Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure Application Gateway v2 é um balanceador de carga de tráfego da Web que opera na camada de aplicativo. O Application Gateway gerencia o tráfego para seus aplicativos Web com base nos atributos de uma solicitação HTTP. Use o Application Gateway para cenários com recursos avançados de roteamento e que exigem segurança e escalabilidade aprimoradas.
Este artigo pressupõe que, como arquiteto, você tenha revisado as opções de rede e escolhido o Application Gateway como o balanceador de carga de tráfego da Web para sua carga de trabalho. As orientações neste artigo fornecem recomendações de arquitetura mapeadas de acordo com os princípios dos pilares do Well-Architected Framework.
Âmbito da tecnologia
Esta análise concentra-se nas decisões inter-relacionadas para os seguintes recursos do Azure:
- Gateway de Aplicação v2
- Firewall de Aplicações Web (WAF) no Gateway de Aplicações
Reliability
O objetivo do pilar Confiabilidade é fornecer funcionalidade contínua, criando resiliência suficiente e a capacidade de se recuperar rapidamente de falhas.
Os princípios de design de fiabilidade fornecem uma estratégia de design de alto nível aplicada a componentes individuais, aos fluxos do sistema e ao sistema como um todo.
Lista de verificação de design da carga de trabalho
Inicie sua estratégia de design com base na lista de verificação de revisão de projeto para Confiabilidade. Determine sua relevância para seus requisitos de negócios, tendo em mente os recursos do Application Gateway e suas dependências. Alargar a estratégia de modo a incluir mais abordagens, conforme necessário.
Use o Application Gateway v2 em novas implantações, a menos que sua carga de trabalho exija especificamente o Application Gateway v1.
Crie redundância no seu design. Espalhe as instâncias do Application Gateway pelas zonas de disponibilidade para melhorar a tolerância a falhas e criar redundância. O tráfego vai para outras zonas se uma zona falhar. Para obter mais informações, consulte Recomendações para usar zonas e regiões de disponibilidade.
Planeje tempo extra para atualizações de regras e outras alterações de configuração antes de acessar o Application Gateway ou fazer mais alterações. Por exemplo, você pode precisar de tempo extra para remover servidores de um pool de back-end porque eles precisam drenar as conexões existentes.
Implemente o padrão de monitorização de endpoints de saúde. A sua aplicação deve expor endpoints de saúde, que agregam o estado dos serviços críticos e dependências de que a sua aplicação necessita para processar pedidos. As sondas de integridade do Application Gateway usam o "endpoint" para verificar a saúde dos servidores na pool de back-end. Para obter mais informações, consulte o padrão de monitorização de endpoint de saúde .
Avalie o impacto das configurações de intervalo e limite em uma sonda de integridade. O teste de integridade envia solicitações para o ponto de extremidade configurado em um intervalo definido. E o backend aceita um número limitado de solicitações falhadas antes de ser marcado como não saudável. Essas configurações podem entrar em conflito, o que apresenta um dilema.
Um intervalo maior coloca uma carga maior no seu serviço. Cada instância do Application Gateway envia sua própria sonda de integridade, portanto, 100 instâncias a cada 30 segundos equivalem a 100 solicitações a cada 30 segundos.
Um intervalo menor aumenta o tempo antes que a sonda de integridade detete uma interrupção.
Um limite baixo e não saudável aumenta a probabilidade de falhas curtas e transitórias desligarem um back-end.
Um limite alto aumenta a quantidade de tempo que um back-end leva para sair da rotação.
Verifique as dependências a jusante através de pontos de verificação de integridade. Para isolar falhas, cada um dos seus backends pode ter as suas próprias dependências. Por exemplo, um aplicativo que você hospeda atrás do Application Gateway pode ter vários back-ends e cada back-end se conecta a um banco de dados ou réplica diferente. Quando essa dependência falha, o aplicativo pode funcionar, mas não retorna resultados válidos. Por esse motivo, o endpoint de saúde deve idealmente validar todas as dependências.
