Azure Well-Architected Framework-Überprüfung – Azure Application Gateway v2

Dieser Artikel enthält bewährte Architekturmethoden für die Azure Application Gateway v2-SKUs. Die Anleitung basiert auf den fünf Säulen der Architektur-Exzellenz:

Wir setzen voraus, dass Sie über praktische Kenntnisse im Umgang mit Azure Application Gateway verfügen und mit den v2-SKU-Funktionen vertraut sind. Weitere Informationen finden Sie unter Azure Application Gateway Features.

Voraussetzungen

Zuverlässigkeit

In der Cloud muss leider mit Fehlern gerechnet werden. Es geht nicht darum, Fehler vollständig zu verhindern, sondern darum, die Auswirkungen einer einzelnen fehlerhaften Komponente zu minimieren. Verwenden Sie die folgenden Informationen, um fehlgeschlagene Instanzen zu minimieren.

Prüfliste für den Entwurf

Wenn Sie Entwurfsentscheidungen für Application Gateway treffen, überprüfen Sie die Prinzipien des Zuverlässigkeitsentwurfs.

  • Stellen Sie die Instanzen in einer zonenfähigen Konfiguration bereit (sofern verfügbar).
  • Verwenden Sie Application Gateway mit Web Application Firewall (WAF) in einem virtuellen Anwendungsnetzwerk, um eingehenden HTTP/S Datenverkehr aus dem Internet zu schützen.
  • Verwenden Sie in neuen Bereitstellungen Application Gateway v2, es sei denn, es gibt einen zwingenden Grund für die Verwendung von v1.
  • Planen von Regelupdates
  • Verwenden von Integritätstests zum Erkennen der Back-End-Nichtverfügbarkeit
  • Überprüfen der Auswirkungen der Intervall- und Schwellenwerteinstellungen auf Integritätstests
  • Überprüfen von Downstreamabhängigkeiten mithilfe von Integritätsendpunkten

Empfehlungen

Erkunden Sie die folgende Tabelle mit Empfehlungen, um Ihre Application Gateway Konfiguration für Zuverlässigkeit zu optimieren.

Empfehlung Vorteil
Planen von Regelupdates Planen Sie genügend Zeit für Updates ein, bevor Sie auf Application Gateway zugreifen oder weitere Änderungen vornehmen. Das Entfernen von Servern aus dem Back-End-Pool kann beispielsweise einige Zeit in Anspruch nehmen, da vorhandene Verbindungen ausgeglichen werden müssen.
Verwenden von Integritätstests zum Erkennen der Back-End-Nichtverfügbarkeit Wenn Application Gateway zum Lastausgleich des eingehenden Datenverkehrs über mehrere Back-End-Instanzen verwendet wird, wird die Verwendung von Integritätstests empfohlen. So wird sichergestellt, dass der Datenverkehr nicht an Back-Ends weitergeleitet wird, die den Datenverkehr nicht verarbeiten können.
Überprüfen der Auswirkungen der Intervall- und Schwellenwerteinstellungen auf Integritätstests Der Integritätstest sendet in einem festgelegten Intervall Anforderungen an den konfigurierten Endpunkt. Außerdem gibt es einen Schwellenwert für fehlgeschlagene Anforderungen, der toleriert wird, bevor das Back-End als fehlerhaft gekennzeichnet wird. Diese Zahlen stellen einen Kompromiss dar.

