Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Application Gateway w wersji 2 to internetowy moduł równoważenia obciążenia ruchu, który działa w warstwie aplikacji. Usługa Application Gateway zarządza ruchem do aplikacji internetowych na podstawie atrybutów żądania HTTP. Usługa Application Gateway jest używana w scenariuszach, które mają zaawansowane możliwości routingu i wymagają zwiększonych zabezpieczeń i skalowalności.
W tym artykule przyjęto założenie, że jako architekt przejrzeliśmy opcje sieci i wybraliśmy usługę Application Gateway jako moduł równoważenia obciążenia ruchu internetowego dla obciążenia. Wskazówki w tym artykule zawierają zalecenia dotyczące architektury, dopasowane do zasad filarów Well-Architected Framework.
Zakres technologii
Ten przegląd koncentruje się na powiązanych decyzjach dotyczących następujących zasobów platformy Azure:
- Application Gateway (wersja 2)
- Zapora aplikacji internetowej w usłudze Application Gateway
Reliability
Celem filaru niezawodności jest zapewnienie ciągłej funkcjonalności dzięki tworzeniu wystarczającej odporności i możliwości szybkiego odzyskiwania po awariach.
zasady projektowania niezawodności zapewniają ogólną strategię projektowania stosowaną dla poszczególnych składników, przepływów systemowych i całego systemu.
Lista kontrolna projektowania obciążenia
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem niezawodności. Określ jego znaczenie dla wymagań biznesowych, pamiętając o funkcjach usługi Application Gateway i jej zależnościach. Rozszerz strategię w celu uwzględnienia większej liczby podejść zgodnie z potrzebami.
Użyj usługi Application Gateway w wersji 2 w nowych wdrożeniach, chyba że obciążenie wymaga usługi Application Gateway w wersji 1.
Twórz nadmiarowość w projekcie. Rozmieść wystąpienia usługi Application Gateway w różnych strefach dostępności, aby zwiększyć odporność na awarie i utworzyć nadmiarowość. Ruch przechodzi do innych stref, jeśli jedna strefa ulegnie awarii. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące używania stref dostępności i regionów.
Zaplanuj dodatkowy czas aktualizacji reguł i innych zmian konfiguracji przed uzyskaniem dostępu do usługi Application Gateway lub wprowadzeniem dalszych zmian. Na przykład może być potrzebny dodatkowy czas na usunięcie serwerów z puli serwerów zaplecza, ponieważ muszą opróżnić istniejące połączenia.
Zaimplementuj wzorzec monitorowania punktu końcowego zdrowia. Aplikacja powinna udostępniać punkty końcowe dotyczące kondycji, które agregują stan krytycznych usług i zależności potrzebnych do obsługi żądań przez aplikację. Sondy kondycji usługi Application Gateway używają punktu końcowego do wykrywania kondycji serwerów w puli zaplecza. Aby uzyskać więcej informacji, zobacz wzorzec monitorowania punktów końcowych kondycji .
Oceń wpływ ustawień interwału i progu na sondę kondycji. Sonda kondycji wysyła żądania do skonfigurowanego punktu końcowego w określonym interwale. Zaplecze toleruje ograniczoną liczbę żądań zakończonych niepowodzeniem, zanim zostanie uznane za niezdrowe. Te ustawienia mogą powodować konflikt, co stanowi kompromis.
Wyższy interwał powoduje większe obciążenie usługi. Każde wystąpienie usługi Application Gateway wysyła własną sondę kondycji, więc 100 wystąpień co 30 sekund odpowiada 100 żądaniom co 30 sekund.
Niższy interwał zwiększa ilość czasu potrzebnego do wykrycia awarii przez sondę zdrowotną.
Niski, niewydolny próg zwiększa prawdopodobieństwo krótkich, przejściowych awarii, które mogą zamknąć back-end.
Wysoki próg zwiększa czas, potrzebny na to, aby moduł zaplecza schodził z rotacji.
Sprawdź zależności podrzędne za pośrednictwem punktów końcowych kondycji. Aby odizolować awarie, każdy z backendów może mieć własne zależności. Na przykład aplikacja hostowana za pomocą Application Gateway może mieć wiele zapleczy, a każde zaplecze łączy się z inną bazą danych lub repliką. Gdy taka zależność zakończy się niepowodzeniem, aplikacja może działać, ale nie zwraca prawidłowych wyników. Z tego powodu punkt końcowy kondycji powinien w idealnym przypadku zweryfikować wszystkie zależności.
