Unterstützung von hohem Datenverkehr für Application Gateway

  • Artikel

Hinweis

In diesem Artikel werden einige empfohlene Richtlinien beschrieben, die Ihnen bei der Einrichtung Ihres Application Gateway für den Umgang mit zusätzlichem starkem Datenverkehr helfen, der auftreten könnte. Die Schwellenwerte für Warnungen sind nur Vorschläge und allgemein. Benutzer können Warnungsschwellenwerte basierend auf ihrer Workload und den Auslastungserwartungen ermitteln.

Sie können Application Gateway mit der Web Application Firewall (WAF) für eine skalierbare und sichere Methode zum Verwalten von Datenverkehr an Ihre Webanwendungen verwenden.

Es ist wichtig, dass Sie Ihr Anwendungsgateway entsprechend dem Datenverkehr und mit etwas Puffer skalieren, damit Sie auf Datenverkehrsspitzen vorbereitet sind und die Auswirkungen minimieren, die sie auf Ihre Servicequalität haben könnten. Mithilfe der folgenden Vorschläge können Sie Application Gateway mit WAF einrichten, um zusätzlichen Datenverkehr zu verarbeiten.

Eine umfassende Liste der von Application Gateway angebotenen Metriken finden Sie in der Dokumentation zu Metriken. Wie Sie Warnungen für Metriken festlegen, erfahren Sie unter Metrikvisualisierung im Azure-Portal und unter Erstellen, Anzeigen und Verwalten von Metrikwarnungen mit Azure Monitor.

Ausführliche Informationen und Empfehlungen zur Leistungseffizienz für das Anwendungsgateway finden Sie in der Azure Well-Architected Framework-Überprüfung - Azure Application Gateway v2.

Skalierung für Application Gateway v1-SKU (Standard/WAF SKU)

Festlegen der Instanzanzahl basierend auf der CPU-Auslastung

Wenn Sie ein v1-SKU-Gateway verwenden, können Sie Ihr Anwendungsgateway für eine Skalierung auf bis zu 32 Instanzen einrichten. Überprüfen Sie die CPU-Auslastung Ihres Application Gateway im vergangenen Monat auf Spitzen über 80 %. Sie ist als Metrik verfügbar, die Sie überwachen können. Sie sollten die Anzahl der Instanzen entsprechend ihrer Spitzenauslastung und mit einem zusätzlichen Puffer von 10 % bis 20 % festlegen, um Datenverkehrsspitzen zu berücksichtigen.

V1 CPU utilization metrics

Verwenden Sie die v2-SKU anstelle von v1 wegen ihrer automatischen Skalierungsfunktionen und Leistungsvorteile.

Die v2-SKU bietet automatische Skalierung, um sicherzustellen, dass Ihr Application Gateway bei steigendem Datenverkehr zentral hochskaliert werden kann. Außerdem bietet sie weitere bedeutende Leistungsvorteile, z. B. eine 5-fach bessere TLS-Abladeleistung, schnellere Bereitstellungs- und Aktualisierungszeiten, Zonenredundanz und mehr im Vergleich zu v1. Weitere Informationen finden Sie in der Dokumentation zu v2 und in der Dokumentation zur Migration von v1 zu v2. Dort erfahren Sie, wie Sie Ihre vorhandenen v1-SKU-Gateways zu v2-SKU migrieren.

Automatische Skalierung für die Application Gateway v2-SKU (Standard_v2-/WAF_v2-SKU)

Festlegen der maximalen Anzahl von Instanzen auf den maximal möglichen Wert (125)

Wenn für die Application Gateway v2-SKU die maximale Anzahl von Instanzen auf den Maximalwert 125 festgelegt wird, kann das Application Gateway nach Bedarf aufskaliert werden. Dadurch können Sie die mögliche Zunahme des Datenverkehrs an Ihre Anwendungen bewältigen. Ihnen werden nur die von Ihnen verwendeten Kapazitätseinheiten (Capacity Units, CUs) in Rechnung gestellt.