– Wenn Sie ein höheres Intervall festlegen, wird die Auslastung ihres Diensts erhöht. Jede Application Gateway-Instanz sendet eigene Integritätstests, sodass 100 Instanzen alle 30 Sekunden 100 Anforderungen pro 30 Sekunden bedeuten.
- Das Festlegen eines niedrigeren Intervalls verlässt mehr Zeit, bevor ein Ausfall erkannt wird.
- Das Festlegen eines niedrigen Unhealthy-Schwellenwerts kann bedeuten, dass kurze, vorübergehende Fehler möglicherweise ein Back-End-End nehmen.
- Das Festlegen eines hohen Schwellenwerts kann länger dauern, um ein Back-End aus der Drehung zu nehmen.
Überprüfen von Downstreamabhängigkeiten mithilfe von Integritätsendpunkten Es wird angenommen, dass jedes Back-End über eigene Abhängigkeiten verfügt, um sicherzustellen, dass Fehler isoliert werden. Eine Anwendung, die hinter Application Gateway gehostet wird, kann beispielsweise über mehrere Back-Ends verfügen, die jeweils mit einer anderen Datenbank (Replikat) verbunden sind. Wenn eine solche Abhängigkeit fehlschlägt, funktioniert die Anwendung unter Umständen, gibt aber keine gültigen Ergebnisse zurück. Aus diesem Grund sollte der Integritätsendpunkt möglichst alle Abhängigkeiten überprüfen. Beachten Sie, dass, wenn jeder Aufruf des Integritätsendpunkts über einen direkten Abhängigkeitsaufruf verfügt, diese Datenbank alle 30 Sekunden 100 Abfragen anstelle von 1 erhält. Um dies zu vermeiden, sollte der Integritätsendpunkt den Zustand der Abhängigkeiten für einen kurzen Zeitraum zwischenspeichern.
Wenn Sie HTTP/S-Anwendungen mit Azure Front Door und Application Gateway schützen, verwenden Sie WAF-Richtlinien in Front Door, und sperren Sie Application Gateway, sodass nur Datenverkehr von Azure Front Door empfangen wird. Bestimmte Szenarien können Sie erzwingen, Regeln speziell für Application Gateway zu implementieren. Wenn beispielsweise ModSec CRS 2.2.9, CRS 3.0- oder CRS 3.1-Regeln erforderlich sind, können diese Regeln nur für Application Gateway implementiert werden. Umgekehrt stehen Ratenbegrenzung und Geofilterung nur in Azure Front Door und nicht in Application Gateway zur Verfügung.

Azure Advisor hilft Ihnen, die Kontinuität Ihrer geschäftskritischen Anwendungen sicherzustellen und zu verbessern. Überprüfen Sie die Azure Advisor-Empfehlungen.

Sicherheit

Sicherheit ist einer der wichtigsten Aspekte jeder Architektur. Application Gateway bietet Funktionen, mit denen sowohl das Prinzip der geringsten Rechte als auch die tiefgehende Verteidigung eingesetzt werden können. Es wird empfohlen, die Grundsätze des Sicherheitsentwurfs zu überprüfen.

Prüfliste für den Entwurf

  • Einrichten einer TLS-Richtlinie für erweiterte Sicherheit
  • Verwenden von AppGateway für den TLS-Abschluss
  • Verwenden von Azure Key Vault zum Speichern von TLS-Zertifikaten
  • Stellen Sie beim erneuten Verschlüsseln des Back-End-Datenverkehrs sicher, dass das Back-End-Serverzertifikat sowohl die Stamm- als auch die Zwischenzertifizierungsstellen (CAs) enthält.
  • Verwenden eines geeigneten DNS-Servers für Back-End-Poolressourcen
  • Einhaltung aller NSG-Einschränkungen für Application Gateway
  • Vermeiden Sie die Verwendung von UDRs in das Back-End-Subnetz
  • Beachten Sie Application Gateway Kapazitätsänderungen beim Aktivieren von WAF

Empfehlungen

Erkunden Sie die folgende Tabelle mit Empfehlungen, um Ihre Application Gateway Konfiguration für Sicherheit zu optimieren.

Empfehlung Vorteil
Einrichten einer TLS-Richtlinie für erweiterte Sicherheit Richten Sie eine TLS-Richtlinie für zusätzliche Sicherheit ein. Stellen Sie sicher, dass Sie die neueste Version der TLS-Richtlinie verwenden (AppGwSslPolicy20170401S). Diese erzwingt TLS 1.2 und stärkere Verschlüsselungen.
Verwenden von AppGateway für den TLS-Abschluss Vorteile der Verwendung von Application Gateway für den TLS-Abschluss:

