Beoordeling van Azure Well-Architected Framework - Azure-toepassing Gateway v2
Dit artikel bevat aanbevolen procedures voor architectuur voor de Azure-toepassing Gateway v2-serie SKU's. De richtlijnen zijn gebaseerd op de vijf pijlers van architecturale uitmuntendheid:
We gaan ervan uit dat u over een werkende kennis van Azure-toepassing Gateway beschikt en vertrouwd bent met V2 SKU-functies. Zie Azure-toepassing Gateway-functies voor meer informatie.
Vereisten
- Het begrijpen van de goed ontworpen frameworkpijlers kan helpen bij het produceren van een hoogwaardige, stabiele en efficiënte cloudarchitectuur. U wordt aangeraden uw workload te beoordelen met behulp van de Beoordeling van het Azure Well-Architected Framework .
- Gebruik een referentiearchitectuur om de overwegingen te bekijken op basis van de richtlijnen in dit artikel. We raden u aan om te beginnen met API's beveiligen met Application Gateway en API Management en IaaS: webtoepassing met relationele database.
Betrouwbaarheid
In de cloud erkennen we dat er fouten optreden. In plaats van fouten helemaal te proberen te voorkomen, is het doel de effecten van een onderdeel met een storing te beperken. Gebruik de volgende informatie om mislukte exemplaren te minimaliseren.
Controlelijst voor ontwerp
Wanneer u ontwerpkeuzen maakt voor Application Gateway, bekijkt u de principes voor betrouwbaarheidsontwerp.
- Implementeer de exemplaren in een zonebewuste configuratie, indien beschikbaar.
- Gebruik Application Gateway met Web Application Firewall (WAF) binnen een virtueel netwerk om inkomend
HTTP/Sverkeer van internet te beveiligen. - Gebruik in nieuwe implementaties Azure-toepassing Gateway v2, tenzij er een overtuigende reden is om Azure-toepassing Gateway v1 te gebruiken.
- Regelupdates plannen
- Statustests gebruiken om de beschikbaarheid van de back-end te detecteren
- Bekijk de impact van de interval- en drempelwaarde-instellingen voor statustests
- Downstream-afhankelijkheden verifiëren via statuseindpunten
Aanbevelingen
Bekijk de volgende tabel met aanbevelingen voor het optimaliseren van uw Application Gateway-configuratie voor betrouwbaarheid.
| Aanbeveling | Voordeel |
|---|---|
| Regelupdates plannen | Plan voldoende tijd voor updates voordat u Application Gateway opent of verdere wijzigingen aanbrengt. Het verwijderen van servers uit de back-endpool kan bijvoorbeeld enige tijd duren omdat ze bestaande verbindingen moeten leegmaken. |
| Statustests gebruiken om de beschikbaarheid van de back-end te detecteren | Als Application Gateway wordt gebruikt voor het verdelen van inkomend verkeer via meerdere back-endinstanties, raden we het gebruik van statustests aan. Dit zorgt ervoor dat verkeer niet wordt doorgestuurd naar back-ends die het verkeer niet kunnen verwerken. |