Überprüfen Sie die Subnetzgröße und die Anzahl der verfügbaren IP-Adressen in Ihrem Subnetz, und legen Sie die maximale Anzahl der Instanzen auf dieser Grundlage fest. Wenn Ihr Subnetz nicht über genügend Speicherplatz verfügt, müssen Sie das Gateway in demselben Subnetz neu erstellen, oder einem anderen, das über genügend Kapazität verfügt.

V2 autoscaling configuration

Festlegen Ihrer Mindestanzahl von Instanzen auf Grundlage Ihrer durchschnittlichen Compute-Einheit-Nutzung

Bei der Application Gateway v2-SKU dauert die automatische Skalierung sechs bis sieben Minuten für die Aufskalierung und Bereitstellung einer zusätzlichen Gruppe von Instanzen, die für den Datenverkehr bereit sind. Bis zu diesem Zeitpunkt könnten Ihre vorhandenen Gatewayinstanzen sehr stark belastet werden, wenn kurze Datenverkehrsspitzen auftreten, und dies könnte zu unerwarteter Latenz oder Datenverkehrsverlust führen.

Sie sollten die Mindestanzahl der Instanzen auf ein optimales Niveau festlegen. Wenn Sie beispielsweise 50 Instanzen benötigen, um den Datenverkehr bei Spitzenlast abzuwickeln, empfiehlt es sich, den Mindestwert von 25 bis 30 festzulegen, anstatt auf <10 zu setzen, damit Application Gateway auch bei kurzen Datenverkehrsausbrüchen in der Lage ist damit umzugehen und genügend Zeit zu geben, damit die automatische Skalierung reagiert und wirksam wird.

Überprüfen Sie die Compute-Einheit-Metrik für den letzten Monat. Die Compute-Einheit-Metrik ist eine Darstellung der CPU-Auslastung Ihres Gateways, und basierend auf Ihrer Spitzenauslastung geteilt durch 10 können Sie die Mindestanzahl erforderlicher Instanzen festlegen. Beachten Sie, dass 1 Application Gateway-Instanz mindestens 10 Compute-Einheiten verarbeiten kann.

V2 compute unit metrics

Manuelle Skalierung für die Application Gateway v2-SKU (Standard_v2/WAF_v2)

Festlegen der Instanzanzahl basierend auf der Compute-Einheit-Auslastung

Anders als bei der automatischen Skalierung müssen Sie bei manueller Skalierung die Anzahl der Application Gateway-Instanzen basierend auf den Anforderungen des Datenverkehrs manuell festlegen. Sie sollten die Anzahl der Instanzen entsprechend ihrer Spitzenauslastung und mit einem zusätzlichen Puffer von 10 % bis 20 % festlegen, um Datenverkehrsspitzen zu berücksichtigen. Wenn Ihr Datenverkehr z. B. 50 Instanzen zu Spitzenzeiten erfordert, stellen Sie 55 bis 60 Instanzen bereit, um ggf. unerwartete Datenverkehrsspitzen verarbeiten zu können.

Überprüfen Sie die Compute-Einheit-Metrik für den letzten Monat. Die Compute-Einheit-Metrik ist eine Darstellung der CPU-Auslastung Ihres Gateways, und basierend auf Ihrer Spitzenauslastung geteilt durch 10 können Sie die Anzahl erforderlicher Instanzen festlegen, da 1 Application Gateway-Instanz mindestens 10 Compute-Einheiten verarbeiten kann.

Überwachung und Benachrichtigung

Um ggf. Benachrichtigungen zu Datenverkehrs- oder Auslastungsanomalien zu erhalten, können Sie Warnungen für bestimmte Metriken einrichten. Eine umfassende Liste der von Application Gateway angebotenen Metriken finden Sie in der Dokumentation zu Metriken. Wie Sie Warnungen für Metriken festlegen, erfahren Sie unter Metrikvisualisierung im Azure-Portal und unter Erstellen, Anzeigen und Verwalten von Metrikwarnungen mit Azure Monitor.