Se cada chamada para o ponto final de saúde tiver uma chamada de dependência direta, esse banco de dados receberá 100 consultas a cada 30 segundos em vez de uma única consulta. Para evitar consultas excessivas, o endpoint de saúde deve armazenar em cache o estado das dependências por um período breve.
Considere as limitações do Application Gateway e os problemas conhecidos que podem afetar a confiabilidade. Consulte as Perguntas frequentes do Application Gateway para obter informações importantes sobre comportamento por projeto, correções em construção, limitações da plataforma e possíveis soluções alternativas ou estratégias de mitigação. Não use UDRs na sub-rede dedicada do Application Gateway.
Considere as limitações de porta SNAT (Source Network Address Translation) em seu design que podem afetar as conexões back-end no Application Gateway. Alguns fatores afetam como o Application Gateway atinge o limite de porta SNAT. Por exemplo, se o back-end for um endereço IP público, isso exigirá a sua própria porta SNAT. Para evitar limitações de porta SNAT, você pode fazer uma das seguintes opções:
Aumente o número de instâncias para cada Application Gateway.
Amplie os back ends para obter mais endereços IP.
Mova seus back-ends para a mesma rede virtual e use endereços IP privados para os back-ends.
Se o Application Gateway atingir o limite de porta SNAT, isso afetará as solicitações por segundo (RPS). Por exemplo, o Application Gateway não pode abrir uma nova conexão com o back-end e a solicitação falha.
Sempre que possível, considere a integração do CNI Overlay. Por exemplo, ao usar o AKS, aproveite o suporte do Application Gateway for Containers para a rede de pods em overlay. Esse recurso permite dimensionar vários clusters AKS compartilhando a entrada enquanto conserva o espaço IP, removendo a exaustão da sub-rede como um bloqueador de confiabilidade e escala. Para obter mais informações, consulte Rede de contêineres com o Application Gateway for Containers.
Recomendações de configuração
| Recommendation | Benefit |
|---|---|
| Implante instâncias do Application Gateway em uma configuração com reconhecimento de zona. Verifique o suporte regional para redundância de zona porque nem todas as regiões oferecem esse recurso. |
Quando você distribui várias instâncias entre zonas, sua carga de trabalho pode resistir a falhas em uma única zona. Caso tenha uma zona indisponível, o tráfego é automaticamente transferido para instâncias saudáveis em outras zonas, mantendo a fiabilidade da aplicação. |
| Utilize as sondas de integridade do Application Gateway para detetar a indisponibilidade do back-end. | As sondas de saúde garantem que o tráfego só se dirige a back-ends que sejam capazes de tratar o tráfego. O Application Gateway monitora a integridade de todos os servidores em seu pool de back-end e interrompe automaticamente o envio de tráfego para qualquer servidor que considere não íntegro. |
| Configure regras de limitação de taxa para o WAF do Azure para que os clientes não possam enviar muito tráfego para seu aplicativo. | Use a limitação de taxa para evitar problemas como tempestades de reintentos. |
| Não use UDRs no Application Gateway para que o relatório de integridade do back-end funcione corretamente e gere os logs e métricas corretos. Se você precisar usar um UDR na sub-rede do Application Gateway, consulte UDRs suportados. |
UDRs na sub-rede do Application Gateway podem provocar alguns problemas. Não use UDRs na sub-rede do Application Gateway para poder visualizar o estado do back-end, os logs e as métricas. |
| Configure as configurações de IdleTimeout para corresponder às características de ouvinte e tráfego do aplicativo back-end. O valor padrão é quatro minutos. Você pode configurá-lo para um máximo de 30 minutos. Para obter mais informações, consulte Redefinição do protocolo TCP (Load balancer Transmission Control Protocol) e tempo limite de inatividade. |
Defina o IdleTimeout para corresponder ao back-end. Essa configuração garante que a conexão entre o Application Gateway e o cliente permaneça aberta se o back-end demorar mais de quatro minutos para responder à solicitação. Se você não definir essa configuração, a conexão será fechada e o cliente não verá a resposta de back-end. |
Segurança
O objetivo do pilar Segurança é fornecer confidencialidade, integridade e disponibilidade garantias para a carga de trabalho.
