Az Azure Well-Architected Framework perspektívája az Azure-alkalmazás Szolgáltatás Web Apps funkciójának szempontjából
Azure-alkalmazás szolgáltatás egy szolgáltatásként nyújtott platform (PaaS) számítási megoldás, amellyel számítási feladatokat üzemeltethet az Azure-platformon. Ez egy teljes körűen felügyelt szolgáltatás, amely elvonja a mögöttes számítást, és kiépítheti, üzembe helyezheti és skálázhatja a platformot. Egy alkalmazásszolgáltatás mindig az App Service-csomagban fut. A választott szolgáltatáscsomag határozza meg a számítási feladat futtatásának régióját, a számítási konfigurációkat és az operációs rendszert. Az App Service-hez több számlázási modell is elérhető.
Ez a cikk feltételezi, hogy tervezőként áttekintette a számítási döntési fát , és az App Service-t választotta számítási feladatának. A cikk útmutatása olyan architekturális javaslatokat tartalmaz, amelyek az Azure Well-Architected Framework alappilléreihez vannak megfeleltetve.
Fontos
Útmutató használata
Minden szakasz rendelkezik egy tervezési ellenőrzőlistával , amely a technológiai hatókörre honosított tervezési stratégiákkal együtt mutatja be az architektúra aggályos területeit.
Ezek közé tartoznak a technológiai képességekre vonatkozó javaslatok is, amelyek segíthetnek ezeknek a stratégiáknak a megvalósulásában. A javaslatok nem jelentik a Azure-alkalmazás Szolgáltatás Web Apps szolgáltatásához és függőségeihez elérhető összes konfiguráció teljes listáját. Ehelyett felsorolják a tervezési szempontokhoz hozzárendelt legfontosabb javaslatokat. A javaslatok segítségével elkészítheti a megvalósíthatósági igazolást, vagy optimalizálhatja meglévő környezeteit.
Alapszintű architektúra, amely bemutatja a legfontosabb javaslatokat: Az App Service alapkonfigurációs architektúrája.
Technológiai hatókör
Ez az áttekintés a következő Azure-erőforrásokhoz tartozó, egymással összefüggő döntésekre összpontosít:
- App Service-csomagok
- Webalkalmazások
Más Azure-ajánlatok az App Service-hez vannak társítva, például az Azure Functionshez, az Azure Logic Appshez és az App Service-környezethez. Ezek az ajánlatok nem tartoznak a jelen cikk hatókörébe. Az App Service-környezetre időnként hivatkozunk, hogy tisztázzuk az alapvető App Service-ajánlatok funkcióit vagy lehetőségeit.
Megbízhatóság
A megbízhatósági pillér célja a folyamatos működés biztosítása a megfelelő rugalmasság kialakításával és a hibákból való gyors helyreállítás lehetőségével.
A megbízhatósági tervezési alapelvek magas szintű tervezési stratégiát biztosítanak az egyes összetevőkre, a rendszerfolyamatokra és a rendszer egészére vonatkozóan.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát a megbízhatósági terv felülvizsgálati ellenőrzőlistája alapján. Az App Service és függőségei szintjeit és funkcióit szem előtt tartva határozza meg az üzleti követelményeknek való relevanciáját. Bővítse ki a stratégiát, hogy szükség szerint további megközelítéseket is tartalmazzon.
Felhasználói folyamatok rangsorolása: Nem minden folyamat ugyanolyan kritikus fontosságú. A tervezési döntések irányításához rendeljen prioritásokat az egyes folyamatokhoz. A felhasználói folyamat kialakítása befolyásolhatja, hogy mely szolgáltatási szinteket és példányokat választja az App Service-csomaghoz és -konfigurációhoz.
Az alkalmazás például tartalmazhat olyan előtér- és háttérrétegeket, amelyek üzenetközvetítőn keresztül kommunikálnak. Dönthet úgy, hogy több webalkalmazás rétegeit szegmentálta, hogy lehetővé tegye a független skálázást, az életciklus-kezelést és a karbantartást. Egy nagy alkalmazás egyetlen csomagban való elhelyezése memória- vagy PROCESSZORproblémákhoz vezethet, és hatással lehet a megbízhatóságra.
Előfordulhat, hogy több példányra van szüksége az előtéren a felhasználói felület optimális teljesítményéhez. Előfordulhat azonban, hogy a háttérrendszer nem igényel azonos számú példányt.
Lehetséges hibák előrejelzése: Tervezze meg a lehetséges hibákra vonatkozó kockázatcsökkentési stratégiákat. Az alábbi táblázat példákat mutat be a hibamód elemzésére.
Nem sikerült Kockázatcsökkentés Mögöttes vagy absztrakciós App Service-összetevők hibája Az összetevők redundanciájának biztosítása a példányokban és a függőségekben. A példányok, a hálózati teljesítmény és a tárolási teljesítmény állapotának monitorozása. Külső függőségek meghibásodása Használjon olyan tervezési mintákat, mint az Újrapróbálkozási minta és az Áramkör-megszakító minta. Figyelje a külső függőségeket, és állítsa be a megfelelő időtúllépéseket. Hiba a forgalom nem megfelelő példányokra való átirányítása miatt Példány állapotának figyelése. Fontolja meg a válaszképességet, és ne küldjön kéréseket nem megfelelő állapotú példányokra. További információkért tekintse meg az Azure-alkalmazások hibamódjának elemzését.
Redundancia kiépítése: Redundancia létrehozása az alkalmazásban és az infrastruktúra támogatása. Példányok elosztva a rendelkezésre állási zónák között a hibatűrés javítása érdekében. Forgalom átirányítása más zónákba, ha egy zóna meghibásodik. Helyezze üzembe az alkalmazást több régióban, hogy az alkalmazás továbbra is elérhető maradjon, még akkor is, ha egy teljes régióban leállás történik.
Hasonló redundanciaszinteket hozhat létre a függő szolgáltatásokban. Az alkalmazáspéldányok például a Blob Storage-hoz kötődnek. Fontolja meg a társított tárfiók zónaredundáns tárolással (ZRS) való konfigurálását, ha egy alkalmazás zónaredundáns üzembe helyezést használ.
Redundancia a hálózati összetevőkben. Használjon például zónaredundáns IP-címeket és terheléselosztókat.
Megbízható skálázási stratégiával rendelkezhet: Az alkalmazás váratlan terhelése megbízhatatlanné teheti. Fontolja meg a megfelelő skálázási módszert a számítási feladatok jellemzői alapján. Időnként felskálázhatja a terhelést. Ha azonban a terhelés továbbra is növekszik, skálázza fel az új példányokat. A manuális megközelítések helyett inkább az automatikus skálázást részesítse előnyben. A teljesítménycsökkenés elkerülése érdekében a skálázási műveletek során mindig tartsa fenn a többletkapacitás pufferét.