Jeśli każde wywołanie punktu końcowego kondycji ma bezpośrednie wywołanie zależności, ta baza danych odbiera 100 zapytań co 30 sekund zamiast jednego zapytania. Aby uniknąć nadmiernych zapytań, punkt końcowy sprawdzania kondycji powinien buforować stan zależności przez krótki czas.
Rozważ ograniczenia usługi Application Gateway i znane problemy, które mogą mieć wpływ na niezawodność. Zapoznaj się z często zadawanymi pytaniami dotyczącymi usługi Application Gateway , aby uzyskać ważne informacje o zachowaniu projektu, poprawkach w budowie, ograniczeniach platformy i możliwych obejściach lub strategiach ograniczania ryzyka. Nie używaj tras zdefiniowanych przez użytkownika (UDR) w dedykowanej podsieci usługi Application Gateway.
Rozważ ograniczenia portów źródłowego tłumaczenia adresów sieciowych (SNAT) w projekcie, które mogą mieć wpływ na połączenia zaplecza w Application Gateway. Niektóre czynniki wpływają na sposób osiągnięcia limitu portów SNAT w usłudze Application Gateway. Jeśli na przykład zaplecze jest publicznym adresem IP, wymaga własnego portu SNAT. Aby uniknąć ograniczeń portów SNAT, możesz wykonać jedną z następujących opcji:
Zwiększ liczbę wystąpień dla każdej usługi Application Gateway.
Skalowanie zaplecza w celu uzyskania większej liczby adresów IP.
Przenieś zaplecze do tej samej sieci wirtualnej i użyj prywatnych adresów IP dla zaplecza.
Jeśli usługa Application Gateway osiągnie limit portów SNAT, wpływa to na żądania na sekundę (RPS). Na przykład usługa Application Gateway nie może otworzyć nowego połączenia z zapleczem, a żądanie kończy się niepowodzeniem.
Jeśli to możliwe, rozważ integrację nakładki CNI. Na przykład w przypadku korzystania z usługi AKS skorzystaj z obsługi usługi Application Gateway for Containers dla sieci zasobników nakładek. Ta funkcja umożliwia skalowanie wielu klastrów usługi AKS współużytkujących ruch przychodzący przy jednoczesnym zachowaniu miejsca na adresach IP, co powoduje usunięcie wyczerpania podsieci jako modułu niezawodności i skalowania. Aby uzyskać więcej informacji, zobacz Sieciowanie kontenerów z bramą aplikacji dla kontenerów.
Zalecenia dotyczące konfiguracji
| Recommendation | Benefit |
|---|---|
| Wdrażanie wystąpień usługi Application Gateway w konfiguracji obsługującej strefy. Sprawdź, czy w regionie dostępna jest nadmiarowość stref, ponieważ nie wszystkie regiony oferują tę funkcję. |
W przypadku rozłożenia wielu wystąpień w różnych strefach obciążenie może wytrzymać awarie w jednej strefie. Jeśli masz niedostępny obszar, ruch automatycznie przenosi się do działających poprawnie instancji w innych obszarach, co zapewnia niezawodność aplikacji. |
| Użyj sond kondycji usługi Application Gateway , aby wykryć niedostępność zaplecza. | Sondy kondycji zapewniają, że ruch jest kierowany tylko do zaplecza, które może obsługiwać ruch. Usługa Application Gateway monitoruje kondycję wszystkich serwerów w puli zaplecza i automatycznie zatrzymuje wysyłanie ruchu do dowolnego serwera, który uważa za w złej kondycji. |
| Skonfiguruj reguły ograniczania szybkości dla zapory aplikacji internetowej platformy Azure, aby klienci nie mogli wysyłać zbyt dużego ruchu do aplikacji. | Użyj limitowania szybkości, aby uniknąć problemów, takich jak nawały ponownych prób. |
| Nie używaj tras zdefiniowanych przez użytkownika w usłudze Application Gateway, aby raport kondycji zaplecza działał prawidłowo i generował prawidłowe dzienniki i metryki. Jeśli musisz użyć trasy zdefiniowanej przez użytkownika w podsieci usługi Application Gateway, zobacz Obsługiwane trasy zdefiniowane przez użytkownika. |
Trasy zdefiniowane przez użytkownika w podsieci usługi Application Gateway mogą powodować problemy. Nie używaj tras zdefiniowanych przez użytkownika w podsieci usługi Application Gateway, abyś mógł przeglądać kondycję, dzienniki i metryki zaplecza. |
| Skonfiguruj ustawienia idleTimeout , aby odpowiadały właściwościom odbiornika i ruchu aplikacji zaplecza. Wartość domyślna to cztery minuty. Można ją skonfigurować do maksymalnie 30 minut. Aby uzyskać więcej informacji, zobacz Load Balancer Transmission Control Protocol (TCP) reset and idle timeout (Resetowanie i bezczynność protokołu TCP). |
Ustaw wartość IdleTimeout , aby pasować do zaplecza. To ustawienie zapewnia, że połączenie między usługą Application Gateway a klientem pozostaje otwarte, jeśli zaplecze zajmie więcej niż cztery minuty, aby odpowiedzieć na żądanie. Jeśli to ustawienie nie zostanie skonfigurowane, połączenie zostanie zamknięte, a klient nie zobaczy odpowiedzi zaplecza. |
Zabezpieczenia
Celem filaru Zabezpieczenia jest zapewnienie gwarancji dotyczących poufności, integralności i dostępności obciążenia.
