Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Application Gateway v2 is een load balancer voor webverkeer die op de toepassingslaag werkt. Application Gateway beheert verkeer naar uw webtoepassingen op basis van de kenmerken van een HTTP-aanvraag. Gebruik Application Gateway voor scenario's met geavanceerde routeringsmogelijkheden en vereist verbeterde beveiliging en schaalbaarheid.
In dit artikel wordt ervan uitgegaan dat u als architect de netwerkopties hebt gecontroleerd en Application Gateway hebt gekozen als de load balancer voor webverkeer voor uw workload. De richtlijnen in dit artikel bevatten aanbevelingen voor architectuur die overeenkomen met de principes van de Well-Architected Framework-pijlers.
Belangrijk
Deze handleiding gebruiken
Elke sectie heeft een ontwerpcontrolelijst die architectuurgebieden van belang presenteert, samen met ontwerpstrategieën die zijn gelokaliseerd in het technologiebereik.
Ook zijn inbegrepen aanbevelingen voor de technologiemogelijkheden die kunnen helpen bij het materialiseren van deze strategieën. De aanbevelingen vertegenwoordigen geen volledige lijst met alle configuraties die beschikbaar zijn voor Application Gateway en de bijbehorende afhankelijkheden. In plaats daarvan worden de belangrijkste aanbevelingen opgesomd die aansluiten op de ontwerpperspectieven. Gebruik de aanbevelingen om uw proof-of-concept te bouwen of om uw bestaande omgevingen te optimaliseren.
Basisarchitectuur die de belangrijkste aanbevelingen aantoont: Baseline architectuur voor een zeer beschikbare, zone-redundante webtoepassing.
Technologische omvang
Deze beoordeling is gericht op de onderling gerelateerde beslissingen voor de volgende Azure-resources:
- Application Gateway v2
- Web Application Firewall (WAF) in Application Gateway
Betrouwbaarheid
Het doel van de pijler Betrouwbaarheid is om continue functionaliteit te bieden door voldoende tolerantie te ontwikkelen en de mogelijkheid om snel te herstellen van storingen.
principes voor betrouwbaarheidsontwerp een ontwerpstrategie op hoog niveau bieden die wordt toegepast op afzonderlijke onderdelen, systeemstromen en het systeem als geheel.
Controlelijst voor ontwerpen
Begin met uw ontwerpstrategie op basis van de ontwerpbeoordelingschecklist voor betrouwbaarheid. Bepaal de relevantie van uw bedrijfsvereisten, terwijl u rekening houdt met de functies van Application Gateway en de bijbehorende afhankelijkheden. Breid de strategie uit om zo nodig meer benaderingen op te nemen.
Gebruik Application Gateway v2 in nieuwe implementaties, tenzij uw workload specifiek Application Gateway v1 vereist.
Bouw redundantie in uw ontwerp. Verspreid Application Gateway-exemplaren over beschikbaarheidszones om fouttolerantie te verbeteren en redundantie te bouwen. Verkeer gaat naar andere zones als één zone uitvalt. Zie Aanbevelingen voor het gebruik van beschikbaarheidszones en regio's voor meer informatie.
Plan extra tijd voor regelupdates en andere configuratiewijzigingen voordat u Application Gateway opent of verdere wijzigingen aanbrengt. U hebt bijvoorbeeld extra tijd nodig om servers te verwijderen uit een back-endpool omdat ze bestaande verbindingen moeten leegmaken.
Implementeer het patroon Gezondheidseindpuntbewaking. Uw toepassing moet statuseindpunten beschikbaar maken, die de status van de kritieke services en afhankelijkheden aggregeren die uw toepassing nodig heeft om aanvragen te verwerken. Statustests van Application Gateway gebruiken het eindpunt om de status van servers in de back-endpool te detecteren. Zie Health Endpoint Monitoring-patroonvoor meer informatie.