A választott App Service-csomagszint a példányok száma és a számítási egységek tekintetében befolyásolja a skálázást.
Gondoskodjon a megfelelő alkalmazás inicializálásról, hogy az új példányok gyorsan felmelegedjenek, és fogadhassák a kéréseket.
Törekedjen állapot nélküli alkalmazásokra, amikor csak lehetséges. A megbízható skálázási állapot új példányokkal növelheti az összetettségét. Fontolja meg egy külső adattárat, amelyet egymástól függetlenül skálázhat, ha az alkalmazás állapotát kell tárolnia. A munkamenet-állapot memóriában való tárolása a munkamenet állapotának elvesztését eredményezheti, ha probléma merül fel az alkalmazással vagy az App Service-vel. Emellett korlátozza a terhelés más példányok közötti elosztásának lehetőségét is.
Az automatikus méretezési szabályok rendszeres tesztelése. A betöltési forgatókönyvek szimulálása annak ellenőrzéséhez, hogy az alkalmazás a várt módon skálázható-e. Naplóznia kell a skálázási eseményeket, hogy elháríthassa az esetlegesen felmerülő problémákat, és optimalizálhassa a skálázási stratégiát.
Az App Service korlátozza a csomagban lévő példányok számát, ami befolyásolhatja a skálázás megbízhatóságát. Az egyik stratégia az azonos üzembehelyezési bélyegek használata, minden egyes futó App Service-csomagpéldány saját végponttal. Fontos, hogy az összes bélyeget külső terheléselosztóval kell elosztani a forgalom között. Az Azure-alkalmazás Gateway használata egycsomópontos üzemelő példányokhoz, az Azure Front Door pedig többrégiós üzemelő példányokhoz. Ez a megközelítés olyan kritikus fontosságú alkalmazásokhoz ideális, ahol a megbízhatóság kulcsfontosságú. További információ: Kritikus fontosságú alapkonfiguráció az App Service-ben.
Az App Service-csomagok elosztják a forgalmat a példányok között, és figyelik az állapotukat. Vegye figyelembe, hogy előfordulhat, hogy a külső terheléselosztó nem észleli azonnal, ha egy példány meghibásodik.
Tervezze meg a helyreállíthatóságot: A redundancia elengedhetetlen az üzletmenet folytonosságához. Feladatátvétel egy másik példányra, ha az egyik példány nem érhető el. Ismerje meg az App Service automatikus javítási funkcióit, például a példányok automatikus javítását.
Tervezési minták implementálása az átmeneti hibák, például a hálózati csatlakozási problémák és a nagy léptékű események, például a regionális kimaradások kecses romlásának kezelésére. Vegye figyelembe a következő tervezési mintákat:
A válaszfalminta izolált csoportokra bontja az alkalmazást, hogy megakadályozza a teljes rendszert érintő meghibásodást.
Az üzenetsor-alapú terhelésegyenlítési minta üzenetsorai pufferként szolgálnak a forgalomcsúcsok simításához.
Az újrapróbálkozási minta kezeli a hálózati hibák, az eldobott adatbázis-kapcsolatok vagy foglalt szolgáltatások átmeneti hibáit.
Az áramkör-megszakító minta megakadályozza, hogy egy alkalmazás ismétlődően megkíséreljen olyan műveletet végrehajtani, amely valószínűleg sikertelen lesz.
A WebJobs használatával háttérfeladatokat futtathat a webalkalmazásban. A feladatok megbízható futtatásához győződjön meg arról, hogy a feladatot üzemeltető alkalmazás folyamatosan, ütemezés szerint vagy eseményvezérelt eseményindítók alapján fut.
További információ: Megbízhatósági minták.
Megbízhatósági tesztelés végrehajtása: Terheléses tesztelést végezhet az alkalmazás megbízhatóságának és teljesítményének terhelés alatti kiértékeléséhez. A tesztelési terveknek olyan forgatókönyveket kell tartalmazniuk, amelyek ellenőrzik az automatizált helyreállítási műveleteket.
Használjon hibainjektálást a hibák szándékos bevezetéséhez, és ellenőrizze öngyógyító és önmegőrző mechanizmusait. Ismerje meg az Azure Chaos Studio által biztosított hibatárat.
Az App Service erőforráskorlátokat ír elő a üzemeltetett alkalmazásokra. Az App Service-csomag határozza meg ezeket a korlátokat. Győződjön meg arról, hogy a tesztek megerősítik, hogy az alkalmazás ezen erőforráskorláton belül fut. További információk: Az Azure-előfizetésekre és -szolgáltatásokra vonatkozó korlátozások, kvóták és megkötések.
Állapotadat-mintavételekkel azonosíthatja a nem válaszoló feldolgozókat: Az App Service beépített képességekkel rendelkezik, amelyek rendszeres időközönként pingelik a webalkalmazás egy adott útvonalát. A rendszer eltávolítja a nem válaszoló példányokat a terheléselosztóból, és új példányra cseréli.
Ajánlások
| Szolgáltatás vagy csomag | Ajánlás | Juttatás |
|---|---|---|
| App Service-csomag | Válassza ki az App Service-csomag prémium szintjét éles számítási feladatokhoz. Állítsa be a maximális és minimális számú feldolgozót a kapacitástervezésnek megfelelően. További információ: App Service-csomag áttekintése. |
A prémium App Service-csomag speciális skálázási funkciókat kínál, és biztosítja a redundanciát meghibásodás esetén. |
| App Service-csomag | Zónaredundancia engedélyezése. Fontolja meg több mint három példány kiépítését a hibatűrés javítása érdekében. Ellenőrizze a zónaredundancia regionális támogatását, mert nem minden régió kínálja ezt a funkciót. |
Az alkalmazás képes ellenállni a hibáknak egyetlen zónában, ha több példány van elosztva a zónák között. A forgalom automatikusan más zónák kifogástalan példányaira vált, és fenntartja az alkalmazások megbízhatóságát, ha egy zóna nem érhető el. |
| App Service | Fontolja meg az alkalmazáskérelmek útválasztási (ARR) affinitási funkciójának letiltását. Az ARR affinitás ragadós munkameneteket hoz létre, amelyek átirányítják a felhasználókat a korábbi kéréseiket kezelő csomópontra. | Az ARR-affinitás letiltásakor a bejövő kérések egyenletesen oszlanak el az összes elérhető csomópont között. Az egyenletesen elosztott kérések megakadályozzák, hogy a forgalom túlterhelje az egyetlen csomópontot. A kérelmek zökkenőmentesen átirányíthatók más kifogástalan állapotú csomópontokra, ha egy csomópont nem érhető el. Kerülje a munkamenet-affinitást, hogy az App Service-példány állapot nélküli maradjon. Az állapot nélküli App Service csökkenti az összetettséget, és konzisztens viselkedést biztosít a csomópontok között. Távolítsa el a ragadós munkameneteket, hogy az App Service horizontálisan skálázható példányokat vegyen fel vagy távolítson el. |
| App Service | Automatikus javítási szabályokat határozhat meg a kérések száma, a lassú kérelmek, a memóriakorlátok és a teljesítménykonfiguráció részét képező egyéb mutatók alapján. Vegye figyelembe ezt a konfigurációt a skálázási stratégia részeként. | Az automatikus javítási szabályok segítenek az alkalmazásnak a váratlan problémák automatikus helyreállításában. A konfigurált szabályok gyógyító műveleteket aktiválnak a küszöbértékek átlépésekor. Az automatikus javítás automatikus proaktív karbantartást tesz lehetővé. |
| App Service | Engedélyezze az állapot-ellenőrzési funkciót , és adjon meg egy elérési utat, amely válaszol az állapot-ellenőrzési kérelmekre. | Az állapot-ellenőrzések időben észlelik a problémákat. Ezután a rendszer automatikusan elvégezheti a korrekciós műveleteket, ha egy állapot-ellenőrzési kérés meghiúsul. A terheléselosztó átirányítja a forgalmat a nem megfelelő állapotú példányoktól, ami a felhasználókat kifogástalan állapotú csomópontokra irányítja. |
Biztonság
A biztonsági pillér célja, hogy bizalmassági, integritási és rendelkezésre állási garanciákat biztosítson a számítási feladat számára.
