Jaringan untuk beban kerja SaaS di Azure
Jaringan Anda menyediakan tulang punggung untuk bagaimana pelanggan mengakses aplikasi SaaS Anda, dan memungkinkan komunikasi antara komponen solusi Anda. Cara Anda merancang jaringan memiliki efek langsung pada keamanan, operasi, biaya, performa, dan keandalan solusi Anda. Pendekatan terstruktur untuk strategi jaringan Anda menjadi lebih penting saat lingkungan cloud Anda tumbuh.
Memutuskan strategi dan topologi penyebaran jaringan
Solusi SaaS memiliki persyaratan jaringan yang unik. Saat Anda melakukan onboarding lebih banyak pelanggan dan penggunaannya meningkat, persyaratan jaringan berubah. Menangani pertumbuhan dapat menjadi tantangan karena sumber daya yang terbatas, seperti rentang alamat IP. Desain jaringan Anda berdampak pada keamanan dan isolasi pelanggan. Merencanakan strategi jaringan Anda membantu mengelola pertumbuhan, meningkatkan keamanan, dan mengurangi kompleksitas operasional.
Pertimbangan Desain
Rencanakan strategi penyebaran jaringan Anda berdasarkan model penyewaan Anda. Tentukan apakah sumber daya jaringan Anda akan dibagikan di antara pelanggan, didedikasikan untuk satu pelanggan, atau kombinasi. Pilihan ini memengaruhi fungsionalitas, keamanan, dan isolasi pelanggan aplikasi Anda.
Adalah umum untuk berbagi sumber daya jaringan, seperti jaringan virtual dan profil Azure Front Door, di antara beberapa pelanggan. Pendekatan ini mengurangi biaya dan overhead operasional. Ini juga menyederhanakan konektivitas. Anda dapat dengan mudah menghubungkan sumber daya pelanggan dengan sumber daya bersama, seperti akun penyimpanan bersama atau sarana kontrol.
Namun, sumber daya jaringan khusus untuk setiap pelanggan mungkin diperlukan untuk membangun keamanan dan kepatuhan yang tinggi. Misalnya, untuk mendukung segmentasi jaringan tingkat tinggi antara pelanggan, Anda menggunakan jaringan virtual sebagai batas. Sumber daya khusus mungkin diperlukan ketika jumlah sumber daya jaringan di semua pelanggan melebihi kapasitas satu jaringan bersama.
Rencanakan jumlah sumber daya jaringan yang dibutuhkan setiap pelanggan dengan mempertimbangkan persyaratan segera dan di masa mendatang. Persyaratan pelanggan dan batas sumber daya Azure mungkin memaksa hasil tertentu. Sumber daya yang berbeda mungkin memerlukan strategi penyebaran yang berbeda, seperti menggunakan jaringan terpisah untuk peering jaringan virtual dengan jaringan virtual Azure milik pelanggan.
Untuk informasi selengkapnya tentang berbagi sumber daya dalam solusi SaaS, lihat Organisasi sumber daya untuk beban kerja SaaS.
Memahami topologi jaringan. Topologi jaringan biasanya termasuk dalam tiga kategori:
Jaringan datar: Satu jaringan terisolasi dengan subnet untuk segmentasi. Cocok ketika Anda memiliki satu aplikasi multipenyewa dengan tata letak jaringan sederhana. Jaringan datar dapat mencapai batas sumber daya dan memerlukan lebih banyak jaringan saat Anda menskalakan, meningkatkan overhead, dan biaya. Jika Anda berencana untuk menghosting beberapa aplikasi atau menggunakan stempel penyebaran khusus dalam jaringan virtual yang sama, Anda mungkin memerlukan tata letak jaringan yang kompleks.