- Die Leistung verbessert sich, da Anforderungen an verschiedene Back-End-End-Dateien vorgenommen werden müssen, um sich erneut bei jedem Back-End zu authentifizieren.
- Bessere Nutzung von Back-End-Servern, da sie keine TLS-Verarbeitung durchführen müssen
- Intelligentes Routing durch Zugriff auf den Anforderungsinhalt.
– Einfachere Zertifikatverwaltung, da das Zertifikat nur auf Application Gateway installiert werden muss.
Verwenden von Azure Key Vault zum Speichern von TLS-Zertifikaten Application Gateway ist in Key Vault integriert. Dies bietet mehr Sicherheit, eine einfachere Trennung von Rollen und Zuständigkeiten, Unterstützung für verwaltete Zertifikate und eine einfachere Zertifikatverlängerung und -rotation.
Stellen Sie beim erneuten Verschlüsseln des Back-End-Datenverkehrs sicher, dass das Back-End-Serverzertifikat sowohl die Stamm- als auch die Zwischenzertifizierungsstellen (CAs) enthält. Ein TLS-Zertifikat des Back-End-Servers muss von einer bekannten Zertifizierungsstelle ausgestellt werden. Wenn das Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, prüft das Application Gateway, ob das Zertifikat der ausstellenden Zertifizierungsstelle von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Dies wird fortgeführt, bis eine vertrauenswürdige Zertifizierungsstelle gefunden wird. Erst dann wird eine sichere Verbindung hergestellt. Andernfalls kennzeichnet Application Gateway das Back-End als fehlerhaft.
Verwenden eines geeigneten DNS-Servers für Back-End-Poolressourcen Wenn der Back-End-Pool einen auflösbaren FQDN enthält, basiert die DNS-Auflösung auf einer privaten DNS-Zone oder einem benutzerdefinierten DNS-Server (sofern im VNET konfiguriert) oder es wird das von Azure bereitgestellte Standard-DNS verwendet.
Einhaltung aller NSG-Einschränkungen für Application Gateway NSGs werden von Application Gateway unterstützt, allerdings sind einige Einschränkungen vorhanden. So ist beispielsweise die Kommunikation mit bestimmten Portbereichen nicht zulässig. Stellen Sie sicher, dass Sie die Auswirkungen dieser Einschränkungen verstehen. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.
Vermeiden Sie die Verwendung von UDRs im Back-End-Subnetz Das Verwenden von benutzerdefinierten Routen (User Defined Routes, UDRs) im Application Gateway Subnetz verursacht einige Probleme. Der Integritätsstatus im Back-End ist möglicherweise unbekannt. Application Gateway-Protokolle und Metriken werden möglicherweise nicht generiert. Sie sollten keine benutzerdefinierten Routen im Application Gateway-Subnetz verwenden, damit Sie die Back-End-Integrität, Protokolle und Metriken anzeigen können. Wenn Ihre Organisationen UDR im Application Gateway-Subnetz verwenden müssen, überprüfen Sie die unterstützten Szenarien. Weitere Informationen finden Sie unter Unterstützte benutzerdefinierte Routen.
Beachten Sie Application Gateway Kapazitätsänderungen beim Aktivieren von WAF Wenn die WAF aktiviert ist, muss jede Anforderung vom Application Gateway gepuffert werden, bis sie vollständig angekommen ist, und geprüft werden, ob die Anforderung mit einem Regelverstoß im Kernregelsatz übereinstimmt. Anschließend wird das Paket an die Back-End-Instanzen weitergeleitet. Bei großen Dateiuploads (größer als 30 MB) kann dies zu einer erheblichen Latenz führen. Da sich die Application Gateway-Kapazitätsanforderungen von der WAF unterscheiden, wird nicht empfohlen, die WAF auf Application Gateway ohne ordnungsgemäße Tests und Überprüfungen zu aktivieren.

Weitere Vorschläge finden Sie unter Prinzipien der Sicherheitssäule.

Azure Advisor hilft Ihnen, die Kontinuität Ihrer geschäftskritischen Anwendungen sicherzustellen und zu verbessern. Überprüfen Sie die Azure Advisor-Empfehlungen.

Richtliniendefinitionen

Alle integrierten Richtliniendefinitionen im Zusammenhang mit Azure Networking werden in integrierten Richtlinien – Netzwerk aufgeführt.

Kostenoptimierung

Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Wir empfehlen Ihnen, die Prinzipien der Kostenoptimierung zu überprüfen.

