Podpora vysokého provozu služby Application Gateway
Poznámka:
Tento článek popisuje několik navrhovaných pokynů, které vám pomůžou nastavit službu Application Gateway pro zpracování dodatečného provozu pro všechny objemy velkého provozu, ke kterým může dojít. Prahové hodnoty upozornění jsou čistě návrhy a obecné povahy. Uživatelé můžou určit prahové hodnoty upozornění na základě očekávání jejich úloh a využití.
Službu Application Gateway můžete použít s firewallem webových aplikací (WAF) ke škálovatelnému a zabezpečenému způsobu správy provozu do webových aplikací.
Je důležité škálovat službu Application Gateway podle provozu a s trochou vyrovnávací paměti, abyste byli připraveni na nárůsty nebo špičky provozu a minimalizovali dopad, který může mít ve vaší technologii QoS. Následující návrhy vám pomůžou nastavit službu Application Gateway s WAF pro zpracování dodatečného provozu.
Úplný seznam metrik nabízených službou Application Gateway najdete v dokumentaci k metrikám. Vizualizujte metriky na webu Azure Portal a v dokumentaci ke službě Azure Monitor, jak nastavit upozornění na metriky.
Podrobnosti a doporučení týkající se efektivity výkonu služby Application Gateway najdete v tématu Přehled architektury Azure Well-Architected – Aplikace Azure lication Gateway v2.
Škálování skladové položky služby Application Gateway v1 (skladová položka Standard/WAF)
Nastavení počtu instancí na základě využití procesoru ve špičce
Pokud používáte bránu skladové položky v1, budete mít možnost nastavit službu Application Gateway až na 32 instancí pro škálování. Zkontrolujte využití procesoru ve službě Application Gateway za poslední měsíc a zkontrolujte případné špičky nad 80 %, je k dispozici jako metrika, kterou můžete monitorovat. Doporučujeme nastavit počet instancí podle maximálního využití a s 10% až 20% dodatečnou vyrovnávací pamětí, která bude zohledňovat případné špičky provozu.
Využijte skladovou položku v2 s více než v1 pro své možnosti automatického škálování a výhody výkonu.
Skladová položka v2 nabízí automatické škálování, aby se zajistilo, že služba Application Gateway může vertikálně navýšit kapacitu při nárůstu provozu. Nabízí také další významné výhody výkonu, jako je 5x vyšší výkon snižování zátěže TLS, rychlejší nasazení a časy aktualizace, redundance zón a další v porovnání s v1. Další informace najdete v naší dokumentaci k verzi 2 a v dokumentaci k migraci z verze 1 na verzi 2 a zjistěte, jak migrovat stávající brány skladové položky v1 na skladovou položku v2.
Automatické škálování pro skladovou položku služby Application Gateway v2 (Standard_v2 nebo WAF_v2)
Nastavte maximální možný počet instancí (125)
V případě skladové položky Služby Application Gateway v2 nastavíte maximální počet instancí na maximální možnou hodnotu 125, aby služba Application Gateway podle potřeby škáluje kapacitu. To umožňuje zpracovávat možné zvýšení provozu do vašich aplikací. Za jednotky kapacity, které používáte, se vám účtují pouze poplatky.
Nezapomeňte zkontrolovat velikost podsítě a dostupný počet IP adres v podsíti a nastavit maximální počet instancí na základě toho. Pokud vaše podsíť nemá dostatek místa pro přizpůsobení, musíte bránu znovu vytvořit ve stejné nebo jiné podsíti, která má dostatečnou kapacitu.
Nastavení minimálního počtu instancí na základě průměrného využití výpočetních jednotek
U skladové položky služby Application Gateway v2 trvá automatické škálování šest až sedm minut, než se škáluje na více instancí a zřídí další sadu instancí připravených k provozu. Do té doby, pokud dojde k krátkým špičkám provozu, můžou se vaše stávající instance brány dostat pod stres a to může způsobit neočekávanou latenci nebo ztrátu provozu.
Doporučujeme nastavit minimální počet instancí na optimální úroveň. Pokud například potřebujete k zpracování provozu ve špičce 50 instancí, je vhodné nastavit minimální 25 až 30 instancí, a ne na <10, aby i když dojde k krátkým nárůstům provozu, služba Application Gateway by ji dokázala zpracovat a dát dostatek času na to, aby automatické škálování reagovalo a projevilo se.
Zkontrolujte metriku výpočetní jednotky za poslední měsíc. Metrika výpočetních jednotek představuje využití procesoru vaší brány a na základě využití ve špičce dělené číslem 10 můžete nastavit minimální požadovaný počet instancí. Mějte na paměti, že 1 instance služby Application Gateway dokáže zpracovat minimálně 10 výpočetních jednotek.
Ruční škálování skladové položky služby Application Gateway v2 (Standard_v2/WAF_v2)
Nastavení počtu instancí na základě využití výpočetních jednotek ve špičce
Na rozdíl od automatického škálování musíte v ručním škálování ručně nastavit počet instancí služby Application Gateway na základě požadavků na provoz. Doporučujeme nastavit počet instancí podle maximálního využití a s 10% až 20% dodatečnou vyrovnávací pamětí, která bude zohledňovat případné špičky provozu. Pokud například provoz vyžaduje 50 instancí ve špičce, zřiďte 55 až 60 instancí pro zpracování neočekávaných špiček provozu, ke kterým může dojít.