Hub dan spoke: Jaringan hub terpusat dengan peering ke jaringan spoke terisolasi. Cocok untuk skalabilitas tinggi dan isolasi pelanggan, karena setiap pelanggan atau aplikasi memiliki spoke sendiri, berkomunikasi hanya dengan hub. Anda dapat dengan cepat menyebarkan lebih banyak spoke sesuai kebutuhan sehingga sumber daya di hub dapat digunakan oleh semua spoke. Komunikasi transitif, atau spoke-to-spoke, melalui hub dinonaktifkan secara default, yang membantu menjaga isolasi pelanggan dalam solusi SaaS.
Tidak ada jaringan: Digunakan untuk layanan Azure PaaS tempat Anda dapat menghosting beban kerja yang kompleks tanpa menyebarkan jaringan virtual. Misalnya, Azure App Service memungkinkan integrasi langsung dengan layanan PaaS lainnya melalui jaringan backbone Azure. Meskipun pendekatan ini menyederhanakan manajemen, pendekatan ini membatasi fleksibilitas dalam menyebarkan kontrol keamanan dan kemampuan untuk mengoptimalkan performa. Pendekatan ini dapat bekerja dengan baik untuk aplikasi asli cloud. Seiring berkembangnya solusi Anda, harapkan untuk beralih ke topologi hub-and-spoke dari waktu ke waktu.
Tradeoff: Kompleksitas dan keamanan. Dimulai tanpa batas jaringan yang ditentukan dapat mengurangi beban operasional pengelolaan komponen jaringan seperti grup keamanan, ruang alamat IP, dan firewall. Namun, perimeter jaringan sangat penting untuk sebagian besar beban kerja. Dengan tidak adanya kontrol keamanan jaringan, andalkan identitas yang kuat dan manajemen akses untuk melindungi beban kerja Anda dari lalu lintas berbahaya.
Pahami bagaimana arsitektur multi-wilayah memengaruhi topologi jaringan. Dalam arsitektur multi-wilayah menggunakan jaringan virtual, sebagian besar sumber daya jaringan disebarkan di setiap wilayah secara terpisah, karena firewall, gateway jaringan virtual, dan grup keamanan jaringan tidak dapat dibagikan antar wilayah.
Rekomendasi desain
| Rekomendasi | Keuntungan |
|---|---|
| Tentukan komponen jaringan mana yang dibagikan dan komponen mana yang didedikasikan untuk pelanggan. Bagikan sumber daya yang dikenakan biaya per instans, seperti Azure Firewall, Azure Bastion, dan Azure Front Door. |
Rasakan dukungan seimbang antara persyaratan keamanan dan isolasi Anda sambil mengurangi beban biaya dan operasional Anda. |
| Mulailah dengan topologi datar atau tanpa pendekatan jaringan. Selalu tinjau persyaratan keamanan terlebih dahulu, karena pendekatan ini menawarkan isolasi terbatas dan kontrol lalu lintas. |
Anda dapat mengurangi kompleksitas dan biaya solusi Anda dengan menggunakan topologi jaringan yang lebih sederhana. |
| Pertimbangkan topologi hub dan spoke untuk kebutuhan kompleks atau saat menyebarkan jaringan virtual khusus per pelanggan. Gunakan hub untuk menghosting sumber daya jaringan bersama di seluruh jaringan pelanggan. | Anda dapat menskalakan dengan lebih mudah dan meningkatkan efisiensi biaya Anda dengan berbagi sumber daya melalui jaringan hub Anda. |
Merancang perimeter jaringan yang aman
Perimeter jaringan Anda menetapkan batas keamanan antara aplikasi Anda dan jaringan lain, termasuk internet. Dengan mendokumentasikan perimeter jaringan, Anda dapat membedakan antara berbagai jenis arus lalu lintas:
- Lalu lintas masuk, yang tiba ke jaringan dari sumber eksternal.
- Lalu lintas internal, yang berada di antara komponen dalam jaringan Anda.
- Lalu lintas keluar, yang meninggalkan jaringan.
Setiap alur melibatkan risiko dan kontrol yang berbeda. Misalnya, beberapa kontrol keamanan diperlukan untuk memeriksa dan memproses lalu lintas masuk.
