Supporto del traffico elevato nel gateway applicazione

  • Articolo

Nota

Questo articolo descrive alcune linee guida suggerite che consentono di configurare il gateway applicazione per gestire il traffico aggiuntivo per qualsiasi volume di traffico elevato che può verificarsi. Le soglie di avviso sono puramente suggerimenti e natura generica. Gli utenti possono determinare le soglie di avviso in base ai carichi di lavoro e alle aspettative di utilizzo.

È possibile usare il gateway applicazione con web application firewall (WAF) per un modo sicuro e scalabile di gestire il traffico verso le applicazioni Web.

È importante ridimensionare il gateway applicazione in base al traffico e con un po' di buffer in modo da prepararsi per eventuali picchi o picchi di traffico e ridurre al minimo l'impatto che potrebbe avere nel QoS. I suggerimenti seguenti consentono di configurare il gateway applicazione con WAF per gestire il traffico aggiuntivo.

Consultare la documentazione delle metriche per l'elenco completo delle metriche offerte da gateway applicazione. Vedere visualizzare le metriche nella portale di Azure e nella documentazione di Monitoraggio di Azure su come impostare gli avvisi per le metriche.

Per informazioni dettagliate e suggerimenti sull'efficienza delle prestazioni per gateway applicazione, vedere Revisione di Azure Well-Architected Framework - app Azure lication Gateway v2.

Ridimensionamento per gateway applicazione SKU v1 (SKU Standard/WAF)

Impostare il numero di istanze in base al picco di utilizzo della CPU

Se si usa un gateway SKU v1, sarà possibile impostare il gateway applicazione fino a 32 istanze per il ridimensionamento. Controllare l'utilizzo della CPU del gateway applicazione nell'ultimo mese per eventuali picchi superiori all'80%, è disponibile come metrica da monitorare. È consigliabile impostare il numero di istanze in base all'utilizzo massimo e con un buffer aggiuntivo del 10% al 20% per tenere conto di eventuali picchi di traffico.

V1 CPU utilization metrics

Usare lo SKU v2 piuttosto che la versione 1 per le funzionalità di scalabilità automatica e i vantaggi a livello di prestazioni

Lo SKU v2 offre funzionalità di scalabilità automatica per garantire che il gateway applicazione possa aumentare le prestazioni in caso di aumento del traffico. Offre anche altri vantaggi significativi a livello di prestazioni, ad esempio prestazioni di offload TLS 5 volte migliori, tempi di distribuzione e aggiornamento più rapidi, ridondanza della zona e molto altro rispetto alla versione v1. Per altre informazioni, vedere la documentazione sulla versione 2 e vedere la documentazione sulla migrazione da v1 a v2 per informazioni su come eseguire la migrazione dei gateway SKU v1 esistenti allo SKU v2.

Scalabilità automatica per lo SKU v2 del gateway applicazione (SKU Standard_v2/WAF_v2)

Impostare il numero massimo di istanze sul massimo possibile (125)

Per gateway applicazione SKU v2, l'impostazione del numero massimo di istanze sul valore massimo possibile di 125 consente al gateway applicazione di aumentare il numero di istanze in base alle esigenze. Ciò permette di gestire il possibile aumento del traffico per le applicazioni. Vengono addebitati solo i costi per le unità di capacità usate.

Assicurarsi di controllare le dimensioni della subnet e il numero di indirizzi IP disponibili nella subnet e impostare il numero massimo di istanze in base a tale valore. Se la subnet non ha spazio sufficiente per adattarsi, è necessario ricreare il gateway nella stessa subnet o in una subnet diversa con capacità sufficiente.

V2 autoscaling configuration

Impostare il numero minimo di istanze in base all'utilizzo medio delle unità di calcolo

Per gateway applicazione SKU v2, la scalabilità automatica richiede da sei a sette minuti per aumentare il numero di istanze ed effettuare il provisioning di un set aggiuntivo di istanze pronte per l'esecuzione del traffico. Fino ad allora, se sono presenti brevi picchi di traffico, le istanze del gateway esistenti potrebbero verificarsi stress e ciò può causare una latenza imprevista o una perdita di traffico.

È consigliabile impostare il numero minimo di istanze su un livello ottimale. Ad esempio, se sono necessarie 50 istanze per gestire il traffico al picco di carico, impostare il valore minimo da 25 a 30 è una buona idea anziché su <10, in modo che anche quando sono presenti brevi picchi di traffico, gateway applicazione sarebbe in grado di gestirlo e dare tempo sufficiente per rispondere e rendere effettiva la scalabilità automatica.

Controllare la metrica dell'unità di calcolo per l'ultimo mese. La metrica delle unità di calcolo è una rappresentazione dell'utilizzo della CPU del gateway e, in base al picco di utilizzo diviso per 10, è possibile impostare il numero minimo di istanze necessarie. Si noti che 1 istanza del gateway applicazione può gestire almeno 10 unità di calcolo

V2 compute unit metrics

Ridimensionamento manuale per gateway applicazione SKU v2 (Standard_v2/WAF_v2)

Impostare il numero di istanze in base all'utilizzo massimo dell'unità di calcolo

A differenza della scalabilità automatica, nella scalabilità manuale è necessario impostare manualmente il numero di istanze del gateway applicazione in base ai requisiti del traffico. È consigliabile impostare il numero di istanze in base all'utilizzo massimo e con un buffer aggiuntivo del 10% al 20% per tenere conto di eventuali picchi di traffico. Ad esempio, se il traffico richiede 50 istanze al picco, effettuare il provisioning da 55 a 60 istanze per gestire picchi di traffico imprevisti che possono verificarsi.

Controllare la metrica dell'unità di calcolo per l'ultimo mese. La metrica dell'unità di calcolo è una rappresentazione dell'utilizzo della CPU del gateway e, in base al picco di utilizzo diviso per 10, è possibile impostare il numero di istanze necessarie, poiché 1 istanza del gateway applicazione può gestire un minimo di 10 unità di calcolo

Monitoraggio e avvisi

Per ricevere una notifica di eventuali anomalie del traffico o dell'utilizzo, è possibile configurare avvisi su determinate metriche. Vedere la documentazione delle metriche per l'elenco completo delle metriche offerte da gateway applicazione. Vedere visualizzare le metriche nella portale di Azure e nella documentazione di Monitoraggio di Azure su come impostare gli avvisi per le metriche.

Per configurare gli avvisi usando i modelli di Resource Manager, vedere Configurare gli avvisi di Monitoraggio di Azure per gateway applicazione.

Avvisi per gateway applicazione SKU v1 (Standard/WAF)

Avvisa se l'utilizzo medio della CPU supera l'80%

In condizioni normali, l'utilizzo della CPU non deve superare regolarmente il 90%, in quanto ciò potrebbe causare una latenza nei siti Web ospitati dietro il gateway applicazione e compromettere l'esperienza del client. È possibile controllare o migliorare indirettamente l'utilizzo della CPU modificando la configurazione del gateway applicazione aumentando il numero di istanze o passando a una dimensione sku maggiore o eseguendo entrambe le operazioni. Impostare un avviso se la metrica di utilizzo della CPU supera l'80% della media.

Avviso se il numero di host non integri supera la soglia

Questa metrica indica il numero di server back-end che il gateway applicazione non è in grado di eseguire correttamente il probe. Questo rileva i problemi per cui le istanze del gateway applicazione non sono in grado di connettersi al back-end. Avvisa se questo numero supera il 20% della capacità back-end. Ad esempio, se sono presenti 30 server back-end in un pool back-end, impostare un avviso se il numero di host non integri supera 6.

Avviso se lo stato della risposta (4xx, 5xx) supera la soglia

Creare un avviso quando gateway applicazione stato della risposta è 4xx o 5xx. È possibile che si verifichi una risposta 4xx o 5xx occasionale a causa di problemi temporanei. È necessario osservare il gateway nell'ambiente di produzione per determinare la soglia statica o usare la soglia dinamica per l'avviso.

Avviso se le richieste non riuscite superano la soglia

Creare un avviso quando la metrica Richieste non riuscite supera la soglia. È necessario osservare il gateway nell'ambiente di produzione per determinare la soglia statica o usare la soglia dinamica per l'avviso.

Esempio: Configurazione di un avviso per più di 100 richieste non riuscite negli ultimi 5 minuti

In questo esempio viene illustrato come usare il portale di Azure per configurare un avviso quando il numero di richieste non riuscite negli ultimi 5 minuti è superiore a 100.

  1. Passare al gateway applicazione.
  2. Nel pannello a sinistra selezionare Metrica nella scheda Monitoraggio.
  3. Aggiungere una metrica per le richieste non riuscite.
  4. Fare clic su Nuova regola di avviso e definire la condizione e le azioni
  5. Fare clic su Crea regola di avviso per creare e abilitare l'avviso

V2 create alerts

Avvisi per gateway applicazione SKU v2 (Standard_v2/WAF_v2)

Avvisa se l'utilizzo dell'unità di calcolo supera il 75% dell'utilizzo medio

L'unità di calcolo misura dell'utilizzo delle risorse di calcolo dell'gateway applicazione. Controllare l'utilizzo medio delle unità di calcolo nell'ultimo mese e impostare un avviso se supera il 75% di esso. Ad esempio, se l'utilizzo medio è di 10 unità di calcolo, impostare un avviso su 7,5 UNITÀ di calcolo. In questo modo viene visualizzato un avviso se l'utilizzo aumenta e si ha quindi tempo per rispondere. È possibile aumentare il valore minimo se si ritiene che il traffico sarà sostenuto per segnalare che il traffico potrebbe aumentare. Seguire i suggerimenti di ridimensionamento precedenti per aumentare il numero di istanze in base alle esigenze.

Esempio: Configurazione di un avviso per il 75% dell'utilizzo medio della cu

Questo esempio illustra come usare il portale di Azure per configurare un avviso quando viene raggiunto il 75% dell'utilizzo medio di unità di capacità.

  1. Passare al gateway applicazione.
  2. Nel pannello a sinistra selezionare Metrica nella scheda Monitoraggio.
  3. Aggiungere una metrica per Average Current Compute Units (Unità di calcolo correnti medie).
  4. Se è stato impostato il numero minimo di istanze come utilizzo medio di unità di capacità, procedere e impostare un avviso quando il 75% del numero minimo di istanze è in uso. Ad esempio, se l'utilizzo medio è pari a 10 unità di capacità, impostare un avviso per 7,5 unità di capacità. In questo modo viene visualizzato un avviso se l'utilizzo aumenta e si ha quindi tempo per rispondere. È possibile aumentare il valore minimo se si ritiene che il traffico sarà sostenuto per segnalare che il traffico potrebbe aumentare.

V2 compute unit alerts

Nota

È possibile impostare l'avviso affinché venga generato per una percentuale di utilizzo di unità di capacità inferiore o superiore, a seconda del livello di dettaglio desiderato per il rilevamento dei potenziali picchi di traffico.

Avvisa se l'utilizzo dell'unità di capacità supera il 75% del picco di utilizzo

Le unità di capacità rappresentano l'utilizzo complessivo del gateway in termini di velocità effettiva, calcolo e numero di connessioni. Controllare l'utilizzo massimo dell'unità di capacità nell'ultimo mese e impostare un avviso se supera il 75% di esso. Ad esempio, se l'utilizzo massimo è di 100 unità di capacità, impostare un avviso su 75 UNITÀ di calcolo. Seguire i due suggerimenti precedenti per aumentare il numero di istanze, se necessario.

Avviso se il numero di host non integri supera la soglia

Questa metrica indica il numero di server back-end che il gateway applicazione non è in grado di eseguire correttamente il probe. Questo rileva i problemi per cui le istanze del gateway applicazione non sono in grado di connettersi al back-end. Avvisa se questo numero supera il 20% della capacità back-end. Ad esempio, se sono presenti 30 server back-end in un pool back-end, impostare un avviso se il numero di host non integri supera 6.

Avviso se lo stato della risposta (4xx, 5xx) supera la soglia

Creare un avviso quando gateway applicazione stato della risposta è 4xx o 5xx. È possibile che si verifichi una risposta 4xx o 5xx occasionale a causa di problemi temporanei. È necessario osservare il gateway nell'ambiente di produzione per determinare la soglia statica o usare la soglia dinamica per l'avviso.

Avviso se le richieste non riuscite superano la soglia

Creare un avviso quando la metrica Richieste non riuscite supera la soglia. È necessario osservare il gateway nell'ambiente di produzione per determinare la soglia statica o usare la soglia dinamica per l'avviso.

Avvisa se il tempo di risposta dell'ultimo byte back-end supera la soglia

Questa metrica indica l'intervallo di tempo tra l'inizio della creazione di una connessione al server back-end e la ricezione dell'ultimo byte del corpo della risposta. Creare un avviso se la latenza della risposta back-end è più che una determinata soglia rispetto al solito. Ad esempio, impostare questa opzione per ricevere un avviso quando la latenza della risposta back-end aumenta di oltre il 30% rispetto al valore consueto.

Avvisa se gateway applicazione tempo totale supera la soglia

Questo è l'intervallo dal momento in cui gateway applicazione riceve il primo byte della richiesta HTTP all'ora in cui l'ultimo byte di risposta è stato inviato al client. Deve creare un avviso se la latenza della risposta back-end è più che una determinata soglia rispetto al solito. Ad esempio, possono impostare questa opzione per ricevere un avviso quando la latenza totale del tempo aumenta di oltre il 30% dal valore consueto.

Configurare WAF con filtro geografico e protezione bot per arrestare gli attacchi

Se si vuole un ulteriore livello di sicurezza per l'applicazione, usare il gateway applicazione WAF_v2 SKU per le funzionalità WAF. È possibile configurare lo SKU v2 in modo da consentire solo l'accesso alle applicazioni da un determinato paese/area geografica o da più aree geografiche/paesi. È stata configurata una regola personalizzata WAF per consentire o bloccare in modo esplicito il traffico in base alla posizione geografica. Per altre informazioni, vedere Regole personalizzate di filtro geografico e come configurare regole personalizzate in gateway applicazione WAF_v2 SKU tramite PowerShell.

Abilitare la protezione dai bot per bloccare i bot dannosi noti. Questa operazione dovrebbe ridurre la quantità di traffico per l'applicazione. Per altre informazioni, vedere la pagina relativa alla protezione dai bot con istruzioni di configurazione.

Attivare la diagnostica per il gateway applicazione e WAF

I log di diagnostica consentono di visualizzare i log del firewall, i log delle prestazioni e i log di accesso. È possibile usare questi log in Azure per gestire e risolvere i problemi dei gateway applicazione. Per altre informazioni, vedere la documentazione relativa alla diagnostica.

Configurare criteri TLS per una maggiore sicurezza

Assicurarsi di usare la versione più recente dei criteri TLS (AppGwSslPolicy20220101) o versione successiva. Questi supportano una versione minima di TLS 1.2 con crittografie più avanzate. Per altre informazioni, vedere Configurazione delle versioni dei criteri TLS e dei pacchetti di crittografia tramite PowerShell.