Obsługa dużego ruchu w usłudze Application Gateway

Usługa Application Gateway z zaporą aplikacji internetowej (WAF) umożliwia skalowalny i bezpieczny sposób zarządzania ruchem do aplikacji internetowych.

Ważne jest, aby skalować usługę Application Gateway zgodnie z ruchem, z uwzględnieniem niewielkiego buforu, aby przygotować się na wszelkie wzrosty ruchu lub skoki i zminimalizować wpływ, jaki mogą mieć na jakość obsługi. Poniższe sugestie ułatwiają skonfigurowanie usługi Application Gateway z WAF w celu efektywnej obsługi dodatkowego ruchu.

Zapoznaj się z dokumentacją metryk , aby uzyskać pełną listę metryk oferowanych przez usługę Application Gateway. Zobacz wizualizację metryk w witrynie Azure Portal i dokumentację usługi Azure Monitor , aby dowiedzieć się, jak ustawić alerty dla metryk.

Aby uzyskać szczegółowe informacje i zalecenia dotyczące wydajności usługi Application Gateway, zobacz Artykuł Azure Well-Architected Framework — Azure Application Gateway w wersji 2.

Skalowanie dla Application Gateway w wersji 1 SKU (Standard/WAF SKU)

Ustawianie liczby wystąpień na podstawie szczytowego użycia procesora CPU

Jeśli używasz bramy SKU v1, możesz skonfigurować Application Gateway do 32 instancji na potrzeby skalowania. W ciągu ostatniego miesiąca sprawdź zużycie procesora CPU w usłudze Application Gateway pod kątem skoków powyżej 80%; jest ono dostępne jako metryka do monitorowania. Zaleca się ustawienie liczby wystąpień zgodnie ze szczytowym użyciem z dodatkowym buforem od 10% do 20%, aby uwzględnić wszelkie skoki ruchu.

Zaleca się używanie wersji SKU 2 zamiast wersji 1 ze względu na możliwości automatycznego skalowania i korzyści wydajnościowe.

Jednostka SKU w wersji 2 oferuje automatyczne skalowanie, dzięki czemu Application Gateway może zwiększać swoje zasoby w miarę wzrostu ruchu. Oferuje również inne znaczące korzyści wydajnościowe, takie jak 5-krotnie lepszą wydajność odciążania TLS, szybszy czas wdrażania i aktualizacji, nadmiarowość strefowa i nie tylko, w porównaniu z wersją 1. Aby uzyskać więcej informacji, zobacz naszą dokumentację v2 i dokumentację migracji z wersji 1 do wersji 2, aby dowiedzieć się, jak przenieść istniejące bramy SKU z wersji 1 do SKU wersji 2.

Skalowanie automatyczne dla jednostki SKU usługi Application Gateway w wersji 2 (Standard_v2/WAF_v2 SKU)

Ustaw maksymalną liczbę wystąpień na maksymalną (125)

W przypadku jednostki SKU usługi Application Gateway w wersji 2 ustawienie maksymalnej liczby wystąpień na maksymalną możliwą wartość 125 umożliwia usłudze Application Gateway skalowanie w poziomie zgodnie z potrzebami. Dzięki temu może obsługiwać możliwy wzrost ruchu do aplikacji. Opłaty są naliczane tylko za używane jednostki pojemności (CU).

Pamiętaj, aby sprawdzić rozmiar podsieci i liczbę dostępnych adresów IP w podsieci i ustawić maksymalną liczbę wystąpień na podstawie tego. Jeśli twoja podsieć nie ma wystarczającej ilości miejsca, aby pomieścić, musisz odtworzyć swoją bramę w tej samej lub innej podsieci, która ma wystarczającą pojemność.

Ustawianie minimalnej liczby wystąpień na podstawie średniego użycia jednostek obliczeniowych

W przypadku jednostki SKU usługi Application Gateway w wersji 2, rozszerzenie automatyczne trwa od trzech do pięciu minut, aby zwiększyć liczbę wystąpień i przygotować dodatkowy zestaw wystąpień gotowych do obsługi ruchu. Do tego czasu, jeśli występują krótkie skoki ruchu, istniejące wystąpienia bramy mogą zostać obciążone i może to spowodować nieoczekiwane opóźnienie lub utratę ruchu.

