Przegląd platformy Azure Well-Architected Framework — aplikacja systemu Azure Gateway w wersji 2
Ten artykuł zawiera najlepsze rozwiązania dotyczące architektury dla rodziny jednostek SKU bramy aplikacja systemu Azure w wersji 2. Wskazówki są oparte na pięciu filarach doskonałości architektonicznej:
Zakładamy, że masz działającą wiedzę na temat aplikacja systemu Azure Gateway i dobrze znasz funkcje jednostki SKU w wersji 2. Aby uzyskać więcej informacji, zobacz funkcje usługi aplikacja systemu Azure Gateway.
Wymagania wstępne
- Zrozumienie filarów dobrze zaprojektowanej struktury może pomóc w utworzeniu wysokiej jakości, stabilnej i wydajnej architektury chmury. Zalecamy zapoznanie się z obciążeniem przy użyciu oceny przeglądu platformy Azure Well-Architected Framework.
- Skorzystaj z architektury referencyjnej, aby przejrzeć zagadnienia na podstawie wskazówek podanych w tym artykule. Zalecamy rozpoczęcie od funkcji Ochrona interfejsów API za pomocą usługi Application Gateway i usług API Management i IaaS: aplikacja internetowa z relacyjnymi bazami danych.
Niezawodność
W chmurze potwierdzamy, że występują błędy. Zamiast próbować całkowicie zapobiegać awariom, celem jest minimalizacja wpływu awarii pojedynczego składnika. Skorzystaj z poniższych informacji, aby zminimalizować wystąpienia, które zakończyły się niepowodzeniem.
Lista kontrolna projektu
Podczas podejmowania decyzji projektowych dla usługi Application Gateway zapoznaj się z zasadami projektowania niezawodności.
- Wdróż wystąpienia w konfiguracji obsługującej strefy, jeśli są dostępne.
- Użyj usługi Application Gateway z zaporą aplikacji internetowej (WAF) w sieci wirtualnej, aby chronić ruch przychodzący
HTTP/S
z Internetu. - W nowych wdrożeniach należy użyć bramy aplikacja systemu Azure w wersji 2, chyba że istnieje przekonujący powód, aby użyć aplikacja systemu Azure Gateway w wersji 1.
- Planowanie aktualizacji reguł
- Wykrywanie niedostępności zaplecza za pomocą sond kondycji
- Przegląd wpływu ustawień interwału i progu na sondy kondycji
- Weryfikowanie zależności podrzędnych za pośrednictwem punktów końcowych kondycji
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi Application Gateway pod kątem niezawodności.
Zalecenie | Korzyści |
---|---|
Planowanie aktualizacji reguł | Zaplanuj wystarczająco dużo czasu na aktualizacje przed uzyskaniem dostępu do usługi Application Gateway lub wprowadzeniem dalszych zmian. Na przykład usunięcie serwerów z puli zaplecza może zająć trochę czasu, ponieważ muszą opróżnić istniejące połączenia. |
Wykrywanie niedostępności zaplecza za pomocą sond kondycji | Jeśli usługa Application Gateway służy do równoważenia obciążenia ruchu przychodzącego przez wiele wystąpień zaplecza, zalecamy użycie sond kondycji. Zapewni to, że ruch nie jest kierowany do zapleczy, które nie mogą obsłużyć ruchu. |
Przegląd wpływu ustawień interwału i progu na sondy kondycji | Sonda kondycji wysyła żądania do skonfigurowanego punktu końcowego w określonym interwale. Ponadto istnieje próg żądań niepomyślnie tolerowanych przed oznaczeniem złej kondycji zaplecza. Liczby te stanowią kompromis. — Ustawienie wyższego interwału powoduje większe obciążenie usługi. Każde wystąpienie usługi Application Gateway wysyła własne sondy kondycji, więc 100 wystąpień co 30 sekund oznacza 100 żądań na 30 sekund. - Ustawienie niższego interwału pozostawia więcej czasu przed wykryciem awarii. — Ustawienie niskiego progu złej kondycji może oznaczać, że krótkie, przejściowe błędy mogą spowodować obniżenie zaplecza. - Ustawienie wysokiego progu może potrwać dłużej, aby uruchomić zaplecze poza rotacją. |