Os princípios de design de segurança fornecem uma estratégia de design de alto nível para atingir essas metas, aplicando abordagens ao design técnico do Application Gateway.
Lista de verificação de design da carga de trabalho
Inicie a sua estratégia de conceção com base no checklist de revisão de conceção para segurança e identifique vulnerabilidades e controlos para melhorar a postura de segurança.
Analise a linha de base de segurança do Application Gateway.
Bloqueie ameaças comuns na periferia. O WAF integra-se com o Application Gateway. Habilite as regras WAF nos front-ends para proteger os aplicativos contra exploits e vulnerabilidades comuns na borda da rede, que está próxima da origem do ataque. Para obter mais informações, consulte WAF no Application Gateway.
Entenda como o WAF afeta as alterações de capacidade do Application Gateway. Quando ativar o WAF, Application Gateway:
Armazena em buffer todas as solicitações até que elas cheguem totalmente.
Verifica se a solicitação corresponde a alguma violação de regra em seu conjunto de regras principal.
Encaminha o pacote para as instâncias de back-end.
Carregamentos de arquivos grandes com 30 MB ou mais podem introduzir latência significativa. Os requisitos de capacidade do Application Gateway mudam quando você habilita o WAF, portanto, recomendamos que você teste e valide corretamente esse método primeiro.
Quando você usa o Azure Front Door e o Application Gateway para proteger aplicativos HTTP ou HTTPS, use políticas WAF no Azure Front Door e bloqueie o Application Gateway para receber tráfego somente do Azure Front Door. Determinados cenários podem forçá-lo a implementar regras especificamente no Application Gateway.
Permitir apenas o acesso autorizado ao plano de controlo. Use o RBAC (controle de acesso baseado em função) do Application Gateway para restringir o acesso apenas às identidades que precisam dele.
Proteja os dados em trânsito. Habilite o TLS (Transport Layer Security) de ponta a ponta, a terminação TLS e a criptografia TLS de ponta a ponta. Ao criptografar novamente o tráfego back-end, verifique se o certificado do servidor back-end contém as autoridades de certificação (CAs) raiz e intermediária.
Use uma autoridade de certificação conhecida para emitir um certificado TLS do servidor back-end. Se você não usar uma CA confiável para emitir o certificado, o Application Gateway verificará até encontrar um certificado de CA confiável. Ele estabelece uma conexão segura somente quando encontra uma autoridade de certificação confiável. Caso contrário, o Application Gateway marcará o back-end como não saudável.
Proteja os segredos do aplicativo. Use o Azure Key Vault para armazenar certificados TLS para aumentar a segurança e facilitar o processo de renovação e rotação de certificados.
Reduza a superfície de ataque e endureca a configuração. Remova as configurações padrão de que você não precisa e proteja a configuração do Application Gateway para reforçar os controles de segurança. Cumpra todas as restrições de NSG (grupo de segurança de rede) para o Application Gateway.
Utilize um servidor DNS (Sistema de Nomes de Domínio) apropriado para os recursos do conjunto de servidores de back-end. Quando o pool de back-end contém um FQDN (nome de domínio totalmente qualificado) resolúvel, a resolução DNS é baseada em uma zona DNS privada ou servidor DNS personalizado (se configurado na rede virtual) ou usa o DNS padrão fornecido pelo Azure.
Monitorizar a atividade anómala. Revise regularmente os logs para verificar se há ataques e falsos positivos. Envie registos WAF do Application Gateway para o SIEM (gerenciamento centralizado de eventos e informações de segurança) da sua organização, como o Microsoft Sentinel, para detectar padrões de ameaças e incorporar medidas preventivas no planeamento da carga de trabalho. Sempre que possível, use recursos que executam análise de ameaças com recursos de segurança baseados em IA. Por exemplo, a integração do Azure Web Application Firewall com o Microsoft Security Copilot pode agilizar a identificação de ameaças, resumindo informações contextuais e sugestões de mitigação de ameaças.
