Azure 解决方案:如何有效地保护Azure 资源
Azure VMWare Solution(AVS)是由Azure管理和维护的经过VMWare验证的私有云解决方案,AVS 允许客户使用一致的操作框架管理和保护跨VMWare环境和Microsoft Azure的应用程序,它支持工作负载迁移、VM部署和Azure Service Consumption.
由于AVS私用云运行在Azure环境中,默认情况下无法从Azure或者Internet访问它,用户可以使用Express Route Global Reach访问AVS私有云,这意味着AVS工作负载虚拟机被限制在AVS私有云中,不能从Internet访问。
但是,如果客户想让AVS私有云资源可以从Internet访问,该怎么办呢?
解决方案:需要部署公网IP,有两种方案可以满足需求:
Azure Application Gateway
使用Azure WAN Hub和防火墙的DNAT或者DNAT
Azure Application Gateway是发布AVS私用云资源的推荐方式,本文将介绍如何通过Azure Application Gateway 在互联网上发布AVS私用云资源。
Azure Application Gateway是一个7层的负载均衡器,它支持Web应用的流量管理,Application Gateway提供了高级功能,如基于cookie的会话关联、基于URL的路由和Web应用程序防火墙。
AVS私有云的Application Gateway有哪些好处呢?
提供按需、现收现付的消费模式
确保最大吞吐量和最小响应时间,并能应对突发流量
提供了许多高级功能,比如Web应用防火墙与DDOS保护等等
下图演示了如何使用Azure Application Gateway来保护和发布AVS私有云资源以及Azure VM规模集和本地服务器。
下面的架构图说明了部署在Azure虚拟广域网中心上的应用程序网关,以及托管在Azure VMWare解决方案环境中的Web服务器群,并配置了RFC 1918私有IP地址,Web服务器可以通过Azure应用网关从互联网上访问,配置了一个公共IP作为前端,运行在AVS私有云上的Web服务器被配置为后端池。
当来自Internet的用户试图通过443端口访问应用网关的公网IP时,应用网关将次请求发送给启用一个Web服务器,Web服务器处理请求并回复给应用为网关,最后,应用程序网关向用户做出响应,因此,运行在AVS私有云上的Web服务器可以从互联网访问,此外,客户可以启用Azure DDos防护标准,以增加安全性。
说明:通常,多个后端池在一个池中可以配置多个Web服务器。
接下来介绍一下部署和配置Azure应用网关的细节,以及AVS私有云资源可以从Internet访问。
应用网关部署在Azure虚拟网络(VNet)上,VNet可以通过Express Route直接连接到AVS私有云,VNet也可以连接到Azure Virtual WAN Hub,在Azure VMWare私有云上启用共有IP后,会自动部署一个安全的虚拟WAN Hub,AVS私有云和安全广域网集线器之间的连接也可以通过Express Route实现,本文介绍的是使用安全虚拟广域网集线器。
部署和配置Application Gateway
先决条件:
o 具有Azure订阅的账户
o 部署并运行的Azure VMWare私有云
o Azure VMWare私有云上启用的公共IP
o 部署Azure VNet,并与Azure VMWare私有云安全广域网Hub对等
部署和配置Application Gateway,请访问官网部署步骤
AVS私有云资源现在可以通过公网IP从Internet访问,如下图所示的应用网关的前端IP地址。