Azure Well-Architected Framework-beoordeling - Azure Application Gateway v2
Dit artikel bevat aanbevolen procedures voor architectuur voor de SKU's uit de Azure Application Gateway v2-serie. De richtlijnen zijn gebaseerd op de vijf pijlers van uitstekende architectuur:
We gaan ervan uit dat u praktische kennis hebt van Azure Application Gateway en goed thuis bent met v2-SKU-functies. Zie Azure Application Gateway functies voor meer informatie.
Vereisten
- Inzicht in de Well-Architected Framework-pijlers kan helpen bij het produceren van een hoogwaardige, stabiele en efficiënte cloudarchitectuur. We raden u aan uw workload te controleren met behulp van de Beoordelingsevaluatie van Azure Well-Architected Framework .
- Gebruik een referentiearchitectuur om de overwegingen te bekijken op basis van de richtlijnen in dit artikel. We raden u aan te beginnen met API's beveiligen met Application Gateway en API Management en IaaS: webtoepassing met relationele database.
Betrouwbaarheid
In de cloud erkennen we dat er fouten optreden. In plaats van fouten helemaal te proberen te voorkomen, is het doel de effecten van een onderdeel met een storing te beperken. Gebruik de volgende informatie om mislukte exemplaren te minimaliseren.
Controlelijst voor ontwerp
Als u ontwerpkeuzen maakt voor Application Gateway, bekijkt u de principes van het ontwerp voor betrouwbaarheid.
- Implementeer de exemplaren in een zonebewuste configuratie, indien beschikbaar.
- Gebruik Application Gateway met Web Application Firewall (WAF) binnen een virtueel netwerk om binnenkomend
HTTP/Sverkeer van internet te beveiligen. - Gebruik in nieuwe implementaties Azure Application Gateway v2, tenzij er een overtuigende reden is om Azure Application Gateway v1 te gebruiken.
- Regelupdates plannen
- Statustests gebruiken om niet-beschikbaarheid van back-end te detecteren
- Bekijk de impact van de interval- en drempelwaarde-instellingen op statustests
- Downstreamafhankelijkheden controleren via statuseindpunten
Aanbevelingen
Bekijk de volgende tabel met aanbevelingen om uw Application Gateway-configuratie voor betrouwbaarheid te optimaliseren.
| Aanbeveling | Voordeel |
|---|---|
| Regelupdates plannen | Plan voldoende tijd voor updates voordat u Application Gateway opent of verdere wijzigingen aanbrengt. Het verwijderen van servers uit de back-endpool kan bijvoorbeeld enige tijd duren omdat ze bestaande verbindingen moeten leegmaken. |
| Statustests gebruiken om niet-beschikbaarheid van back-end te detecteren | Als Application Gateway wordt gebruikt om binnenkomend verkeer over meerdere back-endexemplaren te verdelen, raden we het gebruik van statustests aan. Deze zorgen ervoor dat verkeer niet wordt doorgestuurd naar back-ends die het verkeer niet kunnen verwerken. |