| Bekijk de impact van de interval- en drempelwaarde-instellingen voor statustests | De statustest verzendt aanvragen naar het geconfigureerde eindpunt met een bepaald interval. Er is ook een drempelwaarde voor mislukte aanvragen die worden getolereerd voordat de back-end als beschadigd wordt gemarkeerd. Deze cijfers hebben een compromis. - Als u een hoger interval instelt, wordt uw service zwaarder belast. Elk Application Gateway-exemplaar verzendt zijn eigen statustests, dus elke 30 seconden 100 exemplaren betekent 100 aanvragen per 30 seconden. - Als u een lager interval instelt, blijft er meer tijd over voordat een storing wordt gedetecteerd. - Het instellen van een lage drempelwaarde voor slechte status kan betekenen dat korte, tijdelijke fouten een back-end kunnen uitschakelen. - Het instellen van een hoge drempelwaarde kan langer duren om een back-end uit de rotatie te halen. |
| Downstream-afhankelijkheden verifiëren via statuseindpunten | Stel dat elke back-end zijn eigen afhankelijkheden heeft om ervoor te zorgen dat fouten worden geïsoleerd. Een toepassing die achter Application Gateway wordt gehost, kan bijvoorbeeld meerdere back-ends hebben, die elk zijn verbonden met een andere database (replica). Wanneer een dergelijke afhankelijkheid mislukt, werkt de toepassing mogelijk, maar retourneert deze geen geldige resultaten. Daarom moet het statuseindpunt idealiter alle afhankelijkheden valideren. Houd er rekening mee dat als elke aanroep naar het statuseindpunt een directe afhankelijkheidsaanroep heeft, die database elke 30 seconden 100 query's ontvangt in plaats van 1. Om dit te voorkomen, moet het statuseindpunt de status van de afhankelijkheden gedurende een korte periode in de cache opslaan. |
Wanneer u Azure Front Door en Application Gateway gebruikt om toepassingen te beveiligen HTTP/S , gebruikt u WAF-beleid in Front Door en vergrendelt u Application Gateway om alleen verkeer van Azure Front Door te ontvangen. |
Bepaalde scenario's kunnen u dwingen om regels specifiek op Application Gateway te implementeren. Als bijvoorbeeld ModSec CRS 2.2.9, CRS 3.0- of CRS 3.1-regels vereist zijn, kunnen deze regels alleen worden geïmplementeerd op Application Gateway. Omgekeerd zijn snelheidsbeperking en geofiltering alleen beschikbaar in Azure Front Door, niet op AppGateway. |
Azure Advisor helpt u bij het garanderen en verbeteren van de continuïteit van uw bedrijfskritieke toepassingen. Bekijk de aanbevelingen van Azure Advisor.
Beveiliging
Beveiliging is een van de belangrijkste aspecten van een architectuur. Application Gateway biedt functies voor het gebruik van zowel het principe van minimale bevoegdheden als verdediging in defensie. We raden u aan de principes van het beveiligingsontwerp te bekijken.
Controlelijst voor ontwerp
- Een TLS-beleid instellen voor verbeterde beveiliging
- AppGateway gebruiken voor TLS-beëindiging
- Azure Key Vault gebruiken om TLS-certificaten op te slaan
- Wanneer u het back-endverkeer opnieuw versleutelt, moet u ervoor zorgen dat het back-endservercertificaat zowel de basiscertificeringsinstanties als tussenliggende certificeringsinstanties (CA's) bevat
- Een geschikte DNS-server gebruiken voor back-endpoolbronnen
- Voldoen aan alle NSG-beperkingen voor Application Gateway
- Gebruik geen UDR's in het Application Gateway-subnet
- Houd rekening met wijzigingen in application gateway-capaciteit bij het inschakelen van WAF
Aanbevelingen
Bekijk de volgende tabel met aanbevelingen om uw Application Gateway-configuratie voor beveiliging te optimaliseren.