Zasady projektowania zabezpieczeń zapewniają strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów, stosując podejścia do projektu technicznego usługi Application Gateway.
Lista kontrolna projektowania obciążenia
Rozpocznij strategię projektowania w oparciu o listę kontrolną przeglądu projektu dla zabezpieczeń i identyfikuj luki w zabezpieczeniach oraz mechanizmy kontroli, aby podnieść poziom bezpieczeństwa.
Przejrzyj punkt odniesienia zabezpieczeń dla usługi Application Gateway.
Blokuj typowe zagrożenia na krawędzi. WAF integruje się z usługą Application Gateway. Włącz reguły WAF na elementach frontowych, aby chronić aplikacje przed typowymi exploitami i lukami w zabezpieczeniach na krawędzi sieci, która znajduje się blisko źródła ataku. Aby uzyskać więcej informacji, zobacz WAF w usłudze Application Gateway.
Dowiedz się, jak zapora aplikacji webowych (WAF) wpływa na zmiany wydajności w Application Gateway. Gdy włączysz zaporę sieciową aplikacji [WAF], usługa Application Gateway:
Buforuje każde żądanie, dopóki nie zostanie w pełni dostarczone.
Sprawdza, czy żądanie jest zgodne z dowolnym naruszeniem reguły w podstawowym zestawie reguł.
Przekazuje pakiet do instancji zapleczowych.
Duże przekazywanie plików o rozmiarze 30 MB lub więcej może powodować znaczne opóźnienie. Wymagania dotyczące pojemności usługi Application Gateway zmieniają się po włączeniu zapory aplikacji internetowej, dlatego zalecamy, aby najpierw dokładnie przetestować i zweryfikować tę metodę.
Jeśli korzystasz z Azure Front Door i Application Gateway do ochrony aplikacji HTTP lub HTTPS, zastosuj zasady WAF w usłudze Azure Front Door i zablokuj Application Gateway, aby odbierać ruch tylko z Azure Front Door. Niektóre scenariusze mogą wymusić zaimplementowanie reguł specjalnie w usłudze Application Gateway.
Zezwalaj tylko na autoryzowany dostęp do płaszczyzny sterowania. Użyj usługi Application Gateway z kontrolą dostępu opartą na rolach (RBAC), aby ograniczyć dostęp tylko do tożsamości, które go potrzebują.
Ochrona danych podczas przesyłania. Włącz kompleksowe zabezpieczenia protokołu Transport Layer Security (TLS), kończenie żądań PROTOKOŁU TLS i kompleksowe szyfrowanie TLS. Podczas ponownego szyfrowania ruchu do serwerów zaplecza upewnij się, że certyfikat serwera zaplecza zawiera zarówno certyfikaty urzędów certyfikacji głównych, jak i pośrednich.
Użyj dobrze znanego urzędu certyfikacji, aby wydać certyfikat TLS serwera backendowego. Jeśli nie używasz zaufanego urzędu certyfikacji do wystawiania certyfikatu, usługa Application Gateway sprawdza, dopóki nie znajdzie zaufanego certyfikatu urzędu certyfikacji. Ustanawia bezpieczne połączenie tylko wtedy, gdy znajdzie zaufany urząd certyfikacji. W przeciwnym razie Application Gateway oznacza zaplecze jako niezdrowe.