Prüfliste für den Entwurf

  • Vertraut mit Application Gateway Preisen
  • Überprüfen von unterausgelasteten Ressourcen
  • Beenden Application Gateway Instanzen, die nicht verwendet werden
  • Nutzen einer Richtlinie für horizontales Herunterskalieren und horizontale Skalierung
  • Überprüfen von Verbrauchsmetriken über verschiedene Parameter hinweg

Empfehlungen

Erkunden Sie die folgende Tabelle mit Empfehlungen, um Ihre Application Gateway Konfiguration für die Kostenoptimierung zu optimieren.

Empfehlung Vorteil
Vertraut mit Application Gateway Preisen Informationen zu Application Gateway Preisen finden Sie unter "Grundlegendes zu Preisen für Azure Application Gateway und Web Application Firewall". Sie können auch den Preisrechner nutzen.

Achten Sie darauf, dass die Optionen die richtige Größe haben, um dem Kapazitätsbedarf gerecht zu werden und die erwartete Leistung zu liefern, ohne Ressourcen zu vergeuden.
Überprüfen von unterausgelasteten Ressourcen Identifizieren und Löschen von Application Gateway Instanzen mit leeren Back-End-Pools, um unnötige Kosten zu vermeiden.
Beenden von Application Gateway-Instanzen, wenn sie nicht verwendet werden Wenn sich Application Gateway im Status „Beendet“ befindet, werden Ihnen keine Kosten in Rechnung gestellt. Die kontinuierliche Ausführung von Application Gateway-Instanzen kann zusätzliche Kosten verursachen. Bewerten Sie die Nutzungsmuster und beenden Sie Instanzen, wenn Sie sie nicht benötigen. So dürfte beispielsweise die Nutzung außerhalb der Geschäftszeiten in Dev/Test-Umgebungen gering sein.

Informationen zum Beenden und Starten von Instanzen finden Sie in folgenden Artikeln.
- Stop-AzApplicationGateway
- Start-AzApplicationGateway
Nutzen einer Richtlinie für horizontales Herunterskalieren und horizontale Skalierung Eine Richtlinie für horizontale Skalierung stellt sicher, dass genügend Instanzen vorhanden sind, um eingehenden Datenverkehr und Spitzen zu verarbeiten. Verwenden Sie außerdem eine Richtlinie für horizontales Herunterskalieren, mit der sichergestellt wird, dass die Anzahl der Instanzen reduziert wird, wenn der Bedarf sinkt. Denken Sie an die Wahl der Instanzgröße. Die Größe kann die Kosten erheblich beeinflussen. Einige zu berücksichtigende Aspekte werden unter Schätzen der Anzahl der Application Gateway-Instanzen erläutert.

Weitere Informationen finden Sie unter "Was ist Azure Application Gateway v2?
Überprüfen von Verbrauchsmetriken über verschiedene Parameter hinweg Die Abrechnung erfolgt auf Grundlage der gezählten Instanzen von Application Gateway auf der Grundlage der von Azure erfassten Metriken. Werten Sie die verschiedenen Metriken und Kapazitätseinheiten aus, und ermitteln Sie die Kostenfaktoren. Weitere Informationen finden Sie unter Azure Cost Management and Billing.

Die folgenden Metriken sind schlüssel für Application Gateway. Diese Informationen können verwendet werden, um zu überprüfen, ob die Anzahl der bereitgestellten Instanzen der Menge des eingehenden Datenverkehrs entspricht.

- Geschätzte Rechnungskapazitätseinheiten
- Feste Abrechnungskapazitätseinheiten
- Aktuelle Kapazitätseinheiten

Weitere Informationen finden Sie unter Application Gateway – Metriken.

Stellen Sie sicher, dass Sie die Bandbreitenkosten berücksichtigen. Weitere Informationen finden Sie unter Datenverkehr in Abrechnungszonen und Regionen.

Weitere Vorschläge finden Sie unter Grundsätze der Kostenoptimierungssäule.

Azure Advisor hilft Ihnen, die Kontinuität Ihrer geschäftskritischen Anwendungen sicherzustellen und zu verbessern. Überprüfen Sie die Azure Advisor-Empfehlungen.