A biztonsági tervezési alapelvek magas szintű tervezési stratégiát biztosítanak e célok eléréséhez azáltal, hogy megközelítéseket alkalmaznak az App Service üzemeltetése körüli technikai tervezésre.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát a Biztonság tervezési felülvizsgálati ellenőrzőlistája alapján, és azonosítsa a biztonsági réseket és vezérlőket a biztonsági helyzet javítása érdekében. Bővítse ki a stratégiát, hogy szükség szerint további megközelítéseket is tartalmazzon.
Biztonsági alapkonfigurációk áttekintése: Az App Service-csomagban üzemeltetett alkalmazás biztonsági helyzetének javításához tekintse át az App Service biztonsági alapkonfigurációját.
Használja a legújabb futtatókörnyezetet és kódtárakat: Alaposan tesztelje az alkalmazás buildjét, mielőtt frissítéseket végez a problémák korai észlelése és az új verzióra való zökkenőmentes áttérés érdekében. Az App Service támogatja a nyelvi futtatókörnyezet támogatási szabályzatát a meglévő veremek frissítéséhez és a támogatás megszűnésének megszüntetéséhez.
Szegmentálás létrehozása elkülönítési határvonalakon keresztül az adatszivárgás megfékezéséhez: Identitásszegmentálás alkalmazása. Például implementálhatja a szerepköralapú hozzáférés-vezérlést (RBAC) a szerepkörök alapján meghatározott engedélyek hozzárendeléséhez. Kövesse a minimális jogosultság elvét, hogy a hozzáférési jogosultságokat csak a szükségesre korlátozza. Emellett hozzon létre szegmentációt a hálózati szinten. Injektálja az App Service-alkalmazásokat egy Azure-beli virtuális hálózatba elkülönítés céljából, és határozza meg a hálózati biztonsági csoportokat (NSG-k) a forgalom szűréséhez.
Az App Service-csomagok az App Service Environment szintet kínálják, amely magas fokú elkülönítést biztosít. Az App Service Environment segítségével dedikált számítást és hálózatkezelést kaphat.
Hozzáférési vezérlők alkalmazása az identitásokon: Korlátozza a webalkalmazáshoz való befelé és a webalkalmazásból más erőforrásokhoz való külső hozzáférést is. Ez a konfiguráció hozzáférési vezérlőket alkalmaz az identitásokra, és segít fenntartani a számítási feladat általános biztonsági helyzetét.
Minden hitelesítési és engedélyezési igényhez használja a Microsoft Entra-azonosítót. Használjon beépített szerepköröket, például webcsomag-közreműködőt, webhely-közreműködőt és általános közreműködőt, olvasót és tulajdonost.
Az alkalmazás felé és az alkalmazásból érkező hálózati forgalom szabályozása: Ne tegye közzé az alkalmazásvégpontokat a nyilvános interneten. Ehelyett adjon hozzá egy privát végpontot a webalkalmazáshoz, amely egy dedikált alhálózatban van elhelyezve. Az alkalmazás elé egy fordított proxyt kell létrehozni, amely az adott privát végponttal kommunikál. Fontolja meg az Application Gateway vagy az Azure Front Door használatát erre a célra.
Webalkalmazási tűzfal (WAF) üzembe helyezése a gyakori biztonsági rések elleni védelem érdekében. Az Application Gateway és az Azure Front Door integrált WAF-képességekkel is rendelkezik.
A fordított proxyszabályokat és a hálózati beállításokat megfelelően konfigurálja a kívánt biztonsági és vezérlési szint eléréséhez. Adjon hozzá például NSG-szabályokat a privát végpont alhálózatához, hogy csak a fordított proxyból érkező forgalmat fogadja el.
Az alkalmazásból más PaaS-szolgáltatásokba irányuló kimenő forgalomnak magánvégpontokon kell lennie. Fontolja meg egy tűzfalösszetevő elhelyezését a nyilvános internetre irányuló kimenő forgalom korlátozásához. Mindkét módszer megakadályozza az adatkiszivárgást.
Átfogó nézetért tekintse meg az App Service hálózatkezelési funkcióit.
Adatok titkosítása: Az átvitel alatt lévő adatok védelme a végpontok közötti átviteli réteg biztonságával (TLS). Használja az ügyfél által kezelt kulcsokat az inaktív adatok teljes titkosításához. További információ: Inaktív titkosítás ügyfél által felügyelt kulcsokkal.
Ne használjon olyan örökölt protokollokat, mint a TLS 1.0 és az 1.1. Az App Service alapértelmezés szerint engedélyezi az 1.2-t. További információkért tekintse meg az App Service TLS áttekintését.
Az App Service minden példánya alapértelmezett tartománynévvel rendelkezik. Használjon egyéni tartományt, és biztonságossá tegye a tartományt tanúsítványokkal.
Csökkentse a támadási felületet: Távolítsa el az alapértelmezett konfigurációkat, amelyekre nincs szüksége. Tiltsa le például a távoli hibakeresést, az SCM-webhelyek helyi hitelesítését és az alapszintű hitelesítést. Tiltsa le a nem biztonságos protokollokat, például a HTTP-t és a Fájlátviteli protokollt (FTP). Konfigurációk kényszerítése Azure-szabályzatokkal. További információ: Azure-szabályzatok.
