Ondersteuning voor intensief verkeer in Application Gateway
Notitie
In dit artikel worden enkele voorgestelde richtlijnen beschreven om u te helpen bij het instellen van uw Application Gateway voor het afhandelen van extra verkeer voor elk groot verkeersvolume dat kan optreden. De drempelwaarden voor waarschuwingen zijn puur suggesties en algemeen van aard. Gebruikers kunnen waarschuwingsdrempels bepalen op basis van hun workload- en gebruikswachtingen.
U kunt Application Gateway gebruiken met Web Application Firewall (WAF) voor een schaalbare en veilige manier om verkeer naar uw webtoepassingen te beheren.
Het is belangrijk dat u uw Application Gateway schaalt op basis van uw verkeer en met een beetje buffer, zodat u voorbereid bent op verkeerspieken of pieken en de impact die deze mogelijk heeft in uw QoS minimaliseert. Met de volgende suggesties kunt u Application Gateway instellen met WAF voor het afhandelen van extra verkeer.
Raadpleeg de documentatie voor metrische gegevens voor de volledige lijst met metrische gegevens die worden aangeboden door Application Gateway. Zie Metrische gegevens visualiseren in Azure Portal en de Documentatie van Azure Monitor over het instellen van waarschuwingen voor metrische gegevens.
Zie Azure Well-Architected Framework review - Azure-toepassing Gateway v2 voor meer informatie en aanbevelingen over de efficiëntie van de prestaties voor Application Gateway.
Schalen voor Application Gateway v1 SKU (Standard/WAF SKU)
Het aantal exemplaren instellen op basis van het piek-CPU-gebruik
Als u een v1 SKU-gateway gebruikt, kunt u uw Application Gateway instellen op maximaal 32 exemplaren voor schalen. Controleer het CPU-gebruik van uw Application Gateway in de afgelopen één maand op pieken boven de 80%. Het is beschikbaar als metrische waarde die u kunt controleren. Het is raadzaam om het aantal exemplaren in te stellen op basis van uw piekgebruik en met een extra buffer van 10% tot 20% om rekening te houden met eventuele verkeerspieken.
De v2-SKU boven v1 gebruiken voor de mogelijkheden voor automatisch schalen en prestatievoordelen
De v2-SKU biedt automatisch schalen om ervoor te zorgen dat uw Application Gateway omhoog kan schalen naarmate het verkeer toeneemt. Het biedt ook andere belangrijke prestatievoordelen, zoals 5x betere TLS-offloadprestaties, snellere implementatie- en updatetijden, zoneredundantie en meer in vergelijking met v1. Zie onze v2-documentatie en raadpleeg onze v1-naar-v2-migratiedocumentatie voor meer informatie over het migreren van uw bestaande v1 SKU-gateways naar v2 SKU.
Automatisch schalen voor Application Gateway v2 SKU (Standard_v2/WAF_v2 SKU)
Maximumaantal exemplaren instellen op het maximaal mogelijke aantal exemplaren (125)
Voor Application Gateway v2 SKU stelt u het maximumaantal exemplaren in op de maximaal mogelijke waarde van 125, zodat Application Gateway naar behoefte kan worden uitgebreid. Hierdoor kan de mogelijke toename van het verkeer naar uw toepassingen worden afgehandeld. Er worden alleen kosten in rekening gebracht voor de capaciteitseenheden die u gebruikt.
Zorg ervoor dat u de grootte van uw subnet en het beschikbare IP-adres in uw subnet controleert en het maximumaantal exemplaren op basis daarvan instelt. Als uw subnet niet voldoende ruimte heeft om ruimte te bieden, moet u de gateway opnieuw maken in hetzelfde of een ander subnet dat voldoende capaciteit heeft.
Het minimale aantal exemplaren instellen op basis van het gemiddelde gebruik van rekeneenheden
Voor Application Gateway v2 SKU duurt automatisch schalen zes tot zeven minuten om uit te schalen en extra set exemplaren in te richten die gereed zijn om verkeer te nemen. Tot die tijd, als er korte pieken in het verkeer zijn, kunnen uw bestaande gateway-exemplaren stress ondervinden en dit kan onverwachte latentie of verlies van verkeer veroorzaken.