Penting
Sebagai praktik terbaik umum, selalu ikuti pendekatan zero trust. Pastikan semua lalu lintas dikontrol dan diperiksa, termasuk lalu lintas internal.
Pelanggan Anda mungkin juga memiliki persyaratan kepatuhan khusus yang memengaruhi arsitektur Anda. Misalnya, jika mereka membutuhkan kepatuhan SOC 2, mereka harus menerapkan berbagai kontrol jaringan termasuk firewall, firewall aplikasi web, dan kelompok keamanan jaringan, untuk memenuhi persyaratan keamanan. Bahkan jika Anda tidak perlu segera mematuhinya, pertimbangkan faktor ekstensibilitas tersebut saat merancang arsitektur Anda.
Pertimbangan Desain
Melindungi dan mengelola lalu lintas masuk. Periksa lalu lintas ini untuk ancaman masuk.
Firewall memungkinkan Anda memblokir IP berbahaya dan menyelesaikan analisis tingkat lanjut, untuk melindungi dari upaya intrusi. Namun, firewall bisa mahal. Menilai persyaratan keamanan Anda untuk menentukan apakah firewall diperlukan.
Aplikasi web rentan terhadap serangan umum, seperti injeksi SQL, pembuatan skrip lintas situs, dan kerentanan 10 teratas OWASP lainnya. Azure Web Application Firewall melindungi dari serangan tersebut dan terintegrasi dengan Application Gateway dan Azure Front Door. Tinjau tingkatan untuk layanan ini untuk memahami kemampuan WAF mana yang merupakan produk.
Serangan DDoS adalah risiko untuk aplikasi yang terhubung ke internet. Azure menyediakan tingkat perlindungan dasar tanpa biaya. Azure DDoS Protection memberikan perlindungan tingkat lanjut dengan mempelajari pola lalu lintas Anda dan menyesuaikan perlindungan yang sesuai, meskipun dikenakan biaya. Jika Anda menggunakan Front Door, manfaatkan kemampuan DDoS bawaan.
Di luar keamanan, Anda juga dapat memanipulasi lalu lintas masuk untuk meningkatkan performa aplikasi Anda, dengan menggunakan penembolokan dan penyeimbangan beban.
Pertimbangkan untuk menggunakan layanan proksi terbalik seperti Azure Front Door untuk manajemen lalu lintas HTTP global. Atau, gunakan Application Gateway atau layanan Azure lainnya untuk kontrol lalu lintas masuk. Untuk mempelajari selengkapnya tentang opsi penyeimbangan beban di Azure, lihat Opsi penyeimbangan beban.
Lindungi lalu lintas internal. Pastikan lalu lintas antara aplikasi Anda dan komponennya aman untuk mencegah akses berbahaya. Lindungi sumber daya ini dan tingkatkan performa dengan menggunakan lalu lintas internal alih-alih perutean melalui internet. Azure Private Link umumnya digunakan untuk menyambungkan ke sumber daya Azure melalui alamat IP internal dalam jaringan Anda. Untuk beberapa jenis sumber daya, titik akhir layanan dapat menjadi alternatif yang lebih hemat biaya. Jika Anda mengaktifkan konektivitas internet publik untuk sumber daya Anda, pahami cara membatasi lalu lintas menggunakan alamat IP dan identitas aplikasi, seperti identitas terkelola.
Lindungi lalu lintas keluar. Dalam beberapa solusi, periksa lalu lintas keluar untuk mencegah penyelundupan data, terutama untuk kepatuhan peraturan dan pelanggan perusahaan. Gunakan firewall untuk mengelola dan meninjau lalu lintas keluar, memblokir koneksi ke lokasi yang tidak sah.
Rencanakan cara Anda menskalakan konektivitas keluar dan SNAT. Kelelahan port terjemahan alamat jaringan sumber (SNAT) dapat memengaruhi aplikasi multipenyewa. Aplikasi ini sering membutuhkan koneksi jaringan yang berbeda untuk setiap penyewa, dan berbagi sumber daya antara pelanggan meningkatkan risiko kelelahan SNAT saat basis pelanggan Anda tumbuh. Anda dapat mengurangi kelelahan SNAT dengan menggunakan Azure NAT Gateway, firewall seperti Azure Firewall, atau kombinasi dari dua pendekatan.