Informationen zum Konfigurieren von Warnungen mithilfe von ARM-Vorlagen finden Sie unter Konfigurieren von Azure Monitor-Warnungen für Application Gateway.

Warnungen für Application Gateway v1-SKU (Standard/WAF)

Warnung, wenn die durchschnittliche CPU-Auslastung 80 % überschreitet

Unter normalen Bedingungen sollte die CPU-Auslastung regelmäßig nicht 90 % überschreiten, da dies zu Wartezeiten bei den Websites führen kann, die hinter dem Application Gateway gehostet werden, sowie die Clienterfahrung merklich stören kann. Sie können die CPU-Auslastung indirekt steuern oder verbessern, indem Sie die Konfiguration des Application Gateway durch Erhöhen der Anzahl der Instanzen ändern oder durch Verschieben zu einer größeren SKU-Größe – oder durch beides. Legen Sie eine Warnung fest, wenn die CPU-Auslastungsmetrik einen Durchschnitt von 80 % überschreitet.

Warnung, wenn „Anzahl von fehlerhaften Hosts“ den Schwellenwert überschreitet

Diese Metrik zeigt die Anzahl von Back-End-Servern an, die das Anwendungsgateway nicht erfolgreich testen kann. Dadurch werden Probleme abgefangen, bei denen Application Gateway-Instanzen keine Verbindung mit dem Back-End herstellen können. Eine Warnung sollte ausgegeben werden, wenn diese Anzahl mehr als 20 % der Back-End-Kapazität überschreitet. Wenn zum Beispiel 30 Back-End-Server im Back-End-Pool vorhanden sind, legen Sie eine Warnung für den Fall fest, dass die Anzahl fehlerhafter Hosts 6 überschreitet.

Warnung, wenn der Antwortstatus (4xx, 5xx) den Schwellenwert überschreitet

Eine Warnung sollte ausgegeben werden, wenn der Application Gateway-Antwortstatus 4xx oder 5xx lautet. Aufgrund vorübergehender Probleme kann gelegentlich die Antwort 4xx oder 5xx angezeigt werden. Sie sollten das Gateway in der Produktion beobachten, um den statischen Schwellenwert zu ermitteln oder den dynamischen Schwellenwert für die Warnung zu verwenden.

Warnung, wenn fehlerhafte Anforderungen Schwellenwert überschreiten

Eine Warnung sollte ausgegeben werden, wenn die Metrik „Fehlerhafte Anforderungen“ den Schwellenwert überschreitet. Sie sollten das Gateway in der Produktion beobachten, um den statischen Schwellenwert zu ermitteln oder den dynamischen Schwellenwert für die Warnung zu verwenden.

Beispiel: Einrichten einer Warnung für mehr als 100 fehlerhafte Anforderungen in den letzten 5 Minuten

In diesem Beispiel wird gezeigt, wie Sie mit dem Azure-Portal eine Warnung einrichten für den Fall, dass die Anzahl fehlerhafter Anforderungen in den letzten 5 Minuten mehr als 100 beträgt.

  1. Navigieren Sie zu Ihrem Application Gateway.
  2. Wählen Sie im linken Bereich unter Überwachung die Option Metriken aus.
  3. Fügen Sie eine Metrik für Fehlerhafte Anforderungen hinzu.
  4. Klicken Sie auf Neue Warnungsregel, und definieren Sie Ihre Bedingung und Aktionen.
  5. Klicken Sie auf Warnungsregel erstellen, um die Warnung zu erstellen und zu aktivieren.