Weryfikowanie zależności podrzędnych za pośrednictwem punktów końcowych kondycji | Załóżmy, że każde zaplecze ma własne zależności, aby upewnić się, że awarie są izolowane. Na przykład aplikacja hostowana za usługą Application Gateway może mieć wiele zapleczy, z których każda jest połączona z inną bazą danych (repliką). Gdy taka zależność zakończy się niepowodzeniem, aplikacja może działać, ale nie zwróci prawidłowych wyników. Z tego powodu punkt końcowy kondycji powinien w idealnym przypadku zweryfikować wszystkie zależności. Należy pamiętać, że jeśli każde wywołanie punktu końcowego kondycji ma bezpośrednie wywołanie zależności, ta baza danych będzie otrzymywać 100 zapytań co 30 sekund zamiast 1. Aby tego uniknąć, punkt końcowy kondycji powinien buforować stan zależności przez krótki czas. |
W przypadku korzystania z usług Azure Front Door i Application Gateway w celu ochrony HTTP/S aplikacji użyj zasad zapory aplikacji internetowej w usłudze Front Door i zablokuj usługę Application Gateway, aby odbierać ruch tylko z usługi Azure Front Door. |
Niektóre scenariusze mogą wymusić zaimplementowanie reguł specjalnie w usłudze Application Gateway. Jeśli na przykład są wymagane reguły ModSec CRS 2.2.9, CRS 3.0 lub CRS 3.1, te reguły można zaimplementować tylko w usłudze Application Gateway. Z drugiej strony ograniczanie szybkości i filtrowanie geograficzne są dostępne tylko w usłudze Azure Front Door, a nie w usłudze AppGateway. |
Usługa Azure Advisor pomaga zapewnić i poprawić ciągłość aplikacji krytycznych dla działania firmy. Zapoznaj się z zaleceniami usługi Azure Advisor.
Zabezpieczenia
Bezpieczeństwo to jeden z najważniejszych aspektów każdej architektury. Usługa Application Gateway udostępnia funkcje do zastosowania zarówno zasady najniższych uprawnień, jak i obrony w obronie. Zalecamy zapoznanie się z zasadami projektowania zabezpieczeń.
Lista kontrolna projektu
- Konfigurowanie zasad protokołu TLS na potrzeby zwiększonych zabezpieczeń
- Używanie usługi AppGateway do kończenia żądań protokołu TLS
- Przechowywanie certyfikatów TLS przy użyciu usługi Azure Key Vault
- Podczas ponownego szyfrowania ruchu zaplecza upewnij się, że certyfikat serwera zaplecza zawiera zarówno główne, jak i pośrednie urzędy certyfikacji
- Używanie odpowiedniego serwera DNS dla zasobów puli zaplecza
- Zgodność ze wszystkimi ograniczeniami sieciowej grupy zabezpieczeń dla usługi Application Gateway
- Powstrzymaj się od używania tras zdefiniowanych przez użytkownika w podsieci usługi Application Gateway
- Należy pamiętać o zmianach pojemności usługi Application Gateway podczas włączania zapory aplikacji internetowej
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi Application Gateway pod kątem zabezpieczeń.
Zalecenie | Korzyści |
---|---|
Konfigurowanie zasad protokołu TLS na potrzeby zwiększonych zabezpieczeń | Skonfiguruj zasady protokołu TLS w celu zapewnienia dodatkowych zabezpieczeń. Upewnij się, że zawsze używasz najnowszej dostępnej wersji zasad protokołu TLS. Wymusza to protokół TLS 1.2 i silniejsze szyfry. |
Używanie usługi AppGateway do kończenia żądań protokołu TLS | Istnieją zalety używania usługi Application Gateway do kończenia żądań protokołu TLS: — Wydajność poprawia się, ponieważ żądania przechodzące do różnych zapleczy muszą być ponownie uwierzytelniane w każdym zapleczu. — Lepsze wykorzystanie serwerów zaplecza, ponieważ nie muszą wykonywać przetwarzania protokołu TLS — Inteligentny routing przez uzyskanie dostępu do zawartości żądania. — Łatwiejsze zarządzanie certyfikatami, ponieważ certyfikat musi być zainstalowany tylko w usłudze Application Gateway. |
Przechowywanie certyfikatów TLS przy użyciu usługi Azure Key Vault | Usługę Application Gateway można zintegrować z usługą Key Vault. Zapewnia to silniejsze zabezpieczenia, łatwiejsze rozdzielenie ról i obowiązków, obsługę zarządzanych certyfikatów oraz łatwiejszy proces odnawiania i rotacji certyfikatów. |