| Bekijk de impact van de interval- en drempelwaarde-instellingen op statustests | De statustest verzendt aanvragen naar het geconfigureerde eindpunt met een ingesteld interval. Er is ook een drempelwaarde voor mislukte aanvragen die worden getolereerd voordat de back-end als beschadigd wordt gemarkeerd. Deze getallen bieden een compromis. - Het instellen van een hoger interval zorgt voor een hogere belasting van uw service. Elk Application Gateway exemplaar verzendt zijn eigen statustests, dus 100 exemplaren per 30 seconden betekent 100 aanvragen per 30 seconden. - Het instellen van een lager interval laat meer tijd over voordat een storing wordt gedetecteerd. - Het instellen van een lage drempelwaarde voor beschadigde status kan betekenen dat korte, tijdelijke fouten een back-end kunnen uitschakelen. - Als u een hoge drempelwaarde instelt, kan het langer duren om een back-end uit de rotatie te halen. |
| Downstreamafhankelijkheden controleren via statuseindpunten | Stel dat elke back-end zijn eigen afhankelijkheden heeft om ervoor te zorgen dat fouten worden geïsoleerd. Een toepassing die achter Application Gateway wordt gehost, kan bijvoorbeeld meerdere back-ends hebben, die elk zijn verbonden met een andere database (replica). Wanneer een dergelijke afhankelijkheid mislukt, werkt de toepassing mogelijk, maar retourneert deze geen geldige resultaten. Daarom moet het statuseindpunt idealiter alle afhankelijkheden valideren. Houd er rekening mee dat als elke aanroep naar het statuseindpunt een directe afhankelijkheidsaanroep heeft, die database elke 30 seconden 100 query's ontvangt in plaats van 1. Om dit te voorkomen, moet het statuseindpunt de status van de afhankelijkheden voor een korte periode in de cache opslaan. |
Wanneer u Azure Front Door en Application Gateway gebruikt om toepassingen te beveiligenHTTP/S, gebruikt u WAF-beleid in Front Door en vergrendelt u Application Gateway om alleen verkeer van Azure Front Door te ontvangen. |
Bepaalde scenario's kunnen u dwingen om regels specifiek op Application Gateway te implementeren. Als er bijvoorbeeld ModSec CRS 2.2.9-, CRS 3.0- of CRS 3.1-regels zijn vereist, kunnen deze regels alleen worden geïmplementeerd op Application Gateway. Snelheidsbeperking en geofiltering zijn daarentegen alleen beschikbaar in Azure Front Door, niet op AppGateway. |
Azure Advisor helpt u de continuïteit van uw bedrijfskritieke toepassingen te garanderen en te verbeteren. Bekijk de aanbevelingen van Azure Advisor.
Beveiliging
Beveiliging is een van de belangrijkste aspecten van een architectuur. Application Gateway biedt functies om zowel het principe van minimale bevoegdheden als defense-in-defense te gebruiken. We raden u aan de principes van het beveiligingsontwerp door te nemen.
Controlelijst voor ontwerp
- Een TLS-beleid instellen voor verbeterde beveiliging
- AppGateway gebruiken voor TLS-beëindiging
- Azure Key Vault gebruiken om TLS-certificaten op te slaan
- Wanneer u back-endverkeer opnieuw versleutelt, moet u ervoor zorgen dat het back-endservercertificaat zowel de basis- als de tussenliggende certificeringsinstanties (CA's) bevat
- Een geschikte DNS-server gebruiken voor back-endpoolresources
- Voldoen aan alle NSG-beperkingen voor Application Gateway
- UDR's op het Application Gateway-subnet niet gebruiken
- Houd rekening met Application Gateway capaciteitswijzigingen bij het inschakelen van WAF
Aanbevelingen
Bekijk de volgende tabel met aanbevelingen om uw Application Gateway configuratie voor beveiliging te optimaliseren.