Chroń sekrety aplikacji. Usługa Azure Key Vault umożliwia przechowywanie certyfikatów TLS w celu zwiększenia bezpieczeństwa i łatwiejszego procesu odnawiania i rotacji certyfikatów.
Zmniejsz powierzchnię ataku i utwardź konfigurację. Usuń konfiguracje domyślne, których nie potrzebujesz, i wzmocnij konfigurację usługi Application Gateway, aby zaostrzyć mechanizmy kontroli zabezpieczeń. Przestrzegaj wszystkich ograniczeń grupy zabezpieczeń sieciowych (NSG) dotyczących usługi Application Gateway.
Użyj odpowiedniego serwera systemu nazw domen (DNS) dla zasobów zaplecza puli serwerów. Gdy pula zaplecza zawiera w pełni kwalifikowaną nazwę domeny (FQDN), rozpoznawanie nazw DNS jest oparte na prywatnej strefie DNS lub niestandardowym serwerze DNS (jeśli jest skonfigurowany w sieci wirtualnej) lub używa domyślnego systemu DNS udostępnianego przez platformę Azure.
Monitorowanie nietypowych działań. Regularnie przeglądaj dzienniki w celu sprawdzania ataków i wyników fałszywie dodatnich. Wyślij dzienniki zapory aplikacji internetowej z usługi Application Gateway do scentralizowanego systemu informacji i zarządzania zdarzeniami dotyczącymi bezpieczeństwa (SIEM), takich jak Microsoft Sentinel, aby wykrywać wzorce zagrożeń i uwzględniać środki zapobiegawcze w projektowaniu obciążenia. Jeśli to możliwe, użyj możliwości, które wykonują analizę zagrożeń za pomocą funkcji zabezpieczeń opartych na sztucznej inteligencji. Na przykład integracja usługi Azure Web Application Firewall z rozwiązaniem Microsoft Security Copilot może przyspieszyć identyfikację zagrożeń, podsumowując kontekstowe szczegółowe informacje i sugestie dotyczące ograniczania zagrożeń.
Zalecenia dotyczące konfiguracji
| Recommendation | Benefit |
|---|---|
| Skonfiguruj zasady protokołu TLS pod kątem zwiększonych zabezpieczeń. Upewnij się, że używasz najnowszej wersji zasad protokołu TLS. | Użyj najnowszych zasad protokołu TLS, aby wymusić użycie protokołu TLS 1.2 i silniejszych szyfrów. Zasady protokołu TLS obejmują kontrolę wersji protokołu TLS i zestawów szyfrowania, a także kolejność, w której uzgadnianie protokołu TLS używa szyfrów. |
| Użyj usługi Application Gateway do kończenia żądań protokołu TLS. | Wydajność poprawia się, ponieważ żądania trafiające do różnych systemów zaplecza nie muszą się ponownie uwierzytelniać przy każdym z nich. Brama może uzyskiwać dostęp do zawartości żądania i podejmować inteligentne decyzje dotyczące routingu. Wystarczy zainstalować certyfikat w usłudze Application Gateway, co upraszcza zarządzanie certyfikatami. |
| Integrowanie usługi Application Gateway z usługą Key Vault w celu przechowywania certyfikatów TLS. | Takie podejście zapewnia silniejsze zabezpieczenia, łatwiejsze rozdzielenie ról i obowiązków, obsługę zarządzanych certyfikatów oraz łatwiejszy proces odnawiania i rotacji certyfikatów. |
| Zgodność ze wszystkimi ograniczeniami sieciowej grupy zabezpieczeń dla usługi Application Gateway. | Podsieć usługi Application Gateway obsługuje grupy zabezpieczeń sieciowych, ale istnieją pewne ograniczenia. Na przykład niektóre połączenia z określonymi zakresami portów są zabronione. Upewnij się, że rozumiesz implikacje tych ograniczeń. |
Optymalizacja kosztów
Optymalizacja kosztów koncentruje się na wykrywaniu wzorców wydatków, określaniu priorytetów inwestycji w krytycznych obszarach i optymalizacji w innych w celu spełnienia budżetu organizacji przy jednoczesnym spełnieniu wymagań biznesowych.
Zasady projektowania optymalizacji kosztów zapewniają strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów i podejmowania kompromisów zgodnie z potrzebami w projekcie technicznym związanym z usługą Application Gateway i jego środowiskiem.