Podczas ponownego szyfrowania ruchu zaplecza upewnij się, że certyfikat serwera zaplecza zawiera zarówno główne, jak i pośrednie urzędy certyfikacji | Certyfikat TLS serwera zaplecza musi być wystawiony przez dobrze znany urząd certyfikacji. Jeśli certyfikat nie został wystawiony przez zaufany urząd certyfikacji, usługa Application Gateway sprawdza, czy certyfikat został wystawiony przez zaufany urząd certyfikacji itd., dopóki nie zostanie znaleziony zaufany certyfikat urzędu certyfikacji. Dopiero wtedy zostanie nawiązane bezpieczne połączenie. W przeciwnym razie usługa Application Gateway oznacza zaplecze jako w złej kondycji. |
Używanie odpowiedniego serwera DNS dla zasobów puli zaplecza | Jeśli pula zaplecza zawiera rozpoznawalną nazwę FQDN, rozpoznawanie nazw DNS jest oparte na prywatnej strefie DNS lub niestandardowym serwerze DNS (jeśli jest skonfigurowany w sieci wirtualnej) lub używa domyślnego systemu DNS udostępnianego przez platformę Azure. |
Zgodność ze wszystkimi ograniczeniami sieciowej grupy zabezpieczeń dla usługi Application Gateway | Sieciowe grupy zabezpieczeń są obsługiwane w podsieci usługi Application Gateway, ale istnieją pewne ograniczenia. Na przykład niektóre połączenia z określonymi zakresami portów są zabronione. Upewnij się, że rozumiesz implikacje tych ograniczeń. Aby uzyskać szczegółowe informacje, zobacz Sieciowe grupy zabezpieczeń. |
Powstrzymaj się od używania tras zdefiniowanych przez użytkownika w podsieci usługi Application Gateway | Użycie tras zdefiniowanych przez użytkownika (UDR) w podsieci usługi Application Gateway może powodować pewne problemy. Stan kondycji zaplecza może być nieznany. Dzienniki i metryki usługi Application Gateway mogą nie zostać wygenerowane. Zalecamy, aby nie używać tras zdefiniowanych przez użytkownika w podsieci usługi Application Gateway, aby wyświetlić kondycję zaplecza, dzienniki i metryki. Jeśli organizacje wymagają używania trasy zdefiniowanej przez użytkownika w podsieci usługi Application Gateway, zapoznaj się z obsługiwanymi scenariuszami. Aby uzyskać więcej informacji, zobacz Obsługiwane trasy zdefiniowane przez użytkownika. |
Należy pamiętać o zmianach pojemności usługi Application Gateway podczas włączania zapory aplikacji internetowej | Po włączeniu zapory aplikacji internetowej każde żądanie musi być buforowane przez usługę Application Gateway, dopóki nie zostanie w pełni dostarczone, sprawdza, czy żądanie jest zgodne z dowolnym naruszeniem reguły w podstawowym zestawie reguł, a następnie przekazuje pakiet do wystąpień zaplecza. Jeśli istnieją duże operacje przekazywania plików (rozmiar 30 MB+), może to spowodować znaczne opóźnienie. Ponieważ wymagania dotyczące pojemności usługi Application Gateway różnią się w przypadku zapory aplikacji internetowej, nie zalecamy włączania zapory aplikacji internetowej w usłudze Application Gateway bez odpowiedniego testowania i walidacji. |
Aby uzyskać więcej sugestii, zobacz Zasady filaru zabezpieczeń.
Usługa Azure Advisor pomaga zapewnić i poprawić ciągłość aplikacji krytycznych dla działania firmy. Zapoznaj się z zaleceniami usługi Azure Advisor.
Definicje zasad
- Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway. Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów/regionów, zakresów adresów IP i innych parametrów http za pośrednictwem reguł niestandardowych.
- Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Application Gateway. Nakazuje używanie trybu wykrywania lub zapobiegania, aby był aktywny we wszystkich zasadach zapory aplikacji internetowej dla usługi Application Gateway.
- Należy włączyć usługę Azure DDoS Protection. Ochrona przed atakami DDoS powinna być włączona dla wszystkich sieci wirtualnych z podsiecią, która jest częścią bramy aplikacji z publicznym adresem IP.
Wszystkie wbudowane definicje zasad związane z siecią platformy Azure są wymienione w artykule Wbudowane zasady — sieć.