Korlátozó, forrásközi erőforrás-megosztási (CORS-) szabályzatok implementálása: A webalkalmazásban korlátozó CORS-szabályzatokkal csak az engedélyezett tartományoktól, fejlécektől és egyéb feltételektől érkező kéréseket fogadhatja el. CORS-szabályzatok kikényszerítése beépített Azure-szabályzatdefiníciókkal.
Alkalmazás titkos kulcsainak védelme: Bizalmas információkat kell kezelnie, például API-kulcsokat vagy hitelesítési jogkivonatokat. A titkos kulcsok közvetlenül az alkalmazáskódba vagy konfigurációs fájlokba való közvetlen bekódolása helyett az Azure Key Vault-referenciákat használhatja az alkalmazásbeállításokban. Az alkalmazás indításakor az App Service automatikusan lekéri a titkos értékeket a Key Vaultból az alkalmazás felügyelt identitásának használatával.
Erőforrásnaplók engedélyezése az alkalmazáshoz: Az alkalmazás erőforrásnaplóinak engedélyezése átfogó tevékenységnaplók létrehozásához, amelyek értékes adatokat biztosítanak a biztonsági incidenseket követő vizsgálatok során.
A fenyegetések felmérése során fontolja meg a naplózást a fenyegetésmodellezési folyamat részeként.
Ajánlások
| Szolgáltatás vagy csomag | Ajánlás | Juttatás |
|---|---|---|
| App Service | Felügyelt identitások hozzárendelése a webalkalmazáshoz. Az elkülönítési határok fenntartása érdekében ne ossza meg vagy használja újra az identitásokat az alkalmazások között. Győződjön meg arról, hogy biztonságosan csatlakozik a tárolóregisztrációs adatbázishoz , ha tárolókat használ az üzembe helyezéshez. |
Az alkalmazás lekéri a titkos kulcsokat a Key Vaultból, hogy hitelesítse az alkalmazásból érkező kimenő kommunikációt. Az Azure kezeli az identitást, és nem követeli meg, hogy titkos kulcsokat építsen ki vagy forgassa el. A vezérlés részletességéhez különböző identitások tartoznak. A különálló identitások megkönnyítik a visszavonást, ha egy identitás sérül. |
| App Service | Egyéni tartományok konfigurálása alkalmazásokhoz. Tiltsa le a HTTP-t, és csak HTTPS-kéréseket fogad el. |
Az egyéni tartományok https-n keresztül teszik lehetővé a biztonságos kommunikációt a Secure Sockets Layer (SSL) vagy a TLS protokoll használatával, amely biztosítja a bizalmas adatok védelmét, és létrehozza a felhasználói bizalmat. |
| App Service | Értékelje ki, hogy az App Service beépített hitelesítése a megfelelő mechanizmus-e az alkalmazáshoz hozzáférő felhasználók hitelesítéséhez. Az App Service beépített hitelesítése integrálható a Microsoft Entra-azonosítóval. Ez a funkció több bejelentkezési szolgáltató jogkivonat-érvényesítési és felhasználói identitáskezelését kezeli, és támogatja az OpenID Csatlakozás. Ezzel a funkcióval nem rendelkezik részletes szintű hitelesítéssel, és nem rendelkezik a hitelesítés tesztelésére szolgáló mechanizmussal. | Ha ezt a funkciót használja, nem kell hitelesítési kódtárakat használnia az alkalmazáskódban, ami csökkenti az összetettség mértékét. A felhasználó már hitelesítve van, amikor egy kérés eléri az alkalmazást. |
| App Service | Konfigurálja az alkalmazást a virtuális hálózati integrációhoz. Privát végpontok használata App Service-alkalmazásokhoz. Tiltsa le az összes nyilvános forgalmat. A tárolórendszerkép-lekérés átirányítása a virtuális hálózati integráción keresztül. Az alkalmazásból érkező összes kimenő forgalom áthalad a virtuális hálózaton. |
Az Azure-beli virtuális hálózatok használatának biztonsági előnyei. Az alkalmazás például biztonságosan hozzáférhet a hálózaton belüli erőforrásokhoz. Adjon hozzá egy privát végpontot az alkalmazás védelméhez. A privát végpontok korlátozzák a nyilvános hálózat közvetlen kitettségét, és engedélyezik a fordított proxyn keresztüli szabályozott hozzáférést. |
| App Service | A megkeményedés implementálása: - Tiltsa le az alapszintű hitelesítést , amely felhasználónévvel és jelszóval támogatja a Microsoft Entra ID-alapú hitelesítést. – Kapcsolja ki a távoli hibakeresést, hogy a bejövő portok ne nyílnak meg. – Engedélyezze a CORS-szabályzatokat a bejövő kérelmek szigorításához. - Tiltsa le a protokollokat, például az FTP-t. |
Nem javasoljuk az alapszintű hitelesítést biztonságos üzembehelyezési módszerként. A Microsoft Entra ID az OAuth 2.0 jogkivonatalapú hitelesítést használja, amely számos előnyt és fejlesztést kínál, amelyek az alapszintű hitelesítéshez kapcsolódó korlátozásokat kezelik. A szabályzatok korlátozzák az alkalmazáserőforrásokhoz való hozzáférést, csak adott tartományokból érkező kéréseket engedélyeznek, és biztonságos régiók közötti kéréseket biztosítanak. |
| App Service | Mindig használja a Key Vault-hivatkozásokat alkalmazásbeállításokként. |
A titkos kódokat az alkalmazás konfigurációjától elkülönítve tartjuk. Az alkalmazásbeállítások inaktív állapotban vannak titkosítva. Az App Service a titkos kulcsok rotálását is kezeli. |
| App Service-csomag | Felhőhöz készült Microsoft Defender engedélyezése az App Service-hez. | Valós idejű védelmet kaphat az App Service-csomagban futó erőforrásokhoz. A fenyegetések elleni védelem és az általános biztonsági helyzet javítása. |
| App Service-csomag | Engedélyezze a diagnosztikai naplózást , és adjon hozzá eszközállapotot az alkalmazáshoz. A naplók az Azure Storage-fiókokba, az Azure Event Hubsba és a Log Analyticsbe kerülnek. A naplótípusokról további információt a Támogatott naplótípusok című témakörben talál. | A naplózás rögzíti a hozzáférési mintákat. Olyan releváns eseményeket rögzít, amelyek értékes betekintést nyújtanak abba, hogy a felhasználók hogyan kommunikálnak egy alkalmazással vagy platformmal. Ezek az információk kulcsfontosságúak az elszámoltathatóság, a megfelelőség és a biztonság szempontjából. |
Költségoptimalizálás
A költségoptimalizálás a költségminták észlelésére , a kritikus területeken lévő beruházások rangsorolására, valamint a szervezet költségvetésének megfelelő optimalizálására összpontosít az üzleti követelmények teljesítése során.
