Nagy mennyiségű forgalom támogatása az Application Gatewayben

Megjegyzés:

Ez a cikk néhány javasolt útmutatást ismertet, amelyek segítenek beállítani az Application Gatewayt, hogy kezelje a nagy forgalmú kötetek extra forgalmát. A riasztási küszöbértékek pusztán javaslatok és általános jellegűek. A felhasználók a számítási feladatok és a kihasználtság elvárásai alapján határozhatják meg a riasztási küszöbértékeket.

Az Application Gateway és a Web Application Firewall (WAF) használatával méretezhető és biztonságos módon kezelheti a webalkalmazások felé irányuló forgalmat.

Fontos, hogy az Application Gatewayt a forgalomnak megfelelően és egy kis pufferrel skálázza, hogy felkészüljön a forgalom megugrására vagy kiugrására, és minimalizálja a QoS-ben esetlegesen előforduló hatást. Az alábbi javaslatok segítenek beállítani az Application Gatewayt WAF-sel a többletforgalom kezeléséhez.

Tekintse meg az Application Gateway által kínált metrikák teljes listáját a metrikák dokumentációjában . Tekintse meg a metrikák vizualizációját az Azure Portalon, és az Azure Monitor dokumentációját a metrikák riasztásainak beállításáról.

Az Application Gateway teljesítményhatékonyságával kapcsolatos részletekért és javaslatokért lásd az Azure Well-Architected Framework áttekintését – Azure-alkalmazás Gateway v2.

Skálázás az Application Gateway v1 termékváltozatához (Standard/WAF termékváltozat)

A példányok számának beállítása a csúcs cpu-használat alapján

Ha 1-s verziós termékváltozat-átjárót használ, 32 példányra állíthatja be az Application Gatewayt a skálázáshoz. Ellenőrizze az Application Gateway cpu-kihasználtságát az elmúlt egy hónapban a 80%-nál nagyobb kiugró értékeket illetően. Ez metrikaként érhető el a monitorozáshoz. Javasoljuk, hogy a példányok számát a maximális kihasználtságnak megfelelően állítsa be, és 10%-ról 20%-ra további pufferrel számoljon a forgalomnövekedések számának figyelembe vételéhez.

A v2 termékváltozat használata a v1-en keresztül az automatikus skálázási képességekhez és a teljesítmény előnyeihez

A v2 termékváltozat automatikus skálázást kínál annak érdekében, hogy az Application Gateway a forgalom növekedésével felskálázható legyen. Emellett további jelentős teljesítménybeli előnyöket is kínál, például az 5x jobb TLS-kiszervezési teljesítményt, a gyorsabb üzembe helyezést és frissítési időt, a zónaredundanciát és egyebeket az 1. verzióhoz képest. További információkért tekintse meg a v2 dokumentációt, és tekintse meg a v1–v2 migrálási dokumentációt, amelyből megtudhatja, hogyan migrálhatja meglévő v1 termékváltozatú átjáróit v2 termékváltozatra.

Automatikus skálázás az Application Gateway v2 termékváltozata (Standard_v2/WAF_v2 SKU) esetében

A példányok maximális számának beállítása a lehetséges maximális értékre (125)

Az Application Gateway v2 termékváltozat esetében a maximális példányszám 125-ös értékre állítása lehetővé teszi az Application Gateway igény szerinti felskálázását. Ez lehetővé teszi, hogy kezelje az alkalmazások felé történő forgalom esetleges növekedését. Csak a használt kapacitásegységekért (CU-kért) kell fizetnie.

Ellenőrizze az alhálózat méretét és az elérhető IP-címek számát az alhálózatban, és ennek alapján állítsa be a példányok maximális számát. Ha az alhálózat nem rendelkezik elegendő helytel ahhoz, hogy elférjen, az átjárót ugyanabban vagy egy másik alhálózatban kell létrehoznia, amely elegendő kapacitással rendelkezik.

A minimális példányszám beállítása az átlagos számításiegység-használat alapján

Az Application Gateway v2 termékváltozat esetében az automatikus skálázás 6–7 percet vesz igénybe a vertikális felskálázáshoz, és további, forgalomra készen álló példányokat épít ki. Addig is, ha a forgalom rövid kiugróan magas, előfordulhat, hogy a meglévő átjárópéldányok terhelés alá kerülnek, és ez váratlan késést vagy forgalomvesztést okozhat.