Rekomendasi desain
| Rekomendasi | Keuntungan |
|---|---|
| Pertahankan katalog titik akhir jaringan yang terekspos ke internet. Ambil detail seperti alamat IP (jika statis), nama host, port, protokol yang digunakan, dan pembenaran untuk koneksi. Dokumentasikan bagaimana Anda berencana untuk melindungi setiap titik akhir. |
Daftar ini membentuk dasar definisi perimeter Anda, memungkinkan Anda membuat keputusan eksplisit tentang mengelola lalu lintas melalui solusi Anda. |
| Pahami kemampuan layanan Azure untuk membatasi akses dan meningkatkan perlindungan. Misalnya, mengekspos titik akhir akun penyimpanan kepada pelanggan memerlukan kontrol tambahan seperti tanda tangan akses bersama, firewall akun penyimpanan, dan menggunakan akun penyimpanan terpisah untuk penggunaan internal dan eksternal. |
Anda dapat memilih kontrol yang memenuhi kebutuhan keamanan, biaya, dan performa Anda. |
| Untuk aplikasi berbasis HTTP,gunakan proksi terbalik, seperti Azure Front Door atau Application Gateway. | Proksi terbalik menyediakan berbagai kemampuan untuk peningkatan performa, ketahanan, keamanan, dan untuk mengurangi kompleksitas operasional. |
| Periksa lalu lintas masuk dengan menggunakan firewall aplikasi web. Hindari mengekspos sumber daya berbasis web seperti App Service atau Azure Kubernetes Service (AKS) langsung ke internet. |
Anda dapat lebih efektif melindungi aplikasi web Anda dari ancaman umum dan mengurangi paparan solusi Anda secara keseluruhan. |
| Lindungi aplikasi Anda dari serangan DDoS. Gunakan Azure Front Door atau Azure DDoS Protection tergantung pada protokol yang digunakan oleh titik akhir publik Anda. |
Lindungi solusi Anda dari jenis serangan umum. |
| Jika aplikasi Anda memerlukan konektivitas keluar dalam skala besar, gunakan NAT Gateway atau firewall untuk menyediakan port SNAT tambahan. | Anda dapat mendukung tingkat skala yang lebih tinggi. |
Konektivitas lintas jaringan
Untuk beberapa skenario, Anda mungkin perlu menyambungkan ke sumber daya eksternal ke Azure, seperti data dalam jaringan atau aset privat pelanggan pada penyedia cloud yang berbeda dalam penyiapan multicloud. Kebutuhan ini dapat mempersulit desain jaringan Anda, memerlukan berbagai pendekatan untuk menerapkan konektivitas lintas jaringan berdasarkan kebutuhan spesifik Anda.
Pertimbangan Desain
Identifikasi titik akhir yang memerlukan koneksi aplikasi. Aplikasi mungkin perlu berkomunikasi dengan layanan lain, seperti layanan penyimpanan dan database. Dokumentasikan pemilik, lokasi, dan jenis konektivitas mereka. Anda kemudian dapat memilih metode yang sesuai untuk menyambungkan ke titik akhir ini. Pendekatan umum meliputi:
Lokasi sumber daya Pemilik Opsi konektivitas yang perlu dipertimbangkan Azure Pelanggan - Titik akhir privat (di seluruh penyewa MICROSOFT Entra ID)
- Peering jaringan virtual (di seluruh penyewa ID Microsoft Entra)
- Titik akhir layanan (di seluruh penyewa MICROSOFT Entra ID)
Penyedia Cloud lainnya ISV atau pelanggan - VPN situs-ke-situs
- ExpressRoute
- Internet
Lokal ISV atau pelanggan - VPN situs-ke-situs
- ExpressRoute
- Internet
Private Link dan titik akhir privat. Menyediakan konektivitas yang aman ke berbagai sumber daya Azure, termasuk penyeimbang beban internal untuk komputer virtual. Mereka memungkinkan akses privat ke solusi SaaS Anda untuk pelanggan, meskipun mereka datang dengan pertimbangan biaya.
