Overwegingen voor operationeel beheer voor de API Management landingszoneversneller

  • Artikel

Dit artikel bevat ontwerpoverwegingen en aanbevelingen voor operations management bij het gebruik van de API Management landingszoneversneller. Operations Management heeft betrekking op meerdere aspecten, waaronder:

  • Het API Management-exemplaar inrichten, schalen en bewaken
  • Beleid configureren in de gateway
  • API's beheren
  • Voorbereiden op bedrijfscontinuïteit en herstel na noodgevallen

Meer informatie over het ontwerpgebied voor beheer .

Beheer en controle

Ontwerpoverwegingen voor beheer en bewaking

  • Houd rekening met de maximale doorvoerlimieten voor elke API Management servicelaag. Deze limieten zijn bij benadering en kunnen niet worden gegarandeerd.
  • Houd rekening met het maximum aantal schaaleenheden per API Management servicelaag.
  • Houd rekening met de tijd die nodig is om uit te schalen, te implementeren naar een andere regio of te converteren naar een andere servicelaag.
  • API Management wordt niet automatisch uitgeschaald; aanvullende configuratie is vereist.
  • Er is geen downtime tijdens een uitschaalgebeurtenis.
  • Alleen het gatewayonderdeel van API Management wordt geïmplementeerd in alle regio's in een implementatie met meerdere regio's.
  • Houd rekening met de mogelijke impact op de prestaties van Application Insights-logboekregistratie bij hoge belasting.
  • Houd rekening met het aantal beleidsregels voor inkomend en uitgaand verkeer dat is toegepast en de invloed ervan op de prestaties.
  • API Management beleidsregels zijn code en moeten onder versiebeheer staan
  • API Management ingebouwde cache wordt gedeeld door alle eenheden in dezelfde regio in dezelfde API Management service.
  • Gebruik beschikbaarheidszones. Het aantal geselecteerde schaaleenheden moet gelijkmatig over de zones worden verdeeld.
  • Als u een zelf-hostende gateway gebruikt, moet u er rekening mee houden dat referenties elke 30 dagen verlopen en moeten worden geroteerd.
  • De URI /status-0123456789abcdef kan worden gebruikt als een algemeen statuseindpunt voor de API Management-service.
  • De API Management-service is geen WAF. Implementeer een WAF zoals Azure Application Gateway vooraan voor extra beveiligingslagen.
  • Onderhandeling van clientcertificaten is ingeschakeld in een configuratie per gateway.
  • Certificaten en geheimen in Key Vault worden binnen 4 uur na het instellen in API Management bijgewerkt. U kunt een geheim ook handmatig vernieuwen met behulp van de Azure Portal of via de REST API voor beheer.
  • Aangepaste domeinen kunnen worden toegepast op alle eindpunten of alleen op een subset. De Premium-laag ondersteunt het instellen van meerdere hostnamen voor het gateway-eindpunt.
  • API Management kunt u een back-up maken met behulp van de REST API voor beheer. Back-ups verlopen na 30 dagen. Houd er rekening mee waarvan API Management geen back-up maakt.
  • Benoemde waarden zijn globaal binnen het bereik.
  • API-bewerkingen kunnen worden gegroepeerd in producten en abonnementen. Baseer het ontwerp op de werkelijke zakelijke vereisten.

Ontwerpaanbeveling voor beheer en bewaking

  • Pas aangepaste domeinen alleen toe op het gateway-eindpunt.
  • Gebruik Event Hubs-beleid voor logboekregistratie op hoge prestatieniveaus.
  • Gebruik een externe cache voor controle en de snelste prestaties.
  • Implementeer ten minste twee schaaleenheden verspreid over twee beschikbaarheidszones per regio voor de beste beschikbaarheid en prestaties.
  • Gebruik Azure Monitor om API Management automatisch te schalen. Als u een zelf-hostende gateway gebruikt, gebruikt u De horizontale automatische schaalaanpassing van kubernetes-pods om de gateway uit te schalen.
  • Zelf-hostende gateways implementeren waarbij Azure geen regio dicht bij de back-end-API's heeft.
  • Gebruik Key Vault voor certificaatopslag, meldingen en rotatie.
  • Schakel 3DES-, TLS 1.1- of lagere versleutelingsprotocollen niet in, tenzij vereist.
  • Gebruik DevOps en procedures voor infrastructuur als code voor het afhandelen van alle implementaties, updates en herstel na noodgevallen.
  • Maak een API-revisie - en wijzigingslogboekvermelding voor elke API-update.
  • Gebruik back-ends om redundante API-back-endconfiguraties te elimineren.
  • Gebruik benoemde waarden om algemene waarden op te slaan die in beleidsregels kunnen worden gebruikt.
  • Gebruik Key Vault om geheimen op te slaan waarnaar benoemde waarden kunnen verwijzen. Geheimen die zijn bijgewerkt in de sleutelkluis, worden automatisch geroteerd in API Management
  • Ontwikkel een communicatiestrategie om gebruikers op de hoogte te stellen van updates van API-versies die fouten veroorzaken.
  • Configureer diagnostische instellingen om AllMetrics en AllLogs door te sturen naar de Log Analytics-werkruimte.

Bedrijfscontinuïteit en herstel na noodgevallen

Ontwerpoverwegingen voor bedrijfscontinuïteit en herstel na noodgevallen

  • Bepaal de Recovery Time Objective (RTO) en Recovery Point Objective (RPO) voor de API Management exemplaren die u wilt beveiligen en de waardeketens die ze ondersteunen (consumenten en providers). Overweeg om nieuwe exemplaren te implementeren of een hot/cold stand-by te hebben.
  • API Management ondersteunt implementaties met meerdere en meerdere regio's. Op basis van de vereisten kunt u slechts één of beide inschakelen.
  • Failover kan worden geautomatiseerd:
    • Een failover voor een implementatie met meerdere zone's wordt automatisch uitgevoerd.
    • Voor een implementatie met meerdere regio's is een load balancer op basis van DNS, zoals Traffic Manager, vereist om een failover uit te kunnen maken.
  • API Management kan worden geback-upt met behulp van de Management REST API.

Ontwerpaanbeveling voor bedrijfscontinuïteit en herstel na noodgevallen

  • Gebruik een door de gebruiker toegewezen beheerde identiteit voor API Management om downtime te voorkomen tijdens het opnieuw implementeren van ARM-sjablonen. Als u een door het systeem toegewezen beheerde identiteit gebruikt, worden deze identiteit en de bijbehorende rollen en toewijzingen, zoals Azure Key Vault geheime toegang, verwijderd als de resource wordt verwijderd. Als u een door de gebruiker toegewezen beheerde identiteit gebruikt, blijven deze toewijzingen behouden, zodat u deze weer kunt koppelen aan API Management zonder verlies van toegang.
  • Gebruik geautomatiseerde Azure-pijplijnen om back-ups uit te voeren.
  • Bepaal of implementatie van meerdere regio's is vereist.

Veronderstellingen op ondernemingsniveau

Hier volgen veronderstellingen die zijn meegenomen in de ontwikkeling van de API Management landingszoneversneller:

  • Een instantie van de Premium-laag van API Management die ondersteuning biedt voor beschikbaarheidszones en implementaties voor meerdere regio's wordt aanbevolen.
  • Azure Pipelines worden gebruikt voor het beheren en implementeren van infrastructuur als code.