Optymalizacja kosztów
Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Zalecamy zapoznanie się z zasadami projektowania optymalizacji kosztów.
Lista kontrolna projektu
- Zapoznaj się z cennikiem usługi Application Gateway
- Przeglądanie niedostatecznie wykorzystanych zasobów
- Zatrzymywanie wystąpień usługi Application Gateway, które nie są używane
- Zasady skalowania i skalowania w poziomie
- Przeglądanie metryk zużycia w różnych parametrach
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi Application Gateway pod kątem optymalizacji kosztów.
Zalecenie | Korzyści |
---|---|
Zapoznaj się z cennikiem usługi Application Gateway | Aby uzyskać informacje o cenach usługi Application Gateway, zobacz Understanding Pricing for aplikacja systemu Azure Gateway and Web Application Firewall (Informacje o cenach bramy aplikacja systemu Azure i zaporze aplikacji internetowej). Możesz również skorzystać z kalkulatora cen. Upewnij się, że opcje są odpowiednio dopasowane do zapotrzebowania na pojemność i zapewniają oczekiwaną wydajność bez marnowania zasobów. |
Przeglądanie niedostatecznie wykorzystanych zasobów | Identyfikowanie i usuwanie wystąpień usługi Application Gateway z pustymi pulami zaplecza w celu uniknięcia niepotrzebnych kosztów. |
Zatrzymywanie wystąpień usługi Application Gateway, gdy nie są używane | Opłaty nie są naliczane, gdy usługa Application Gateway jest w stanie zatrzymania. Ciągłe uruchamianie wystąpień usługi Application Gateway może wiązać się z dodatkowymi kosztami. Oceń wzorce użycia i zatrzymaj wystąpienia, gdy ich nie potrzebujesz. Na przykład użycie po godzinach pracy w środowiskach tworzenia i testowania powinno być niskie. Zapoznaj się z tymi artykułami, aby uzyskać informacje o sposobie zatrzymywania i uruchamiania wystąpień. - Stop-AzApplicationGateway - Start-AzApplicationGateway |
Zasady skalowania i skalowania w poziomie | Zasady skalowania w poziomie zapewniają, że będzie wystarczająca liczba wystąpień do obsługi ruchu przychodzącego i skoków. Ponadto mają zasady skalowania w poziomie, które zapewniają zmniejszenie liczby wystąpień, gdy zapotrzebowanie spadnie. Rozważ wybór rozmiaru wystąpienia. Rozmiar może znacząco wpłynąć na koszt. Niektóre zagadnienia zostały opisane w temacie Szacowanie liczby wystąpień usługi Application Gateway. Aby uzyskać więcej informacji, zobacz Co to jest aplikacja systemu Azure Gateway w wersji 2? |
Przeglądanie metryk zużycia w różnych parametrach | Opłaty są naliczane na podstawie mierzonych wystąpień usługi Application Gateway na podstawie metryk śledzonych przez platformę Azure. Oceń różne metryki i jednostki pojemności oraz określ czynniki kosztów. Aby uzyskać więcej informacji, zobacz Zarządzanie kosztami i rozliczenia firmy Microsoft. Następujące metryki są kluczem dla usługi Application Gateway. Te informacje mogą służyć do sprawdzania, czy aprowizowana liczba wystąpień jest zgodna z ilością ruchu przychodzącego. — Szacowane rozliczane jednostki pojemności - Stałe rozliczane jednostki pojemności - Bieżące jednostki pojemności Aby uzyskać więcej informacji, zobacz Metryki usługi Application Gateway. Upewnij się, że uwzględniasz koszty przepustowości. |
Aby uzyskać więcej sugestii, zobacz Zasady filaru optymalizacji kosztów.
Usługa Azure Advisor pomaga zapewnić i poprawić ciągłość aplikacji krytycznych dla działania firmy. Zapoznaj się z zaleceniami usługi Azure Advisor.
Doskonałość operacyjna
Monitorowanie i diagnostyka mają kluczowe znaczenie dla zapewnienia doskonałości operacyjnej usługi Application Gateway oraz aplikacji internetowych lub zapleczy za bramą. Statystyki wydajności można mierzyć nie tylko, ale także używać metryk do szybkiego rozwiązywania problemów i ich rozwiązywania. Zalecamy zapoznanie się z zasadami projektowania doskonałości operacyjnej.