Javasoljuk, hogy a minimális példányszámot optimális szintre állítsa. Ha például 50 példányra van szüksége a forgalom csúcsterheléskor való kezeléséhez, akkor a minimum 25-30-as érték beállítása 10 helyett <jó ötlet, hogy még ha rövid adatforgalom is történik, az Application Gateway kezelni tudja azt, és elegendő időt adna az automatikus skálázásra a válaszadáshoz és a hatás érvénybe lépéséhez.

Ellenőrizze a számítási egység metrikáját az elmúlt egy hónapban. A számításiegység-metrika az átjáró processzorhasználatának ábrázolása, és a maximális használat 10-es osztása alapján beállíthatja a szükséges példányok minimális számát. Vegye figyelembe, hogy 1 Application Gateway-példány legalább 10 számítási egységet képes kezelni

Manuális skálázás az Application Gateway v2 termékváltozatához (Standard_v2/WAF_v2)

A példányok számának beállítása a számítási egység csúcshasználata alapján

Az automatikus méretezéstől eltérően manuális skálázás esetén manuálisan kell beállítania az application gateway példányainak számát a forgalmi követelmények alapján. Javasoljuk, hogy a példányok számát a maximális kihasználtságnak megfelelően állítsa be, és 10%-ról 20%-ra további pufferrel számoljon a forgalomnövekedések számának figyelembe vételéhez. Ha például a forgalomhoz 50 példányra van szükség csúcsidőben, 55–60 példányt kell kiépíteni az esetlegesen előforduló váratlan forgalomnövekedések kezeléséhez.

Ellenőrizze a számítási egység metrikáját az elmúlt egy hónapban. A számítási egység metrika az átjáró processzorhasználatának ábrázolása, és a maximális használat 10-rel való osztása alapján megadhatja a szükséges példányok számát, mivel 1 application gateway-példány legalább 10 számítási egységet képes kezelni

Figyelés és riasztás

Ha értesítést szeretne kapni a forgalommal vagy a kihasználtsággal kapcsolatos rendellenességekről, beállíthat riasztásokat bizonyos metrikákhoz. Az Application Gateway által kínált metrikák teljes listáját a metrikák dokumentációjában találja. Tekintse meg a metrikák vizualizációját az Azure Portalon, és az Azure Monitor dokumentációját a metrikák riasztásainak beállításáról.

A riasztások ARM-sablonokkal való konfigurálásához lásd: Azure Monitor-riasztások konfigurálása az Application Gatewayhez.

Riasztások az Application Gateway v1 termékváltozatához (Standard/WAF)

Riasztás, ha az átlagos cpu-kihasználtság 80%-ot keresztez

Normál körülmények között a processzorhasználat nem haladhatja meg rendszeresen a 90%-ot, mivel ez késést okozhat az Application Gateway mögött futtatott webhelyeken, ami ronthatja az ügyfélélményt. Közvetetten szabályozhatja vagy javíthatja a processzorhasználatot az Application Gateway konfigurációjának módosításával a példányok számának növelésével, vagy nagyobb termékváltozat méretre vagy mindkettővel. Riasztást állíthat be, ha a processzorhasználati metrika meghaladja a 80%-os átlagot.

Riasztás, ha a nem kifogástalan gazdagépek száma átlépi a küszöbértéket

Ez a metrika azoknak a háttérkiszolgálóknak a számát jelzi, amelyeket az Application Gateway nem tud sikeresen mintavételre használni. Ez olyan problémákat tapasztal, amelyek esetén az Application Gateway-példányok nem tudnak csatlakozni a háttérrendszerhez. Riasztás, ha ez a szám meghaladja a háttérkapacitás 20%-át. Ha például 30 háttérkiszolgáló van egy háttérkészletben, állítson be egy riasztást, ha a nem kifogástalan gazdagépek száma 6 fölé csökken.