Lista kontrolna projektowania obciążenia
Rozpocznij strategię projektową, opierając się na liście kontrolnej przeglądu projektu dla optymalizacji kosztów związanych z inwestycjami. Dostosuj projekt tak, aby obciążenie było dostosowane do budżetu przydzielonego dla obciążenia. Projekt powinien korzystać z odpowiednich możliwości platformy Azure, monitorować inwestycje i znajdować możliwości optymalizacji w czasie.
Zapoznaj się z cennikiem Application Gateway i WAF. Wybierz odpowiednie opcje rozmiaru, aby zaspokoić zapotrzebowanie na pojemność obciążenia i zapewnić oczekiwaną wydajność bez marnowania zasobów. Aby oszacować koszty, użyj kalkulatora cen.
Usuń nieużywane wystąpienia usługi Application Gateway i zoptymalizuj nieużywane wystąpienia. Aby uniknąć niepotrzebnych kosztów, zidentyfikuj i usuń wystąpienia usługi Application Gateway, które mają puste pule zaplecza. Pamiętaj, aby zatrzymywać wystąpienia usług "Application Gateway" wtedy, gdy nie są używane.
Zoptymalizuj koszt skalowania usługi Application Gateway. Aby zoptymalizować strategię skalowania i zmniejszyć wymagania wokload, zobacz Zalecenia dotyczące optymalizowania kosztów skalowania.
Aby skalować usługę w górę lub w dół na podstawie wymagań dotyczących ruchu aplikacji, użyj skalowania automatycznego w usłudze Application Gateway w wersji 2.
Monitorowanie metryk użycia usługi Application Gateway i zrozumienie ich wpływu na koszty. Azure pobiera opłaty za wystąpienia usługi Application Gateway na podstawie śledzonych metryk. Oceń różne metryki i jednostki pojemności oraz określ czynniki kosztów. Aby uzyskać więcej informacji, zobacz Microsoft Cost Management.
Zalecenia dotyczące konfiguracji
| Recommendation | Benefit |
|---|---|
| Pamiętaj, aby zatrzymywać wystąpienia usług "Application Gateway" wtedy, gdy nie są używane. Aby uzyskać więcej informacji, zobacz Stop-AzApplicationGateway i Start-AzApplicationGateway. | Zatrzymane wystąpienie usługi Application Gateway nie wiąże się z kosztami. Wystąpienia usługi Application Gateway, które są stale uruchamiane, mogą wiązać się z niepotrzebnymi kosztami. Oceń wzorce użycia i zatrzymaj wystąpienia, gdy ich nie potrzebujesz. Na przykład można oczekiwać niskiego użycia po godzinach pracy w środowiskach deweloperskich/testowych. |
| Monitoruj kluczowe sterowniki kosztów, takie jak: metryki usługi "Application Gateway" — Szacowane fakturowane jednostki pojemności. - Stałe rozliczane jednostki pojemności. - Aktualne jednostki pojemności. Upewnij się, że uwzględniasz koszty przepustowości. |
Użyj tych metryk, aby sprawdzić, czy aprowizowana liczba wystąpień jest zgodna z ilością ruchu przychodzącego, i upewnij się, że w pełni wykorzystano przydzielone zasoby. |
Doskonałość operacyjna
Doskonałość operacyjna koncentruje się przede wszystkim na procedurach dotyczących praktyk programistycznych, możliwości obserwacji i zarządzania wydaniami.
Zasady projektowania doskonałości operacyjnej zapewniają ogólną strategię projektowania w celu osiągnięcia tych celów, uwzględniając wymagania operacyjne pracy.
Lista kontrolna projektowania obciążenia
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem doskonałości operacyjnej w celu zdefiniowania procesów do obserwowania, testowania i wdrażania związanego z usługą Application Gateway.
Włącz diagnostykę w bramie aplikacji i zaporze aplikacji internetowej (WAF). Zbierz dzienniki i metryki, aby można było monitorować kondycję obciążenia, identyfikować trendy wydajności i niezawodności obciążenia oraz rozwiązywać problemy. Aby zaprojektować ogólne podejście do monitorowania, zobacz Zalecenia dotyczące projektowania i tworzenia systemu monitorowania.
Użyj metryk pojemności, aby monitorować użycie aprowizowanej pojemności usługi Application Gateway. Ustaw alerty dotyczące metryk, aby otrzymywać powiadomienia o problemach z pojemnością lub innych problemach z Application Gateway lub zapleczem. Użyj dzienników diagnostycznych, aby zarządzać wystąpieniami usługi Application Gateway i rozwiązywać problemy z nimi.