Recomendações de configuração
| Recommendation | Benefit |
|---|---|
| Configure uma política TLS para maior segurança. Certifique-se de usar a versão mais recente da política TLS. | Use a política TLS mais recente para impor o uso de TLS 1.2 e cifras mais fortes. A política TLS inclui o controle da versão do protocolo TLS e dos pacotes de codificação e também a ordem na qual um handshake TLS usa cifras. |
| Use o Application Gateway para terminação TLS. | O desempenho melhora porque as solicitações que vão para back-ends diferentes não precisam se autenticar novamente em cada back-end. O gateway pode acessar o conteúdo da solicitação e tomar decisões inteligentes de roteamento. Você só precisa instalar o certificado no Application Gateway, o que simplifica o gerenciamento de certificados. |
| Integre o Application Gateway ao Key Vault para armazenar certificados TLS. | Essa abordagem oferece segurança mais forte, separação mais fácil de funções e responsabilidades, suporte para certificados gerenciados e um processo mais fácil de renovação e rotação de certificados. |
| Cumpra todas as restrições do NSG para o Application Gateway. | A sub-rede do Application Gateway suporta NSGs, mas há algumas restrições. Por exemplo, algumas comunicações com determinadas faixas de portas são proibidas. Certifique-se de que compreende as implicações dessas restrições. |
Otimização de Custos
A Otimização de Custos concentra-se em detetar padrões de gastos, priorizar investimentos em áreas críticas e otimizar em outras para atender ao orçamento da organização enquanto atende aos requisitos de negócios.
Os princípios de design de otimização de custos fornecem uma estratégia de design de alto nível para alcançar esses objetivos e fazer compensações conforme necessário no projeto técnico relacionado ao Application Gateway e seu ambiente.
Lista de verificação de design da carga de trabalho
Comece a sua estratégia de design com a checklist de revisão de design para otimização de custos em investimentos. Ajuste o design para que a carga de trabalho esteja alinhada com o orçamento alocado para a carga de trabalho. Seu design deve usar os recursos certos do Azure, monitorar investimentos e encontrar oportunidades para otimizar ao longo do tempo.
Familiarize-se com os preços do Application Gateway e do WAF. Escolha opções de tamanho adequado para atender à demanda de capacidade de carga de trabalho e oferecer o desempenho esperado sem desperdiçar recursos. Para estimar custos, use a calculadora de preços.
Remova instâncias não utilizadas do Application Gateway e otimize instâncias subutilizadas. Para evitar custos desnecessários, identifique e exclua instâncias do Application Gateway que tenham pools de back-end vazios. Pare as instâncias do Application Gateway quando elas não estiverem em uso.
Otimize o custo de dimensionamento da instância do Application Gateway. Para otimizar sua estratégia de dimensionamento e reduzir as demandas do wokload, consulte Recomendações para otimizar o custo de dimensionamento.
Para dimensionar o serviço para dentro ou para fora com base nos requisitos de tráfego do aplicativo, use o dimensionamento automático no Application Gateway v2.
Monitore as métricas de consumo do Application Gateway e entenda seu impacto nos custos. O Azure cobra por instâncias limitadas do Application Gateway com base em métricas controladas. Avalie as várias métricas e unidades de capacidade e determine os fatores de custo. Para obter mais informações, consulte Microsoft Cost Management.