Riasztás, ha a válasz állapota (4xx, 5xx) átlépi a küszöbértéket

Riasztás létrehozása, ha az Application Gateway válaszállapota 4xx vagy 5xx. Átmeneti problémák miatt esetenként 4xx vagy 5xx válasz is előfordulhat. Figyelje meg az éles átjárót a statikus küszöbérték meghatározásához vagy a riasztás dinamikus küszöbértékének használatához.

Riasztás, ha a sikertelen kérelmek átlépik a küszöbértéket

Riasztás létrehozása, ha a sikertelen kérelmek metrikája átlépi a küszöbértéket. Figyelje meg az éles átjárót a statikus küszöbérték meghatározásához vagy a riasztás dinamikus küszöbértékének használatához.

Példa: Riasztás beállítása több mint 100 sikertelen kéréshez az elmúlt 5 percben

Ez a példa bemutatja, hogyan állíthat be riasztást az Azure Portal használatával, ha a sikertelen kérelmek száma az elmúlt 5 percben több mint 100.

1. Lépjen az Application Gatewayre.
2. A bal oldali panelen válassza a Figyelés lap Metrikák elemét.
3. Adjon hozzá egy metrikát a sikertelen kérelmekhez.
4. Kattintson az Új riasztási szabályra, és határozza meg a feltételt és a műveleteket
5. Kattintson a Riasztási szabály létrehozása elemre a riasztás létrehozásához és engedélyezéséhez

Riasztások az Application Gateway v2 termékváltozatához (Standard_v2/WAF_v2)

Riasztás, ha a számítási egység kihasználtsága átlépi az átlagos használat 75%-át

A számítási egység az Application Gateway számítási kihasználtságának mértéke. Ellenőrizze a számítási egységek átlagos használatát az elmúlt egy hónapban, és állítsa be a riasztást, ha az átlépi a 75%-ot. Ha például az átlagos használat 10 számítási egység, állítson be riasztást 7,5 kérelemegységre. Ez riasztást küld, ha a használat növekszik, és időt ad a válaszadásra. A minimális értéket akkor emelheti, ha úgy gondolja, hogy ez a forgalom tartósan megmarad, és figyelmezteti, hogy a forgalom növekedhet. Ha szükséges, kövesse a fenti méretezési javaslatokat a horizontális felskálázáshoz.

Példa: Riasztás beállítása az átlagos CU-használat 75%-áról

Ez a példa bemutatja, hogyan állíthat be riasztást az Azure Portal használatával az átlagos CU-használat 75%-ának elérésekor.

1. Lépjen az Application Gatewayre.
2. A bal oldali panelen válassza a Figyelés lap Metrikák elemét.
3. Adjon hozzá egy metrikát az átlagos aktuális számítási egységekhez.
4. Ha a minimális példányszámot az átlagos CU-használatnak állította be, akkor adjon meg egy riasztást, ha a minimális példányok 75%-a használatban van. Ha például az átlagos használat 10 kérelemegység, állítson be egy riasztást 7,5 kérelemegységre. Ez riasztást küld, ha a használat növekszik, és időt ad a válaszadásra. A minimális értéket akkor emelheti, ha úgy gondolja, hogy ez a forgalom tartósan megmarad, és figyelmezteti, hogy a forgalom növekedhet.

Megjegyzés:

Beállíthatja, hogy a riasztás alacsonyabb vagy magasabb CU-kihasználtságú legyen attól függően, hogy mennyire szeretne érzékeny lenni a potenciális forgalomcsúcsokra.

Riasztás, ha a kapacitásegység kihasználtsága átlépi a csúcshasználat 75%-át

A kapacitásegységek az átjáró teljes kihasználtságát jelölik az átviteli sebesség, a számítás és a kapcsolatszám szempontjából. Ellenőrizze a kapacitásegységek maximális használatát az elmúlt egy hónapban, és állítson be riasztást, ha az átlépi a kapacitás 75%-át. Ha például a maximális kihasználtság 100 kapacitásegység, állítson be riasztást 75 kérelemegységre. Szükség esetén kövesse a fenti két javaslatot a vertikális felskálázáshoz.