Użyj usługi Azure Monitor Network Insights , aby uzyskać kompleksowy widok kondycji i metryk dla zasobów sieciowych, w tym usługi Application Gateway. Użyj scentralizowanego monitorowania, aby szybko zidentyfikować i rozwiązać problemy, zoptymalizować wydajność i zapewnić niezawodność aplikacji.
Monitorowanie zaleceń usługi Application Gateway w usłudze Azure Advisor. Skonfiguruj alerty, aby powiadamiać swój zespół, gdy masz nowe, krytyczne zalecenia dotyczące instancji bramy aplikacji. Usługa Advisor generuje rekomendacje na podstawie właściwości, takich jak kategoria, poziom wpływu i typ rekomendacji.
Zaplanuj rutynowe aktualizacje konserwacji. Skorzystaj z funkcjonalności utrzymania wystąpień usługi Application Gateway w wersji 2, która umożliwia uaktualnianie bramy produkcyjnej bez zrywania połączeń i unikanie przejściowego pogorszenia wydajności podczas stopniowych aktualizacji. Należy jednak przydzielić dodatkową przestrzeń adresów IP, używaną do tworzenia wystąpień tymczasowych.
Zalecenia dotyczące konfiguracji
| Recommendation | Benefit |
|---|---|
| Skonfiguruj alerty, aby powiadamiać zespół, gdy metryki pojemności, takie jak użycie procesora CPU i użycie jednostek obliczeniowych, przekraczają zalecane progi. Aby skonfigurować kompleksowy zestaw alertów na podstawie metryk pojemności, zobacz Obsługa wysokiego ruchu w usłudze Application Gateway. |
Ustaw alerty, gdy metryki przekraczają progi, aby wiedzieć, kiedy użycie wzrasta. Takie podejście zapewnia wystarczający czas na zaimplementowanie niezbędnych zmian w obciążeniu i zapobieganie pogorszeniu lub awariom. |
| Skonfiguruj alerty, aby powiadomić zespół o metrykach, które wskazują problemy w usłudze Application Gateway lub zapleczu. Zalecamy ocenę następujących alertów: - Liczba niezdrowych hostów — Stan odpowiedzi, na przykład błędy 4xx i 5xx — Stan odpowiedzi serwera, taki jak błędy 4xx i 5xx Czas odpowiedzi ostatniego bajtu serwera zaplecza — Łączny czas usługi Application Gateway Aby uzyskać więcej informacji, zobacz Metryki dla usługi Application Gateway. |
Używaj alertów, aby zapewnić zespołowi możliwość reagowania na problemy w odpowiednim czasie i ułatwiania rozwiązywania problemów. |
| Włącz dzienniki diagnostyczne w usłudze Application Gateway i zaporze aplikacji internetowej, aby zbierać dzienniki zapory, dzienniki wydajności i dzienniki dostępu. | Użyj dzienników, aby ułatwić wykrywanie, badanie i rozwiązywanie problemów z wystąpieniami usługi Application Gateway i obciążeniem. |
| Użyj usługi Advisor, aby monitorować problemy z konfiguracją usługi Key Vault. Ustaw alert, aby powiadomić zespół, gdy otrzymasz zalecenie, które zawiera informacje o rozwiązaniu problemu z usługą Azure Key Vault dla usługi Application Gateway. | Użyj alertów usługi Advisor, aby natychmiast aktualizować i rozwiązywać problemy. Zapobiegaj wszelkim problemom związanym z płaszczyzną sterowania lub płaszczyzną danych. Usługa Application Gateway sprawdza odnawianą wersję certyfikatu w połączonym wystąpieniu usługi Key Vault co 4 godziny. Jeśli wersja certyfikatu jest niedostępna z powodu nieprawidłowej konfiguracji usługi Key Vault, rejestruje błąd i przekazuje odpowiednie zalecenie usługi Advisor. |
Efektywność operacyjna
Wydajność operacyjna polega na utrzymaniu doświadczenia użytkownika nawet w przypadku wzrostu obciążenia poprzez zarządzanie wydajnością. Strategia obejmuje skalowanie zasobów, identyfikowanie i optymalizowanie potencjalnych wąskich gardeł oraz optymalizowanie pod kątem szczytowej wydajności.
