Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Entwurfsüberlegungen und Empfehlungen für die Betriebsverwaltung bei Verwendung der API Management Landing Zone Accelerator. Die Betriebsverwaltung umfasst mehrere Aspekte, darunter:
- Bereitstellen, Skalieren und Überwachen der API-Verwaltungsinstanz
- Konfigurieren von Richtlinien im Gateway
- Verwalten von APIs
- Vorbereiten der Geschäftskontinuität und Notfallwiederherstellung
Erfahren Sie mehr über den Verwaltungsentwurfsbereich.
Verwaltung und Überwachung
Entwurfsüberlegungen für Verwaltung und Überwachung
- Beachten Sie die maximalen Durchsatzgrenzwerte jeder API-Verwaltungsdienstebene. Diese Grenzwerte sind ungefähr und nicht garantiert.
- Beachten Sie die maximale Anzahl von Skalierungseinheiten pro API-Verwaltungsdienstebene.
- Beachten Sie die Zeit, die erforderlich ist, um eine Skalierung durchzuführen, in eine andere Region bereitzustellen oder in eine andere Dienstebene zu konvertieren.
- DIE API-Verwaltung wird nicht automatisch skaliert. Zusätzliche Konfiguration ist erforderlich.
- Während eines Skalierungsereignisses gibt es keine Ausfallzeiten.
- Nur die Gatewaykomponente der API-Verwaltung wird für alle Regionen in einer Bereitstellung mit mehreren Regionen bereitgestellt.
- Achten Sie auf die möglichen Leistungseinbußen der Application Insights-Protokollierung bei hoher Auslastung.
- Beachten Sie die Anzahl der angewendeten eingehenden und ausgehenden Richtlinien und deren Auswirkungen auf die Leistung.
- API-Verwaltungsrichtlinien sind Code und sollten sich unter der Versionskontrolle befinden
- Der integrierte Cache der API-Verwaltung wird von allen Einheiten in derselben Region im selben API-Verwaltungsdienst gemeinsam genutzt.
- Verwenden Sie Verfügbarkeitszonen. Die Anzahl der ausgewählten Skalierungseinheiten muss gleichmäßig über die Zonen verteilt werden.
- Wenn Sie ein selbst gehostetes Gateway verwenden, beachten Sie, dass anmeldeinformationen alle 30 Tage ablaufen und gedreht werden müssen.
- Der URI
/status-0123456789abcdefkann als allgemeiner Integritätsendpunkt für den API Management-Dienst verwendet werden. - Der API-Verwaltungsdienst ist kein WAF. Stellen Sie einen WAF wie das Azure-Anwendungsgateway vorn bereit, um zusätzliche Schutzebenen zu gewährleisten.
- Clientzertifikatverhandlung ist in einer Konfiguration pro Gateway aktiviert.
- Zertifikate und geheime Schlüssel im Key Vault werden innerhalb von 4 Stunden nach der Festlegung in der API-Verwaltung aktualisiert. Sie können einen geheimen Schlüssel auch manuell über das Azure-Portal oder über die REST-API der Verwaltung aktualisieren.
- Benutzerdefinierte Domänen können auf alle Endpunkte oder nur eine Teilmenge angewendet werden. Die Premium-Stufe unterstützt das Festlegen mehrerer Hostnamen für den Gatewayendpunkt.
- Die API-Verwaltung kann mithilfe seiner Verwaltungs-REST-API gesichert werden. Sicherungen laufen nach 30 Tagen ab. Beachten Sie, was API Management nicht sichert.
- Benannte Werte haben globale Gültigkeit.
- API-Vorgänge können in Produkte und Abonnements gruppiert werden. Legen Sie dem Entwurf die tatsächlichen Geschäftsanforderungen zugrunde.
Designempfehlungen für Verwaltung und Überwachung
- Wenden Sie nur benutzerdefinierte Domänen auf den Gatewayendpunkt an.
- Verwenden Sie die Event Hubs-Richtlinie für die Protokollierung auf hoher Leistungsebene.
- Verwenden Sie einen externen Cache , um die Steuerung und die schnellste Leistung zu steuern.
- Stellen Sie mindestens zwei Skalierungseinheiten bereit, die sich über zwei Verfügbarkeitszonen pro Region erstrecken, um optimale Verfügbarkeit und Leistung zu erzielen.