| Aanbeveling | Voordeel |
|---|---|
| Een TLS-beleid instellen voor verbeterde beveiliging | Stel een TLS-beleid in voor extra beveiliging. Zorg ervoor dat u altijd de nieuwste beschikbare TLS-beleidsversie gebruikt. Hierdoor worden TLS 1.2 en sterkere coderingen afgedwongen. |
| AppGateway gebruiken voor TLS-beëindiging | Er zijn voordelen van het gebruik van Application Gateway voor TLS-beëindiging: - De prestaties worden verbeterd omdat aanvragen naar verschillende back-ends moeten worden geverifieerd voor elke back-end. - Beter gebruik van back-endservers omdat ze geen TLS-verwerking hoeven uit te voeren - Intelligente routering door toegang te krijgen tot de aanvraaginhoud. - Eenvoudiger certificaatbeheer omdat het certificaat alleen hoeft te worden geïnstalleerd op Application Gateway. |
| Azure Key Vault gebruiken om TLS-certificaten op te slaan | Application Gateway kan worden geïntegreerd met Key Vault. Dit biedt een sterkere beveiliging, eenvoudigere scheiding van rollen en verantwoordelijkheden, ondersteuning voor beheerde certificaten en een eenvoudiger proces voor certificaatvernieuwing en rotatie. |
| Wanneer u het back-endverkeer opnieuw versleutelt, moet u ervoor zorgen dat het back-endservercertificaat zowel de basiscertificeringsinstanties als tussenliggende certificeringsinstanties (CA's) bevat | Een TLS-certificaat van de back-endserver moet worden uitgegeven door een bekende CA. Als het certificaat niet is uitgegeven door een vertrouwde CERTIFICERINGsinstantie, controleert de Application Gateway of het certificaat is uitgegeven door een vertrouwde CERTIFICERINGsinstantie, enzovoort, totdat een vertrouwd CA-certificaat is gevonden. Alleen dan wordt er een beveiligde verbinding tot stand gebracht. Anders markeert Application Gateway de back-end als beschadigd. |
| Een geschikte DNS-server gebruiken voor back-endpoolbronnen | Wanneer de back-endpool een omzetbare FQDN bevat, is de DNS-omzetting gebaseerd op een privé-DNS-zone of aangepaste DNS-server (indien geconfigureerd op het VNet) of wordt de standaard door Azure geleverde DNS gebruikt. |
| Voldoen aan alle NSG-beperkingen voor Application Gateway | NSG's worden ondersteund in het Application Gateway-subnet, maar er zijn enkele beperkingen. Zo is bepaalde communicatie met bepaalde poortbereiken verboden. Zorg ervoor dat u de gevolgen van deze beperkingen begrijpt. Zie Netwerkbeveiligingsgroepen voor meer informatie. |
| UDR's niet gebruiken in het Application Gateway-subnet | Het gebruik van door de gebruiker gedefinieerde routes (UDR) in het Application Gateway-subnet kan enkele problemen veroorzaken. De status in de back-end is mogelijk onbekend. Application Gateway-logboeken en metrische gegevens worden mogelijk niet gegenereerd. U wordt aangeraden geen UDR's te gebruiken in het Application Gateway-subnet, zodat u de back-endstatus, logboeken en metrische gegevens kunt bekijken. Als uw organisaties UDR in het Application Gateway-subnet moeten gebruiken, controleert u de ondersteunde scenario's. Zie Ondersteunde door de gebruiker gedefinieerde routes voor meer informatie. |
| Houd rekening met wijzigingen in application gateway-capaciteit bij het inschakelen van WAF | Wanneer WAF is ingeschakeld, moet elke aanvraag worden gebufferd door de Application Gateway totdat deze volledig binnenkomt, controleert u of de aanvraag overeenkomt met een regelschending in de kernregelset en stuurt het pakket vervolgens door naar de back-endinstanties. Wanneer er grote bestandsuploads zijn (30 MB+ in grootte), kan dit leiden tot een aanzienlijke latentie. Omdat de capaciteitsvereisten van Application Gateway verschillen met WAF, raden we u niet aan WAF in te schakelen op Application Gateway zonder de juiste tests en validatie. |
Zie Principes van de beveiligingspijler voor meer suggesties.
Azure Advisor helpt u bij het garanderen en verbeteren van de continuïteit van uw bedrijfskritieke toepassingen. Bekijk de aanbevelingen van Azure Advisor.
Beleidsdefinities
- WaF (Web Application Firewall) moet zijn ingeschakeld voor Application Gateway. Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen/regio's, IP-adresbereiken en andere HTTP-parameters via aangepaste regels.
- Web Application Firewall (WAF) moet de opgegeven modus voor Application Gateway gebruiken. Hiermee wordt machtiging verleend dat de modus Detectie of Preventie actief is voor alle Web Application Firewall-beleidsregels voor Application Gateway.
- Azure DDoS Protection moet zijn ingeschakeld. DDoS-beveiliging moet zijn ingeschakeld voor alle virtuele netwerken met een subnet dat deel uitmaakt van een toepassingsgateway met een openbaar IP-adres.