Zaleca się ustawienie minimalnej liczby wystąpień na optymalny poziom. Jeśli na przykład potrzebujesz 50 wystąpień do obsługi ruchu przy szczytowym obciążeniu, ustawienie minimum na 25 do 30 jest lepszym pomysłem niż na 10, tak aby nawet w przypadku krótkich wzrostów ruchu, brama aplikacji mogła go obsłużyć, zapewniając jednocześnie wystarczającą ilość czasu na reakcję i zastosowanie automatycznego skalowania.

Sprawdź metryki jednostki obliczeniowej w ciągu ostatniego miesiąca. Jednostka miary obciążenia obliczeniowego to reprezentacja obciążenia procesora bramy. Na podstawie szczytowego obciążenia podzielonego przez 10 można ustalić minimalną liczbę wymaganych instancji. Należy zauważyć, że jedno wystąpienie bramy aplikacji jest w stanie obsłużyć co najmniej 10 jednostek obliczeniowych.

Ręczne skalowanie jednostki SKU usługi Application Gateway w wersji 2 (Standard_v2/WAF_v2)

Ustawianie liczby wystąpień na podstawie szczytowego użycia jednostek obliczeniowych

W przeciwieństwie do skalowania automatycznego, w przypadku skalowania ręcznego należy ręcznie ustawić liczbę wystąpień bramy aplikacji na podstawie wymagań dotyczących ruchu. Zaleca się ustawienie liczby wystąpień zgodnie ze szczytowym użyciem z dodatkowym buforem od 10% do 20%, aby uwzględnić wszelkie skoki ruchu. Jeśli na przykład ruch wymaga 50 wystąpień w szczytowym momencie, aprowizuj od 55 do 60 wystąpień, aby obsłużyć nieoczekiwane skoki ruchu, które mogą wystąpić.

Sprawdź metryki jednostki obliczeniowej w ciągu ostatniego miesiąca. Jednostka obliczeniowa jest reprezentacją użycia CPU twojej bramy aplikacyjnej, i na podstawie użycia szczytowego podzielonego przez 10, można ustawić wymaganą liczbę wystąpień, ponieważ jedno wystąpienie bramy aplikacyjnej może obsłużyć co najmniej 10 jednostek obliczeniowych.

Monitorowanie i alerty

Aby otrzymywać powiadomienia o wszelkich anomaliach dotyczących ruchu lub wykorzystania, możesz skonfigurować alerty dotyczące określonych metryk. Zobacz dokumentację metryk , aby uzyskać pełną listę metryk oferowanych przez usługę Application Gateway. Zobacz wizualizację metryk w witrynie Azure Portal i dokumentację usługi Azure Monitor , aby dowiedzieć się, jak ustawić alerty dla metryk.

Aby skonfigurować alerty przy użyciu szablonów usługi ARM, zobacz Konfigurowanie alertów usługi Azure Monitor dla usługi Application Gateway.

Alerty dla SKU usługi Application Gateway v1 (Standardowa/WAF)

Alert, jeśli średnie zużycie CPU przekracza 80%%

W normalnych warunkach użycie procesora CPU nie powinno regularnie przekraczać 90%, ponieważ może to spowodować opóźnienie w witrynach internetowych hostowanych za usługą Application Gateway i zakłócić środowisko klienta. Możesz pośrednio kontrolować lub poprawić wykorzystanie procesora CPU, modyfikując konfigurację usługi Application Gateway, zwiększając liczbę wystąpień lub przechodząc do większego rozmiaru jednostki SKU lub wykonując obie te czynności. Ustaw alert, jeśli metryka wykorzystania CPU przekroczy średnią 80%.

Alarm, jeśli liczba niezdrowych serwerów przekracza próg

Ta metryka wskazuje liczbę serwerów zaplecza, których brama aplikacyjna nie może pomyślnie sondować. Zapewnia wykrywanie problemów, gdy instancje Application Gateway nie mogą nawiązać połączenia z zapleczem. Alarm, jeśli ta liczba przekroczy 20% pojemności backendu. Jeśli na przykład masz 30 serwerów zaplecza w puli zaplecza, ustaw alert, jeśli liczba hostów w złej kondycji przekroczy 6.