Lista kontrolna projektu
- Monitorowanie metryk pojemności
- Włączanie diagnostyki w usłudze Application Gateway i zaporze aplikacji internetowej (WAF)
- Korzystanie z usługi Azure Monitor Network Insights
- Dopasuj ustawienia limitu czasu z aplikacją zaplecza
- Monitorowanie problemów z konfiguracją usługi Key Vault przy użyciu usługi Azure Advisor
- Konfigurowanie i monitorowanie ograniczeń portów SNAT
- Rozważ ograniczenia portów SNAT w projekcie
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi Application Gateway pod kątem doskonałości operacyjnej.
Zalecenie | Korzyści |
---|---|
Monitorowanie metryk pojemności | Użyj tych metryk jako wskaźników wykorzystania aprowizowanej pojemności usługi Application Gateway. Zdecydowanie zalecamy skonfigurowanie alertów dotyczących pojemności. Aby uzyskać szczegółowe informacje, zobacz Obsługa dużego ruchu w usłudze Application Gateway. |
Troubleshoot using metrics (Rozwiązywanie problemów przy użyciu metryk) | Istnieją inne metryki, które mogą wskazywać problemy w usłudze Application Gateway lub zapleczu. Zalecamy ocenę następujących alertów: - Liczba hostów w złej kondycji - Stan odpowiedzi (wymiar 4xx i 5xx) - Stan odpowiedzi zaplecza (wymiar 4xx i 5xx) - Czas odpowiedzi ostatniego bajtu zaplecza — Łączny czas usługi Application Gateway Aby uzyskać więcej informacji, zobacz Metryki dla usługi Application Gateway. |
Włączanie diagnostyki w usłudze Application Gateway i zaporze aplikacji internetowej (WAF) | Dzienniki diagnostyczne umożliwiają wyświetlanie dzienników zapory, dzienników wydajności i dzienników dostępu. Użyj tych dzienników, aby zarządzać wystąpieniami usługi Application Gateway i rozwiązywać problemy z nimi. Aby uzyskać więcej informacji, zobacz Kondycja i dzienniki diagnostyczne zaplecza dla usługi Application Gateway. |
Korzystanie z usługi Azure Monitor Network Insights | Usługa Azure Monitor Network Insights zapewnia kompleksowy widok kondycji i metryk dla zasobów sieciowych, w tym usługi Application Gateway. Aby uzyskać dodatkowe szczegóły i obsługiwane możliwości dla usługi Application Gateway, zobacz Azure Monitor Network insights (Szczegółowe informacje o sieci usługi Azure Monitor). |
Dopasuj ustawienia limitu czasu z aplikacją zaplecza | Upewnij się, że skonfigurowano ustawienia idleTimeout tak, aby były zgodne z charakterystyką odbiornika i ruchu aplikacji zaplecza. Wartość domyślna jest ustawiona na cztery minuty i można skonfigurować maksymalnie 30. Aby uzyskać więcej informacji, zobacz Load Balancer TCP Reset and Idle Timeout (Resetowanie protokołu TCP modułu równoważenia obciążenia i limit czasu bezczynności). Aby zapoznać się z zagadnieniami dotyczącymi obciążeń, zobacz Monitorowanie kondycji aplikacji pod kątem niezawodności. |
Monitorowanie problemów z konfiguracją usługi Key Vault przy użyciu usługi Azure Advisor | Usługa Application Gateway sprawdza, czy nowa wersja certyfikatu w połączonym magazynie Key Vault jest sprawdzana co 4-godzinny interwał. Jeśli jest niedostępna z powodu nieprawidłowej konfiguracji usługi Key Vault, rejestruje ten błąd i wypycha odpowiednie zalecenie usługi Advisor. Należy skonfigurować alerty usługi Advisor, aby były aktualizowane i rozwiązywać takie problemy natychmiast, aby uniknąć problemów związanych z płaszczyzną kontroli lub danych. Aby uzyskać więcej informacji, zobacz Badanie i rozwiązywanie błędów magazynu kluczy. Aby ustawić alert dla tego konkretnego przypadku, użyj typu zalecenia jako rozwiązania problemu z usługą Azure Key Vault dla usługi Application Gateway. |
Rozważ ograniczenia portów SNAT w projekcie | Ograniczenia portów SNAT są ważne w przypadku połączeń zaplecza w usłudze Application Gateway. Istnieją oddzielne czynniki wpływające na sposób osiągnięcia limitu portów SNAT przez usługę Application Gateway. Jeśli na przykład zaplecze jest publicznym adresem IP, będzie wymagać własnego portu SNAT. Aby uniknąć ograniczeń portów SNAT, możesz zwiększyć liczbę wystąpień na usługę Application Gateway, skalować zaplecza w poziomie, aby mieć więcej adresów IP, lub przenosić zaplecza do tej samej sieci wirtualnej i używać prywatnych adresów IP dla zapleczy. Żądania na sekundę (RPS) w usłudze Application Gateway będą miały wpływ na osiągnięcie limitu portów SNAT. Jeśli na przykład usługa Application Gateway osiągnie limit portów SNAT, nie będzie można otworzyć nowego połączenia z zapleczem, a żądanie zakończy się niepowodzeniem. |
Aby uzyskać więcej sugestii, zobacz Zasady filaru doskonałości operacyjnej.