A Költségoptimalizálás tervezési alapelvei magas szintű tervezési stratégiát biztosítanak e célok eléréséhez, és szükség szerint kompromisszumokat tesznek a webalkalmazásokhoz és a környezethez kapcsolódó műszaki tervezés során.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát a beruházások költségoptimalizálási ellenőrzőlistája alapján, és finomhangolja a tervet, hogy a számítási feladat igazodjon a számítási feladathoz lefoglalt költségvetéshez. A tervezésnek a megfelelő Azure-képességeket kell használnia, figyelnie kell a beruházásokat, és meg kell találnia az optimalizálás lehetőségeit az idő függvényében.
A kezdeti költség becslése: A költségmodellezési gyakorlat részeként az Azure díjszabási kalkulátorával értékelje ki a különböző szintekhez kapcsolódó hozzávetőleges költségeket a futtatni kívánt példányok száma alapján. Minden App Service-szint különböző számítási lehetőségeket kínál.
Folyamatosan monitorozza a költségmodellt a kiadások nyomon követéséhez.
Értékelje ki a kedvezményes lehetőségeket: A magasabb szintek dedikált számítási példányokat tartalmaznak. Foglalási kedvezményt akkor alkalmazhat, ha a számítási feladat kiszámítható és konzisztens használati mintával rendelkezik. A számítási feladatnak megfelelő foglalás típusának meghatározásához elemezze a használati adatokat. További információ: Költségek mentése fenntartott App Service-példányokkal.
A használati mérők ismertetése: Az Azure óránkénti díjat számít fel, a másodikra számítva az App Service-csomag tarifacsomagja alapján. A díjtételek a csomag minden felskálázott példányára vonatkoznak a virtuálisgép-példány lefoglalásának időpontja alapján. Ügyeljen azokra a kihasználatlan számítási erőforrásokra, amelyek a túlterhelés miatt növelhetik a költségeket az optimálisnál rosszabb termékváltozat kiválasztása vagy a rosszul konfigurált méretezési konfiguráció miatt.
Az App Service további funkciói, például az egyéni tartományregisztráció és az egyéni tanúsítványok költségekkel járhatnak. Az App Service-erőforrásokba integrálható egyéb erőforrások, például a virtuális hálózatok, amelyek elkülönítik a megoldást vagy a kulcstartókat a számítási feladatok titkos kulcsainak védelme érdekében, szintén költségekkel járnak. További információ: App Services számlázási modell.
Fontolja meg a sűrűség és az elkülönítés közötti kompromisszumot: Az App Service-csomagok használatával több alkalmazást is üzemeltethet ugyanazon a számításon, ami a megosztott környezetekkel együtt költségmegtakarítást eredményez. További információ: Kompromisszumok.
Értékelje ki a skálázási stratégia költségre gyakorolt hatását: Az automatikus skálázás megvalósításakor megfelelően kell megterveznie, tesztelnie és konfigurálnia kell a horizontális felskálázást és a skálázást. Az automatikus skálázásra vonatkozó pontos maximális és minimális korlátok meghatározása.
Proaktívan inicializálja az alkalmazást a megbízható skálázás érdekében. Ne várjon például, amíg a CPU eléri a 95%-os használatot. Ehelyett 65%-os skálázást aktiválhat, hogy elegendő idő hasson az új példányok lefoglalására és inicializálására a skálázási folyamat során. Ez a stratégia azonban kihasználatlan kapacitáshoz vezethet.
Javasoljuk, hogy egyesítse és kiegyensúlyozza a vertikális fel- és felskálázás mechanizmusait. Egy alkalmazás például felskálázható egy ideig, majd szükség szerint felskálázható. Fedezze fel a nagy kapacitást és a hatékony erőforrás-használatot kínáló magas szinteket. A használati minták alapján a magasabb prémium szintű szintek gyakran költséghatékonyabbak, mert sokkal hatékonyabbak.
A környezet költségeinek optimalizálása: Fontolja meg az alapszintű vagy az ingyenes szintet az éles üzem előtti környezetek futtatásához. Ezek a szintek alacsony teljesítményt és alacsony költségeket jelentenek. Ha az Alapszintű vagy az Ingyenes szintet használja, az irányítással kényszerítheti a réteget, korlátozhatja a példányok és processzorok számát, korlátozhatja a skálázást, és korlátozhatja a naplók megőrzését.
Tervezési minták implementálása: Ez a stratégia csökkenti a számítási feladat által generált kérelmek mennyiségét. Érdemes lehet olyan mintákat használni, mint a Háttérrendszer az előtérhez ésaz Átjáró aggregációs mintája, ami minimalizálhatja a kérések számát, és csökkentheti a költségeket.
Az adatokkal kapcsolatos költségek rendszeres ellenőrzése: A hosszabb adatmegőrzési időszakok vagy a költséges tárolási szintek magas tárolási költségekhez vezethetnek. A sávszélesség-használat és a naplózási adatok tartós megőrzése miatt további költségek halmozódhatnak fel.
Fontolja meg a gyorsítótárazás implementálását az adatátviteli költségek minimalizálása érdekében. Kezdje a helyi memóriabeli gyorsítótárazással, majd vizsgálja meg az elosztott gyorsítótárazási lehetőségeket, hogy csökkentse a háttéradatbázisra irányuló kérések számát. Vegye figyelembe a régiók közötti kommunikációhoz kapcsolódó sávszélesség-forgalmi költségeket, ha az adatbázis egy másik régióban található.
Az üzembehelyezési költségek optimalizálása: Használja ki az üzembehelyezési pontok előnyeit a költségek optimalizálásához. A pont ugyanabban a számítási környezetben fut, mint az éles példány. Stratégiailag használhatja őket olyan forgatókönyvekhez, mint például a pontok közötti váltást okozó kék-zöld környezetek. Ez a megközelítés minimalizálja az állásidőt, és zökkenőmentes átmenetet biztosít.
Körültekintően használja az üzembehelyezési helyeket. Problémákat, például kivételeket vagy memóriavesztést okozhat, amelyek hatással lehetnek a meglévő és az új példányokra is. Győződjön meg arról, hogy alaposan teszteli a módosításokat. A működési útmutatót az Operatív kiválóság című témakörben talál.