Alert, jeśli stan odpowiedzi (4xx, 5xx) przekracza ustalony próg

Utwórz alert, gdy stan odpowiedzi usługi Application Gateway to 4xx lub 5xx. Czasami może wystąpić odpowiedź 4xx lub 5xx z powodu przejściowych problemów. Należy obserwować bramkę w środowisku produkcyjnym, aby określić próg statyczny lub ustawić próg dynamiczny dla alertu.

Alert, jeśli żądania zakończone niepowodzeniem przekroczą próg.

Utwórz alert, gdy metryka nieudanych żądań przekracza próg. Należy obserwować bramkę w środowisku produkcyjnym, aby określić próg statyczny lub ustawić próg dynamiczny dla alertu.

Przykład: Konfigurowanie alertu dla ponad 100 żądań, które zakończyły się niepowodzeniem w ciągu ostatnich 5 minut

Ten przykład pokazuje, jak korzystając z portalu Azure, skonfigurować alert, gdy liczba niepomyślnych żądań w ciągu ostatnich 5 minut przekracza 100.

1. Przejdź do usługi Application Gateway.
2. Na panelu po lewej stronie wybierz pozycję Metryki na karcie Monitorowanie .
3. Dodaj metrykę dla żądań, które zakończyły się niepowodzeniem.
4. Kliknij pozycję Nowa reguła alertu i zdefiniuj warunek i akcje
5. Kliknij pozycję Utwórz regułę alertu , aby utworzyć i włączyć alert

Alerty dotyczące SKU Application Gateway w wersji 2 (Standard_v2/WAF_v2)

Alert, jeśli użycie jednostek obliczeniowych przekracza 75% średniego użycia

Jednostka obliczeniowa jest miarą wykorzystania zasobów obliczeniowych w usłudze Application Gateway. Sprawdź średnie użycie jednostek obliczeniowych w ciągu ostatniego miesiąca i ustaw alert, jeśli przekroczy 75%. Jeśli na przykład średnie użycie wynosi 10 jednostek obliczeniowych, ustaw alert dla 7,5 jednostek CU. Alerty powiadamiają, jeśli użycie rośnie i dają czas na reakcję. Możesz podnieść próg, jeśli uważasz, że ten ruch się utrzyma, aby otrzymywać alerty wskazujące na jego wzrost. Postępuj zgodnie z powyższymi sugestiami skalowania, aby rozszerzać infrastrukturę w miarę potrzeb.

Przykład: konfigurowanie alertu na 75% średniego użycia CU

W tym przykładzie pokazano, jak za pomocą portalu Azure skonfigurować alert, gdy średnie użycie CU osiągnie 75%.

1. Przejdź do usługi Application Gateway.
2. Na panelu po lewej stronie wybierz pozycję Metryki na karcie Monitorowanie .
3. Dodaj metrykę dla średnich bieżących jednostek obliczeniowych.
4. Jeśli ustawiono minimalną liczbę wystąpień na średnie użycie aktualizacji CU, przejdź do przodu i ustaw alert, gdy 75% minimalnych wystąpień jest używanych. Jeśli na przykład średnie użycie wynosi 10 jednostek CU, ustaw alert dla 7,5 jednostek CU. Alerty powiadamiają, jeśli użycie rośnie i dają czas na reakcję. Możesz podnieść próg, jeśli uważasz, że ten ruch się utrzyma, aby otrzymywać alerty wskazujące na jego wzrost.

Alert, jeśli użycie jednostek pojemności przekracza 75% szczytowego użycia

Jednostki pojemności reprezentują ogólne wykorzystanie bramy pod względem przepływności, obliczeń i liczby połączeń. Sprawdź maksymalne użycie jednostek pojemności w ciągu ostatniego miesiąca i ustaw alert, jeśli przekroczy 75%. Jeśli na przykład maksymalne użycie wynosi 100 jednostek pojemności, ustaw alert dla 75 jednostek CU. Postępuj zgodnie z powyższymi dwiema sugestiami, aby rozszerzać działania w razie potrzeby.

