Sdílet prostřednictvím

Aspekty správy provozu pro akcelerátor cílové zóny API Management

  • Článek

Tento článek obsahuje aspekty návrhu a doporučení pro správu operací při použití akcelerátoru cílové zóny API Management. Správa provozu zahrnuje několik aspektů, mezi které patří:

  • Zřizování, škálování a monitorování instance API Management
  • Konfigurace zásad v bráně
  • Správa rozhraní API
  • Příprava na provozní kontinuitu a zotavení po havárii

Přečtěte si další informace o oblasti návrhu správy .

Správa a monitorování

Aspekty návrhu pro správu a monitorování

  • Mějte na paměti maximální limity propustnosti jednotlivých API Management úrovní služby. Tato omezení jsou přibližná a nejsou zaručená.
  • Mějte na paměti maximální počet jednotek škálování na API Management úroveň služby.
  • Mějte na paměti čas potřebný k horizontálnímu navýšení kapacity, nasazení do jiné oblasti nebo převodu na jinou úroveň služby.
  • API Management není horizontální navýšení kapacity automaticky; vyžaduje se další konfigurace.
  • Během události horizontálního navýšení kapacity nedochází k žádnému výpadku.
  • Do všech oblastí v nasazení s více oblastmi se nasadí jenom komponenta brány API Management.
  • Mějte na paměti možný dopad protokolování Application Insights na výkon při vysokém zatížení.
  • Mějte na paměti počet použitých příchozích a odchozích zásad a jejich dopad na výkon.
  • API Management zásady jsou kód a měly by být ve správě verzí.
  • API Management integrovanou mezipaměť sdílí všechny jednotky ve stejné oblasti ve stejné API Management službě.
  • Použijte zóny dostupnosti. Počet vybraných jednotek škálování se musí rovnoměrně distribuovat napříč zónami.
  • Pokud používáte bránu v místním prostředí, mějte na paměti, že platnost přihlašovacích údajů vyprší každých 30 dnů a musí se obměňovat.
  • Identifikátor URI /status-0123456789abcdef se dá použít jako běžný koncový bod stavu pro službu API Management.
  • Služba API Management není WAF. Nasaďte WAF, jako je například Azure Application Gateway, a vytvořte tak další vrstvy ochrany.
  • Vyjednávání klientských certifikátů je povolené v konfiguraci pro jednotlivé brány.
  • Certifikáty a tajné kódy v Key Vault se aktualizují během API Management do 4 hodin od nastavení. Tajný kód můžete také ručně aktualizovat pomocí Azure Portal nebo přes rozhraní REST API pro správu.
  • Vlastní domény se dají použít na všechny koncové body nebo jenom na podmnožinu. Úroveň Premium podporuje nastavení více názvů hostitelů pro koncový bod brány.
  • API Management je možné zálohovat pomocí rozhraní REST API pro správu. Platnost záloh vyprší po 30 dnech. Mějte na paměti, co API Management nezálohuje.
  • Pojmenované hodnoty jsou v oboru globální.
  • Operace rozhraní API je možné seskupit do produktů a předplatných. Návrh založte na skutečných obchodních požadavcích.

Doporučení k návrhu pro správu a monitorování

  • Použijte vlastní domény jenom na koncový bod brány.
  • Zásady služby Event Hubs použijte k protokolování na vysokých úrovních výkonu.
  • Použijte externí mezipaměť pro kontrolu a nejrychlejší výkon.
  • Nasaďte alespoň dvě jednotky škálování rozložené do dvou zón dostupnosti pro každou oblast, abyste měli nejlepší dostupnost a výkon.
  • K automatickému škálování API Management použijte Azure Monitor. Pokud používáte bránu v místním prostředí, použijte horizontální automatické škálování podů Kubernetes ke škálování brány na více instancí.
  • Nasaďte místní brány, kde Azure nemá oblast blízko back-endových rozhraní API.
  • Použijte Key Vault pro ukládání, oznámení a obměně certifikátů.
  • Nepovolujte šifrovací protokoly 3DES, TLS 1.1 nebo nižší, pokud to není nutné.
  • Použití DevOps a postupů infrastruktury jako kódu ke zpracování všech nasazení, aktualizací a zotavení po havárii
  • Vytvořte revizi rozhraní API a položku protokolu změn pro každou aktualizaci rozhraní API.
  • Pomocí back-endů eliminujte redundantní konfigurace back-endu rozhraní API.
  • Pojmenované hodnoty slouží k ukládání běžných hodnot, které se dají použít v zásadách.
  • Použijte Key Vault k ukládání tajných kódů, na které mohou pojmenované hodnoty odkazovat. Tajné kódy aktualizované v trezoru klíčů se automaticky obměňují v API Management
  • Vytvořte komunikační strategii, která uživatele upozorní na nejnovější aktualizace verzí rozhraní API.
  • Nakonfigurujte nastavení diagnostiky pro předávání AllMetrics a AllLogs do pracovního prostoru služby Log Analytics.

Provozní kontinuita a zotavení po havárii

Aspekty návrhu pro provozní kontinuitu a zotavení po havárii

  • Určete časový cíl obnovení (RTO) a cíl bodu obnovení (RPO) pro API Management instance, které chcete chránit, a hodnotové řetězce, které podporují (spotřebitelé a poskytovatelé). Zvažte nasazení nových instancí nebo použití horkého/studeného pohotovostního režimu.
  • API Management podporuje nasazení ve více zónách a ve více oblastech. Na základě požadavků můžete povolit jenom jednu nebo obě.
  • Převzetí služeb při selhání je možné automatizovat:
    • Vícezónové nasazení automaticky převezme služby při selhání.
    • Nasazení ve více oblastech vyžaduje převzetí služeb při selhání nástrojem pro vyrovnávání zatížení založeným na DNS, jako je Traffic Manager.
  • API Management je možné zálohovat pomocí rozhraní REST API pro správu.

Návrh doporučení pro provozní kontinuitu a zotavení po havárii

  • Pro API Management použijte spravovanou identitu přiřazenou uživatelem, abyste zabránili výpadkům během opětovného nasazení šablon ARM. Pokud používáte spravovanou identitu přiřazenou systémem, tato identita a její přidružené role a přiřazení, jako je azure Key Vault přístup k tajným kódům, se odeberou, pokud se prostředek odebere. Pokud použijete spravovanou identitu přiřazenou uživatelem, zůstanou tato přiřazení zachována a umožní vám ji přidružit zpět k API Management bez ztráty přístupu.
  • Ke spouštění záloh používejte automatizované služby Azure Pipelines.
  • Rozhodněte, jestli se vyžaduje nasazení ve více oblastech .

Předpoklady na podnikové úrovni

Níže jsou uvedené předpoklady, které byly součástí vývoje akcelerátoru cílové zóny API Management:

  • Doporučuje se instance úrovně Premium API Management, která podporuje zóny dostupnosti a nasazení ve více oblastech.
  • Azure Pipelines slouží ke správě a nasazování infrastruktury jako kódu.