使用 App Service Environment 的资源要求

基本资源要求(满足 Dev 环境不对外公开)

  • VNET
  • SubNET
  • ASE (App Service Environment)

  • APP Plan (Isolate 1 - 3)

    ASE 内网站向外网公开的资源要求

  • App Service

  • Application Gateway
  • Public IP Address

优点

  1. 不暴露于公网,仅在 VNET 内可以直接访问,保证安全性
  2. 适合纯内网访问的应用(适合配合 ECL 环境已有的专线使用)

缺点

  1. 费用过高,I1 定价层就要 2000+ RMB 每月的费用
  2. ASE 的 Plan 只能在当前资源组内新建资源,如果多个部门 / 项目共用会导致难以管理

艺康内网访问网站的方式

ECL 环境已搭建艺康内网到 VNET 的专线(Express Route),可在内网直接访问
CDS 环境如果需要可以通过

  • 可搭建内网到 VNET 的 s2s VPN,实现内网直接访问
  • 内外部员工都使用“通过 VPN 访问”一节中的方式访问

公网访问网站的方式

通过跳板机访问(连接非加密,不安全)

  1. 在 VNET 中建立一台虚拟机作为跳板机
  2. 配置公网 IP

  3. 远程登录跳板机后可以访问 VNET 资源

    通过 VPN 访问(满足安全性要求)

  4. 新建 VNET Gateway

  5. 在 VPN 网关中配置 Azure AD 身份验证

  6. 下载并配置 Azure VPN 客户端,登录即可

    连接 VPN 后登录跳板机访问(满足安全性和管理要求)

  7. 准备“通过 VPN 访问”和“通过跳板机访问”中的资源,其中跳板机不需要公网 IP,仅需支持 VNET 内访问

  8. 登录 Azure VPN 客户端
  9. 远程连接跳板机,访问 VNET 中的资源

部署方式

Kudu / Visual Studio 部署

  1. 连接 VPN

  2. 手动部署

    Azure Pipelines 自动部署

  3. 自建编译服务器(build agent),部署在 VNET 内

  4. 通过自建编译服务器实现 CI/CD

单独使用 Application Gateway 的功能

  1. 七层负载均衡器
  2. 可开启 WAF,满足等保要求

单独使用 Application Gateway 的方式

建议同一类应用放在一个 WAF 后面(适用同一种流量审计 / 拦截规则)
两点疑问

  1. 同一个 Application Gateway 内的应用可以互相交互?
  2. Dev UAT 环境是否有必要?

Application Gateway 的缺点

费用较高,2000+ RMB 每月