Usługa Azure Advisor pomaga zapewnić i poprawić ciągłość aplikacji krytycznych dla działania firmy. Zapoznaj się z zaleceniami usługi Azure Advisor.
Efektywność wydajności
Efektywność wydajności to możliwość skalowania obciążenia w celu zaspokojenia zapotrzebowania użytkowników w wydajny sposób. Zalecamy zapoznanie się z zasadami wydajności.
Lista kontrolna projektu
- Szacowanie liczby wystąpień usługi Application Gateway
- Definiowanie maksymalnej liczby wystąpień
- Definiowanie minimalnej liczby wystąpień
- Definiowanie rozmiaru podsieci usługi Application Gateway
- Korzystanie z funkcji usługi Application Gateway w wersji 2 na potrzeby skalowania automatycznego i korzyści z wydajności
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi Application Gateway pod kątem wydajności.
Zalecenie | Korzyści |
---|---|
Szacowanie liczby wystąpień usługi Application Gateway | Usługa Application Gateway w wersji 2 jest skalowana w poziomie na podstawie wielu aspektów, takich jak procesor CPU, przepływność sieci, bieżące połączenia i inne. Aby określić przybliżoną liczbę wystąpień, należy uwzględnić następujące metryki: Bieżące jednostki obliczeniowe — wskazuje użycie procesora CPU. 1 Wystąpienie usługi Application Gateway ma około 10 jednostek obliczeniowych. Przepływność — wystąpienie usługi Application Gateway może obsługiwać około 500 Mb/s przepływności. Te dane zależą od typu ładunku. Rozważ to równanie podczas obliczania liczby wystąpień. Po oszacowaniu liczby wystąpień porównaj wartość z maksymalną liczbą wystąpień. Spowoduje to wskazanie, jak blisko znajdujesz się do maksymalnej dostępnej pojemności. |
Definiowanie minimalnej liczby wystąpień | W przypadku jednostki SKU usługi Application Gateway w wersji 2 skalowanie automatyczne trwa około sześciu do siedmiu minut, zanim dodatkowy zestaw wystąpień będzie gotowy do obsługi ruchu. W tym czasie, jeśli występują krótkie skoki ruchu, spodziewaj się przejściowego opóźnienia lub utraty ruchu. Zalecamy ustawienie minimalnej liczby wystąpień na optymalny poziom. Po oszacowaniu średniej liczby wystąpień i określeniu trendów skalowania automatycznego usługi Application Gateway zdefiniuj minimalną liczbę wystąpień na podstawie wzorców aplikacji. Aby uzyskać informacje, zobacz Obsługa dużego ruchu w usłudze Application Gateway. Sprawdź bieżące jednostki obliczeniowe w ciągu ostatniego miesiąca. Ta metryka reprezentuje wykorzystanie procesora CPU bramy. Aby zdefiniować minimalną liczbę wystąpień, podziel szczytowe użycie przez 10. Jeśli na przykład średnia bieżąca liczba jednostek obliczeniowych w ostatnim miesiącu wynosi 50, ustaw minimalną liczbę wystąpień na pięć. |
Definiowanie maksymalnej liczby wystąpień | Zalecamy 125 jako maksymalną liczbę wystąpień automatycznego skalowania. Upewnij się, że podsieć zawierająca usługę Application Gateway ma wystarczające dostępne adresy IP do obsługi zestawu wystąpień skalowalnego w górę. Ustawienie maksymalnej liczby wystąpień na 125 nie ma żadnych konsekwencji kosztów, ponieważ opłaty są naliczane tylko za zużytą pojemność. |
