Tailwind Traders possède plusieurs applications qui incluent des composants front-end exécutés localement dans un réseau périmétrique. Les éléments back-end sont situés sur un réseau interne protégé. L’un des objectifs de Tailwind Traders pour passer à un cloud hybride est de mettre hors service son réseau périmétrique et d’héberger toutes les charges de travail publiques dans le cloud. En raison de problèmes de conformité et des préoccupations des propriétaires de charges de travail, certaines de ces applications doivent physiquement rester dans les locaux de Tailwind Traders au lieu d’être hébergées dans un centre de données Azure.

Tailwind Traders possède d’autres applications accessibles via des connexions VPN dans les réseaux internes protégés dans les centres de données de Sydney, Melbourne et Auckland. Ces applications exigent généralement que les utilisateurs s’authentifient auprès de leur Active Directory local.

Dans cette unité, vous apprendrez les technologies de connexions hybrides. Ces connexions permettent à Tailwind Traders de gérer des applications pour que les utilisateurs se connectent via Azure, même lorsque les données ou l’application elle‑même est hébergée sur le matériel de Tailwind Traders.

Qu’est‑ce que Azure Relay ?

Azure Relay est un service que vous pouvez utiliser pour exposer de manière sécurisée au cloud public des charges de travail qui s’exécutent sur le réseau interne de votre organisation. Le service expose ces charges de travail de manière sécurisée sans ouvrir de port entrant sur le pare‑feu du réseau périmétrique.

Azure Relay prend en charge les scénarios suivants entre les services locaux et les applications qui s’exécutent dans Azure :

• Communication standard unidirectionnelle, demande/réponse, et pair‑à‑pair
• Distribution d’événements pour permettre des scénarios de publication/abonnement
• Communication bidirectionnelle non tamponnée entre sockets à travers des frontières réseau

Azure Relay offre les fonctionnalités suivantes :

• Connexions hybrides : Cette fonctionnalité utilise des WebSockets ouverts standards et peut être utilisée dans des architectures multiplateformes. Elle prend en charge .NET Core, .NET Framework, JavaScript/Node.js, les protocoles basés sur des standards ouverts, et les modèles de programmation RPC.
• WCF Relay : Cette fonctionnalité utilise Windows Communication Foundation (WCF) pour permettre des appels de procédure distante. C’est une option que de nombreux clients utilisent avec leurs programmes WCF. Elle prend également en charge .NET Framework.

Azure Relay permet à Tailwind Traders de publier des applications exécutées sur le réseau interne vers des clients sur Internet sans exiger de connexion VPN. L’entreprise doit utiliser Azure Relay à la place des Hybrid Connections d’Azure App Service lorsqu’il n’y a pas d’application web front‑end exécutée dans Azure. Azure Relay doit être utilisé à la place du proxy d’application Microsoft Entra lorsque l’application n’a pas besoin d’authentification Microsoft Entra.

Qu’est‑ce que les connexions hybrides Azure App Service ?

La fonctionnalité Hybrid Connections dans Azure App Service peut utiliser n’importe quelle ressource applicative sur n’importe quel réseau capable d’envoyer des requêtes sortantes vers Azure sur le port 443.
Par exemple, vous pouvez utiliser les connexions hybrides pour permettre à une application web exécutée dans Azure d’utiliser une base de données SQL Server exécutée sur site.
Les connexions hybrides fournissent un accès depuis une application exécutée dans Azure vers un point de terminaison TCP.

Les connexions hybrides ne sont pas limitées aux charges de travail s’exécutant sur des plateformes Windows Server. Vous pouvez configurer des connexions hybrides pour accéder à toute ressource fonctionnant comme point de terminaison TCP, quel que soit le protocole applicatif utilisé. Par exemple, vous pouvez configurer une connexion hybride entre une application web exécutée dans Azure et une base de données MySQL exécutée sur une machine virtuelle Linux locale.