Tradeoff: Keamanan dan biaya. Tautan privat memastikan lalu lintas Anda tetap berada dalam jaringan privat Anda dan direkomendasikan untuk konektivitas jaringan di seluruh penyewa Microsoft Entra. Namun, setiap titik akhir privat dikenakan biaya, yang dapat bertambah berdasarkan kebutuhan keamanan Anda. Titik akhir layanan dapat menjadi alternatif hemat biaya, menjaga lalu lintas di jaringan backbone Microsoft sambil menyediakan beberapa tingkat konektivitas privat.Titik akhir layanan. Merutekan lalu lintas ke sumber daya PaaS melalui jaringan backbone Microsoft, mengamankan komunikasi layanan ke layanan. Mereka dapat hemat biaya untuk aplikasi bandwidth tinggi tetapi memerlukan konfigurasi dan pemeliharaan daftar kontrol akses untuk keamanan. Dukungan untuk titik akhir layanan di seluruh penyewa ID Microsoft Entra bervariasi menurut layanan Azure. Periksa dokumentasi produk untuk setiap layanan yang Anda gunakan.
Peering jaringan virtual menghubungkan dua jaringan virtual, memungkinkan sumber daya dalam satu jaringan mengakses alamat IP di jaringan lainnya. Ini memfasilitasi konektivitas ke sumber daya privat di jaringan virtual Azure. Akses dapat dikelola menggunakan kelompok keamanan jaringan, tetapi memberlakukan isolasi bisa menjadi tantangan. Oleh karena itu, penting untuk merencanakan topologi jaringan Anda berdasarkan kebutuhan pelanggan tertentu.
Jaringan privat virtual (VPN) membuat terowongan aman melalui internet antara dua jaringan, termasuk di seluruh penyedia cloud dan lokasi lokal. VPN situs-ke-situs menggunakan appliance jaringan di setiap jaringan untuk konfigurasi. Mereka menawarkan opsi konektivitas bersifat murah tetapi memerlukan penyiapan dan tidak menjamin throughput yang dapat diprediksi.
ExpressRoute menyediakan koneksi privat khusus berkinerja tinggi antara Azure dan penyedia cloud lainnya atau jaringan lokal. Ini memastikan performa yang dapat diprediksi dan menghindari lalu lintas internet tetapi dilengkapi dengan biaya yang lebih tinggi dan membutuhkan konfigurasi yang lebih kompleks.
Rencanakan berdasarkan tujuan. Anda mungkin perlu menyambungkan ke sumber daya di penyewa ID Microsoft Entra yang berbeda, terutama jika sumber daya target berada dalam langganan Azure pelanggan. Pertimbangkan untuk menggunakan titik akhir privat, VPN situs-ke-situs, atau dengan melakukan peering jaringan virtual. Untuk informasi selengkapnya, lihat Peering jaringan virtual di penyewa MICROSOFT Entra ID yang berbeda.
Untuk terhubung ke sumber daya yang dihosting di penyedia cloud lain, umumnya menggunakan konektivitas internet publik, VPN situs-ke-situs, atau ExpressRoute. Untuk informasi selengkapnya, lihat Konektivitas ke penyedia cloud lain.
Pahami efek konektivitas pada topologi jaringan Anda. Jaringan virtual Azure hanya dapat memiliki satu gateway jaringan virtual, yang dapat terhubung ke beberapa lokasi melalui VPN situs-ke-situs atau ExpressRoute. Tapi, ada batasan jumlah koneksi melalui gateway, dan mengisolasi lalu lintas pelanggan bisa menjadi tantangan. Untuk beberapa koneksi ke lokasi yang berbeda, rencanakan topologi jaringan Anda, mungkin dengan menyebarkan jaringan virtual terpisah untuk setiap pelanggan.