Recomendações de configuração
| Recommendation | Benefit |
|---|---|
| Pare as instâncias do Application Gateway quando elas não estiverem em uso. Para obter mais informações, consulte Stop-AzApplicationGateway e Start-AzApplicationGateway. | Uma instância interrompida do Application Gateway não incorre em custos. As instâncias do Application Gateway executadas continuamente podem incorrer em custos desnecessários. Avalie padrões de uso e interrompa instâncias quando não precisar delas. Por exemplo, espere baixo uso após o horário comercial em ambientes de desenvolvimento/teste. |
| Monitore métricas principais, como as do Application Gateway, que são fatores de custo, como: Unidades de capacidade faturada estimadas. - Unidades de capacidade fixa faturáveis. - Unidades de capacidade atual. Certifique-se de que tem em conta os custos de largura de banda. |
Use essas métricas para validar se a contagem de instâncias provisionadas corresponde à quantidade de tráfego de entrada e garantir que você utilize totalmente os recursos alocados. |
Excelência Operacional
A Excelência Operacional concentra-se principalmente em procedimentos para práticas de desenvolvimento de , observabilidade e gestão de lançamento.
Os princípios de design de Excelência Operacional fornecem uma estratégia de design de alto nível para alcançar essas metas relativamente aos requisitos operacionais da carga de trabalho.
Lista de verificação de design da carga de trabalho
Inicie sua estratégia de design com base na lista de verificação de revisão de projeto para Excelência Operacional para definir processos de observabilidade, teste e implantação relacionados ao Application Gateway.
Habilite o diagnóstico no Application Gateway e no WAF. Colete logs e métricas para que você possa monitorar a integridade da carga de trabalho, identificar tendências no desempenho e na confiabilidade da carga de trabalho e solucionar problemas. Para projetar sua abordagem geral de monitoramento, consulte Recomendações para projetar e criar um sistema de monitoramento.
Use métricas de capacidade para monitorar o uso da capacidade provisionada do Application Gateway. Defina alertas em métricas para notificá-lo de problemas de capacidade ou outros problemas no Application Gateway ou no back-end. Use logs de diagnóstico para gerenciar e solucionar problemas com instâncias do Application Gateway.
Use o Azure Monitor Network Insights para obter uma visão abrangente da integridade e das métricas para recursos de rede, incluindo o Gateway de Aplicativo. Use o monitoramento centralizado para identificar e resolver problemas rapidamente, otimizar o desempenho e garantir a confiabilidade de seus aplicativos.
Monitore as recomendações do Gateway de Aplicativo no Azure Advisor. Configure alertas para notificar sua equipe quando tiver novas recomendações críticas para sua instância do Application Gateway. O Advisor gera recomendações com base nas propriedades, como a categoria, o nível de impacto e o tipo de recomendação.
Planeje atualizações de manutenção de rotina. Aproveite o recurso de manutenção de instância do Application Gateway v2, que permite que o gateway de produção faça upgrade sem descartar conexões e evitando a degradação transitória do desempenho durante essas atualizações contínuas. No entanto, você precisa alocar espaço IP adicional, que é usado para provisionar instâncias temporárias.
Recomendações de configuração
| Recommendation | Benefit |
|---|---|
| Configure alertas para notificar sua equipe quando as métricas de capacidade, como uso da CPU e uso da unidade de computação, ultrapassarem os limites recomendados. Para configurar um conjunto abrangente de alertas com base em métricas de capacidade, consulte Suporte de alto tráfego do Application Gateway. |
Defina alertas quando as métricas ultrapassarem os limites para que saiba quando o seu uso aumentar. Essa abordagem garante que você tenha tempo suficiente para implementar as alterações necessárias em sua carga de trabalho e evita degradação ou interrupções. |
| Configure alertas para notificar sua equipe sobre métricas que indicam problemas no Application Gateway ou no back-end. Recomendamos que avalie os seguintes alertas: - Contagem de hospedeiros não saudáveis - Status da resposta, como erros 4xx e 5xx - Status de resposta do back-end, como erros de 4xx e 5xx - Tempo de resposta do último byte do back-end - Tempo total do Application Gateway Para obter mais informações, consulte Métricas para o Application Gateway. |
Use alertas para ajudar a garantir que sua equipe possa responder aos problemas em tempo hábil e facilitar a solução de problemas. |
| Habilite os logs de diagnóstico no Application Gateway e no WAF para coletar logs de firewall, logs de desempenho e logs de acesso. | Use logs para ajudar a detetar, investigar e solucionar problemas com instâncias do Application Gateway e sua carga de trabalho. |
| Use o Advisor para monitorizar problemas de configuração do Cofre de Chaves. Defina um alerta para notificar sua equipe quando receber a recomendação informando Resolver o problema do Cofre da Chave do Azure para seu Gateway de Aplicativo. | Use os alertas do Advisor para se manter atualizado e corrigir problemas imediatamente. Evite quaisquer problemas relacionados com o plano de controlo ou com o plano de dados. O Application Gateway verifica a versão renovada do certificado na instância vinculada do Cofre da Chave a cada 4 horas. Se a versão do certificado estiver inacessível devido a uma configuração incorreta do Cofre de Chaves, ele registrará esse erro e enviará uma recomendação correspondente do Advisor. |
Eficiência de desempenho
A Eficiência de Desempenho tem a ver manter a experiência do usuário, mesmo quando há um aumento na de carga por meio do gerenciamento de capacidade. A estratégia inclui dimensionar recursos, identificar e otimizar potenciais gargalos e otimizar para obter o máximo desempenho.