Ajánlások
| Szolgáltatás vagy csomag | Ajánlás | Juttatás |
|---|---|---|
| App Service-csomag | Az alacsonyabb környezetekhez válassza az ingyenes vagy az alapszintű szinteket. Ezeket a szinteket kísérleti célokra javasoljuk. Távolítsa el a rétegeket, ha már nincs rájuk szüksége. | Az ingyenes és az alapszintű szintek költségvetés-barátak a magasabb szintekhez képest. Költséghatékony megoldást nyújtanak olyan nem gyártási környezetekhez, amelyekhez nincs szükség a prémium csomagok teljes funkcióira és teljesítményére. |
| App Service-csomag | Kihasználhatja a kedvezmények előnyeit, és megismerheti az alábbiak előnyben részesített díjszabását: - Alacsonyabb környezetek fejlesztési/tesztelési tervekkel. - Azure-foglalások és Azure-megtakarítási csomagok dedikált számítási feladatokhoz, amelyeket a Prémium V3 szinten és az App Service-környezetben épít ki. Használjon fenntartott példányokat olyan stabil számítási feladatokhoz, amelyek kiszámítható használati mintákkal rendelkeznek. |
A fejlesztési/tesztelési csomagok kedvezményes díjszabást biztosítanak az Azure-szolgáltatásokhoz, ami költséghatékonysá teszi őket a nem gyártási környezetekben. Fenntartott példányokkal előre fizethet a számítási erőforrásokért, és jelentős kedvezményeket kaphat. |
| App Service | Az App Service-erőforrások által felmerülő költségek monitorozása. Futtassa a költségelemzési eszközt az Azure Portalon. Költségvetések és riasztások létrehozása az érdekelt felek értesítéséhez. |
A költségnövekedéseket, a hatékonysághiányt vagy a váratlan kiadásokat korai időben azonosíthatja. Ez a proaktív megközelítés segít költségvetési ellenőrzésekkel megelőzni a túlterjedést. |
| App Service-csomag | Skálázás, amikor csökken az igény. A skálázáshoz skálázási szabályokat definiálhat az Azure Monitor példányainak számának csökkentése érdekében. | Megelőzheti a beszivárgást, és csökkentheti a szükségtelen kiadásokat. |
Működésbeli kiválóság
Az operatív kiválóság elsősorban a fejlesztési gyakorlatokra, a megfigyelhetőségre és a kiadáskezelésre vonatkozó eljárásokra összpontosít.
Az Operational Excellence tervezési alapelvei magas szintű tervezési stratégiát biztosítanak e célok eléréséhez a számítási feladat működési követelményeihez.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát a Web Appshez kapcsolódó megfigyelhetőségi, tesztelési és üzembe helyezési folyamatok meghatározásához az Operational Excellence tervezési felülvizsgálati ellenőrzőlistája alapján.
Kiadások kezelése: Az üzembehelyezési pontok használatával hatékonyan kezelheti a kiadásokat. Üzembe helyezheti az alkalmazást egy ponton, elvégezheti a tesztelést, és ellenőrizheti annak működését. Az ellenőrzés után zökkenőmentesen áthelyezheti az alkalmazást éles környezetbe. Ez a folyamat nem jár többletköltséggel, mivel a pont ugyanabban a virtuálisgép-környezetben fut, mint az éles példány.
Automatizált tesztek futtatása: Mielőtt előlépteti a webalkalmazás kiadását, alaposan tesztelje annak teljesítményét, funkcióit és integrációját más összetevőkkel. Az Azure Load Testing használata, amely integrálható az Apache JMeter szolgáltatással, amely a teljesítménytesztelés népszerű eszköze. Ismerje meg az automatizált eszközöket más típusú tesztelésekhez, például a Fantomot a funkcionális teszteléshez.
Nem módosítható egységek üzembe helyezése: Az Üzembehelyezési bélyegek minta implementálása az App Service nem módosítható bélyegbe való felosztásához. Az App Service támogatja a tárolók használatát, amelyek eredendően nem módosíthatók. Fontolja meg az App Service-webalkalmazás egyéni tárolóinak alkalmazását.
Minden egyes bélyeg egy önálló egységet jelöl, amelyet gyorsan felskálázhat vagy skálázhat. A bélyegen alapuló egységek ideiglenesek és állapot nélküliek. Az állapot nélküli kialakítás leegyszerűsíti a műveleteket és a karbantartást. Ez a megközelítés ideális a kritikus fontosságú alkalmazásokhoz. Példa: Kritikus fontosságú alapkonfiguráció az App Service-ben.
Használjon infrastruktúra kódként (IaC) technológiát, például a Bicep-et, hogy ismételhető és konzisztenciával rendelkező egységeket bélyegezze ki.
Az éles környezetek biztonságának megőrzése: Hozzon létre külön App Service-csomagokat az éles és az üzem előtti környezetek futtatásához. Ne módosítsa közvetlenül az éles környezetben a stabilitás és a megbízhatóság érdekében. A különálló példányok rugalmasságot biztosítanak a fejlesztésben és a tesztelésben, mielőtt előléptetik az éles környezet változásait.
Alacsony környezetek használata az új funkciók és konfigurációk izolált feltárásához. A fejlesztési és tesztelési környezetek rövid élettartamának megőrzése.
Tanúsítványok kezelése: Egyéni tartományok esetén TLS-tanúsítványokat kell kezelnie.
A tanúsítványok beszerzéséhez, megújításához és érvényesítéséhez szükséges folyamatokkal rendelkezhet. Ha lehetséges, töltse ki ezeket a folyamatokat az App Service-be. Ha saját tanúsítványt használ, annak megújítását kezelnie kell. Válasszon ki egy, a biztonsági követelményeknek leginkább megfelelő megközelítést.