Alle ingebouwde beleidsdefinities met betrekking tot Azure-netwerken worden vermeld in ingebouwd beleid - Netwerk.
Kostenoptimalisatie
Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. We raden u aan de ontwerpprincipes voor kostenoptimalisatie te bekijken.
Controlelijst voor ontwerp
- Vertrouwd raken met de prijzen van Application Gateway
- Onderbenutte resources controleren
- Application Gateway-exemplaren stoppen die niet in gebruik zijn
- Een beleid voor in- en uitschalen hebben
- Metrische verbruiksgegevens over verschillende parameters bekijken
Aanbevelingen
Bekijk de volgende tabel met aanbevelingen voor het optimaliseren van uw Application Gateway-configuratie voor kostenoptimalisatie.
| Aanbeveling | Voordeel |
|---|---|
| Vertrouwd raken met de prijzen van Application Gateway | Zie Prijzen voor Azure-toepassing Gateway en Web Application Firewall voor meer informatie over prijzen van Application Gateway. U kunt ook gebruikmaken van de prijscalculator. Zorg ervoor dat de opties voldoende zijn aangepast om te voldoen aan de capaciteitsvraag en dat de verwachte prestaties worden geleverd zonder resources te verspillen. |
| Onderbenutte resources controleren | Identificeer en verwijder Application Gateway-exemplaren met lege back-endpools om onnodige kosten te voorkomen. |
| Application Gateway-exemplaren stoppen wanneer deze niet worden gebruikt | Er worden geen kosten in rekening gebracht wanneer Application Gateway de status Gestopt heeft. Het continu uitvoeren van Application Gateway-exemplaren kan overbodige kosten met zich meebrengen. Evalueer gebruikspatronen en stop exemplaren wanneer u ze niet nodig hebt. Het gebruik na kantooruren in Ontwikkel-/testomgevingen is bijvoorbeeld naar verwachting laag. Zie deze artikelen voor informatie over het stoppen en starten van exemplaren. - Stop-AzApplicationGateway - Start-AzApplicationGateway |
| Een beleid voor in- en uitschalen hebben | Een uitschaalbeleid zorgt ervoor dat er voldoende exemplaren zijn om binnenkomend verkeer en pieken te verwerken. Zorg ook voor een inschalend beleid dat ervoor zorgt dat het aantal exemplaren wordt verminderd wanneer de vraag afneemt. Houd rekening met de keuze van de instantiegrootte. De grootte kan aanzienlijk van invloed zijn op de kosten. Enkele overwegingen worden beschreven in de schatting van het aantal Application Gateway-exemplaren. Zie Wat is Azure-toepassing Gateway v2 voor meer informatie? |
| Metrische verbruiksgegevens over verschillende parameters bekijken | U wordt gefactureerd op basis van instanties met datalimiet van Application Gateway op basis van de metrische gegevens die door Azure worden bijgehouden. Evalueer de verschillende metrische gegevens en capaciteitseenheden en bepaal de kostenfactoren. Zie Microsoft Cost Management en Facturering voor meer informatie. De volgende metrische gegevens zijn essentieel voor Application Gateway. Deze informatie kan worden gebruikt om te controleren of het aantal ingerichte exemplaren overeenkomt met de hoeveelheid binnenkomend verkeer. - Geschatte gefactureerde capaciteitseenheden - Vaste factureerbare capaciteitseenheden - Huidige capaciteitseenheden Zie metrische gegevens van Application Gateway voor meer informatie. Zorg ervoor dat u rekening houdt met bandbreedtekosten. |
Zie Principes van de pijler kostenoptimalisatie voor meer suggesties.
Azure Advisor helpt u bij het garanderen en verbeteren van de continuïteit van uw bedrijfskritieke toepassingen. Bekijk de aanbevelingen van Azure Advisor.
Operationele uitmuntendheid
Bewaking en diagnose zijn van cruciaal belang voor operationele uitmuntendheid van uw Application Gateway en de webtoepassingen of back-ends achter de gateway. U kunt niet alleen prestatiestatistieken meten, maar ook metrische gegevens gebruiken om snel problemen op te lossen. We raden u aan de ontwerpprincipes van Operational Excellence te bekijken.