V2 create alerts

Warnungen für die Application Gateway v2-SKU (Standard_v2/WAF_v2)

Warnung, wenn die Auslastung der Compute-Einheiten 75 % der durchschnittlichen Nutzung überschreitet

Die Compute-Einheit ist das Maß für die Computeauslastung Ihrer Application Gateway-Instanz. Überprüfen Sie Ihre durchschnittliche Nutzung der Compute-Einheiten im letzten Monat, und legen Sie eine Warnung fest für den Fall, dass 75 % davon überschritten werden. Wenn Ihre durchschnittliche Auslastung z. B. 10 Compute-Einheiten beträgt, legen Sie eine Warnung ab 7,5 Compute-Einheiten fest. Dadurch wird eine Warnung angezeigt, wenn die Nutzung zunimmt, und Sie erhalten Zeit, zu reagieren. Sie können den Mindestwert erhöhen, wenn Sie der Ansicht sind, dass der Datenverkehr länger so bleibt, um Sie darauf aufmerksam zu machen, dass der Datenverkehr eventuell steigen wird. Befolgen Sie die obigen Skalierungsvorschläge, um bei Bedarf aufzuskalieren.

Beispiel: Einrichten einer Warnung bei 75 % der durchschnittlichen CU-Nutzung

Dieses Beispiel zeigt, wie Sie im Azure-Portal eine Warnung einrichten können, wenn 75 % der durchschnittlichen CU-Nutzung erreicht wird.

  1. Navigieren Sie zu Ihrem Application Gateway.
  2. Wählen Sie im linken Bereich unter Überwachung die Option Metriken aus.
  3. Fügen Sie eine Metrik für Durchschnittliche aktuelle Compute-Einheiten hinzu.
  4. Wenn Sie Ihre Mindestanzahl von Instanzen auf Ihre durchschnittliche CU-Nutzung festgelegt haben, fahren Sie fort, und legen Sie eine Warnung fest, wenn 75 % ihrer Mindestanzahl von Instanzen verwendet werden. Wenn Ihre durchschnittliche Auslastung z. B. 10 CUs beträgt, legen Sie eine Warnung ab 7,5 CUs fest. Dadurch wird eine Warnung angezeigt, wenn die Nutzung zunimmt, und Sie erhalten Zeit, zu reagieren. Sie können den Mindestwert erhöhen, wenn Sie der Ansicht sind, dass der Datenverkehr länger so bleibt, um Sie darauf aufmerksam zu machen, dass der Datenverkehr eventuell steigen wird.

V2 compute unit alerts

Hinweis

Sie können festlegen, dass die Warnung bei einem niedrigeren oder höheren CU-Auslastungsprozentsatz auftritt, je nachdem, wie empfindlich Sie auf potenzielle Datenverkehrsspitzen reagieren möchten.

Warnung, wenn die Kapazitätseinheitenauslastung 75 % der Spitzenauslastung überschreitet

Kapazitätseinheiten stellen die Gesamtauslastung des Gateways in Bezug auf Durchsatz, Compute und Verbindungsanzahl dar. Überprüfen Sie Ihre maximale Kapazitätseinheitennutzung im letzten Monat, und legen Sie eine Warnung fest für den Fall, dass 75 % davon überschritten werden. Wenn Ihre maximale Auslastung z. B. 100 Kapazitätseinheiten beträgt, legen Sie eine Warnung ab 75 Kapazitätseinheiten fest. Befolgen Sie die obigen beiden Skalierungsvorschläge, um bei Bedarf aufzuskalieren.

Warnung, wenn „Anzahl von fehlerhaften Hosts“ den Schwellenwert überschreitet

Diese Metrik zeigt die Anzahl von Back-End-Servern an, die das Anwendungsgateway nicht erfolgreich testen kann. Dadurch werden Probleme abgefangen, bei denen Application Gateway-Instanzen keine Verbindung mit dem Back-End herstellen können. Eine Warnung sollte ausgegeben werden, wenn diese Anzahl mehr als 20 % der Back-End-Kapazität überschreitet. Wenn zum Beispiel 30 Back-End-Server im Back-End-Pool vorhanden sind, legen Sie eine Warnung für den Fall fest, dass die Anzahl fehlerhafter Hosts 6 überschreitet.

Warnung, wenn der Antwortstatus (4xx, 5xx) den Schwellenwert überschreitet

Eine Warnung sollte ausgegeben werden, wenn der Application Gateway-Antwortstatus 4xx oder 5xx lautet. Aufgrund vorübergehender Probleme kann gelegentlich die Antwort 4xx oder 5xx angezeigt werden. Sie sollten das Gateway in der Produktion beobachten, um den statischen Schwellenwert zu ermitteln oder den dynamischen Schwellenwert für die Warnung zu verwenden.

