Partilhar via


Considerações de gestão de operações para o acelerador de zonas de destino Gestão de API

Este artigo fornece considerações de conceção e recomendações para a gestão de operações ao utilizar o acelerador de zonas de destino Gestão de API. A gestão de operações abrange vários aspetos, incluindo:

  • Aprovisionar, dimensionar e monitorizar a instância do Gestão de API
  • Configurar políticas no gateway
  • Gerir APIs
  • Preparar a continuidade do negócio e a recuperação após desastre

Saiba mais sobre a área de design de gestão .

Gestão e monitorização

Considerações de conceção para gestão e monitorização

  • Tenha em atenção os limites máximos de débito de cada Gestão de API escalão de serviço. Estes limites são aproximados e não são garantidos.
  • Tenha em atenção o número máximo de unidades de escala por Gestão de API escalão de serviço.
  • Tenha em atenção o tempo necessário para aumentar horizontalmente, implementar noutra região ou converter num escalão de serviço diferente.
  • Gestão de API não aumenta horizontalmente automaticamente; é necessária uma configuração adicional.
  • Não há tempo de inatividade durante um evento de escalamento horizontal.
  • Apenas o componente de gateway do Gestão de API é implementado em todas as regiões numa implementação de várias regiões.
  • Tenha em atenção o possível impacto no desempenho do registo do Application Insights a cargas elevadas.
  • Tenha em atenção o número de políticas de entrada e saída aplicadas e o respetivo impacto no desempenho.
  • Gestão de API políticas são código e devem estar sob controlo de versões
  • Gestão de API cache incorporada do Gestão de API é partilhada por todas as unidades na mesma região no mesmo serviço Gestão de API.
  • Utilizar zonas de disponibilidade. O número de unidades de escala selecionadas tem de ser distribuído uniformemente pelas zonas.
  • Se utilizar um gateway autoalojado, tenha em atenção que as credenciais expiram a cada 30 dias e têm de ser rodadas.
  • O URI /status-0123456789abcdef pode ser utilizado como um ponto final de estado de funcionamento comum para o serviço Gestão de API.
  • O serviço Gestão de API não é uma WAF. Implemente uma WAF, como Gateway de Aplicação do Azure à frente, para obter camadas adicionais de proteção.
  • A negociação do certificado de cliente está ativada numa configuração por gateway.
  • Os certificados e segredos no Key Vault são atualizados em Gestão de API no prazo de 4 horas após a definição. Também pode atualizar manualmente um segredo com o portal do Azure ou através da API REST de gestão.
  • Os domínios personalizados podem ser aplicados a todos os pontos finais ou apenas a um subconjunto. O escalão Premium suporta a definição de vários nomes de anfitrião para o ponto final do Gateway.
  • Gestão de API pode ser criada uma cópia de segurança com a API REST de gestão. As cópias de segurança expiram após 30 dias. Tenha em atenção o que Gestão de API não faz cópia de segurança.
  • Os valores nomeados são globais no âmbito.
  • As operações de API podem ser agrupadas em produtos e subscrições. Baseie a estrutura nos requisitos empresariais reais.

Recomendações de conceção para gestão e monitorização

  • Aplicar domínios personalizados apenas ao ponto final do gateway.
  • Utilize a política dos Hubs de Eventos para registar em níveis de elevado desempenho.
  • Utilize uma cache externa para controlar e obter o desempenho mais rápido.
  • Implemente pelo menos duas unidades de escala distribuídas por duas zonas de disponibilidade por região para obter a melhor disponibilidade e desempenho.
  • Utilize o Azure Monitor para dimensionar automaticamente Gestão de API. Se estiver a utilizar um gateway autoalojado, utilize o dimensionador automático de pods horizontal do Kubernetes para aumentar horizontalmente o gateway.
  • Implemente gateways autoalojados onde o Azure não tenha uma região próxima das APIs de back-end.
  • Utilize Key Vault para armazenamento, notificação e rotação de certificados.
  • Não ative os protocolos de encriptação 3DES, TLS 1.1 ou inferior, a menos que seja necessário.
  • Utilize o DevOps e as práticas de infraestrutura como código para processar todas as implementações, atualizações e recuperação após desastre.
  • Crie uma revisão da API e altere a entrada de registo para cada atualização da API.
  • Utilize back-ends para eliminar configurações de back-end de API redundantes.
  • Utilize valores nomeados para armazenar valores comuns que podem ser utilizados em políticas.
  • Utilize Key Vault para armazenar segredos que os valores com nome podem referenciar. Os segredos atualizados no cofre de chaves são rodados automaticamente no Gestão de API
  • Desenvolva uma estratégia de comunicação para notificar os utilizadores sobre a interrupção das atualizações da versão da API.
  • Configure as definições de diagnóstico para reencaminhar AllMetrics e AllLogs para a área de trabalho do Log Analytics.

Continuidade de negócio e recuperação após desastre

Considerações de conceção para continuidade de negócio e recuperação após desastre

  • Determine o Objetivo de Tempo de Recuperação (RTO) e o Objetivo de Ponto de Recuperação (RPO) para as instâncias de Gestão de API que pretende proteger e as cadeias de valores que suportam (consumidores e fornecedores). Considere implementar instâncias novas ou ter uma reserva frequente/fria.
  • Gestão de API suporta implementações multizona e várias regiões. Com base nos requisitos, pode ativar apenas um ou ambos.
  • A ativação pós-falha pode ser automatizada:
    • Uma implementação de várias zonas efetua automaticamente a ativação pós-falha.
    • Uma implementação de várias regiões requer que um balanceador de carga baseado em DNS, como o Gestor de Tráfego, faça a ativação pós-falha.
  • Gestão de API pode ser criada uma cópia de segurança com a API REST de Gestão.

Recomendações de conceção para continuidade de negócio e recuperação após desastre

  • Utilize uma identidade gerida atribuída pelo utilizador para Gestão de API para evitar períodos de indisponibilidade durante a reimplementação de modelos do ARM. Se utilizar uma identidade gerida atribuída pelo sistema, esta identidade e as respetivas funções e atribuições associadas, como o Azure Key Vault acesso secreto, serão removidas se o recurso for removido. Se utilizar uma identidade gerida atribuída pelo utilizador, estas atribuições permanecerão, permitindo-lhe associá-la novamente a Gestão de API sem perda de acesso.
  • Utilize os Pipelines do Azure automatizados para executar cópias de segurança.
  • Decida se a implementação de várias regiões é necessária.

Pressupostos à escala de grandes empresas

Seguem-se pressupostos que entraram no desenvolvimento do acelerador de zonas de destino Gestão de API:

  • Recomenda-se uma instância de escalão Premium de Gestão de API que suporte zonas de disponibilidade e implementações de várias regiões.
  • Os Pipelines do Azure são utilizados para gerir e implementar a infraestrutura como código.