Optimaler Betrieb

Die Überwachung und die Diagnose sind von entscheidender Bedeutung. Sie können nicht nur Leistungsstatistiken messen, sondern auch Metriken zur schnellen Problemsuche und -behandlung nutzen. Wir empfehlen Ihnen, die Grundsätze für die Operative Exzellenz zu überprüfen.

Prüfliste für den Entwurf

  • Überwachen von Kapazitätsmetriken
  • Aktivieren der Diagnose auf Application Gateway und Web Application Firewall (WAF)
  • Verwenden von Azure Monitor-Netzwerkerkenntnisse
  • Abstimmen von Timeouteinstellungen mit der Back-End-Anwendung
  • Überwachen von Key Vault Konfigurationsproblemen mithilfe von Azure Advisor
  • Konfigurieren und Überwachen von SNAT-Portbeschränkungen
  • Berücksichtigen von SNAT-Portbeschränkungen in Ihrem Design

Empfehlungen

Erkunden Sie die folgende Tabelle mit Empfehlungen, um Ihre Application Gateway Konfiguration für operative Exzellenz zu optimieren.

Empfehlung Vorteil
Überwachen von Kapazitätsmetriken Verwenden Sie diese Metriken als Indikatoren für die Auslastung der bereitgestellten Application Gateway-Kapazität. Es wird dringend empfohlen, Kapazitätswarnungen einzurichten. Weitere Informationen finden Sie unter Unterstützung von hohem Datenverkehr für Application Gateway.
Problembehandlung mithilfe von Metriken Es gibt weitere Metriken, die auf Probleme entweder mit Application Gateway oder dem Back-End hinweisen können. Es wird empfohlen, die folgenden Warnungen auszuwerten:

- Anzahl der ungesunden Host
- Antwortstatus (Dimension 4xx und 5xx)
- Back-End-Antwortstatus (Dimension 4xx und 5xx)
- Back-End-Letzte Byte-Antwortzeit
- Application Gateway Gesamtzeit

Weitere Informationen finden Sie unter Metriken für Application Gateway.
Aktivieren der Diagnose für Application Gateway und Web Application Firewall (WAF) Diagnoseprotokolle ermöglichen es Ihnen, Firewallprotokolle, Leistungsprotokolle und Zugriffsprotokolle anzuzeigen. Verwenden Sie diese Protokolle, um Probleme mit Application Gateway-Instanzen zu verwalten und zu beheben. Weitere Informationen finden Sie unter Back-End-Integrität und Diagnoseprotokolle für Application Gateway.
Verwenden von Azure Monitor-Netzwerkerkenntnisse Azure Monitor-Netzwerkerkenntnisse bietet eine umfassende Übersicht der Integrität und Metriken für Netzwerkressourcen, einschließlich Application Gateway. Weitere Informationen und unterstützte Funktionen für Application Gateway finden Sie unter Azure Monitor-Netzwerkerkenntnisse.
Abstimmen von Timeouteinstellungen mit der Back-End-Anwendung Stellen Sie sicher, dass die Leerlauftimeout-Einstellungen so konfiguriert sind, dass sie den Listener- und Datenverkehrsmerkmalen der Back-End-Anwendung entsprechen. Der Standardwert ist auf vier Minuten festgelegt und kann maximal 30 konfiguriert werden. Weitere Informationen finden Sie unter TCP-Zurücksetzung und Leerlauftimeout für Load Balancer.

Überlegungen zur Workload finden Sie unter Anwendungsüberwachung.
Überwachen von Key Vault Konfigurationsproblemen mithilfe von Azure Advisor Application Gateway überprüft die erneuerte Zertifikatversion im verknüpften Key Vault in jedem 4-Stunden-Intervall. Wenn der Zugriff aufgrund einer falsch geänderten Key Vault-Konfiguration nicht möglich ist, wird dieser Fehler protokolliert und eine entsprechende Advisor-Empfehlung ausgegeben. Sie müssen die Advisor-Warnung so konfigurieren, dass sie aktualisiert bleiben und solche Probleme sofort beheben, um probleme im Zusammenhang mit Steuerelementen oder Datenebenen zu vermeiden. Um eine Warnung für diesen bestimmten Fall festzulegen, verwenden Sie den Empfehlungstyp als Beheben des Azure-Key Vault Problems für Ihre Application Gateway.
Berücksichtigen Von SNAT-Portbeschränkungen im Design SNAT-Porteinschränkungen sind wichtig für Back-End-Verbindungen des Application Gateway. Es gibt verschiedene Faktoren, die beeinflussen, wie Application Gateway das SNAT-Portlimit erreicht. Wenn das Back-End z. B. eine öffentliche IP-Adresse ist, benötigt er einen eigenen SNAT-Port. Um SNAT-Portbeschränkungen zu vermeiden, können Sie die Anzahl der Instanzen pro Application Gateway erhöhen, die Back-Ends skalieren, um mehr IP-Adressen zu haben, oder Ihre Back-Ends in dasselbe virtuelle Netzwerk verschieben und private IP-Adressen für die Back-Ends verwenden.