Os princípios de design de Eficiência de Desempenho fornecem uma estratégia de design de alto nível para atingir essas metas de capacidade de acordo com o uso esperado.
Lista de verificação de design da carga de trabalho
Comece a sua estratégia de design com base na lista de verificação de revisão de projeto para Eficiência de desempenho. Defina uma linha de base baseada em indicadores-chave de desempenho para o Application Gateway.
Estime os requisitos de capacidade do Application Gateway para dar suporte aos seus requisitos de carga de trabalho. Aproveite a funcionalidade de dimensionamento automático no Application Gateway v2. Defina valores apropriados para o número mínimo e máximo de instâncias. Dimensione adequadamente a sub-rede dedicada que o Application Gateway exige. Para obter mais informações, consulte Recomendações para o planejamento de capacidade.
O Application Gateway v2 é dimensionado com base em muitos aspetos, como CPU, taxa de transferência de rede e conexões atuais. Para determinar a contagem aproximada de instâncias, considere estas métricas:
Unidades de cálculo atuais: Essa métrica indica o uso da CPU. Uma instância do Application Gateway equivale a aproximadamente 10 unidades de computação.
Rendimento: Uma instância do Application Gateway pode atender aproximadamente 500 Mbps de taxa de transferência. Estes dados dependem do tipo de carga útil.
Considere essa equação ao calcular contagens de instâncias.
Depois de estimar a contagem de instâncias, compare esse valor com a contagem máxima de instâncias. Use esta comparação para determinar o quão perto você está da capacidade máxima disponível.
Aproveite os recursos para dimensionamento automático e benefícios de desempenho. O SKU v2 oferece dimensionamento automático, que aumenta a escala do Application Gateway à medida que o tráfego aumenta. Em comparação com o SKU v1, o SKU v2 tem recursos que melhoram o desempenho da carga de trabalho. Por exemplo, o SKU v2 tem melhor desempenho de descarregamento de TLS, tempos de implantação e atualização mais rápidos e suporte a redundância de zona. Para obter mais informações, consulte Dimensionamento do Application Gateway v2 e WAF v2.
Se você usar o Application Gateway v1, considere migrar para o Application Gateway v2. Para obter mais informações, consulte Migrar o Application Gateway e o WAF da v1 para a v2.