Zasady projektowania efektywności zapewniają strategię projektowania na wysokim poziomie w celu osiągnięcia tych celów związanych z przepustowością w kontekście oczekiwanego wykorzystania.
Lista kontrolna projektowania obciążenia
Rozpocznij strategię projektowania w oparciu o listę kontrolną przeglądu projektu pod kątem wydajności operacyjnej. Zdefiniuj punkt odniesienia oparty na kluczowych wskaźnikach wydajności dla usługi Application Gateway.
Oszacuj wymagania pojemnościowe dla usługi Application Gateway, aby spełnić wymagania dotyczące obciążenia. Korzystaj z funkcji skalowania automatycznego w usłudze Application Gateway w wersji 2. Ustaw odpowiednie wartości dla minimalnej i maksymalnej liczby wystąpień. Odpowiednio rozmieścić dedykowaną podsieć wymaganą przez usługę Application Gateway. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące planowania pojemności.
Usługa Application Gateway w wersji 2 jest skalowana w poziomie na podstawie wielu aspektów, takich jak procesor CPU, przepływność sieci i bieżące połączenia. Aby określić przybliżoną liczbę wystąpień, należy uwzględnić następujące metryki:
Bieżące jednostki obliczeniowe: Ta metryka wskazuje użycie procesora CPU. Jedno wystąpienie usługi Application Gateway jest równe około 10 jednostek obliczeniowych.
Przepustowość: Wystąpienie usługi Application Gateway może obsługiwać około 500 Mb/s przepływności. Te dane zależą od typu ładunku.
Rozważ to równanie podczas obliczania liczby wystąpień.
Po oszacowaniu liczby wystąpień porównaj wartość z maksymalną liczbą wystąpień. Użyj tego porównania, aby określić, jak blisko znajdujesz się do maksymalnej dostępnej pojemności.
Korzystaj z funkcji skalowania automatycznego i korzyści z wydajności. SKU v2 oferuje skalowanie automatyczne, które zwiększa Application Gateway w miarę wzrostu ruchu. W porównaniu z jednostkami SKU w wersji 1 jednostka SKU w wersji 2 ma możliwości zwiększające wydajność obciążenia. Na przykład SKU w wersji 2 ma lepszą wydajność odciążenia TLS, szybsze wdrażanie i czas aktualizacji oraz obsługę nadmiarowości strefowej. Aby uzyskać więcej informacji, zobacz Skalowanie usługi Application Gateway w wersji 2 i zapory aplikacji internetowej WAF w wersji 2.
Jeśli używasz usługi Application Gateway w wersji 1, rozważ migrację do usługi Application Gateway w wersji 2. Aby uzyskać więcej informacji, zobacz Migrowanie usługi Application Gateway i zapory aplikacji internetowej z wersji 1 do wersji 2.
Zalecenia dotyczące konfiguracji
| Recommendation | Benefit |
|---|---|
| Ustaw minimalną liczbę wystąpień na optymalny poziom na podstawie szacowanej liczby wystąpień, rzeczywistych trendów skalowania automatycznego usługi Application Gateway i wzorców aplikacji. Sprawdź bieżące jednostki obliczeniowe za miniony miesiąc. Ten wskaźnik reprezentuje użycie procesora bramy. Aby zdefiniować minimalną liczbę wystąpień, podziel szczytowe użycie przez 10. Jeśli na przykład średnia bieżąca liczba jednostek obliczeniowych w ostatnim miesiącu wynosi 50, ustaw minimalną liczbę wystąpień na pięć. |
W przypadku usługi Application Gateway w wersji 2 skalowanie automatyczne trwa około trzech do pięciu minut, zanim dodatkowy zestaw wystąpień będzie gotowy do obsługi ruchu. W tym czasie, jeśli usługa Application Gateway ma krótkie skoki ruchu, spodziewaj się przejściowych opóźnień lub utraty ruchu. |
| Ustaw maksymalną liczbę wystąpień skalowania automatycznego na maksymalną możliwą liczbę wystąpień, czyli 125 wystąpień. Upewnij się, że dedykowana podsieć usługi Application Gateway ma wystarczające adresy IP, aby obsługiwać zwiększony zestaw wystąpień. Jeśli wymaganie dotyczące ruchu wymaga więcej niż 125 wystąpień, możesz użyć usługi Azure Traffic Manager lub usługi Azure Front Door przed usługą Application Gateway. Aby uzyskać więcej informacji, zobacz Connect Azure Front Door Premium to an Azure Application Gateway with Private Link (Łączenie usługi Azure Front Door Premium z usługą Azure Application Gateway za pomocą usługi Private Link ) i Use Azure App Gateway with Azure Traffic Manager (Używanie usługi Azure App Gateway z usługą Azure Traffic Manager). |