| Aanbeveling | Voordeel |
|---|---|
| Een TLS-beleid instellen voor verbeterde beveiliging | Stel een TLS-beleid in voor extra beveiliging. Zorg ervoor dat u de nieuwste TLS-beleidsversie (AppGwSslPolicy20170401S) gebruikt. Dit dwingt TLS 1.2 en sterkere coderingen af. |
| AppGateway gebruiken voor TLS-beëindiging | Er zijn voordelen van het gebruik van Application Gateway voor TLS-beëindiging: - De prestaties worden verbeterd omdat aanvragen die naar verschillende back-ends gaan, opnieuw moeten worden geverifieerd bij elke back-end. - Beter gebruik van back-endservers omdat ze geen TLS-verwerking hoeven uit te voeren - Intelligente routering door toegang te krijgen tot de aanvraaginhoud. - Eenvoudiger certificaatbeheer omdat het certificaat alleen hoeft te worden geïnstalleerd op Application Gateway. |
| Azure Key Vault gebruiken om TLS-certificaten op te slaan | Application Gateway is geïntegreerd met Key Vault. Dit biedt betere beveiliging, eenvoudigere scheiding van rollen en verantwoordelijkheden, ondersteuning voor beheerde certificaten en een eenvoudiger proces voor het vernieuwen en rouleren van certificaten. |
| Wanneer u back-endverkeer opnieuw versleutelt, moet u ervoor zorgen dat het back-endservercertificaat zowel de basis- als de tussenliggende certificeringsinstanties (CA's) bevat | Een TLS-certificaat van de back-endserver moet worden uitgegeven door een bekende CA. Als het certificaat niet is uitgegeven door een vertrouwde CA, controleert de Application Gateway of het certificaat van de verlenende CA is uitgegeven door een vertrouwde CA, enzovoort, totdat een vertrouwde CA is gevonden. Alleen dan wordt er een beveiligde verbinding tot stand gebracht. Anders markeert Application Gateway de back-end als beschadigd. |
| Een geschikte DNS-server gebruiken voor back-endpoolresources | Wanneer de back-endpool een omzetbare FQDN bevat, is de DNS-omzetting gebaseerd op een privé-DNS-zone of aangepaste DNS-server (indien geconfigureerd op het VNet), of wordt de standaard door Azure geleverde DNS gebruikt. |
| Voldoen aan alle NSG-beperkingen voor Application Gateway | NSG's worden ondersteund op Application Gateway subnet, maar er gelden enkele beperkingen. Bepaalde communicatie met bepaalde poortbereiken is bijvoorbeeld verboden. Zorg ervoor dat u de gevolgen van deze beperkingen begrijpt. Zie Netwerkbeveiligingsgroepen voor meer informatie. |
| UDR's niet gebruiken in het subnet van de toepassingsgateway | Het gebruik van door de gebruiker gedefinieerde routes (UDR) in het Application Gateway subnet kan enkele problemen veroorzaken. De status in de back-end is mogelijk onbekend. Application Gateway logboeken en metrische gegevens worden mogelijk niet gegenereerd. We raden u aan geen UDR's te gebruiken op het subnet Application Gateway, zodat u de back-endstatus, logboeken en metrische gegevens kunt bekijken. Als uw organisaties UDR moeten gebruiken in het Application Gateway-subnet, controleert u de ondersteunde scenario's. Zie Ondersteunde door de gebruiker gedefinieerde routes voor meer informatie. |
| Houd rekening met Application Gateway capaciteitswijzigingen bij het inschakelen van WAF | Wanneer WAF is ingeschakeld, moet elke aanvraag worden gebufferd door de Application Gateway totdat deze volledig binnenkomt en controleren of de aanvraag overeenkomt met een regelschending in de kernregelset en het pakket vervolgens doorsturen naar de back-endexemplaren. Voor grote bestandsuploads (meer dan 30 MB) kan dit leiden tot een aanzienlijke latentie. Omdat Application Gateway capaciteitsvereisten verschillen met WAF, raden we u aan waf niet in te schakelen op Application Gateway zonder de juiste tests en validatie. |
Zie Principes van de beveiligingspijler voor meer suggesties.
Azure Advisor helpt u de continuïteit van uw bedrijfskritieke toepassingen te garanderen en te verbeteren. Bekijk de aanbevelingen van Azure Advisor.
Beleidsdefinities
- Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway. Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken tot landen/regio's, IP-adresbereiken en andere http(s) parameters via aangepaste regels.
- Web Application Firewall (WAF) moet de opgegeven modus gebruiken voor Application Gateway. Hiermee wordt machtiging verleend dat de modus Detectie of Preventie actief is voor alle Web Application Firewall-beleidsregels voor Application Gateway.
- Azure DDoS Protection moet zijn ingeschakeld. DDoS-beveiliging moet zijn ingeschakeld voor alle virtuele netwerken met een subnet dat deel uitmaakt van een toepassingsgateway met een openbaar IP-adres.
Alle ingebouwde beleidsdefinities met betrekking tot Azure-netwerken worden vermeld in Ingebouwd beleid - Netwerk.