| Szolgáltatás vagy csomag | Ajánlás | Juttatás |
|---|---|---|
| App Service | Figyelje a példányok állapotát, és aktiválja a példányállapot-mintavételeket. Állítson be egy adott elérési utat az állapotadat-mintavételi kérelmek kezeléséhez. |
A problémákat azonnal észlelheti, és megteheti a szükséges lépéseket a rendelkezésre állás és a teljesítmény fenntartása érdekében. |
| App Service | Diagnosztikai naplók engedélyezése az alkalmazáshoz és a példányhoz. A gyakori naplózás lelassíthatja a rendszer teljesítményét, növeli a tárolási költségeket, és kockázatot jelenthet, ha nem biztonságos hozzáféréssel rendelkezik a naplókhoz. Kövesse az alábbi ajánlott eljárásokat: - Naplózza a megfelelő szintű információkat. – Megőrzési szabályzatok beállítása. - Őrizze meg az engedélyezett hozzáférés és a jogosulatlan kísérletek naplózási nyomait. - A naplók kezelése adatokként és adatvédelmi vezérlők alkalmazása. |
A diagnosztikai naplók értékes betekintést nyújtanak az alkalmazás viselkedésébe. A forgalmi minták monitorozása és az anomáliák azonosítása. |
| App Service | Használja ki az App Service által felügyelt tanúsítványokat a tanúsítványkezelés Azure-ba való kiszervezéséhez. | Az App Service automatikusan kezeli az olyan folyamatokat, mint a tanúsítványbeszerzés, a tanúsítvány-ellenőrzés, a tanúsítványmegújítás és a tanúsítványok importálása a Key Vaultból. Másik lehetőségként töltse fel a tanúsítványt a Key Vaultba, és engedélyezze az App Service-erőforrás-szolgáltatónak a hozzáférését. |
| App Service-csomag | Ellenőrizze az alkalmazás módosításait az előkészítési ponton , mielőtt felcseréli az éles ponttal. | Kerülje az állásidőt és a hibákat. Ha a felcserélés után problémát észlel, gyorsan térjen vissza az utolsó ismert jó állapotra. |
Teljesítménybeli hatékonyság
A teljesítményhatékonyság a felhasználói élmény fenntartásáról szól , még akkor is, ha a kapacitás kezelésével növekszik a terhelés . A stratégia magában foglalja az erőforrások skálázását, a lehetséges szűk keresztmetszetek azonosítását és optimalizálását, valamint a csúcsteljesítmény optimalizálását.
A Teljesítményhatékonyság tervezési alapelvei magas szintű tervezési stratégiát biztosítanak ezeknek a kapacitáscéloknak a várt kihasználtsághoz való eléréséhez.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát a Teljesítményhatékonyság tervezési felülvizsgálati ellenőrzőlistája alapján a Web Apps fő teljesítménymutatói alapján definiált alapkonfiguráció meghatározásához.
Teljesítménymutatók azonosítása és monitorozása: Állítsa be az alkalmazás fő mutatóinak céljait, például a bejövő kérelmek mennyiségét, az alkalmazás által a kérelmekre való válaszadáshoz szükséges időt, a függőben lévő kérelmeket és a HTTP-válaszok hibáit. Vegye figyelembe a főbb mutatókat a számítási feladat teljesítménykonfigurációjának részeként.
Rögzítse a teljesítménymutatók alapját képező App Service-metrikákat. Naplók gyűjtése az erőforrás-használat és a tevékenységek megismeréséhez. Az alkalmazásteljesítmény-monitorozási (APM-) eszközök, például az Alkalmazás Elemzések használatával gyűjtheti és elemezheti az alkalmazás teljesítményadatait. További információ: App Service monitorozási adatok referenciája.
Tartalmazzon kódszintű rendszerezést, tranzakciókövetést és teljesítményprofilozást.
Kapacitás értékelése: Különböző felhasználói forgatókönyvek szimulálása a várt forgalom kezeléséhez szükséges optimális kapacitás meghatározásához. A Terheléstesztelés használatával megismerheti, hogyan viselkedik az alkalmazás különböző terhelési szinteken.
Válassza ki a megfelelő szintet: Dedikált számítási feladatok használata éles számítási feladatokhoz. A prémium szintek nagyobb SKU-kat kínálnak nagyobb memóriával és processzorkapacitással, több példánysal és további funkciókkal, például zónaredundanciával. További információ: Premium V3 tarifacsomag.
Optimalizálja a skálázási stratégiát: Ha lehetséges, használja az automatikus skálázást ahelyett, hogy manuálisan módosítaná a példányok számát az alkalmazás terhelésének változásakor. Az automatikus skálázással az App Service előre meghatározott szabályok vagy eseményindítók alapján módosítja a kiszolgálókapacitást. Győződjön meg arról, hogy megfelelően teszteli a teljesítményt, és beállítja a megfelelő szabályokat a megfelelő eseményindítókhoz.
Ha a kezdeti beállítás során előnyben részesíti az egyszerűséget, használjon olyan automatikus skálázási beállítást, amely nem követeli meg a szabályok definiálását, és csak korlátokat kell beállítania.
Elegendő erőforrás áll rendelkezésre az optimális teljesítmény biztosításához. Az erőforrások megfelelő lefoglalása a teljesítménycélok, például a válaszidő vagy az átviteli sebesség fenntartásához. Szükség esetén fontolja meg az erőforrások túlterhelését.
Az automatikus skálázási szabályok meghatározásakor figyelembe kell venni az alkalmazás inicializálásához szükséges időt. Vegye figyelembe ezt a többletterhelést, amikor minden méretezési döntést meghoz.
Gyorsítótárazás használata: Az olyan erőforrások információinak lekérése, amelyek nem változnak gyakran, és a hozzáférés költséges, hatással van a teljesítményre. Az összetett lekérdezések, beleértve az illesztéseket és a több keresést is, hozzájárulnak a futtatókörnyezethez. Gyorsítótárazással minimalizálhatja a feldolgozási időt és a késést. Gyorsítótárazhatja a lekérdezési eredményeket, hogy elkerülje az adatbázisba vagy a háttérrendszerbe irányuló ismétlődő utakat, és csökkentse a későbbi kérések feldolgozási idejét.
A helyi és az elosztott gyorsítótár számítási feladatban való használatával kapcsolatos további információkért lásd a gyorsítótárazást.
Tekintse át a teljesítmény-szűréseket: Ha meg szeretné győződni arról, hogy a webalkalmazás az üzleti követelményeknek megfelelően teljesít és skáláz, kerülje a tipikus antipatterneket. Íme néhány antipattern, amelyeket az App Service kijavít.
Kizárási minta Leírás Foglalt előtér A nagy erőforrásigényű feladatok növelhetik a felhasználói kérések válaszidejét, és magas késést eredményezhetnek.
Helyezze át a jelentős erőforrás-használatú folyamatokat egy külön háttérre. Üzenetközvetítő használatával várólistára állíthatja az erőforrás-igényes feladatokat, amelyeket a háttérrendszer aszinkron módon felvesz.Nincs gyorsítótárazás A késés csökkentése érdekében egy köztes gyorsítótárból érkező kérések kiszolgálása a háttéradatbázis előtt. Zajos szomszéd A több-bérlős rendszerek erőforrásokat osztanak meg a bérlők között. Az egyik bérlő tevékenysége negatív hatással lehet egy másik bérlő rendszerhasználatára. Az App Service Environment egy teljesen elkülönített és dedikált környezetet biztosít az App Service-alkalmazások futtatásához.