Les connexions hybrides utilisent un agent Relay. Vous déployez l’agent Relay à un emplacement où il peut établir la connectivité au point de terminaison TCP sur le réseau interne et établir une connexion vers Azure.
Cette connexion est sécurisée via le protocole TLS 1.2.
Des clés SAS (Shared Access Signature) sont utilisées pour l’authentification et l’autorisation.

L’image suivante montre une connexion hybride entre une application web exécutée dans Azure et un point de terminaison de base de données sur site.

Fonctionnalités des connexions hybrides

Les fonctionnalités des connexions hybrides incluent :

• Les applications qui s’exécutent dans Azure peuvent accéder de manière sécurisée aux systèmes et services locaux.
• Les systèmes ou services locaux n’ont pas besoin d’être directement accessibles aux hôtes via Internet.
• Il n’est pas nécessaire d’ouvrir un port dans le pare‑feu pour permettre un accès entrant depuis Azure vers l’agent Relay. Toutes les communications sont initiées en sortie depuis l’agent Relay via le port 443.

Les limites des connexions hybrides sont les suivantes :

• Elles ne peuvent pas être utilisées pour monter un partage SMB sur un réseau local.
• Elles ne peuvent pas utiliser le protocole UDP (User Datagram Protocol).
• Elles ne peuvent pas accéder à des services TCP qui utilisent des ports dynamiques.
• Elles ne prennent pas en charge le protocole LDAP (Lightweight Directory Access Protocol) en raison de la dépendance au protocole UDP.
• Elles ne peuvent pas être utilisées pour effectuer une opération de jonction à un domaine Active Directory Domain Services.

Pour Tailwind Traders, les connexions hybrides permettent la mise hors service de plusieurs applications dont les front‑ends fonctionnent actuellement sur le réseau périmétrique de Tailwind Traders. Ces applications peuvent migrer vers Azure. Les connexions hybrides peuvent ensuite fournir une connexion sécurisée aux réseaux protégés qui hébergent les composants principaux de l’application.

Qu’est‑ce que le Microsoft Entra Application Proxy ?

Un proxy d’application Microsoft Entra permet de fournir un accès distant sécurisé à une application web qui s’exécute dans un environnement local via une URL externe. Vous pouvez configurer un proxy d’application pour autoriser l’accès distant et l’authentification unique à SharePoint, Microsoft Teams, les applications web IIS, et Remote Desktop. Le proxy d’application peut être implémenté comme un remplacement des VPN pour les réseaux internes ou des reverse proxies.

Le proxy d’application fonctionne avec les applications suivantes :

• Applications web qui utilisent l’authentification Windows intégrée.
• Applications web qui utilisent une authentification basée sur des en‑têtes ou des formulaires.
• Applications hébergées via la passerelle Remote Desktop Services.

Le proxy d’application fonctionne comme suit :

1. L’utilisateur se connecte à l’application via un point de terminaison public disponible, puis effectue une authentification Microsoft Entra.
2. Un jeton est transmis à l’appareil de l’utilisateur après la connexion.
3. L’appareil client transfère le jeton au service Application Proxy, qui renvoie le nom UPN (User Principal Name) et le SPN (Service Principal Name) depuis le jeton. Le service Application Proxy transfère alors la requête au connecteur Application Proxy.
4. Le connecteur Application Proxy effectue une authentification supplémentaire si l’authentification unique (SSO) est activée.
5. Le connecteur Application Proxy transfère la requête à l’application locale.
6. La réponse est envoyée via le connecteur et le service Application Proxy à l’utilisateur.

L’image suivante illustre ce processus :

Les utilisateurs sur des réseaux internes qui permettent une connexion directe aux applications doivent éviter d’utiliser Application Proxy.

Tailwind Traders peut utiliser le Microsoft Entra Application Proxy pour fournir aux utilisateurs externes un accès aux applications internes qui utilisent l’authentification Active Directory.