Anforderungen pro Sekunde (RPS) auf dem Application Gateway werden beeinträchtigt, wenn das SNAT-Portlimit erreicht wird. Wenn beispielsweise ein Application Gateway den SNAT-Portgrenzwert erreicht, kann keine neue Verbindung zum Back-End geöffnet werden, und die Anforderung schlägt fehl.

Weitere Vorschläge finden Sie unter Grundsätze der operativen Exzellenzsäule.

Azure Advisor hilft Ihnen, die Kontinuität Ihrer geschäftskritischen Anwendungen sicherzustellen und zu verbessern. Überprüfen Sie die Azure Advisor-Empfehlungen.

Effiziente Leistung

Leistungseffizienz ist die Fähigkeit Ihrer Workload, auf effiziente Weise eine den Anforderungen der Benutzer entsprechende Skalierung auszuführen. Es wird empfohlen, die Grundsätze der Leistungseffizienz zu überprüfen.

Prüfliste für den Entwurf

  • Schätzen der Anzahl der Application Gateway-Instanzen
  • Definieren der maximalen Anzahl der Instanzen
  • Definieren der Mindestanzahl der Instanzen
  • Definieren der Application Gateway-Subnetzgröße
  • Nutzen von Funktionen für automatische Skalierung und Leistungsvorteile

Empfehlungen

Erkunden Sie die folgende Tabelle mit Empfehlungen, um Ihre Application Gateway Konfiguration für die Leistungseffizienz zu optimieren.

Empfehlung Vorteil
Schätzen der Anzahl der Application Gateway-Instanzen Application Gateway v2 wird basierend auf vielen Aspekten wie CPU, Arbeitsspeicher, Netzwerkauslastung und mehr aufskaliert. Zum Bestimmen der ungefähren Anzahl von Instanzen verwenden Sie die folgenden Metriken:

Aktuelle Berechnungseinheiten – Gibt die CPU-Auslastung an. 1 Application Gateway-Instanz entspricht ungefähr 10 Compute-Einheiten.
Durchsatz – Application Gateway Instanz kann 60-75 MbPs des Durchsatzes dienen. Diese Daten sind abhängig vom Nutzlasttyp.

Berücksichtigen Sie diese Gleichung beim Berechnen der Anzahl der Instanzen.
Approximate instance count

Nachdem Sie die Anzahl der Instanzen geschätzt haben, vergleichen Sie diesen Wert mit der maximalen Anzahl der Instanzen. Dies zeigt an, wie nah Sie an der maximal verfügbaren Kapazität sind.
Definieren der Mindestanzahl der Instanzen Bei der Application Gateway v2-SKU dauert die automatische Skalierung einige Zeit (etwa sechs bis sieben Minuten), bevor die zusätzlichen Instanzen für den Datenverkehr bereit sind. Während dieser Zeit ist bei kurzen Datenverkehrsspitzen mit vorübergehenden Latenzzeiten oder Datenverlusten zu rechnen.

Es wird empfohlen, die Mindestanzahl der Instanzen auf ein optimales Niveau festzulegen. Nachdem Sie die durchschnittliche Anzahl der Instanzen geschätzt und die Trends für die automatische Application Gateway-Skalierung ermittelt haben, definieren Sie die minimale Anzahl der Instanzen basierend auf Ihren Anwendungsmustern. Weitere Informationen finden Sie unter Unterstützung von hohem Datenverkehr mit Application Gateway.

