Dela via

Överväganden för drifthantering för API Management acceleratorn för landningszoner

  • Artikel

Den här artikeln innehåller designöverväganden och rekommendationer för drifthantering när du använder API Management acceleratorn för landningszoner. Driftshantering omfattar flera aspekter, inklusive:

  • Etablera, skala och övervaka API Management-instansen
  • Konfigurera principer i gatewayen
  • Hantera API:er
  • Förbereda för affärskontinuitet och haveriberedskap

Läs mer om designområdet för hantering .

Hantering och övervakning

Designöverväganden för hantering och övervakning

  • Tänk på maximala dataflödesgränser för varje API Management tjänstnivå. Dessa gränser är ungefärliga och garanteras inte.
  • Tänk på det maximala antalet skalningsenheter per API Management tjänstnivå.
  • Var medveten om den tid som krävs för att skala ut, distribuera till en annan region eller konvertera till en annan tjänstnivå.
  • API Management skalas inte ut automatiskt. ytterligare konfiguration krävs.
  • Det finns ingen stilleståndstid under en utskalningshändelse.
  • Endast gatewaykomponenten i API Management distribueras till alla regioner i en distribution i flera regioner.
  • Tänk på den möjliga prestandaeffekten av Application Insights-loggning vid hög belastning.
  • Var medveten om antalet inkommande och utgående principer som tillämpas och deras inverkan på prestanda.
  • API Management principer är kod och bör vara under versionskontroll
  • API Management inbyggda cache delas av alla enheter i samma region i samma API Management tjänst.
  • Använd tillgänglighetszoner. Antalet valda skalningsenheter måste fördelas jämnt mellan zonerna.
  • Om du använder en gateway med egen värd bör du vara medveten om att autentiseringsuppgifterna upphör att gälla var 30:e dag och måste roteras.
  • URI/status-0123456789abcdef:n kan användas som en vanlig hälsoslutpunkt för API Management-tjänsten.
  • Tjänsten API Management är inte en WAF. Distribuera en WAF som Azure Application Gateway framför för ytterligare skyddslager.
  • Förhandling av klientcertifikat aktiveras i en konfiguration per gateway.
  • Certifikat och hemligheter i Key Vault uppdateras i API Management inom 4 timmar efter att de har angetts. Du kan också uppdatera en hemlighet manuellt med hjälp av Azure Portal eller via REST-API:et för hantering.
  • Anpassade domäner kan tillämpas på alla slutpunkter eller bara en delmängd. Premium-nivån stöder inställning av flera värdnamn för gatewayslutpunkten.
  • API Management kan säkerhetskopieras med hjälp av dess REST API för hantering. Säkerhetskopior upphör att gälla efter 30 dagar. Tänk på vad API Management inte säkerhetskopierar.
  • Namngivna värden är globala i omfånget.
  • API-åtgärder kan grupperas i produkter och prenumerationer. Basera designen på faktiska affärskrav.

Designrekommendationer för hantering och övervakning

  • Använd endast anpassade domäner på gatewayslutpunkten.
  • Använd Event Hubs-principen för loggning på höga prestandanivåer.
  • Använd en extern cache för kontroll och snabbaste prestanda.
  • Distribuera minst två skalningsenheter fördelade på två tillgänglighetszoner per region för bästa tillgänglighet och prestanda.
  • Använd Azure Monitor för att autoskala API Management. Om du använder en gateway med egen värd använder du Kubernetes horizontal pod autoscaler för att skala ut gatewayen.
  • Distribuera gatewayer med egen värd där Azure inte har en region nära serverdels-API:erna.
  • Använd Key Vault för certifikatlagring, meddelande och rotation.
  • Aktivera inte 3DES-, TLS 1.1- eller lägre krypteringsprotokoll om det inte krävs.
  • Använd DevOps och metoder för infrastruktur som kod för att hantera alla distributioner, uppdateringar och haveriberedskap.
  • Skapa en API-revision och ändra loggpost för varje API-uppdatering.
  • Använd serverdelar för att eliminera redundanta API-serverdelskonfigurationer.
  • Använd namngivna värden för att lagra vanliga värden som kan användas i principer.
  • Använd Key Vault för att lagra hemligheter som namngivna värden kan referera till. Hemligheter som uppdateras i nyckelvalvet roteras automatiskt i API Management
  • Utveckla en kommunikationsstrategi för att meddela användare om icke-bakåtkompatibla UPPDATERINGAR av API-versioner.
  • Konfigurera diagnostikinställningar för att vidarebefordra AllMetrics och AllLogs till Log Analytics-arbetsytan.

Affärskontinuitet och haveriberedskap

Designöverväganden för affärskontinuitet och haveriberedskap

  • Fastställa mål för återställningstid (RTO) och mål för återställningspunkt (RPO) för de API Management instanser som du vill skydda och de värdekedjor som de stöder (konsumenter och leverantörer). Överväg att distribuera nya instanser eller ha en frekvent/kall vänteläge.
  • API Management stöder distributioner med flera zoner och flera regioner. Baserat på kraven kan du bara aktivera en eller båda.
  • Redundansväxling kan automatiseras:
    • En multizondistribution redundansväxlar automatiskt.
    • En distribution i flera regioner kräver en DNS-baserad lastbalanserare som Traffic Manager för redundansväxling.
  • API Management kan säkerhetskopieras med hjälp av dess REST API för hantering.

Designrekommendationer för affärskontinuitet och haveriberedskap

  • Använd en användartilldelad hanterad identitet för API Management för att förhindra stilleståndstid vid omdistribution från ARM-mallar. Om du använder en systemtilldelad hanterad identitet tas den här identiteten och dess associerade roller och tilldelningar, till exempel Azure Key Vault hemlig åtkomst, bort om resursen tas bort. Om du använder en användartilldelad hanterad identitet finns dessa tilldelningar kvar, så att du kan associera den tillbaka till API Management utan att förlora åtkomsten.
  • Använd automatiserade Azure Pipelines för att köra säkerhetskopior.
  • Bestäm om distribution i flera regioner krävs.

Antaganden i företagsskala

Följande är antaganden som gick in i utvecklingen av API Management landningszonaccelerator:

  • En Premium-nivåinstans av API Management som stöder tillgänglighetszoner och distributioner i flera regioner rekommenderas.
  • Azure Pipelines används för att hantera och distribuera infrastruktur som kod.