Kostenoptimalisatie
Kostenoptimalisatie gaat over het zoeken naar manieren om onnodige uitgaven te verminderen en de operationele efficiëntie te verbeteren. We raden u aan de ontwerpprincipes voor kostenoptimalisatie door te nemen.
Controlelijst voor ontwerp
- Maak uzelf vertrouwd met Application Gateway prijzen
- Onderbenutte resources controleren
- Stop Application Gateway exemplaren die niet in gebruik zijn
- Een beleid voor in- en uitschalen hebben
- Metrische verbruiksgegevens voor verschillende parameters controleren
Aanbevelingen
Bekijk de volgende tabel met aanbevelingen om uw Application Gateway configuratie voor Kostenoptimalisatie te optimaliseren.
| Aanbeveling | Voordeel |
|---|---|
| Maak uzelf vertrouwd met Application Gateway prijzen | Zie Informatie over prijzen voor Azure Application Gateway en Web Application Firewall voor meer informatie over Application Gateway prijzen. U kunt ook gebruikmaken van de prijscalculator. Zorg ervoor dat de opties voldoende groot zijn om aan de capaciteitsvraag te voldoen en de verwachte prestaties te leveren zonder resources te verspillen. |
| Onderbenutte resources controleren | Identificeer en verwijder Application Gateway exemplaren met lege back-endpools om onnodige kosten te voorkomen. |
| Stop Application Gateway exemplaren wanneer deze niet in gebruik zijn | U wordt niet gefactureerd wanneer Application Gateway de status Gestopt heeft. Als u continu Application Gateway-exemplaren uitvoert, kunnen er extra kosten in rekening worden gebracht. Gebruikspatronen evalueren en exemplaren stoppen wanneer u ze niet nodig hebt. Het gebruik na kantooruren in ontwikkel-/testomgevingen is bijvoorbeeld naar verwachting laag. Zie deze artikelen voor informatie over het stoppen en starten van exemplaren. - Stop-AzApplicationGateway - Start-AzApplicationGateway |
| Een beleid voor in- en uitschalen hebben | Een uitschaalbeleid zorgt ervoor dat er voldoende exemplaren zijn om binnenkomend verkeer en pieken af te handelen. Zorg ook voor een inschaalbeleid dat ervoor zorgt dat het aantal exemplaren wordt verminderd wanneer de vraag afneemt. Houd rekening met de grootte van de instantie. De grootte kan een aanzienlijke invloed hebben op de kosten. Sommige overwegingen worden beschreven in Het aantal Application Gateway instanties schatten. Zie Wat is Azure Application Gateway v2? voor meer informatie. |
| Metrische verbruiksgegevens voor verschillende parameters controleren | U wordt gefactureerd op basis van exemplaren met een datalimiet van Application Gateway op basis van de metrische gegevens die door Azure worden bijgehouden. Evalueer de verschillende metrische gegevens en capaciteitseenheden en bepaal de kostenfactoren. Zie Microsoft Cost Management and Billing (Microsoft Cost Management en facturering) voor meer informatie. De volgende metrische gegevens zijn essentieel voor Application Gateway. Deze informatie kan worden gebruikt om te controleren of het aantal ingerichte exemplaren overeenkomt met de hoeveelheid binnenkomend verkeer. - Geschatte gefactureerde capaciteitseenheden - Vaste factureerbare capaciteitseenheden - Huidige capaciteitseenheden Zie metrische gegevens Application Gateway voor meer informatie. Zorg ervoor dat u rekening houdt met de bandbreedtekosten. |
Zie Principes van de pijler kostenoptimalisatie voor meer suggesties.
Azure Advisor helpt u de continuïteit van uw bedrijfskritieke toepassingen te garanderen en te verbeteren. Bekijk de aanbevelingen van Azure Advisor.
Operationele uitmuntendheid
Bewaking en diagnostische gegevens zijn van cruciaal belang voor operationele uitmuntendheid van uw Application Gateway en de webtoepassingen of back-ends achter de gateway. U kunt niet alleen prestatiestatistieken meten, maar ook metrische gegevens gebruiken om problemen snel op te lossen. We raden u aan de ontwerpprincipes van Operational Excellence door te nemen.
