共用方式為

API 管理登陸區域加速器的作業管理考慮

  • 發行項

本文提供使用API 管理登陸區域加速器時,作業管理的設計考慮和建議。 作業管理涵蓋多個層面,包括:

  • 布建、調整和監視API 管理實例
  • 在閘道中設定原則
  • 管理 API
  • 準備商務持續性和災害復原

深入瞭解 管理 設計區域。

管理與監視

管理和監視的設計考慮

  • 請注意每個API 管理服務層級的最大輸送量限制。 這些限制是近似且不保證的。
  • 請注意每個API 管理服務層級的縮放單位數目上限。
  • 請注意相應放大、部署到另一個區域或轉換成不同服務層級所需的時間。
  • API 管理不會自動相應放大;需要額外的設定
  • 相應放大事件期間不會停機。
  • 只有API 管理的閘道元件會部署到多區域部署中的所有區域
  • 請注意在高負載時 ,Application Insights 記錄 的可能效能影響。
  • 請注意已套用的輸入和輸出原則數目,以及其對效能的影響。
  • API 管理原則是程式碼,且應處於版本控制之下
  • API 管理的內建快取是由相同API 管理服務中相同區域中的所有單位共用。
  • 使用 可用性區域。 選取的縮放單位數目必須平均分散到區域。
  • 如果使用 自我裝載閘道,請注意認證每隔 30 天到期,且必須輪替。
  • URI /status-0123456789abcdef 可作為API 管理服務的一般健康情況端點。
  • API 管理服務不是 WAF。 在前面部署 WAF,例如Azure 應用程式閘道,以取得額外的保護層級。
  • 用戶端憑證交涉會在每個閘道組態中啟用。
  • 金鑰保存庫中的憑證和秘密會在設定後的 4 小時內API 管理更新。 您也可以使用Azure 入口網站或透過管理 REST API 手動重新整理秘密。
  • 自訂網域 可以套用至所有端點,或只套用到子集。 進階層支援設定閘道端點的多個主機名稱。
  • API 管理可以使用其管理 REST API進行備份。 備份會在 30 天后到期。 請注意API 管理未備份的內容。
  • 具名值 在範圍內是全域的。
  • API 作業可以分組為產品和訂用帳戶。 根據實際商務需求進行設計。

管理和監視的設計建議

  • 僅將自訂網域套用至閘道端點。
  • 使用 事件中樞原則 在高效能層級進行記錄。
  • 使用 外部快取 來控制和最快效能。
  • 為每個區域部署至少兩個縮放單位分散在兩個可用性區域,以獲得最佳可用性和效能。
  • 使用 Azure 監視器自動調整API 管理。 如果使用自我裝載閘道,請使用 Kubernetes 水準 Pod 自動調整程式 來相應放大閘道。
  • 部署 Azure 沒有接近後端 API 的區域的自我裝載閘道。
  • 使用金鑰保存庫進行憑證儲存體、通知和輪替。
  • 除非必要,否則請勿啟用 3DES、TLS 1.1 或較低的加密通訊協定。
  • 使用 DevOps 和基礎結構即程式碼做法來處理所有部署、更新和災害復原。
  • 為每個 API 更新建立 API 修訂 和變更記錄專案。
  • 使用 後端 來消除多餘的 API 後端組態。
  • 使用 具名值 來儲存可在原則中使用的一般值。
  • 使用金鑰保存庫來儲存具名值可以參考的秘密。 金鑰保存庫中更新的秘密會在 API 管理中自動輪替
  • 開發通訊策略以通知使用者重大 API 版本更新。
  • 設定 診斷設定 ,將 AllMetrics 和 AllLogs 轉送至 Log Analytics 工作區。

商務持續性和災害復原

商務持續性和災害復原的設計考慮

  • 針對您想要保護的API 管理實例,判斷 RTO) 和復原點目標 (RPO) ,以及其支援 (取用者和提供者) 之價值鏈結的復原 (時間目標。 請考慮部署全新實例或具有經常性/冷待命。
  • API 管理支援多區域多區域部署。 根據需求,您可以只啟用一或兩者。
  • 容錯移轉可以自動化:
    • 多區域部署會自動容錯移轉。
    • 多區域部署需要 DNS 型負載平衡器,例如流量管理員才能容錯移轉。
  • API 管理可以使用其管理 REST API進行備份

商務持續性和災害復原的設計建議

  • 使用使用者指派的受控識別進行API 管理,以防止從 ARM 範本重新部署期間停機。 如果使用系統指派的受控識別,則移除資源時,將會移除此身分識別及其相關聯的角色和指派,例如 Azure 金鑰保存庫秘密存取。 如果使用使用者指派的受控識別,這些指派會保留下來,讓您將它關聯回API 管理,而不會遺失存取權。
  • 使用自動化的 Azure Pipelines 來執行備份。
  • 決定是否需要 多區域部署

企業級假設

以下是進入API 管理登陸區域加速器開發的假設:

  • 建議使用支援可用性區域和多區域部署之API 管理的進階層實例。
  • Azure Pipelines 可用來管理和部署基礎結構即程式碼。