Überprüfen Sie die aktuellen Compute-Einheiten für den letzten Monat. Diese Metrik stellt die CPU-Auslastung des Gateways dar. Zum Definieren der Mindestanzahl der Instanzen teilen Sie die Spitzenauslastung durch 10. Wenn ihre durchschnittlichen aktuellen Computeeinheiten im letzten Monat beispielsweise 50 sind, legen Sie die Mindestinstanzanzahl auf fünf fest.
Definieren der maximalen Anzahl der Instanzen Es wird empfohlen, 125 als maximale Anzahl der Autoskalierungsinstanzen zu verwenden. Stellen Sie sicher, dass das Subnetz mit Application Gateway genügend verfügbare IP-Adressen hat, um das Hochskalieren von Instanzen zu unterstützen.

Das Festlegen der maximalen Anzahl der Instanzen auf 125 hat keine Auswirkungen auf die Kosten, da Ihnen nur die verbrauchte Kapazität in Rechnung gestellt wird.
Definieren der Application Gateway-Subnetzgröße Application Gateway benötigt ein dediziertes Subnetz innerhalb eines virtuellen Netzwerks. Das Subnetz kann mehrere Instanzen der bereitgestellten Application Gateway-Ressourcen umfassen. Sie können auch andere Application Gateway-Ressourcen in diesem Subnetz, v1 oder v2-SKU bereitstellen.

Einige Überlegungen zum Definieren der Subnetzgröße:

- Application Gateway eine private IP-Adresse pro Instanz und eine andere private IP-Adresse verwendet, wenn eine private Front-End-IP konfiguriert ist.
– Azure reserviert fünf IP-Adressen in jedem Subnetz für die interne Verwendung.
- Application Gateway (Standard- oder WAF-SKU) kann bis zu 32 Instanzen unterstützen. Bei 32 Instanz-IP-Adressen + 1 privaten Front-End-IP + 5 reservierten Azure-IPs wird eine minimale Subnetzgröße von /26 empfohlen. Da die Standard_v2- oder WAF_v2-SKU bis zu 125 Instanzen unterstützen kann, wird bei gleicher Berechnung eine Subnetzgröße von /24 empfohlen.
– Wenn Sie zusätzliche Application Gateway Ressourcen im selben Subnetz bereitstellen möchten, sollten Sie die zusätzlichen IP-Adressen berücksichtigen, die für die maximale Anzahl der Instanzen sowohl für Standard als auch für Standard v2 erforderlich sind.
Nutzen von Funktionen für automatische Skalierung und Leistungsvorteile Die v2-SKU bietet automatische Skalierung, um sicherzustellen, dass Ihr Application Gateway bei steigendem Datenverkehr zentral hochskaliert werden kann. Im Vergleich zur v1-SKU verfügt v2 über Funktionen, die die Leistung der Workload verbessern. Beispielsweise eine bessere TLS-Abladeleistung, schnellere Bereitstellungs- und Aktualisierungszeiten, Zonenredundanz und mehr. Weitere Informationen zu automatischen Skalierungsfeatures finden Sie unter Skalierung Application Gateway v2 und WAF v2.

Wenn Sie V1-SKU-Gateways ausführen, sollten Sie die Migration zur v2-SKU in Betracht ziehen. Weitere Informationen finden Sie unter Migrieren von Azure Application Gateway und Web Application Firewall von v1 zu v2.

Azure Advisor hilft Ihnen, die Kontinuität Ihrer geschäftskritischen Anwendungen sicherzustellen und zu verbessern. Überprüfen Sie die Azure Advisor-Empfehlungen.

Azure Advisor-Empfehlungen

Bei Azure Advisor handelt es sich um einen personalisierten Cloudberater, der Sie mit bewährten Methoden zum Optimieren von Azure-Bereitstellungen unterstützt. Hier finden Sie einige Empfehlungen, die Ihnen helfen können, die Zuverlässigkeit, Sicherheit, Kosteneffizienz, Leistung und operative Exzellenz Ihrer Application Gateway zu verbessern.

Zuverlässigkeit

Zusätzliche Ressourcen

Anleitungen zum Azure Architecture Center

Nächste Schritte