Pahami implikasi untuk perencanaan alamat IP. Beberapa pendekatan konektivitas secara otomatis menyediakan terjemahan alamat jaringan (NAT), menghindari masalah dengan alamat IP yang tumpang tindih. Namun, peering jaringan virtual dan ExpressRoute tidak melakukan NAT. Saat menggunakan metode ini, rencanakan sumber daya jaringan dan alokasi alamat IP Anda dengan hati-hati untuk menghindari rentang alamat IP yang tumpang tindih dan pastikan pertumbuhan di masa mendatang. Perencanaan alamat IP bisa rumit, terutama ketika terhubung ke pihak ketiga seperti pelanggan, jadi pertimbangkan potensi konflik dengan rentang IP mereka.
Memahami penagihan keluar jaringan. Azure biasanya menagih lalu lintas jaringan keluar saat meninggalkan jaringan Microsoft atau berpindah antar wilayah Azure. Saat merancang solusi multi-wilayah atau multicloud, penting untuk memahami implikasi biaya. Pilihan arsitektur, seperti menggunakan Azure Front Door atau ExpressRoute, dapat memengaruhi cara Anda ditagih untuk lalu lintas jaringan.
Rekomendasi desain
| Rekomendasi | Keuntungan |
|---|---|
| Lebih suka pendekatan jaringan privat untuk terhubung di seluruh jaringan untuk memprioritaskan keamanan. Hanya pertimbangkan perutean melalui internet setelah mengevaluasi implikasi keamanan dan performa terkait. |
Lalu lintas privat melintasi jalur jaringan aman, yang membantu mengurangi banyak jenis risiko keamanan. |
| Saat menyambungkan ke sumber daya pelanggan yang dihosting di lingkungan Azure mereka, gunakan Private Link, titik akhir layanan, atau peering jaringan virtual. | Anda dapat menyimpan lalu lintas di jaringan Microsoft, yang membantu mengurangi kompleksitas biaya dan operasional dibandingkan dengan pendekatan lain. |
| Saat menyambungkan di seluruh penyedia cloud atau ke jaringan lokal, gunakan VPN situs-ke-situs atau ExpressRoute. | Teknologi ini menyediakan koneksi yang aman antar penyedia. |
Menyebarkan ke lingkungan yang dimiliki oleh pelanggan
Model bisnis Anda mungkin mengharuskan Anda untuk menghosting aplikasi atau komponennya dalam lingkungan Azure pelanggan. Pelanggan mengelola langganan Azure mereka sendiri, dan langsung membayar biaya sumber daya yang diperlukan untuk menjalankan aplikasi. Sebagai penyedia solusi, Anda bertanggung jawab untuk mengelola solusi, seperti penyebaran awal, menerapkan konfigurasi, dan menyebarkan pembaruan ke aplikasi.
Dalam situasi seperti itu, pelanggan sering membawa jaringan mereka sendiri dan menyebarkan aplikasi Anda ke dalam ruang jaringan yang mereka tentukan. Azure Managed Applications menawarkan kemampuan untuk memfasilitasi proses ini. Untuk informasi selengkapnya, lihat Menggunakan jaringan virtual yang ada dengan Azure Managed Applications.
Pertimbangan Desain
Rentang alamat IP dan konflik. Saat pelanggan menyebarkan dan mengelola jaringan virtual, mereka bertanggung jawab untuk menangani konflik dan penskalaan jaringan. Namun, Anda harus mengantisipasi skenario penggunaan pelanggan yang berbeda. Rencanakan penyebaran di lingkungan dengan ruang alamat IP minimal dengan menggunakan alamat IP secara efisien, dan hindari rentang alamat IP pengodean keras untuk mencegah tumpang tindih dengan rentang pelanggan.
Atau, sebarkan jaringan virtual khusus untuk solusi Anda. Anda dapat menggunakan Private Link atau peering jaringan virtual untuk memungkinkan pelanggan terhubung ke sumber daya. Pendekatan ini dijelaskan dalam Konektivitas lintas jaringan. Jika Anda telah menentukan titik masuk dan keluar, evaluasi NAT sebagai pendekatan untuk menghilangkan masalah yang disebabkan oleh tumpang tindih alamat IP.