Controlelijst voor ontwerp
- Metrische capaciteitsgegevens bewaken
- Diagnostische gegevens inschakelen voor Application Gateway en Web Application Firewall (WAF)
- Azure Monitor Network Insights gebruiken
- Time-outinstellingen vergelijken met de back-endtoepassing
- Configuratieproblemen met Key Vault bewaken met Behulp van Azure Advisor
- Beperkingen voor SNAT-poorten configureren en bewaken
- Overweeg beperkingen voor SNAT-poorten in uw ontwerp
Aanbevelingen
Bekijk de volgende tabel met aanbevelingen voor het optimaliseren van uw Application Gateway-configuratie voor operationele uitmuntendheid.
| Aanbeveling | Voordeel |
|---|---|
| Metrische capaciteitsgegevens bewaken | Gebruik deze metrische gegevens als indicatoren voor het gebruik van de ingerichte Application Gateway-capaciteit. We raden u ten zeerste aan waarschuwingen in te stellen voor capaciteit. Zie ondersteuning voor veel verkeer in Application Gateway voor meer informatie. |
| Problemen oplossen met behulp van metrische gegevens | Er zijn andere metrische gegevens die problemen kunnen aangeven bij Application Gateway of de back-end. We raden u aan de volgende waarschuwingen te evalueren: - Aantal beschadigde hosts - Antwoordstatus (dimensie 4xx en 5xx) - Antwoordstatus van back-end (dimensie 4xx en 5xx) - Reactietijd van laatste byte van back-end - Totale tijd van Application Gateway Zie Metrische gegevens voor Application Gateway voor meer informatie. |
| Diagnostische gegevens inschakelen voor Application Gateway en Web Application Firewall (WAF) | Met diagnostische logboeken kunt u firewalllogboeken, prestatielogboeken en toegangslogboeken weergeven. Gebruik deze logboeken om problemen met Application Gateway-exemplaren te beheren en op te lossen. Zie Back-endstatus en diagnostische logboeken voor Application Gateway voor meer informatie. |
| Azure Monitor Network Insights gebruiken | Azure Monitor Network Insights biedt een uitgebreid overzicht van de status en metrische gegevens voor netwerkbronnen, waaronder Application Gateway. Zie Azure Monitor Network Insights voor meer informatie en ondersteunde mogelijkheden voor Application Gateway. |
| Time-outinstellingen vergelijken met de back-endtoepassing | Zorg ervoor dat u de idleTimeout-instellingen hebt geconfigureerd zodat deze overeenkomen met de listener- en verkeerskenmerken van de back-endtoepassing. De standaardwaarde is ingesteld op vier minuten en kan worden geconfigureerd op maximaal 30. Zie Voor meer informatie load balancer TCP reset en time-out voor inactiviteit. Zie Toepassingsstatus bewaken voor betrouwbaarheid voor overwegingen voor workloads. |
| Configuratieproblemen met Key Vault bewaken met Behulp van Azure Advisor | Application Gateway controleert op de vernieuwde certificaatversie in de gekoppelde Sleutelkluis bij elke interval van vier uur. Als deze niet toegankelijk is vanwege een onjuiste Key Vault-configuratie, wordt die fout in een logboek opgeslagen en wordt een bijbehorende Advisor-aanbeveling gepusht. U moet de Advisor-waarschuwingen configureren om op de hoogte te blijven en dergelijke problemen onmiddellijk op te lossen om eventuele problemen met het besturingselement of gegevensvlak te voorkomen. Zie Key Vault-fouten onderzoeken en oplossen voor meer informatie. Als u een waarschuwing voor dit specifieke geval wilt instellen, gebruikt u het aanbevelingstype als Probleem met Azure Key Vault voor uw Toepassingsgateway oplossen. |
| Overweeg beperkingen voor SNAT-poorten in uw ontwerp | SNAT-poortbeperkingen zijn belangrijk voor back-endverbindingen op de Application Gateway. Er zijn afzonderlijke factoren die van invloed zijn op de wijze waarop Application Gateway de SNAT-poortlimiet bereikt. Als de back-end bijvoorbeeld een openbaar IP-adres is, is een eigen SNAT-poort vereist. Om SNAT-poortbeperkingen te voorkomen, kunt u het aantal exemplaren per Application Gateway verhogen, de back-ends uitschalen om meer IP-adressen te hebben of uw back-ends naar hetzelfde virtuele netwerk verplaatsen en privé-IP-adressen voor de back-ends gebruiken. Aanvragen per seconde (RPS) op de Application Gateway worden beïnvloed als de SNAT-poortlimiet is bereikt. Als een Application Gateway bijvoorbeeld de SNAT-poortlimiet bereikt, kan er geen nieuwe verbinding met de back-end worden geopend en mislukt de aanvraag. |
Zie Principes van de operationele uitmuntendheidpijler voor meer suggesties.