Controlelijst voor ontwerp
- Metrische gegevens over capaciteit bewaken
- Diagnostische gegevens op Application Gateway en Web Application Firewall (WAF) inschakelen
- Azure Monitor Network Insights gebruiken
- Time-outinstellingen afstemmen op de back-endtoepassing
- Configuratieproblemen met Key Vault bewaken met Behulp van Azure Advisor
- SNAT-poortbeperkingen configureren en bewaken
- Houd rekening met SNAT-poortbeperkingen in uw ontwerp
Aanbevelingen
Bekijk de volgende tabel met aanbevelingen om uw Application Gateway configuratie voor operationele uitmuntendheid te optimaliseren.
| Aanbeveling | Voordeel |
|---|---|
| Metrische gegevens over capaciteit bewaken | Gebruik deze metrische gegevens als indicatoren voor het gebruik van de ingerichte Application Gateway capaciteit. U wordt ten zeerste aangeraden waarschuwingen voor capaciteit in te stellen. Zie Application Gateway ondersteuning voor veel verkeer voor meer informatie. |
| Problemen oplossen met behulp van metrische gegevens | Er zijn andere metrische gegevens die problemen kunnen aangeven op Application Gateway of de back-end. We raden u aan de volgende waarschuwingen te evalueren: - Aantal beschadigde hosts - Antwoordstatus (dimensie 4xx en 5xx) - Antwoordstatus van back-end (dimensie 4xx en 5xx) - Reactietijd van laatste byte van back-end - totale tijd Application Gateway Zie Metrische gegevens voor Application Gateway voor meer informatie. |
| Diagnostische gegevens op Application Gateway en Web Application Firewall (WAF) inschakelen | Met diagnostische logboeken kunt u firewalllogboeken, prestatielogboeken en toegangslogboeken weergeven. Gebruik deze logboeken om problemen met Application Gateway exemplaren te beheren en op te lossen. Zie Back-endstatus en diagnostische logboeken voor Application Gateway voor meer informatie. |
| Azure Monitor Network Insights gebruiken | Azure Monitor Network Insights biedt een uitgebreide weergave van de status en metrische gegevens voor netwerkresources, waaronder Application Gateway. Zie Azure Monitor Network Insights voor meer informatie en ondersteunde mogelijkheden voor Application Gateway. |
| Time-outinstellingen vergelijken met de back-endtoepassing | Zorg ervoor dat u de IdleTimeout-instellingen zo hebt geconfigureerd dat deze overeenkomen met de listener- en verkeerskenmerken van de back-endtoepassing. De standaardwaarde is ingesteld op vier minuten en kan worden geconfigureerd op maximaal 30. Zie tcp opnieuw instellen en time-out voor inactiviteit Load Balancer voor meer informatie. Zie Toepassingsstatus controleren op betrouwbaarheid voor overwegingen met betrekking tot workloads. |
| Configuratieproblemen met Key Vault bewaken met Behulp van Azure Advisor | Application Gateway controleert elke vier uur op de vernieuwde certificaatversie in de gekoppelde Key Vault. Als deze niet toegankelijk is vanwege een onjuiste Key Vault configuratie, wordt die fout opgeslagen en wordt een bijbehorende Advisor-aanbeveling gepusht. U moet de Advisor-waarschuwingen configureren om op de hoogte te blijven en dergelijke problemen onmiddellijk op te lossen om problemen met betrekking tot besturings- of gegevensvlakken te voorkomen. Zie Key Vault-fouten onderzoeken en oplossen voor meer informatie. Als u een waarschuwing voor dit specifieke geval wilt instellen, gebruikt u het aanbevelingstype als Probleem met Azure Key Vault oplossen voor uw Application Gateway. |
| Houd rekening met SNAT-poortbeperkingen in uw ontwerp | SNAT-poortbeperkingen zijn belangrijk voor back-endverbindingen op de Application Gateway. Er zijn afzonderlijke factoren die van invloed zijn op hoe Application Gateway de SNAT-poortlimiet bereikt. Als de back-end bijvoorbeeld een openbaar IP-adres is, is een eigen SNAT-poort vereist. Om SNAT-poortbeperkingen te voorkomen, kunt u het aantal exemplaren per Application Gateway verhogen, de back-ends uitbreiden om meer IP-adressen te hebben of uw back-ends naar hetzelfde virtuele netwerk verplaatsen en privé-IP-adressen voor de back-ends gebruiken. Aanvragen per seconde (RPS) op de Application Gateway worden beïnvloed als de SNAT-poortlimiet wordt bereikt. Als een Application Gateway bijvoorbeeld de SNAT-poortlimiet bereikt, kan er geen nieuwe verbinding met de back-end worden geopend en mislukt de aanvraag. |
Zie Principes van de operationele toppijler voor meer suggesties.