Warnung, wenn fehlerhafte Anforderungen Schwellenwert überschreiten

Eine Warnung sollte ausgegeben werden, wenn die Metrik „Fehlerhafte Anforderungen“ den Schwellenwert überschreitet. Sie sollten das Gateway in der Produktion beobachten, um den statischen Schwellenwert zu ermitteln oder den dynamischen Schwellenwert für die Warnung zu verwenden.

Warnung, wenn die Antwortzeit des Back-Ends für das letzte Byte den Schwellenwert überschreitet

Diese Metrik gibt das Zeitintervall zwischen dem Herstellen einer Verbindung mit dem Back-End-Server und dem Empfang des letzten Bytes des Antworttexts an. Eine Warnung sollte ausgegeben werden, wenn die Wartezeit für die Back-End-Antwort länger ist als üblich. Legen Sie z. B. fest, dass Sie gewarnt werden, wenn die Wartezeit für die Back-End-Antwort den üblichen Wert um mehr als 30 % überschreitet.

Warnung, wenn Application Gateway-Gesamtzeit den Schwellenwert überschreitet

Dies wird als Intervall zwischen dem Zeitpunkt, zu dem Application Gateway das erste Byte einer HTTP-Anforderung empfängt, bis zu dem Zeitpunkt berechnet, zu dem das letzte Byte der Antwort an den Client gesendet wurde. Eine Warnung sollte ausgegeben werden, wenn die Wartezeit für die Back-End-Antwort den üblichen Wert überschreitet. Legen Sie z. B. fest, dass Sie gewarnt werden, wenn die gesamte Wartezeit den üblichen Wert um mehr als 30 % überschreitet.

Einrichten von WAF mit Geofilterung und Bot-Schutz, um Angriffe zu verhindern

Wenn Sie vor Ihrer Anwendung noch eine zusätzliche Sicherheitsschicht benötigen, verwenden Sie die Application Gateway WAF_v2-SKU für WAF-Funktionen. Sie können die v2-SKU so konfigurieren, dass nur der Zugriff auf Ihre Anwendungen aus einem oder mehreren bestimmten Ländern bzw. aus einer oder mehreren Regionen zugelassen wird. Sie richten eine benutzerdefinierte WAF-Regel ein, um Datenverkehr basierend auf dem Geostandort explizit zuzulassen oder zu blockieren. Weitere Informationen finden Sie unter Geofilterung benutzerdefinierter Regeln und Konfigurieren von benutzerdefinierten Regeln in Application Gateway WAF_v2-SKU mit PowerShell.

Aktivieren Sie den Bot-Schutz, um bekannte bösartige Bots zu blockieren. Dadurch sollte die Menge des Datenverkehrs, der zu Ihrer Anwendung gelangt, reduziert werden. Weitere Informationen finden Sie unter Bot-Schutz mit Einrichtungsanweisungen.

Aktivieren der Diagnose für Application Gateway und WAF

Diagnoseprotokolle ermöglichen es Ihnen, Firewallprotokolle, Leistungsprotokolle und Zugriffsprotokolle anzuzeigen. Sie können diese Protokolle in Azure verwenden, um Application Gateways zu verwalten und Probleme zu behandeln. Weitere Informationen finden Sie in unserer Diagnosedokumentation.

Richten Sie eine TLS-Richtlinie für zusätzliche Sicherheit ein

Stellen Sie sicher, dass Sie die neueste Version der TLS-Richtlinie verwenden (AppGwSslPolicy20220101 oder höher). Diese unterstützen eine TLS-Version von mindestens 1.2 mit stärkeren Verschlüsselungen. Weitere Informationen finden Sie unter Konfigurieren von TLS-Richtlinienversionen und Verschlüsselungssammlungen über PowerShell.