Het is raadzaam dat u het minimale aantal exemplaren instelt op een optimaal niveau. Als u bijvoorbeeld 50 exemplaren nodig hebt om het verkeer bij piekbelasting te verwerken, is het instellen van minimaal 25 tot 30 een goed idee in plaats <van 10, zodat zelfs wanneer er korte pieken in het verkeer zijn, Application Gateway deze kan afhandelen en voldoende tijd geeft voor automatische schaalaanpassing om te reageren en van kracht te worden.
Controleer de metrische gegevens van uw rekeneenheid voor de afgelopen één maand. De metrische rekeneenheid is een weergave van het CPU-gebruik van uw gateway en op basis van uw piekgebruik gedeeld door 10, kunt u het minimale aantal vereiste exemplaren instellen. Houd er rekening mee dat 1 exemplaar van de toepassingsgateway minimaal 10 rekeneenheden kan verwerken
Handmatig schalen voor Application Gateway v2-SKU (Standard_v2/WAF_v2)
Het aantal exemplaren instellen op basis van het piekgebruik van rekeneenheden
In tegenstelling tot automatisch schalen moet u bij handmatig schalen het aantal exemplaren van uw toepassingsgateway handmatig instellen op basis van de verkeersvereisten. Het is raadzaam om het aantal exemplaren in te stellen op basis van uw piekgebruik en met een extra buffer van 10% tot 20% om rekening te houden met eventuele verkeerspieken. Als uw verkeer bijvoorbeeld 50 exemplaren bij piek vereist, richt u 55 tot 60 exemplaren in om onverwachte verkeerspieken af te handelen die kunnen optreden.
Controleer de metrische gegevens van uw rekeneenheid voor de afgelopen één maand. De metrische rekeneenheid is een weergave van het CPU-gebruik van uw gateway en op basis van uw piekgebruik gedeeld door 10, kunt u het aantal vereiste exemplaren instellen, omdat 1 exemplaar van de toepassingsgateway minimaal 10 rekeneenheden kan verwerken
Bewaking en waarschuwingen
Als u een melding wilt ontvangen over afwijkingen in verkeer of gebruik, kunt u waarschuwingen instellen voor bepaalde metrische gegevens. Raadpleeg de documentatie voor metrische gegevens voor de volledige lijst met metrische gegevens die worden aangeboden door Application Gateway. Zie Metrische gegevens visualiseren in Azure Portal en de Documentatie van Azure Monitor over het instellen van waarschuwingen voor metrische gegevens.
Zie Azure Monitor-waarschuwingen configureren voor Application Gateway om waarschuwingen te configureren met behulp van ARM-sjablonen.
Waarschuwingen voor Application Gateway v1 SKU (Standard/WAF)
Waarschuwing als het gemiddelde CPU-gebruik 80% overschrijdt
Onder normale omstandigheden mag het CPU-gebruik niet al te vaak 90% overschrijden, omdat dit latentie kan veroorzaken in de websites die achter de Application Gateway worden gehost en omdat dit de clientervaring kan verstoren. U kunt het CPU-gebruik indirect beheren of verbeteren door de configuratie van de Application Gateway te wijzigen door het aantal exemplaren te verhogen of door over te stappen op een grotere SKU of beide te doen. Stel een waarschuwing in als de metrische waarde voor CPU-gebruik hoger is dan 80% gemiddeld.
Waarschuwing als het aantal beschadigde hosts de drempelwaarde overschrijdt
Deze metrische waarde geeft het aantal back-endservers aan dat application gateway niet kan worden getest. Dit onderschept problemen waarbij Application Gateway-exemplaren geen verbinding kunnen maken met de back-end. Waarschuwing als dit aantal hoger is dan 20% van de back-endcapaciteit. Als u bijvoorbeeld 30 back-endservers in een back-endpool hebt, stelt u een waarschuwing in als het aantal beschadigde hosts hoger is dan 6.