Azure Advisor helpt u de continuïteit van uw bedrijfskritieke toepassingen te waarborgen en te verbeteren. Bekijk de aanbevelingen van Azure Advisor.
Prestatie-efficiëntie
Prestatie-efficiëntie is de mogelijkheid om op efficiënte wijze uw werkbelasting te schalen om te voldoen aan de vereisten die gebruikers eraan stellen. We raden u aan de principes voor efficiëntie van prestaties te bekijken.
Controlelijst voor ontwerp
- Het aantal Application Gateway-exemplaren schatten
- Het maximumaantal exemplaren definiëren
- Het minimale aantal exemplaren definiëren
- Grootte van Application Gateway subnet definiëren
- Profiteer van Application Gateway V2-functies voor automatisch schalen en prestatievoordelen
Aanbevelingen
Bekijk de volgende tabel met aanbevelingen om uw Application Gateway-configuratie te optimaliseren voor prestatie-efficiëntie.
| Aanbeveling | Voordeel |
|---|---|
| Het aantal Application Gateway-exemplaren schatten | Application Gateway v2 schaalt uit op basis van veel aspecten, zoals CPU, netwerkdoorvoer, huidige verbindingen en meer. Als u het geschatte aantal exemplaren wilt bepalen, moet u rekening houden met de volgende metrische gegevens: Huidige rekeneenheden: geeft het CPU-gebruik aan. 1 Application Gateway exemplaar is ongeveer 10 rekeneenheden. Doorvoer: Application Gateway exemplaar kan ~500 Mbps aan doorvoer verwerken. Deze gegevens zijn afhankelijk van het type nettolading. Houd rekening met deze vergelijking bij het berekenen van het aantal exemplaren.  Nadat u het aantal exemplaren hebt geschat, vergelijkt u die waarde met het maximale aantal exemplaren. Hiermee wordt aangegeven hoe dicht u bij de maximaal beschikbare capaciteit bent. |
| Het minimale aantal exemplaren definiëren | Voor Application Gateway v2-SKU duurt automatische schaalaanpassing enige tijd (ongeveer zes tot zeven minuten) voordat de extra set exemplaren gereed is voor verkeer. Als er gedurende die tijd korte pieken in het verkeer zijn, kunt u tijdelijke latentie of verlies van verkeer verwachten. We raden u aan uw minimale aantal exemplaren in te stellen op een optimaal niveau. Nadat u het gemiddelde aantal exemplaren hebt geschat en uw Application Gateway trends voor automatisch schalen hebt bepaald, definieert u het minimale aantal exemplaren op basis van uw toepassingspatronen. Zie ondersteuning voor Application Gateway veel verkeer voor meer informatie. Controleer de huidige rekeneenheden voor de afgelopen maand. Deze metrische waarde vertegenwoordigt het CPU-gebruik van de gateway. Als u het minimale aantal exemplaren wilt definiëren, deelt u het piekgebruik door 10. Als uw gemiddelde huidige rekeneenheden in de afgelopen maand bijvoorbeeld 50 is, stelt u het minimale aantal exemplaren in op vijf. |
| Het maximumaantal exemplaren definiëren | We raden 125 aan als het maximale aantal exemplaren voor automatisch schalen. Zorg ervoor dat het subnet met de Application Gateway voldoende beschikbare IP-adressen heeft om de opschaalset met exemplaren te ondersteunen. Het instellen van het maximumaantal exemplaren op 125 heeft geen gevolgen voor de kosten, omdat u alleen wordt gefactureerd voor de verbruikte capaciteit. |