Recomendações de configuração
| Recommendation | Benefit |
|---|---|
| Defina a contagem mínima de instâncias para um nível ideal com base na contagem estimada de instâncias, nas tendências reais de dimensionamento automático do Application Gateway e nos padrões do aplicativo. Verifique as unidades de computação atuais do mês passado. Essa métrica representa o uso da CPU do gateway. Para definir a contagem mínima de instâncias, divida o pico de uso por 10. Por exemplo, se a média de unidades de computação atuais no mês passado for 50, defina a contagem mínima de instâncias como cinco. |
Para o Application Gateway v2, o dimensionamento automático leva aproximadamente três a cinco minutos antes que o conjunto extra de instâncias esteja pronto para atender ao tráfego. Durante esse período, se o Application Gateway tiver picos curtos de tráfego, espere latência transitória ou perda de tráfego. |
| Defina a contagem máxima de instâncias de escala automática para o máximo possível, que é de 125 instâncias. Verifique se a sub-rede dedicada do Application Gateway tem endereços IP disponíveis suficientes para suportar o conjunto maior de instâncias. Se a sua necessidade de tráfego exigir mais de 125 instâncias, poderá usar o Gerenciador de Tráfego do Azure ou o Azure Front Door em frente ao seu Gateway de Aplicativo. Para obter mais informações, consulte Conectar o Azure Front Door Premium a um Gateway de Aplicativo do Azure com Link Privado e Usar o Gateway de Aplicativo do Azure com o Gerenciador de Tráfego do Azure. |
O Application Gateway pode ser dimensionado conforme necessário para lidar com o aumento do tráfego para seus aplicativos. Essa configuração não aumenta o custo porque você paga apenas pela capacidade consumida. |
| Dimensione adequadamente a sub-rede dedicada do Application Gateway. É altamente recomendável uma sub-rede /24 para uma implantação do Application Gateway v2. Se você quiser implantar outros recursos do Application Gateway na mesma sub-rede, considere os endereços IP extras necessários para a contagem máxima de instâncias. Para obter mais considerações sobre o dimensionamento da sub-rede, consulte Configuração da infraestrutura do Application Gateway. |
Use uma sub-rede /24 para fornecer suporte para todos os endereços IP de que sua implantação do Application Gateway v2 precisa. O Application Gateway usa um endereço IP privado para cada instância e outro endereço IP privado se você configurar um IP front-end privado. O Standard_v2 ou WAF_v2 SKU pode suportar até 125 instâncias. O Azure reserva cinco endereços IP em cada sub-rede para uso interno. |
Políticas do Azure
O Azure fornece um extenso conjunto de políticas internas relacionadas ao Gateway de Aplicativo e suas dependências. Algumas das recomendações anteriores podem ser auditadas por meio da Política do Azure. Por exemplo, pode verificar se:
- Você deve habilitar o WAF para o Application Gateway. Implante o WAF na frente de aplicativos Web voltados para o público para adicionar outra camada de inspeção para o tráfego de entrada. O WAF fornece proteção centralizada para seus aplicativos da Web. Ele ajuda a evitar explorações e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode usar regras personalizadas para restringir o acesso aos seus aplicativos Web com base em países ou regiões, intervalos de endereços IP e outros parâmetros HTTP ou HTTPS.
- O WAF deve usar o modo especificado para o Application Gateway. Certifique-se de que todas as políticas WAF para o Application Gateway usem o modo de Deteção ou Prevenção .
- Você deve habilitar a Proteção contra DDoS do Azure. Habilite a Proteção contra DDoS para todas as redes virtuais que tenham uma sub-rede que contenha o Application Gateway com um IP público.
Para obter uma governança abrangente, revise as definições internas da Política do Azure para o Gateway de Aplicativo e outras políticas que podem afetar a segurança da infraestrutura de rede.
Recomendações do Azure Advisor
O Azure Advisor é um consultor de nuvem personalizado que ajuda você a seguir as práticas recomendadas para otimizar suas implantações do Azure.
Para obter mais informações, consulte Azure Advisor.
Exemplo de arquitetura
Arquitetura básica que demonstra as principais recomendações: Linha de base altamente disponível, arquitetura de aplicativo Web com redundância de zona.
Próximos passos
- Usar gateways de API em microsserviços
- Firewall do Azure e Gateway de Aplicativo para redes virtuais
- Proteja APIs com o Gateway de Aplicativo e o Gerenciamento de API do Azure
- Aplicações Web geridas com segurança
- Rede de Confiança Zero para aplicações web com Azure Firewall e Application Gateway
- Início rápido: dirigir o tráfego web com o Application Gateway através do portal Azure