Usługa Application Gateway może skalować się poziomo zgodnie z potrzebami, aby obsługiwać zwiększony ruch w aplikacjach. To ustawienie nie zwiększa kosztów, ponieważ płacisz tylko za zużytą pojemność. |
| Odpowiednio dopasuj rozmiar dedykowanej podsieci usługi Application Gateway. Zdecydowanie zalecamy podsieć /24 dla wdrożenia usługi Application Gateway w wersji 2. Jeśli chcesz wdrożyć inne zasoby usługi Application Gateway w tej samej podsieci, rozważ dodatkowe adresy IP wymagane dla maksymalnej liczby wystąpień. Aby uzyskać więcej informacji na temat określania rozmiaru podsieci, zobacz Konfiguracja infrastruktury usługi Application Gateway. |
Użyj podsieci /24, aby zapewnić obsługę wszystkich adresów IP, których wymaga wdrożenie usługi Application Gateway w wersji 2. Usługa Application Gateway używa jednego prywatnego adresu IP dla każdego wystąpienia i innego prywatnego adresu IP, jeśli skonfigurujesz prywatny adres IP w interfejsie frontowym. Jednostka SKU Standard_v2 lub WAF_v2 może obsługiwać maksymalnie 125 wystąpień. Platforma Azure rezerwuje pięć adresów IP w każdej podsieci do użytku wewnętrznego. |
Zasady platformy Azure
Platforma Azure udostępnia obszerny zestaw wbudowanych zasad związanych z usługą Application Gateway i jej zależnościami. Niektóre z wcześniejszych zaleceń można poddawać audytowi za pomocą usługi Azure Policy. Możesz na przykład sprawdzić, czy:
- Należy włączyć WAF dla usługi Application Gateway. Wdróż WAF przed publicznymi stronami internetowymi, aby dodać kolejną warstwę inspekcji dla ruchu przychodzącego. WAF (Zapora aplikacji internetowych) zapewnia scentralizowaną ochronę dla twoich aplikacji internetowych. Pomaga zapobiegać typowym exploitom i lukom w zabezpieczeniach, takim jak iniekcje SQL, ataki XSS oraz lokalne i zdalne wykonywanie plików. Możesz również użyć reguł niestandardowych, aby ograniczyć dostęp do aplikacji internetowych na podstawie krajów lub regionów, zakresów adresów IP i innych parametrów PROTOKOŁU HTTP lub HTTPS.
- Zapora aplikacji internetowej powinna używać określonego trybu dla usługi Application Gateway. Upewnij się, że wszystkie zasady zapory aplikacji internetowej dla usługi Application Gateway używają trybu wykrywania lub zapobiegania .
- Należy włączyć usługę Azure DDoS Protection. Włącz ochronę przed atakami DDoS dla wszystkich sieci wirtualnych, które mają podsieć zawierającą usługę Application Gateway z publicznym adresem IP.
Aby uzyskać kompleksowe zarządzanie, zapoznaj się z wbudowanymi definicjami usługi Azure Policy dla usługi Application Gateway i innymi zasadami, które mogą mieć wpływ na bezpieczeństwo infrastruktury sieciowej.
Rekomendacje usługi Azure Advisor
Azure Advisor to spersonalizowany konsultant ds. chmury, który pomaga stosować najlepsze rozwiązania w celu zoptymalizowania wdrożeń platformy Azure.
Aby uzyskać więcej informacji, zobacz Azure Advisor.
Przykładowa architektura
Podstawowa architektura, która demonstruje kluczowe zalecenia: Architektura aplikacji internetowej o wysokiej dostępności i nadmiarowości strefowej.
Dalsze kroki
- Używaj bram API w mikrousługach
- Usługa Azure Firewall i usługa Application Gateway dla sieci wirtualnych
- Ochrona interfejsów API za pomocą usługi Application Gateway i usługi Azure API Management
- Bezpieczne zarządzane aplikacje internetowe
- Sieć Zero Trust dla aplikacji internetowych z usługą Azure Firewall i usługą Application Gateway
- Szybki start: bezpośredni ruch internetowy za pomocą usługi Application Gateway za pośrednictwem witryny Azure Portal