| Grootte van Application Gateway subnet definiëren | Application Gateway heeft een toegewezen subnet binnen een virtueel netwerk nodig. Het subnet kan meerdere exemplaren van de geïmplementeerde Application Gateway resource hebben. U kunt ook andere Application Gateway resources implementeren in dat subnet, v1 of v2 SKU. Hier volgen enkele overwegingen voor het definiëren van de subnetgrootte: - Application Gateway gebruikt één privé-IP-adres per exemplaar en een ander privé-IP-adres als een privé-front-end-IP is geconfigureerd. - Azure reserveert vijf IP-adressen in elk subnet voor intern gebruik. - Application Gateway (Standard of WAF SKU) kan maximaal 32 exemplaren ondersteunen. Als u 32 IP-adressen van instanties + 1 privé-front-end-IP + 5 gereserveerde Azure-adressen gebruikt, wordt een minimale subnetgrootte van /26 aanbevolen. Omdat de Standard_v2 of WAF_v2 SKU maximaal 125 exemplaren kan ondersteunen, wordt met dezelfde berekening een subnetgrootte van /24 aanbevolen. - Als u extra Application Gateway resources in hetzelfde subnet wilt implementeren, moet u rekening houden met de extra IP-adressen die vereist zijn voor het maximale aantal exemplaren voor zowel Standard als Standard v2. |
| Profiteren van functies voor automatisch schalen en prestatievoordelen | De v2-SKU biedt automatisch schalen om ervoor te zorgen dat uw Application Gateway omhoog kan schalen naarmate het verkeer toeneemt. In vergelijking met v1 SKU heeft v2 mogelijkheden die de prestaties van de workload verbeteren. Bijvoorbeeld betere TLS-offloadprestaties, snellere implementatie- en updatetijden, zoneredundantie en meer. Zie Schalen Application Gateway v2 en WAF v2 voor meer informatie over functies voor automatisch schalen. Als u v1 SKU Application Gateway uitvoert, kunt u overwegen om te migreren naar de Application Gateway v2 SKU. Zie Migreren van Azure Application Gateway en Web Application Firewall van v1 naar v2 voor meer informatie. |
Azure Advisor helpt u de continuïteit van uw bedrijfskritieke toepassingen te waarborgen en te verbeteren. Bekijk de aanbevelingen van Azure Advisor.
Aanbevelingen voor Azure Advisor
Azure Advisor is een persoonlijke cloudconsultant die u helpt best practices te volgen om uw Azure-implementaties te optimaliseren. Hier volgen enkele aanbevelingen waarmee u de betrouwbaarheid, beveiliging, kosteneffectiviteit, prestaties en operationele uitmuntendheid van uw Application Gateway kunt verbeteren.
Betrouwbaarheid
- Fouttolerantie van toepassingsgateway garanderen
- De hostnaam niet overschrijven om de integriteit van de website te garanderen
Aanvullende resources
Richtlijnen voor Azure Architecture Center
- API-gateways gebruiken in microservices
- Firewall en Application Gateway voor virtuele netwerken
- API's beveiligen met Application Gateway en API Management
- IaaS: webtoepassing met relationele database
- Veilig beheerde webtoepassingen
- Netwerk zonder vertrouwen voor webtoepassingen met Azure Firewall en Application Gateway
Volgende stappen
- Een Application Gateway implementeren om te zien hoe het werkt: Quickstart: Webverkeer omleiden met Azure Application Gateway - Azure Portal
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor