Considerazioni sulla gestione delle operazioni per l'acceleratore di zona di destinazione Gestione API

  • Articolo

Questo articolo fornisce considerazioni sulla progettazione e raccomandazioni per la gestione delle operazioni quando si usa l'acceleratore di zona di destinazione Gestione API. La gestione delle operazioni illustra più aspetti, tra cui:

  • Provisioning, scalabilità e monitoraggio dell'istanza di Gestione API
  • Configurazione dei criteri nel gateway
  • Gestione delle API
  • Preparazione per la continuità aziendale e il ripristino di emergenza

Altre informazioni sull'area di progettazione della gestione .

Gestione e monitoraggio

Considerazioni sulla progettazione per la gestione e il monitoraggio

  • Tenere presente i limiti massimi di velocità effettiva di ogni livello di servizio Gestione API. Questi limiti sono approssimativi e non garantiti.
  • Tenere presente il numero massimo di unità di scalabilità per Gestione API livello di servizio.
  • Tenere presente il tempo necessario per ridimensionare, distribuire in un'altra area o convertire in un livello di servizio diverso.
  • Gestione API non aumenta automaticamente; è necessaria una configurazione aggiuntiva.
  • Non è previsto alcun tempo di inattività durante un evento con scalabilità orizzontale.
  • Solo il componente gateway di Gestione API viene distribuito in tutte le aree in una distribuzione in più aree.
  • Tenere presente il possibile impatto sulle prestazioni della registrazione di Application Insights con carichi elevati.
  • Tenere presente il numero di criteri in ingresso e in uscita applicati e il relativo impatto sulle prestazioni.
  • Gestione API criteri sono codice e devono essere sotto il controllo della versione
  • la cache predefinita di Gestione API è condivisa da tutte le unità nella stessa area nello stesso servizio Gestione API.
  • Usare le zone di disponibilità. Il numero di unità di scala selezionate deve distribuire uniformemente tra le zone.
  • Se si usa un gateway self-hosted, tenere presente che le credenziali scadono ogni 30 giorni e devono essere ruotate.
  • L'URI /status-0123456789abcdef può essere usato come endpoint di integrità comune per il servizio Gestione API.
  • Il servizio Gestione API non è un WAF. Distribuire un WAF, ad esempio gateway applicazione di Azure davanti a livelli aggiuntivi di protezione.
  • La negoziazione dei certificati client è abilitata in una configurazione per gateway.
  • I certificati e i segreti in Key Vault vengono aggiornati in Gestione API entro 4 ore dopo essere stati impostati. È anche possibile aggiornare manualmente un segreto usando il portale di Azure o tramite l'API REST di gestione.
  • I domini personalizzati possono essere applicati a tutti gli endpoint o solo a un subset. Il livello Premium supporta l'impostazione di più nomi host per l'endpoint gateway.
  • Gestione API può essere eseguito il backup usando l'API REST di gestione. I backup scadono dopo 30 giorni. Tenere presente cosa Gestione API non esegue il backup.
  • I valori denominati sono globali nell'ambito.
  • Le operazioni API possono essere raggruppate in prodotti e sottoscrizioni. Basare la progettazione sui requisiti aziendali effettivi.

Consigli di progettazione per la gestione e il monitoraggio

  • Applicare domini personalizzati solo all'endpoint del gateway.
  • Usare i criteri di Hub eventi per la registrazione a livelli di prestazioni elevati.
  • Usare una cache esterna per il controllo e le prestazioni più veloci.
  • Distribuire almeno due unità di scalabilità distribuite su due zone di disponibilità per ogni area per garantire la disponibilità e le prestazioni ottimali.
  • Usare Monitoraggio di Azure per ridimensionare automaticamente Gestione API. Se si usa un gateway self-hosted, usare il ridimensionamento automatico orizzontale dei pod Kubernetes per aumentare il numero di istanze del gateway.
  • Distribuire gateway self-hosted in cui Azure non ha un'area vicina alle API back-end.
  • Usare Key Vault per l'archiviazione, la notifica e la rotazione dei certificati.
  • Non abilitare 3DES, TLS 1.1 o protocolli di crittografia inferiori a meno che non sia necessario.
  • Usare le procedure devOps e di infrastruttura come codice per gestire tutte le distribuzioni, gli aggiornamenti e il ripristino di emergenza.
  • Creare una revisione dell'API e modificare la voce del log per ogni aggiornamento api.
  • Usare i back-end per eliminare le configurazioni back-end dell'API ridondanti.
  • Usare valori denominati per archiviare valori comuni che possono essere usati nei criteri.
  • Usare Key Vault per archiviare i segreti che i valori denominati possono fare riferimento. I segreti aggiornati nell'insieme di credenziali delle chiavi vengono ruotati automaticamente in Gestione API
  • Sviluppare una strategia di comunicazione per notificare agli utenti gli aggiornamenti della versione dell'API di rilievo.
  • Configurare le impostazioni di diagnostica per inoltrare AllMetrics e AllLogs all'area di lavoro Log Analytics.

Continuità aziendale e ripristino di emergenza

Considerazioni sulla progettazione per la continuità aziendale e il ripristino di emergenza

  • Determinare l'obiettivo del tempo di ripristino (RTO) e l'obiettivo del punto di ripristino (RPO) per le istanze di Gestione API che si desidera proteggere e le catene di valori supportate (consumer e provider). Prendere in considerazione la distribuzione di istanze nuove o la presenza di un standby ad accesso frequente/freddo.
  • Gestione API supporta distribuzioni multizone e multiregion. In base ai requisiti, è possibile abilitare solo uno o entrambi.
  • Il failover può essere automatizzato:
    • Una distribuzione multizone esegue automaticamente il failover.
    • Una distribuzione multiregion richiede un servizio di bilanciamento del carico basato su DNS, ad esempio Gestione traffico, per eseguire il failover.
  • Gestione API può essere eseguito il backup usando l'API REST di gestione.

Consigli di progettazione per la continuità aziendale e il ripristino di emergenza

  • Usare un'identità gestita assegnata dall'utente per Gestione API per evitare tempi di inattività durante la ridistribuzione dai modelli di Resource Manager. Se si usa un'identità gestita assegnata dal sistema, questa identità e i relativi ruoli e assegnazioni associate, ad esempio Azure Key Vault l'accesso segreto, verrà rimosso se la risorsa viene rimossa. Se si usa un'identità gestita assegnata dall'utente, queste assegnazioni rimarranno, consentendo di associarla nuovamente a Gestione API senza perdita di accesso.
  • Usare Azure Pipelines automatizzato per eseguire i backup.
  • Decidere se è necessaria la distribuzione multiregion .

Presupposti su scala aziendale

Di seguito sono riportati i presupposti che sono stati inseriti nello sviluppo dell'acceleratore di zona di destinazione Gestione API:

  • È consigliabile un'istanza del livello Premium di Gestione API che supporta le zone di disponibilità e le distribuzioni multiregion.
  • Azure Pipelines viene usato per gestire e distribuire l'infrastruttura come codice.