Alarm, jeśli liczba niezdrowych serwerów przekracza próg

Ta metryka wskazuje liczbę serwerów zaplecza, których brama aplikacyjna nie może pomyślnie sondować. Zapewnia wykrywanie problemów, gdy instancje Application Gateway nie mogą nawiązać połączenia z zapleczem. Alarm, jeśli ta liczba przekroczy 20% pojemności backendu. Jeśli na przykład masz 30 serwerów zaplecza w puli zaplecza, ustaw alert, jeśli liczba hostów w złej kondycji przekroczy 6.

Alert, jeśli stan odpowiedzi (4xx, 5xx) przekracza ustalony próg

Utwórz alert, gdy stan odpowiedzi usługi Application Gateway to 4xx lub 5xx. Czasami może wystąpić odpowiedź 4xx lub 5xx z powodu przejściowych problemów. Należy obserwować bramkę w środowisku produkcyjnym, aby określić próg statyczny lub ustawić próg dynamiczny dla alertu.

Alert, jeśli żądania zakończone niepowodzeniem przekroczą próg.

Utwórz alert, gdy metryka nieudanych żądań przekracza próg. Należy obserwować bramkę w środowisku produkcyjnym, aby określić próg statyczny lub ustawić próg dynamiczny dla alertu.

Alert, jeśli czas odpowiedzi ostatniego bajtu z zaplecza przekracza próg

Ta metryka wskazuje przedział czasu między rozpoczęciem nawiązywania połączenia z serwerem zaplecza i odbieraniem ostatniego bajtu treści odpowiedzi. Utwórz alert, jeśli opóźnienie odpowiedzi zaplecza przekroczy zwykły próg określony. Na przykład ustaw tę opcję, aby otrzymywać alerty, gdy opóźnienie odpowiedzi zaplecza zwiększa się o ponad 30% od zwykłej wartości.

Alert, jeśli łączny czas usługi Application Gateway przekracza próg

Jest to interwał od momentu odebrania przez usługę Application Gateway pierwszego bajtu żądania HTTP do momentu wysłania ostatniego bajtu odpowiedzi do klienta. System powinien utworzyć alert, jeśli opóźnienie odpowiedzi zaplecza jest większe niż ustalony próg. Można na przykład ustawić tę opcję, aby otrzymywać alerty, gdy łączne opóźnienie czasu zwiększa się o ponad 30% ze zwykłej wartości.

Skonfiguruj WAF z filtrowaniem geograficznym i ochroną botów, aby zatrzymać ataki

Jeśli potrzebujesz dodatkowej warstwy zabezpieczeń przed aplikacją, użyj jednostki SKU usługi Application Gateway WAF_v2 dla funkcji WAF. Jednostkę SKU w wersji 2 można skonfigurować tak, aby zezwalała tylko na dostęp do aplikacji z danego kraju/regionu lub krajów/regionów. Skonfigurowałeś niestandardową regułę WAF, aby jawnie zezwalać na ruch lub blokować go na podstawie lokalizacji geograficznej. Aby uzyskać więcej informacji, zobacz filtrowanie geograficzne reguł niestandardowych i jak skonfigurować reguły niestandardowe w usłudze Application Gateway WAF_v2 SKU za pomocą programu PowerShell.

Włącz ochronę botów, aby zablokować znane złe boty. Powinno to zmniejszyć ilość ruchu przychodzącego do aplikacji. Aby uzyskać więcej informacji, zobacz ochrona botów za pomocą instrukcji konfiguracji.

Włącz diagnostykę na Application Gateway i WAF

Dzienniki diagnostyczne umożliwiają wyświetlanie dzienników zapory, dzienników wydajności i dzienników dostępu. Te dzienniki można używać na platformie Azure do zarządzania usługami Application Gateway i rozwiązywania problemów z nimi. Aby uzyskać więcej informacji, zobacz dokumentację diagnostyki.

Konfigurowanie zasad protokołu TLS w celu zapewnienia dodatkowych zabezpieczeń

Upewnij się, że używasz najnowszej wersji zasad PROTOKOŁU TLS (AppGwSslPolicy20220101) lub nowszej. Obsługują one minimalną wersję protokołu TLS w wersji 1.2 z silniejszymi szyframi. Aby uzyskać więcej informacji, zobacz Konfigurowanie wersji zasad PROTOKOŁU TLS i zestawów szyfrowania za pomocą programu PowerShell.