Ajánlások
| Ajánlás | Juttatás |
|---|---|
| Engedélyezze az Always On beállítást , ha az alkalmazások egyetlen App Service-csomagot osztanak meg. Az App Service-alkalmazások inaktív állapotban automatikusan törlődnek az erőforrások mentéséhez. A következő kérés hidegindítást vált ki, ami időtúllépést okozhat a kérések számára. | Az alkalmazás soha nem lesz eltávolítva, ha az Always On engedélyezve van. |
| Fontolja meg a HTTP/2 használatát alkalmazásokhoz a protokoll hatékonyságának javítása érdekében. | HTTP/2 http/1.1-en keresztüli kiválasztása, mert a HTTP/2 teljes mértékben multiplexeli a kapcsolatokat, újra felhasználja a kapcsolatokat a többletterhelés csökkentése érdekében, és tömöríti a fejléceket az adatátvitel minimalizálása érdekében. |
Kompromisszumok
Ha a pillér ellenőrzőlistáiban szereplő megközelítéseket használja, előfordulhat, hogy kompromisszumot kell hoznia a tervezéssel. Íme néhány példa az előnyökre és hátrányokra.
Sűrűség
Több alkalmazás áthelyezése ugyanabban az App Service-csomagban az erőforrások minimalizálása érdekében. Minden alkalmazás olyan erőforrásokat oszt meg, mint a processzor és a memória, ami pénzt takaríthat meg, és csökkentheti a működési összetettségét. Ez a módszer az erőforrás-használatot is optimalizálja. Az alkalmazások használhatnak üresjárati erőforrásokat egy másik alkalmazásból, ha a terhelési minták idővel változnak.
Vegye figyelembe a hátrányokat is. Az alkalmazások használatának kiugró száma vagy instabilitása például befolyásolhatja a többi alkalmazás teljesítményét. Az egyik alkalmazás incidensei a megosztott környezetben lévő más alkalmazásokra is áthatnak, ami hatással lehet a biztonságra.
Elkülönítési
Az elkülönítés segít elkerülni az interferenciát. Ez a stratégia a biztonságra, a teljesítményre és a fejlesztési, tesztelési és éles környezetek elkülönítésére vonatkozik.
Az App Service Environment jobb felügyeletet biztosít a biztonság és az adatvédelem felett, mivel minden alkalmazás saját biztonsági beállításokkal rendelkezhet. A környezet tartalmazhat behatolásokat, mert az elkülönítés korlátozza a robbanás sugarát. Az erőforrás-versengés teljesítmény szempontjából minimálisra csökken. Az elkülönítés lehetővé teszi a független skálázást az adott igény és az egyéni kapacitástervezés alapján.
Hátránya, hogy ez a megközelítés drágább, és működési szigort igényel.
Megbízható skálázási stratégia
A jól definiált skálázási stratégia biztosítja, hogy az alkalmazás a teljesítmény veszélyeztetése nélkül kezelje a különböző terheléseket. Vannak azonban kompromisszumok a költségeken. A skálázási műveletek időigényesek. Új erőforrások lefoglalásakor az alkalmazást megfelelően inicializálni kell, mielőtt hatékonyan feldolgozhatja a kéréseket. Az erőforrásokat (előzetes példányokat) túlterjeszkedve biztosíthatja a biztonsági hálót. Ezen többletkapacitás nélkül az inicializálási fázisban előfordulhat, hogy a kérések kézbesítése késik, ami hatással van a felhasználói élményre. Az automatikus skálázási műveletek elég korán aktiválhatók ahhoz, hogy az ügyfelek mire az erőforrásokat használják, megfelelő erőforrás-inicializálást tegyenek lehetővé.
Hátrányként a túlterjedt erőforrások többe kerülnek. Minden példányért másodpercenkénti díjat számítunk fel, beleértve az előre elkészített példányokat is. A magasabb szintek közé tartoznak az előre elkészített példányok. Határozza meg, hogy a drágább szinteket tartalmazó képességek megérik-e a befektetést.
Redundancia kiépítése
A redundancia rugalmasságot biztosít, de költségekkel is jár. A számítási feladat szolgáltatásiszint-célkitűzései (SLO-k) határozzák meg az elfogadható teljesítményküszöböket. Feleslegessé válik, ha a redundancia meghaladja az SLO követelményeit. Értékelje ki, hogy a túlzott redundancia javítja-e az SLO-kat, vagy szükségtelen összetettséghez ad-e hozzá.
Vegye figyelembe a hátrányokat is. A többrégiós redundancia például magas rendelkezésre állást biztosít, de összetettséget és költséget jelent az adatszinkronizálás, a feladatátvételi mechanizmusok és a régiók közötti kommunikáció miatt. Állapítsa meg, hogy a zónaredundancia megfelel-e az SLO-knak.
Azure-szabályzatok
Az Azure az App Service-hez és annak függőségeihez kapcsolódó beépített szabályzatok széles halmazát biztosítja. Az Azure-szabályzatok halmaza az előző javaslatok némelyikét naplózhatja. Például ellenőrizheti, hogy:
Megfelelő hálózati vezérlők vannak érvényben. A hálózati szegmentálást például úgy építheti be, hogy az App Service-t virtuális hálózatinjektálással helyezi el az Azure Virtual Networkben, hogy nagyobb mértékben szabályozhassa a hálózati konfigurációt. Az alkalmazás nem rendelkezik nyilvános végpontokkal, és privát végpontokon keresztül csatlakozik az Azure-szolgáltatásokhoz.
Az identitásvezérlők érvényben vannak. Az alkalmazás például felügyelt identitásokkal hitelesíti magát más erőforrásokon. Az App Service beépített hitelesítése ellenőrzi a bejövő kéréseket.
A támadási felület csökkentése érdekében letilthatja a funkciókat, például a távoli hibakeresést és az alapszintű hitelesítést.
Az átfogó szabályozás érdekében tekintse át az Azure Policy beépített definícióit és egyéb szabályzatait, amelyek hatással lehetnek a számítási réteg biztonságára.
Azure Advisor-javaslatok
Az Azure Advisor egy személyre szabott felhőtanácsadó, amely segít az Ajánlott eljárások követésében az Azure-üzemelő példányok optimalizálása érdekében. Íme néhány javaslat, amely segíthet a webalkalmazás-példányok megbízhatóságának, biztonságának, költséghatékonyságának, teljesítményének és működési kiválóságának javításában.
Következő lépések
Vegye figyelembe az alábbi cikkeket forrásként, amelyek a cikkben kiemelt ajánlásokat mutatják be.
Ezeket a referenciaarchitektúrákat példákként használhatja arra, hogyan alkalmazhatja ezeket a javaslatokat egy számítási feladatra.
Ha még soha nem telepített webalkalmazást, tekintse meg az Alapszintű webalkalmazás című témakört.
Az éles üzemű üzemelő példány kiindulópontjaként szolgáló alapszintű architektúráért tekintse meg a magas rendelkezésre állású zónaredundáns webalkalmazás alapkonfigurációját.
A következő termékdokumentációval fejlesztheti implementációs szakértelmét:
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: