Ich habe eine Front-End-MVC-Anwendung in einer Web-Rolle, die durch WIF und ACS geschützt ist. Ich möchte die einzige exponierte Oberfläche meiner Azure-Anwendung sein. Er stellt eine Verbindung zu einer Reihe von Back-End-Services, einigen Worker-Rollen und einigen (zum leichteren Hinzufügen von Service-Referenzen in VS oder zur Verwendung von WCF Data Services) Webrollen her. Die Back-End-Service-Rollen haben nur interne Endpunkte.
Aus der MS-Literatur geht hervor, dass interne Endpunkte nur für andere Rollen mit derselben Bereitstellung verfügbar sind. Angesichts dieser Tatsache scheint es redundant zu sein, irgendeine Art von Transport- oder Nachrichtensicherheit oder Authentifizierung zwischen der MVC-Web-Rolle und den Back-End-Diensten anzuwenden, weshalb https auf internen Endpunkten vermutlich nicht verfügbar ist.
Meine Frage ist: Wie sicher ist das? Gibt es eine Möglichkeit, einen Endpunkt von etwas anderem als einer unserer implementierten Rollen zu entdecken? Gibt es irgendeinen Grund, den Overhead für zusätzliche Sicherheit in einer der Inter-Roll-Bindungen zu übernehmen?
Ein Service stellt eine Isolationsgrenze dar. Wenn Sie einen Endpunkt nicht als einen "Eingabe" -Endpunkt deklarieren, kann auf ihn nicht außerhalb dieser Isolationsgrenze zugegriffen werden. Die Implementierung dieser Grenze ist ein privater Netzwerkzweig ohne Adressierbarkeit zu anderen Zweigen.
Beachten Sie, dass interne Endpunkte nicht lastausgleichend sind. Es gibt also einen Kompromiss. Ich schrieb etwas auf Endpoints , das könnte helfen, Dinge zu konsolidieren Bit.
Tags und Links azure