Menyediakan akses jaringan untuk tujuan manajemen. Tinjau sumber daya yang Anda sebarkan ke lingkungan pelanggan dan rencanakan bagaimana Anda akan mengaksesnya untuk memantau, mengelola, atau mengonfigurasi ulang sumber daya tersebut. Saat sumber daya disebarkan dengan alamat IP privat ke lingkungan milik pelanggan, pastikan Anda memiliki jalur jaringan untuk menjangkaunya dari jaringan Anda sendiri. Pertimbangkan bagaimana Anda memfasilitasi perubahan aplikasi dan sumber daya, seperti mendorong versi baru aplikasi atau memperbarui konfigurasi sumber daya Azure.
Dalam beberapa solusi, Anda dapat menggunakan kemampuan yang disediakan oleh Azure Managed Applications, seperti akses just-in-time dan penyebaran pembaruan untuk aplikasi. Jika Anda memerlukan kontrol lebih, Anda dapat menghosting titik akhir dalam jaringan pelanggan yang dapat disambungkan oleh sarana kontrol Anda, menyediakan akses ke sumber daya Anda. Metode ini memerlukan sumber daya dan pengembangan Azure tambahan untuk memenuhi persyaratan keamanan, operasional, dan performa. Untuk contoh cara menerapkan pendekatan ini, lihat Sampel Pembaruan Aplikasi Terkelola Azure.
Rekomendasi desain
| Rekomendasi | Keuntungan |
|---|---|
| Gunakan Azure Managed Applications untuk menyebarkan dan mengelola sumber daya yang disebarkan pelanggan. | Azure Managed Applications menyediakan berbagai kemampuan yang memungkinkan Anda menyebarkan dan mengelola sumber daya dalam langganan Azure pelanggan. |
| Minimalkan jumlah alamat IP yang Anda gunakan dalam ruang jaringan virtual pelanggan. | Pelanggan sering memiliki ketersediaan alamat IP terbatas. Dengan meminimalkan jejak Anda dan memisahkan penskalaan Anda dari penggunaan alamat IP mereka, Anda dapat memperluas jumlah pelanggan yang dapat menggunakan solusi Anda, dan memungkinkan tingkat pertumbuhan yang lebih tinggi. |
| Rencanakan cara mendapatkan akses jaringan untuk mengelola sumber daya di lingkungan pelanggan, mempertimbangkan pemantauan, perubahan konfigurasi sumber daya, dan pembaruan aplikasi. | Anda dapat langsung mengonfigurasi sumber daya yang Anda kelola. |
| Tentukan apakah Anda ingin menyebarkan jaringan virtual khusus atau berintegrasi dengan jaringan virtual pelanggan yang ada. | Dengan merencanakan sebelumnya, Anda memastikan Anda dapat memenuhi persyaratan pelanggan untuk isolasi, keamanan, dan integrasi dengan sistem mereka yang lain. |
| Nonaktifkan akses publik pada sumber daya Azure secara default. Lebih suka masuk privat jika memungkinkan. | Anda akan mengurangi cakupan sumber daya jaringan yang perlu Anda dan pelanggan Anda lindungi. |
Sumber Daya Tambahan:
Multitenancy adalah metodologi bisnis inti untuk merancang beban kerja SaaS. Artikel ini menyediakan informasi lebih lanjut yang terkait dengan desain jaringan:
- Pendekatan arsitektural untuk jaringan dalam solusi multipenyewa
- Model penyewaan
- Topologi jaringan hub dan spoke
- Pertimbangan Azure NAT Gateway untuk multisewa
- Pendekatan arsitektur untuk integrasi penyewa dan akses data
Langkah selanjutnya
Pelajari tentang pertimbangan platform data untuk integritas dan performa data untuk beban kerja SaaS di Azure.