Zkontrolujte metriku výpočetní jednotky za poslední měsíc. Metrika výpočetní jednotky představuje využití procesoru vaší brány a na základě využití ve špičce dělené 10 můžete nastavit požadovaný počet instancí, protože 1 instance aplikační brány dokáže zpracovat minimálně 10 výpočetních jednotek.
Monitorování a upozorňování
Pokud chcete dostávat oznámení o případných anomáliích provozu nebo využití, můžete nastavit upozornění na určité metriky. Úplný seznam metrik nabízených službou Application Gateway najdete v dokumentaci k metrikám. Vizualizujte metriky na webu Azure Portal a v dokumentaci ke službě Azure Monitor, jak nastavit upozornění na metriky.
Pokud chcete nakonfigurovat upozornění pomocí šablon ARM, přečtěte si téma Konfigurace upozornění služby Azure Monitor pro službu Application Gateway.
Upozornění na skladovou položku služby Application Gateway v1 (Standard/WAF)
Upozornění, pokud průměrné využití procesoru překročí 80 %
Za normálních podmínek by využití procesorů nemělo pravidelně překračovat 90 %, protože to může způsobit latenci na webech hostovaných za službou Application Gateway a narušení klientského prostředí. Můžete nepřímo řídit nebo zlepšit využití procesoru úpravou konfigurace služby Application Gateway zvýšením počtu instancí nebo přesunutím na větší velikost skladové položky nebo provedením obojího. Pokud metrika využití procesoru překročí 80 % průměru, nastavte upozornění.
Upozornění, pokud hostitel není v pořádku, překročí prahovou hodnotu
Tato metrika označuje počet back-endových serverů, které aplikační brána nemůže úspěšně testovat. Tím se zachytí problémy, kdy se instance služby Application Gateway nemůžou připojit k back-endu. Upozornění, pokud toto číslo překročí 20 % kapacity back-endu Pokud máte například v back-endovém fondu 30 back-endových serverů, nastavte výstrahu, pokud počet hostitelů není v pořádku vyšší než 6.
Upozornění, pokud stav odpovědi (4xx, 5xx) překročí prahovou hodnotu
Vytvořte upozornění, když je stav odpovědi služby Application Gateway 4xx nebo 5xx. Kvůli přechodným problémům může docházet k občasné odezvě 4xx nebo 5xx. Měli byste sledovat bránu v produkčním prostředí, abyste zjistili statickou prahovou hodnotu nebo pro výstrahu použili dynamickou prahovou hodnotu.
Upozornění, pokud neúspěšné požadavky překročí prahovou hodnotu
Vytvoření výstrahy při překročení prahové hodnoty metriky neúspěšných požadavků Měli byste sledovat bránu v produkčním prostředí, abyste zjistili statickou prahovou hodnotu nebo pro výstrahu použili dynamickou prahovou hodnotu.
Příklad: Nastavení upozornění na více než 100 neúspěšných požadavků za posledních 5 minut
Tento příklad ukazuje, jak pomocí webu Azure Portal nastavit upozornění, když počet neúspěšných požadavků za posledních 5 minut přesahuje 100.
- Přejděte do služby Application Gateway.
- Na levém panelu vyberte Metriky na kartě Monitorování .
- Přidejte metriku pro neúspěšné požadavky.
- Klikněte na Nové pravidlo upozornění a definujte svoji podmínku a akce.
- Kliknutím na Vytvořit pravidlo upozornění vytvořte a povolte upozornění.
Upozornění na skladovou položku služby Application Gateway v2 (Standard_v2/WAF_v2)
Upozornění, pokud využití výpočetních jednotek překročí 75 % průměrného využití
Výpočetní jednotka je míra využití výpočetních prostředků vaší služby Application Gateway. Zkontrolujte průměrné využití výpočetních jednotek za poslední měsíc a nastavte upozornění, pokud překročí 75 % z nich. Pokud je například průměrné využití 10 výpočetních jednotek, nastavte upozornění na 7,5 jednotek CU. Tato výstraha vás upozorní, pokud se využití zvyšuje a dává vám čas reagovat. Pokud si myslíte, že se tento provoz bude udržovat, můžete zvýšit minimum, abyste upozorňovali, že se provoz může zvýšit. Podle výše uvedených návrhů škálování navyšte kapacitu podle potřeby.
Příklad: Nastavení upozornění na 75 % průměrného využití CU
Tento příklad ukazuje, jak pomocí webu Azure Portal nastavit upozornění při dosažení 75 % průměrného využití CU.
- Přejděte do služby Application Gateway.
- Na levém panelu vyberte Metriky na kartě Monitorování .
- Přidejte metriku pro průměrné aktuální výpočetní jednotky.