Azure Advisor helpt u bij het garanderen en verbeteren van de continuïteit van uw bedrijfskritieke toepassingen. Bekijk de aanbevelingen van Azure Advisor.
Prestatie-efficiëntie
Prestatie-efficiëntie is de mogelijkheid om op efficiënte wijze uw werkbelasting te schalen om te voldoen aan de vereisten die gebruikers eraan stellen. We raden u aan de principes voor prestatie-efficiëntie te bekijken.
Controlelijst voor ontwerp
- Het aantal Application Gateway-exemplaren schatten
- Het maximumaantal exemplaren definiëren
- Het minimale aantal exemplaren definiëren
- De grootte van het subnet van Application Gateway definiëren
- Profiteer van Application Gateway V2-functies voor automatisch schalen en prestatievoordelen
Aanbevelingen
Bekijk de volgende tabel met aanbevelingen voor het optimaliseren van uw Application Gateway-configuratie voor prestatie-efficiëntie.
| Aanbeveling | Voordeel |
|---|---|
| Het aantal Application Gateway-exemplaren schatten | Application Gateway v2 wordt uitgeschaald op basis van veel aspecten, zoals CPU, netwerkdoorvoer, huidige verbindingen en meer. Als u het geschatte aantal exemplaren wilt bepalen, moet u rekening houden met deze metrische gegevens: Huidige rekeneenheden : geeft het CPU-gebruik aan. 1 Application Gateway-exemplaar is ongeveer 10 rekeneenheden. Doorvoer: het Application Gateway-exemplaar kan ongeveer 500 Mbps doorvoer leveren. Deze gegevens zijn afhankelijk van het type nettolading. Houd rekening met deze vergelijking bij het berekenen van het aantal exemplaren.  Nadat u het aantal exemplaren hebt geschat, vergelijkt u deze waarde met het maximumaantal exemplaren. Hiermee wordt aangegeven hoe dicht u bij de maximale beschikbare capaciteit bent. |
| Het minimale aantal exemplaren definiëren | Voor Application Gateway v2 SKU duurt het automatisch schalen enige tijd (ongeveer zes tot zeven minuten) voordat de extra set exemplaren gereed is om verkeer te verwerken. Als er gedurende die tijd korte pieken in het verkeer zijn, verwacht u tijdelijke latentie of verlies van verkeer. U wordt aangeraden het minimale aantal exemplaren in te stellen op een optimaal niveau. Nadat u het gemiddelde aantal exemplaren hebt geschat en de trends voor automatisch schalen van Application Gateway hebt bepaald, definieert u het minimale aantal exemplaren op basis van uw toepassingspatronen. Zie ondersteuning voor veel verkeer in Application Gateway voor meer informatie. Controleer de huidige rekeneenheden voor de afgelopen maand. Deze metrische waarde vertegenwoordigt het CPU-gebruik van de gateway. Als u het minimale aantal exemplaren wilt definiëren, deelt u het piekgebruik door 10. Als uw gemiddelde huidige rekeneenheden in de afgelopen maand bijvoorbeeld 50 is, stelt u het minimumaantal exemplaren in op vijf. |
| Het maximumaantal exemplaren definiëren | We raden 125 aan als het maximumaantal exemplaren voor automatische schaalaanpassing. Zorg ervoor dat het subnet met de Application Gateway voldoende beschikbare IP-adressen heeft ter ondersteuning van de schaalset met exemplaren. Als u het maximumaantal exemplaren instelt op 125, heeft dit geen gevolgen voor de kosten, omdat u alleen voor de verbruikte capaciteit wordt gefactureerd. |
