse az ügyfél virtuális hálózati területén belül felhasznált IP-címek számát. | Az ügyfelek gyakran korlátozott IP-címmel rendelkeznek. A lábnyom minimalizálásával és a skálázás IP-címhasználattól való leválasztásával kibővítheti a megoldást használó ügyfelek számát, és magasabb szintű növekedést tehet lehetővé. |
| Tervezze meg, hogyan szerezhet hálózati hozzáférést az erőforrások ügyfélkörnyezetekben való kezeléséhez, figyelembe véve a figyelést, az erőforrás-konfiguráció változásait és az alkalmazásfrissítéseket. | Közvetlenül konfigurálhatja a kezelt erőforrásokat. |
| Döntse el, hogy egy dedikált virtuális hálózatot szeretne-e üzembe helyezni, vagy integrálni szeretné az ügyfél meglévő virtuális hálózatával. | Előre megtervezve gondoskodhat arról, hogy megfeleljen az ügyfelek elkülönítésére, biztonságára és más rendszereikkel való integrációjára vonatkozó követelményeinek. |
| Alapértelmezés szerint tiltsa le a nyilvános hozzáférést az Azure-erőforrásokon. A privát bejövő forgalom előnyben részesítve, ha lehetséges. | Csökkenteni fogja azon hálózati erőforrások hatókörét, amelyeket Önnek és ügyfeleinek védeniük kell. |
További erőforrások
A több-bérlősség az SaaS-számítási feladatok tervezésének alapvető üzleti módszertana. Ezek a cikkek a hálózattervezéssel kapcsolatos további információkat tartalmaznak:
- Architekturális megközelítések a hálózatkezeléshez több-bérlős megoldásokban
- Bérlői modellek
- Küllős hálózati topológia
- Az Azure NAT Gateway szempontjai a több-bérlős használathoz
- A bérlőintegráció és az adathozzáférés architekturális megközelítései
Következő lépés
Megismerheti az Azure-beli SaaS-számítási feladatok adatintegritási és teljesítménybeli adatintegritási szempontjait.