Definiowanie rozmiaru podsieci usługi Application Gateway | Usługa Application Gateway wymaga dedykowanej podsieci w sieci wirtualnej. Podsieć może mieć wiele wystąpień wdrożonego zasobu usługi Application Gateway. Możesz również wdrożyć inne zasoby usługi Application Gateway w tej podsieci, w wersji 1 lub 2 jednostki SKU. Poniżej przedstawiono kilka zagadnień dotyczących definiowania rozmiaru podsieci: — Usługa Application Gateway używa jednego prywatnego adresu IP na wystąpienie i innego prywatnego adresu IP, jeśli skonfigurowano prywatny adres IP frontonu. — Platforma Azure rezerwuje pięć adresów IP w każdej podsieci do użytku wewnętrznego. — Usługa Application Gateway (jednostka SKU w warstwie Standardowa lub zapora aplikacji internetowej) może obsługiwać maksymalnie 32 wystąpienia. Zaleca się użycie 32 adresów IP wystąpienia + 1 prywatny adres IP frontonu + 5 zarezerwowanych platformy Azure, zalecany jest minimalny rozmiar podsieci /26. Ponieważ jednostka SKU Standard_v2 lub WAF_v2 może obsługiwać maksymalnie 125 wystąpień, zaleca się użycie tego samego obliczenia rozmiaru podsieci /24. — Jeśli chcesz wdrożyć dodatkowe zasoby usługi Application Gateway w tej samej podsieci, rozważ dodatkowe adresy IP, które będą wymagane dla maksymalnej liczby wystąpień zarówno dla wersji Standardowa, jak i Standardowa w wersji 2. |
Korzystanie z funkcji na potrzeby skalowania automatycznego i korzyści z wydajności | Jednostka SKU w wersji 2 oferuje skalowanie automatyczne, aby upewnić się, że usługa Application Gateway może skalować w górę w miarę wzrostu ruchu. W porównaniu z jednostkami SKU w wersji 1 wersja 2 ma możliwości zwiększające wydajność obciążenia. Na przykład lepsza wydajność odciążania protokołu TLS, szybsze wdrażanie i czasy aktualizacji, nadmiarowość strefy i nie tylko. Aby uzyskać więcej informacji na temat funkcji skalowania automatycznego, zobacz Scaling Application Gateway v2 and WAF v2 (Skalowanie usługi Application Gateway w wersji 2 i zapory aplikacji internetowej w wersji 2). Jeśli używasz bramy aplikacji jednostki SKU w wersji 1, rozważ migrację do jednostki SKU usługi Application Gateway w wersji 2. Aby uzyskać więcej informacji, zobacz Migrate aplikacja systemu Azure Gateway and Web Application Firewall from v1 to v2 (Migrowanie bramy aplikacja systemu Azure i zapory aplikacji internetowej z wersji 1 do wersji 2). |
Usługa Azure Advisor pomaga zapewnić i poprawić ciągłość aplikacji krytycznych dla działania firmy. Zapoznaj się z zaleceniami usługi Azure Advisor.
Zalecenia usługi Azure Advisor
Azure Advisor to spersonalizowany konsultant ds. chmury, który pomaga stosować najlepsze rozwiązania w celu zoptymalizowania wdrożeń platformy Azure. Poniżej przedstawiono kilka zaleceń, które mogą pomóc zwiększyć niezawodność, bezpieczeństwo, opłacalność, wydajność i doskonałość operacyjną usługi Application Gateway.
Niezawodność
- Zapewnianie odporności na uszkodzenia bramy aplikacji
- Nie przesłaniaj nazwy hosta, aby zapewnić integralność witryny internetowej
Dodatkowe zasoby
Wskazówki dotyczące centrum architektury platformy Azure
- Korzystanie z bram interfejsu API w mikrousługach
- Zapora i usługa Application Gateway dla sieci wirtualnych
- Ochrona interfejsów API za pomocą usługi Application Gateway i usługi API Management
- IaaS: aplikacja internetowa z relacyjnymi bazami danych
- Bezpieczne zarządzane aplikacje internetowe
- Sieć o zerowym zaufaniu dla aplikacji internetowych za pomocą usługi Azure Firewall i usługi Application Gateway
Następne kroki
- Wdróż usługę Application Gateway, aby zobaczyć, jak to działa: Szybki start: bezpośredni ruch internetowy za pomocą usługi aplikacja systemu Azure Gateway — Azure Portal