Waarschuwing als de responsstatus (4xx, 5xx) de drempelwaarde overschrijdt
Waarschuwing maken wanneer de antwoordstatus van Application Gateway 4xx of 5xx is. Er kan af en toe een 4xx- of 5xx-respons worden gezien vanwege tijdelijke problemen. U moet de gateway in productie observeren om een statische drempelwaarde te bepalen of dynamische drempelwaarde voor de waarschuwing te gebruiken.
Waarschuwing als mislukte aanvragen de drempelwaarde overschrijden
Waarschuwing maken wanneer de metrische drempel voor mislukte aanvragen wordt overschreden. U moet de gateway in productie observeren om een statische drempelwaarde te bepalen of dynamische drempelwaarde voor de waarschuwing te gebruiken.
Voorbeeld: Een waarschuwing instellen voor meer dan 100 mislukte aanvragen in de afgelopen 5 minuten
In dit voorbeeld ziet u hoe u azure Portal gebruikt om een waarschuwing in te stellen wanneer het aantal mislukte aanvragen in de afgelopen 5 minuten meer dan 100 is.
- Navigeer naar uw Toepassingsgateway.
- Selecteer in het linkerdeelvenster Metrische gegevens onder het tabblad Bewaking .
- Voeg een metrische waarde toe voor mislukte aanvragen.
- Klik op Nieuwe waarschuwingsregel en definieer uw voorwaarde en acties
- Klik op Waarschuwingsregel maken om de waarschuwing te maken en in te schakelen
Waarschuwingen voor Application Gateway v2 SKU (Standard_v2/WAF_v2)
Waarschuwing als het gebruik van rekeneenheden 75% van het gemiddelde gebruik overschrijdt
Rekeneenheid is de meting van het rekengebruik van uw Application Gateway. Controleer het gemiddelde gebruik van rekeneenheden in de afgelopen maand en stel een waarschuwing in als deze 75% overschrijdt. Als uw gemiddelde gebruik bijvoorbeeld 10 rekeneenheden is, stelt u een waarschuwing in op 7,5 CU's. Dit waarschuwt u als het gebruik toeneemt en u tijd krijgt om te reageren. U kunt het minimum verhogen als u denkt dat dit verkeer wordt voortgezet om u te waarschuwen dat het verkeer mogelijk toeneemt. Volg de bovenstaande schaalsuggesties om zo nodig uit te schalen.
Voorbeeld: Een waarschuwing instellen op 75% van het gemiddelde CU-gebruik
In dit voorbeeld ziet u hoe u Azure Portal gebruikt om een waarschuwing in te stellen wanneer 75% van het gemiddelde CU-gebruik wordt bereikt.
- Navigeer naar uw Toepassingsgateway.
- Selecteer in het linkerdeelvenster Metrische gegevens onder het tabblad Bewaking .
- Voeg een metrische waarde toe voor gemiddelde huidige rekeneenheden.
- Als u het minimumaantal exemplaren hebt ingesteld op uw gemiddelde CU-gebruik, kunt u een waarschuwing instellen wanneer 75% van uw minimale exemplaren in gebruik zijn. Als uw gemiddelde gebruik bijvoorbeeld 10 CA's is, stelt u een waarschuwing in op 7,5 CA's. Dit waarschuwt u als het gebruik toeneemt en u tijd krijgt om te reageren. U kunt het minimum verhogen als u denkt dat dit verkeer wordt voortgezet om u te waarschuwen dat het verkeer mogelijk toeneemt.
Notitie
U kunt de waarschuwing instellen op een lager of hoger CU-gebruikspercentage, afhankelijk van hoe gevoelig u wilt zijn voor potentiële verkeerspieken.
Waarschuwing als het gebruik van capaciteitseenheden 75% van het piekgebruik overschrijdt
Capaciteitseenheden vertegenwoordigen het totale gatewaygebruik in termen van doorvoer, rekenkracht en aantal verbindingen. Controleer het maximale gebruik van capaciteitseenheden in de afgelopen maand en stel een waarschuwing in als deze 75% van de capaciteit overschrijdt. Als uw maximale gebruik bijvoorbeeld 100 capaciteitseenheden is, stelt u een waarschuwing in op 75 CU's. Volg indien nodig de bovenstaande twee suggesties om uit te schalen.
