我有一个Web角色的前端MVC应用程序,受WIF和ACS保护,我希望这是我的Azure应用程序唯一暴露的表面。它连接到许多后端服务,一些工作者角色和一些(为了方便在VS中添加服务引用,或者因为它们使用WCF数据服务)Web角色。后端服务角色只有内部端点。
我从MS文献中了解到,内部端点仅适用于具有相同部署的其他角色。鉴于此,在MVC Web角色和后端服务之间应用任何类型的传输或消息安全性或身份验证似乎都是多余的,这可能是为什么https在内部端点上不可用。
我的问题是:这有多安全?有没有什么方法可以从我们部署的角色之外的任何东西发现端点?是否有任何理由在任何角色间绑定上产生额外安全性的开销?
答案 0 :(得分:7)
服务表示隔离边界,除非您将端点声明为“输入”端点,否则无法在此隔离边界之外访问它。该边界的实现是专用网络分支,对其他分支没有可寻址性。
请注意,内部端点不是负载平衡的。所以有一个权衡。我wrote some stuff up on endpoints回来一段时间,这可能有助于巩固一些事情。