- Pokud jste nastavili minimální počet instancí na průměrné využití CU, pokračujte a nastavte upozornění, když se používá 75 % minimálních instancí. Pokud je například průměrné využití 10 JEDNOTek, nastavte upozornění na 7,5 jednotek CU. Tato výstraha vás upozorní, pokud se využití zvyšuje a dává vám čas reagovat. Pokud si myslíte, že se tento provoz bude udržovat, můžete zvýšit minimum, abyste upozorňovali, že se provoz může zvýšit.
Poznámka:
Výstrahu můžete nastavit na nižší nebo vyšší procento využití CU v závislosti na tom, jak citlivé na potenciální špičky provozu chcete.
Upozornění, pokud využití jednotky kapacity překročí 75 % využití ve špičce
Jednotky kapacity představují celkové využití brány z hlediska propustnosti, výpočetních prostředků a počtu připojení. Zkontrolujte maximální využití jednotek kapacity za poslední měsíc a nastavte upozornění, pokud překročí 75 % z nich. Pokud je například maximální využití 100 jednotek kapacity, nastavte upozornění na 75 jednotek CU. Podle výše uvedených dvou návrhů podle potřeby navyšte kapacitu.
Upozornění, pokud hostitel není v pořádku, překročí prahovou hodnotu
Tato metrika označuje počet back-endových serverů, které aplikační brána nemůže úspěšně testovat. Tím se zachytí problémy, kdy se instance služby Application Gateway nemůžou připojit k back-endu. Upozornění, pokud toto číslo překročí 20 % kapacity back-endu Pokud máte například v back-endovém fondu 30 back-endových serverů, nastavte výstrahu, pokud počet hostitelů není v pořádku vyšší než 6.
Upozornění, pokud stav odpovědi (4xx, 5xx) překročí prahovou hodnotu
Vytvořte upozornění, když je stav odpovědi služby Application Gateway 4xx nebo 5xx. Kvůli přechodným problémům může docházet k občasné odezvě 4xx nebo 5xx. Měli byste sledovat bránu v produkčním prostředí, abyste zjistili statickou prahovou hodnotu nebo pro výstrahu použili dynamickou prahovou hodnotu.
Upozornění, pokud neúspěšné požadavky překročí prahovou hodnotu
Vytvoření výstrahy při překročení prahové hodnoty metriky neúspěšných požadavků Měli byste sledovat bránu v produkčním prostředí, abyste zjistili statickou prahovou hodnotu nebo pro výstrahu použili dynamickou prahovou hodnotu.
Upozornění, pokud doba odezvy posledního bajtu back-endu překročí prahovou hodnotu
Tato metrika označuje časový interval mezi zahájením navazování připojení k back-endovému serveru a příjmem posledního bajtu textu odpovědi. Pokud je latence odpovědi back-endu vyšší než určitá prahová hodnota z obvyklých hodnot, vytvořte upozornění. Nastavte to například tak, aby se upozorňovalo, když se latence odezvy back-endu zvýší o více než 30 % z obvyklé hodnoty.
Upozornění, pokud celková doba služby Application Gateway překročí prahovou hodnotu
Jedná se o interval od okamžiku, kdy služba Application Gateway obdrží první bajt požadavku HTTP do okamžiku odeslání posledního bajtu odpovědi klientovi. Pokud je latence odpovědi back-endu vyšší než určitá prahová hodnota z obvyklého stavu, měla by se vytvořit výstraha. Můžou například nastavit upozornění, když se celková časová latence zvýší o více než 30 % z obvyklé hodnoty.
Nastavení WAF s geografickým filtrováním a ochranou robotů za účelem zastavení útoků
Pokud chcete mít před aplikací další vrstvu zabezpečení, použijte pro funkce WAF skladovou položku služby Application Gateway WAF_v2. Skladovou položku v2 můžete nakonfigurovat tak, aby umožňovala přístup jenom k vašim aplikacím z dané země,oblasti nebo zemí/oblastí. Vlastní pravidlo WAF nastavíte tak, aby explicitně povoloval nebo blokoval provoz na základě geografického umístění. Další informace najdete v tématu Geografické filtrování vlastních pravidel a postup konfigurace vlastních pravidel ve službě Application Gateway WAF_v2 skladové položky prostřednictvím PowerShellu.
Povolte ochranu robotů, aby blokovali známé špatné roboty. Tím by se mělo snížit objem provozu, který se do vaší aplikace dostává. Další informace najdete v tématu Ochrana robota s pokyny k nastavení.
Zapnutí diagnostiky ve službě Application Gateway a WAF
Diagnostické protokoly umožňují zobrazit protokoly brány firewall, protokoly výkonu a protokoly přístupu. Tyto protokoly v Azure můžete použít ke správě a řešení potíží se službou Application Gateway. Další informace najdete v naší dokumentaci k diagnostice.
Nastavení zásad PROTOKOLU TLS pro dodatečné zabezpečení
Ujistěte se, že používáte nejnovější verzi zásad TLS (AppGwSslPolicy2020101) nebo novější. Podporují minimální verzi protokolu TLS verze 1.2 se silnějšími šiframi. Další informace najdete v tématu Konfigurace verzí zásad TLS a šifrovacích sad přes PowerShell.