Waarschuwing als het aantal beschadigde hosts de drempelwaarde overschrijdt
Deze metrische waarde geeft het aantal back-endservers aan dat application gateway niet kan worden getest. Dit onderschept problemen waarbij Application Gateway-exemplaren geen verbinding kunnen maken met de back-end. Waarschuwing als dit aantal hoger is dan 20% van de back-endcapaciteit. Als u bijvoorbeeld 30 back-endservers in een back-endpool hebt, stelt u een waarschuwing in als het aantal beschadigde hosts hoger is dan 6.
Waarschuwing als de responsstatus (4xx, 5xx) de drempelwaarde overschrijdt
Waarschuwing maken wanneer de antwoordstatus van Application Gateway 4xx of 5xx is. Er kan af en toe een 4xx- of 5xx-respons worden gezien vanwege tijdelijke problemen. U moet de gateway in productie observeren om een statische drempelwaarde te bepalen of dynamische drempelwaarde voor de waarschuwing te gebruiken.
Waarschuwing als mislukte aanvragen de drempelwaarde overschrijden
Waarschuwing maken wanneer de metrische drempel voor mislukte aanvragen wordt overschreden. U moet de gateway in productie observeren om een statische drempelwaarde te bepalen of dynamische drempelwaarde voor de waarschuwing te gebruiken.
Waarschuwing als de reactietijd van de laatste byte van de back-end de drempelwaarde overschrijdt
Deze metrische waarde geeft het tijdsinterval aan tussen het starten van een verbinding met de back-endserver en het ontvangen van de laatste byte van de antwoordtekst. Maak een waarschuwing als de latentie van de back-endreactie meer dan die drempelwaarde van normaal is. Stel bijvoorbeeld in dat deze wordt gewaarschuwd wanneer de latentie van back-endreacties met meer dan 30% toeneemt ten opzichte van de gebruikelijke waarde.
Waarschuwing als de totale tijd van Application Gateway de drempelwaarde overschrijdt
Dit is het interval van het tijdstip waarop Application Gateway de eerste byte van de HTTP-aanvraag ontvangt tot het tijdstip waarop de laatste reactie-byte naar de client is verzonden. Er moet een waarschuwing worden gemaakt als de latentie van het back-endantwoord meer dan de gebruikelijke drempelwaarde is. Ze kunnen bijvoorbeeld instellen dat deze wordt gewaarschuwd wanneer de totale tijdlatentie met meer dan 30% toeneemt ten opzichte van de gebruikelijke waarde.
WAF instellen met geofiltering en botbeveiliging om aanvallen te stoppen
Als u een extra beveiligingslaag voor uw toepassing wilt, gebruikt u de Application Gateway WAF_v2 SKU voor WAF-mogelijkheden. U kunt de v2-SKU zo configureren dat alleen toegang tot uw toepassingen vanuit een bepaald land/bepaalde regio of landen/regio's is toegestaan. U stelt een aangepaste WAF-regel in om verkeer expliciet toe te staan of te blokkeren op basis van de geografische locatie. Zie aangepaste regels voor geofiltering en het configureren van aangepaste regels op Application Gateway WAF_v2 SKU via PowerShell voor meer informatie.
Schakel botbeveiliging in om bekende slechte bots te blokkeren. Dit moet de hoeveelheid verkeer naar uw toepassing verminderen. Zie botbeveiliging met instructies instellen voor meer informatie.
Diagnostische gegevens inschakelen in Application Gateway en WAF
Met diagnostische logboeken kunt u firewalllogboeken, prestatielogboeken en toegangslogboeken weergeven. U kunt deze logboeken in Azure gebruiken om Application Gateways te beheren en problemen op te lossen. Zie onze diagnostische documentatie voor meer informatie.
Een TLS-beleid instellen voor extra beveiliging
Zorg ervoor dat u de nieuwste TLS-beleidsversie (AppGwSslPolicy2020101) of hoger gebruikt. Deze ondersteunen een minimale TLS-versie van 1.2 met sterkere coderingen. Zie voor meer informatie het configureren van TLS-beleidsversies en coderingssuites via PowerShell.