| De grootte van het subnet van Application Gateway definiëren | Application Gateway heeft een toegewezen subnet in een virtueel netwerk nodig. Het subnet kan meerdere exemplaren van de geïmplementeerde Application Gateway-resource hebben. U kunt ook andere Application Gateway-resources implementeren in dat subnet, v1 of v2 SKU. Hier volgen enkele overwegingen voor het definiëren van de subnetgrootte: - Application Gateway gebruikt één privé-IP-adres per exemplaar en een ander privé-IP-adres als een privé-front-end-IP is geconfigureerd. - Azure reserveert vijf IP-adressen in elk subnet voor intern gebruik. - Application Gateway (Standard of WAF SKU) kan maximaal 32 exemplaren ondersteunen. Het is raadzaam om 32 IP-adressen van exemplaren + 1 privé-front-end-IP + 5 gereserveerde Azure-instantie te gebruiken. Er wordt een minimale subnetgrootte van /26 aanbevolen. Omdat de Standard_v2 of WAF_v2 SKU maximaal 125 exemplaren kan ondersteunen, wordt een subnetgrootte van /24 aanbevolen. - Als u extra Application Gateway-resources in hetzelfde subnet wilt implementeren, moet u rekening houden met de extra IP-adressen die nodig zijn voor het maximale aantal exemplaren voor zowel Standard als Standard v2. |
| Profiteren van functies voor automatische schaalaanpassing en prestatievoordelen | De v2-SKU biedt automatisch schalen om ervoor te zorgen dat uw Application Gateway omhoog kan schalen naarmate het verkeer toeneemt. In vergelijking met v1 SKU beschikt v2 over mogelijkheden die de prestaties van de workload verbeteren. Bijvoorbeeld betere TLS-offloadprestaties, snellere implementatie- en updatetijden, zoneredundantie en meer. Zie Application Gateway v2 en WAF v2 schalen voor meer informatie over functies voor automatisch schalen. Als u v1 SKU-toepassingsgateway uitvoert, kunt u overwegen om te migreren naar de Application Gateway v2 SKU. Zie Migreren Azure-toepassing Gateway en Web Application Firewall van v1 naar v2 voor meer informatie. |
Azure Advisor helpt u bij het garanderen en verbeteren van de continuïteit van uw bedrijfskritieke toepassingen. Bekijk de aanbevelingen van Azure Advisor.
Aanbevelingen van Azure Advisor
Azure Advisor is een gepersonaliseerde cloudconsultant waarmee u de aanbevolen procedures kunt volgen om uw Azure-implementaties te optimaliseren. Hier volgen enkele aanbevelingen waarmee u de betrouwbaarheid, beveiliging, kosteneffectiviteit, prestaties en operationele uitmuntendheid van uw Application Gateway kunt verbeteren.
Betrouwbaarheid
- Fouttolerantie van toepassingsgateway garanderen
- Hostnaam niet overschrijven om de integriteit van de website te waarborgen
Aanvullende bronnen
Richtlijnen voor Azure Architecture Center
- API-gateways gebruiken in microservices
- Firewall en Application Gateway voor virtuele netwerken
- API's beveiligen met Application Gateway en API Management
- IaaS: Webtoepassing met relationele database
- Veilig beheerde webtoepassingen
- Zero-trust-netwerk voor webtoepassingen met Azure Firewall en Application Gateway
Volgende stappen
- Een toepassingsgateway implementeren om te zien hoe dit werkt: Quickstart: Webverkeer omleiden met Azure-toepassing Gateway - Azure Portal