Compartilhar via

Considerações sobre o gerenciamento de operações para acelerador da zona de destino do Gerenciamento de API

  • Artigo

Este artigo fornece as considerações e recomendações de design para gerenciamento de operações usando o acelerador de zona de destino do Gerenciamento de API. O gerenciamento de operações abrange vários aspectos, incluindo:

  • Provisionamento, dimensionamento e monitoramento da instância de Gerenciamento de API
  • Configuração de políticas no gateway
  • Gerenciamento de APIs
  • Preparação para continuidade dos negócios e recuperação de desastres

Saiba mais sobre a área de design de gerenciamento.

Gerenciamento e monitoramento

Considerações de design para gerenciamento e monitoramento

  • Esteja ciente dos limites máximos de taxa de transferência de cada camada de serviço do Gerenciamento de API. Esses limites são aproximados e não são garantidos.
  • Esteja ciente do número máximo de unidades de escala por camada de serviço do Gerenciamento de API.
  • Esteja ciente do tempo necessário para expandir, implantar em outra região ou converter em uma camada de serviço diferente.
  • O Gerenciamento de API não é expandido automaticamente. Uma configuração adicional é necessária.
  • Não há tempo de inatividade durante um evento de expansão.
  • Somente o componente de gateway do Gerenciamento de API é implantado em todas as regiões em uma implantação em várias regiões.
  • Esteja ciente do possível impacto no desempenho do log do Application Insights em altas cargas.
  • Esteja ciente do número de políticas de entrada e saída aplicadas e seu impacto no desempenho.
  • As políticas de Gerenciamento de API são código e devem ter um controle de versão
  • O cache interno do Gerenciamento de API é compartilhado por todas as unidades na mesma região, no mesmo serviço de Gerenciamento de API.
  • Use as zonas de disponibilidade. O número de unidades de escala selecionado deve ser distribuído uniformemente entre as zonas.
  • Se estiver usando um gateway auto-hospedado, esteja ciente de que as credenciais expiram a cada 30 dias e devem ser giradas.
  • O URI /status-0123456789abcdef pode ser usado como ponto de extremidade de integridade comum para o serviço de Gerenciamento de API.
  • O serviço de Gerenciamento de API não é um WAF. Implante um WAF como Gateway de Aplicativo do Azure na frente, para obter camadas adicionais de proteção.
  • A negociação de certificado do cliente está habilitada em uma configuração por gateway.
  • Os certificados e segredos no Key Vault são atualizados no Gerenciamento de API no prazo de 4 horas após a definição. Você também pode atualizar manualmente um segredo, usando o portal do Azure ou por meio da API REST de gerenciamento.
  • Os domínios personalizados podem ser aplicados a todos os pontos de extremidade ou apenas a um subconjunto. A camada Premium dá suporte à configuração de vários nomes de host para o ponto de extremidade do Gateway.
  • O backup do Gerenciamento de API pode ser feito usando a API REST de gerenciamento. Os backups expiram após 30 dias. Esteja ciente dos itens para os quais o Gerenciamento de API não faz backup.
  • Os valores nomeados são globais no escopo.
  • As operações de API podem ser agrupadas em produtos e assinaturas. Baseie o design em requisitos de negócios reais.

Recomendações de design para gerenciamento e monitoramento

  • Aplique domínios personalizados somente ao ponto de extremidade do gateway.
  • Use a política de Hubs de Eventos para fazer logon em níveis de alto desempenho.
  • Use um cache externo para controle e desempenho mais rápido.
  • Implante pelo menos duas unidades de escala distribuídas em duas zonas de disponibilidade por região, para obter melhor disponibilidade e desempenho.
  • Use o Azure Monitor para executar o dimensionamento automático do Gerenciamento de API. Se estiver usando um gateway auto-hospedado, use o dimensionador automático de pod horizontal do Kubernetes para expandir o gateway.
  • Implante gateways auto-hospedados em que o Azure não tenha uma região próxima às APIs de back-end.
  • Use o Key Vault para armazenamento, notificação e rotação de certificados.
  • Não habilite protocolos de criptografia 3DES, TLS 1.1 ou inferior, a menos que seja necessário.
  • Use o DevOps e as práticas de infraestrutura como código para lidar com todas as implantações, atualizações e recuperação de desastre.
  • Crie uma revisão de API e altere a entrada de log para cada atualização de API.
  • Use back-ends para eliminar configurações redundantes de back-end da API.
  • Use valores nomeados para armazenar valores comuns que podem ser usados em políticas.
  • Use o Key Vault para armazenar os segredos que os valores nomeados podem referenciar. Os segredos atualizados no cofre de chaves são girados automaticamente no Gerenciamento de API
  • Desenvolva uma estratégia de comunicação para notificar os usuários sobre as atualizações de versão interruptivas da API.
  • Defina as configurações de diagnóstico para encaminhar o AllMetrics e o AllLogs para o workspace do Log Analytics.

Continuidade dos negócios e recuperação de desastres

Considerações de design para continuidade dos negócios e recuperação de desastres

  • Determine o RTO (Objetivo de Tempo de Recuperação) e o RPO (Objetivo de Ponto de Recuperação) para as instâncias de Gerenciamento de API que você deseja proteger e as cadeias de valores compatíveis (consumidores e provedores). Considere implantar novas instâncias ou ter um modo de espera quente/frio.
  • O Gerenciamento de API dá suporte a implantações em várias zonas e várias regiões. Com base nos requisitos, você pode habilitar apenas uma ou ambas.
  • O failover pode ser automatizado:
    • Uma implantação em várias zonas faz failover automaticamente.
    • Uma implantação em várias regiões exige que um balanceador de carga baseado em DNS, como o Gerenciador de Tráfego, faça failover.
  • O backup do Gerenciamento de API pode ser feito usando a API REST de Gerenciamento.

Recomendações de design para continuidade dos negócios e recuperação de desastres

  • Use uma identidade gerenciada atribuída pelo usuário para Gerenciamento de API, para evitar o tempo de inatividade durante a reimplantação de modelos do ARM. Se estiver usando uma identidade gerenciada atribuída pelo sistema, essa identidade e suas funções e atribuições associadas, como o Azure Key Vault acesso secreto, serão removidas se o recurso for removido. Se estiver usando uma identidade gerenciada atribuída pelo usuário, essas atribuições permanecerão, permitindo que você a associe novamente a Gerenciamento de API sem perda de acesso.
  • Use o Azure Pipelines automatizado para executar backups.
  • Decida se a implantação em várias regiões é necessária.

Suposições de escala empresarial

Veja a seguir as suposições que entraram no desenvolvimento do acelerador da zona de destino do Gerenciamento de API:

  • Recomenda-se uma instância de camada Premium do Gerenciamento de API que dá suporte a zonas de disponibilidade e implantações em várias regiões.
  • O Azure Pipelines é usado para gerenciar e implantar a infraestrutura como código.