Защита многоуровневого приложения в Azure

Ok.

Итак, я новичок в развертывании инфраструктуры в Azure.

Я понимаю основы.

Мне было поручено создать «веб-уровень», «машину среднего уровня» и «сервер базы данных» в Azure. Я, вероятно, использую для них локальные термины ... может быть, они соответствуют Azure.

Я использую план службы приложений и службу приложений. Окна ароматизированы.

Мне также очень нравится терраформ, но я думаю, что этот вопрос не зависит от терраформы. (terraform - это просто более изящный способ создания необходимых объектов в Azure, или это мое понимание новичка).

Итак, прямо сейчас я могу творить.

App-Service (который был бы моим «веб-сервером»). Я назову это AppServiceWT.

Служба приложений (которая была бы моим «средним уровнем»). Я назову это AppServiceMT.

И база данных Sql-Server / Sql-Server.

Мне удалось создать некоторые из них, используя скрипты, приправленные терраформом.

resource "azurerm_resource_group" "testrg" {}

..

resource "azurerm_app_service_plan" "testaspwt" {
  name                = "some-app-service-plan-for-webtier"

  sku {
    tier = "Standard"
    size = "S1"
  }
}

resource "azurerm_app_service" "testaswt" {
    name                = "AppServiceWT_SomeGlobalUniqueName"
}

..

resource "azurerm_app_service_plan" "testaspmt" {
  name                = "some-app-service-plan-for-middletier"

  sku {
    tier = "Standard"
    size = "S1"
  }
}

resource "azurerm_app_service" "testasmt" {
    name                = "AppServiceMT_SomeGlobalUniqueName"
}

..

resource "azurerm_sql_server" "primary_azurerm_sql_server" {}

resource "azurerm_sql_database" "primary_azurerm_sql_database" {}

Так что у меня есть «части» (думаю ???).

Так что теперь мое препятствие.

Что я делаю для защиты сетевого трафика.

Требования:

Средний уровень может делать запросы sql-server-tier. sql-server-tier недоступен для чего-либо, кроме среднего уровня. В локальном мире мы открыли бы порт 1433 на sql-сервере, чтобы разрешить трафик.

Веб-уровень может делать запросы среднего уровня. средний уровень недоступен для чего-либо, кроме веб-уровня. В локальном мире мы открыли бы порт 80/443 на среднем уровне, чтобы разрешить трафик.

WebTier открыт для мира.

Какие лазурные «предметы» мне не хватает?

Бонусные баллы за указание на «задачи» терраформирования (или как они там называются).

https://www.terraform.io/docs/providers/azurerm/index.html

Но да, я обращаюсь к SOF за помощью, чтобы заполнить пробелы в «трафике» и «безопасной сети» в моей голове.

Заранее спасибо.

Если я задаю неправильные вопросы, дайте мне знать.

Я не хочу поддерживать свои собственные виртуальные машины. Поэтому я считаю, что план службы приложений Azure и служба приложений - правильный выбор. Хотя я немного знаком с функциями Azure и приложениями логики, мы не хотим использовать их в этом проекте.

Чтобы добавить еще немного информации.

В конце концов я пытаюсь создать «привет, мир», используя приведенную ниже статью с практическими рекомендациями от Microsoft. В приведенной выше статье нет промежуточного уровня, но как только я разберусь с концепциями, я думаю, что смогу сделать web / middle / sql «hello world».

https://docs.microsoft.com/en-us/azure/app-service/app-service-web-tutorial-dotnetcore-sqldb