- Verwenden Sie Azure Monitor, um die API-Verwaltung automatisch zu skalieren . Wenn Sie ein selbst gehostetes Gateway verwenden, sollten Sie den Kubernetes horizontalen Pod-Autoscaler einsetzen, um das Gateway zu skalieren.
- Stellen Sie selbst gehostete Gateways bereit, in denen Azure keine Region in der Nähe der Back-End-APIs hat.
- Verwenden Sie Key Vault für Zertifikatspeicherung, Benachrichtigung und Erneuerung.
- Aktivieren Sie 3DES, TLS 1.1 oder niedrigere Verschlüsselungsprotokolle nur, wenn erforderlich.
- Verwenden Sie DevOps- und Infrastruktur-as-Code-Methoden, um alle Bereitstellungen, Updates und Notfallwiederherstellung zu behandeln.
- Erstellen Sie eine API-Revision und einen Änderungsprotokolleintrag für jedes API-Update.
- Verwenden Sie Backends, um redundante API-Backend-Konfigurationen zu beseitigen.
- Verwenden Sie benannte Werte , um allgemeine Werte zu speichern, die in Richtlinien verwendet werden können.
- Verwenden Sie Key Vault, um geheime Schlüssel zu speichern, auf die benannte Werte verweisen können. Wenn Geheimnisse im Schlüsseltresor aktualisiert werden, erfolgt in API Management automatisch eine Rotation
- Entwickeln Sie eine Kommunikationsstrategie, um Benutzer über kritische API-Versionsupdates zu informieren.
- Konfigurieren Sie Diagnoseeinstellungen , um AllMetrics und AllLogs an den Log Analytics-Arbeitsbereich weiterzuleiten.
Geschäftskontinuität und Katastrophenwiederherstellung
Entwurfsüberlegungen für Geschäftskontinuität und Notfallwiederherstellung
- Ermitteln Sie das Wiederherstellungszeitziel (Recovery Time Objective, RTO) und das Wiederherstellungspunktziel (RPO) für die API-Verwaltungsinstanzen, die Sie schützen möchten, und die Wertschöpfungsketten, die sie unterstützen (Consumer und Anbieter). Erwägen Sie die Bereitstellung neuer Instanzen oder die Einrichtung eines unmittelbar betriebsbereiten/verzögert betriebsbereiten Standby-Systems.
- DIE API-Verwaltung unterstützt Multizone - und Multiregion-Bereitstellungen . Basierend auf den Anforderungen können Sie nur ein oder beides aktivieren.
- Failover kann automatisiert werden:
- Eine Mehrzone-Bereitstellung schlägt automatisch fehl.
- Eine multiregionale Bereitstellung erfordert einen DNS-basierten Lastenausgleich, z. B. Traffic Manager, um einen Failover ausführen zu können.
- Die API-Verwaltung kann mithilfe der Verwaltungs-REST-API gesichert werden.
- Sicherungen laufen nach 30 Tagen ab.
- Beachten Sie , was APIM nicht sichert
Designempfehlungen für Geschäftskontinuität und Notfallwiederherstellung
- Verwenden Sie eine vom Benutzer zugewiesene verwaltete Identität für die API-Verwaltung , um Ausfallzeiten während der erneuten Bereitstellung von ARM-Vorlagen zu verhindern. Wenn Sie eine vom System zugewiesene verwaltete Identität verwenden, werden diese Identität und die zugehörigen Rollen und Zuordnungen, z. B. der geheime Azure Key Vault-Zugriff, entfernt, wenn die Ressource entfernt wird. Wenn Sie eine vom Benutzer zugewiesene verwaltete Identität verwenden, bleiben diese Zuweisungen erhalten, sodass Sie sie ohne Verlust des Zugriffs wieder der API-Verwaltung zuordnen können.
- Verwenden Sie automatisierte Azure-Pipelines, um Sicherungen auszuführen.
- Entscheiden Sie, ob die Multiregion-Bereitstellung erforderlich ist.
Unternehmensweite Annahmen
Es folgen Annahmen, die bei der Entwicklung des API Management Landing Zone Beschleunigers berücksichtigt wurden:
- Es wird eine Premium-Instanz der API-Verwaltung empfohlen, die Verfügbarkeitszonen und Multiregion-Bereitstellungen unterstützt.
- Azure-Pipelines werden zum Verwalten und Bereitstellen von Infrastruktur als Code verwendet.