Riasztás, ha a nem kifogástalan gazdagépek száma átlépi a küszöbértéket

Ez a metrika azoknak a háttérkiszolgálóknak a számát jelzi, amelyeket az Application Gateway nem tud sikeresen mintavételre használni. Ez olyan problémákat tapasztal, amelyek esetén az Application Gateway-példányok nem tudnak csatlakozni a háttérrendszerhez. Riasztás, ha ez a szám meghaladja a háttérkapacitás 20%-át. Ha például 30 háttérkiszolgáló van egy háttérkészletben, állítson be egy riasztást, ha a nem kifogástalan gazdagépek száma 6 fölé csökken.

Riasztás, ha a válasz állapota (4xx, 5xx) átlépi a küszöbértéket

Riasztás létrehozása, ha az Application Gateway válaszállapota 4xx vagy 5xx. Átmeneti problémák miatt esetenként 4xx vagy 5xx válasz is előfordulhat. Figyelje meg az éles átjárót a statikus küszöbérték meghatározásához vagy a riasztás dinamikus küszöbértékének használatához.

Riasztás, ha a sikertelen kérelmek átlépik a küszöbértéket

Riasztás létrehozása, ha a sikertelen kérelmek metrikája átlépi a küszöbértéket. Figyelje meg az éles átjárót a statikus küszöbérték meghatározásához vagy a riasztás dinamikus küszöbértékének használatához.

Riasztás, ha a háttérrendszer utolsó bájt válaszideje átlépi a küszöbértéket

Ez a metrika a háttérkiszolgálóval való kapcsolat létrehozásának és a válasz törzsének utolsó bájtjának fogadása közötti időintervallumot jelzi. Hozzon létre egy riasztást, ha a háttérbeli válasz késése nagyobb, mint a szokásostól meghatározott küszöbérték. Ha például a háttérbeli válaszkésés több mint 30%-kal nő a szokásos értékhez képest, állítsa ezt riasztásnak.

Riasztás, ha az Application Gateway teljes ideje túllépi a küszöbértéket

Ez az az időtartam, amikor az Application Gateway megkapja a HTTP-kérés első bájtját arra az időpontra, amikor az utolsó válasz bájtja el lett küldve az ügyfélnek. Riasztást kell létrehoznia, ha a háttérbeli válasz késése nagyobb, mint a szokásostól meghatározott küszöbérték. Beállíthatják például, hogy riasztás legyen, ha a teljes idő késése a szokásos értékhez képest több mint 30%-kal nő.

WAF beállítása geoszűréssel és robotvédelemmel a támadások leállításához

Ha további biztonsági réteget szeretne az alkalmazás előtt, használja az Application Gateway WAF_v2 SKU-t a WAF képességeihez. A v2 termékváltozatot úgy konfigurálhatja, hogy csak egy adott országból/régióból vagy országból/régióból engedélyezze az alkalmazásokhoz való hozzáférést. Beállíthat egy egyéni WAF-szabályt, amely kifejezetten engedélyezi vagy letiltja a forgalmat a földrajzi hely alapján. További információkért tekintse meg az egyéni szabályok geoszűrését, valamint azt, hogyan konfigurálhat egyéni szabályokat az Application Gateway WAF_v2 termékváltozaton a PowerShellen keresztül.

Engedélyezze a robotvédelmet az ismert rossz robotok letiltásához. Ennek csökkentenie kell az alkalmazás felé irányuló forgalom mennyiségét. További információ: robotvédelem beállítási utasításokkal.

A diagnosztika bekapcsolása az Application Gatewayen és a WAF-en

A diagnosztikai naplók lehetővé teszik a tűzfalnaplók, a teljesítménynaplók és a hozzáférési naplók megtekintését. Ezeket a naplókat az Azure-ban az Application Gatewayek kezeléséhez és hibaelhárításához használhatja. További információkért tekintse meg a diagnosztikai dokumentációt.

TLS-szabályzat beállítása a fokozott biztonság érdekében

Győződjön meg arról, hogy a legújabb TLS-szabályzatverziót (AppGwSslPolicy202220101) vagy újabb verziót használja. Ezek támogatják az 1.2-es minimális TLS-verziót erősebb titkosítással. További információ: TLS-szabályzatverziók és titkosítási csomagok konfigurálása a PowerShell-lel.