Evalueer de impact van interval- en drempelwaarde-instellingen op een statustest. De statustest verzendt aanvragen naar het geconfigureerde eindpunt met een bepaald interval. En de achterkant tolereert een beperkt aantal mislukte aanvragen voordat deze als ongezond wordt gemarkeerd. Deze instellingen kunnen conflicteren, wat een compromis vormt.
Een hoger interval zorgt voor een hogere belasting van uw service. Elk exemplaar van de Application Gateway verzendt zijn eigen gezondheidscontrole, dus 100 exemplaren elke 30 seconden resulteert in 100 verzoeken elke 30 seconden.
Een lager interval verhoogt de hoeveelheid tijd voordat de statustest een storing detecteert.
Een lage, ongezonde drempelwaarde verhoogt de kans op korte, tijdelijke fouten waardoor een back-end wordt afgesloten.
Een hoge drempelwaarde verhoogt de hoeveelheid tijd die een back-end nodig heeft om uit de rotatie te gaan.
Controleer downstreamafhankelijkheden via statuseindpunten. Als u fouten wilt isoleren, heeft elk van uw back-ends mogelijk eigen afhankelijkheden. Een toepassing die u achter Application Gateway host, kan bijvoorbeeld meerdere back-ends hebben en elke back-end maakt verbinding met een andere database of replica. Wanneer een dergelijke afhankelijkheid mislukt, werkt de toepassing mogelijk, maar retourneert deze geen geldige resultaten. Daarom moet het gezondheidseindpunt bij voorkeur alle afhankelijkheden valideren.
Als elke aanroep naar het statuseindpunt een directe afhankelijkheidsaanroep heeft, ontvangt die database elke 30 seconden 100 query's in plaats van één query. Om overmatige query's te voorkomen, moet het statuseindpunt de status van de afhankelijkheden gedurende een korte periode in de cache opslaan.
Overweeg application gateway-beperkingen en bekende problemen die van invloed kunnen zijn op de betrouwbaarheid. Bekijk de veelgestelde vragen over Application Gateway voor belangrijke informatie over standaardgedrag, oplossingen in de bouw, platformbeperkingen en mogelijke tijdelijke oplossingen of risicobeperkingsstrategieën. Gebruik geen UDR's in het toegewezen subnet van Application Gateway.
Overweeg poortbeperkingen voor SNAT-poorten (Source Network Address Translation) in uw ontwerp die van invloed kunnen zijn op back-endverbindingen in Application Gateway. Sommige factoren zijn van invloed op de wijze waarop Application Gateway de SNAT-poortlimiet bereikt. Als de back-end bijvoorbeeld een openbaar IP-adres is, is een eigen SNAT-poort vereist. U kunt een van de volgende opties uitvoeren om SNAT-poortbeperkingen te voorkomen:
Verhoog het aantal exemplaren voor elke toepassingsgateway.
Schaal de back-ends uit om meer IP-adressen te hebben.
Verplaats uw back-ends naar hetzelfde virtuele netwerk en gebruik privé-IP-adressen voor de back-ends.
Als Application Gateway de SNAT-poortlimiet bereikt, is dit van invloed op de aanvragen per seconde (RPS). Application Gateway kan bijvoorbeeld geen nieuwe verbinding met de back-end openen en de aanvraag mislukt.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Implementeer exemplaren van Application Gateway in een zonebewuste configuratie. Controleer de regionale ondersteuning voor zoneredundantie omdat niet alle regio's deze functie bieden. |
Als u meerdere instances over zones verspreidt, kan uw workload bestand zijn tegen uitval in één enkele zone. Als u een niet-beschikbare zone hebt, wordt verkeer automatisch verplaatst naar gezonde exemplaren in andere zones, waardoor de betrouwbaarheid van toepassingen behouden blijft. |
| Gebruik Application Gateway-statustests om de onbeschikbaarheid van de back-end te detecteren. | Gezondheidscontroles zorgen ervoor dat verkeer slechts wordt geleid naar back-ends die het verkeer kunnen verwerken. Application Gateway bewaakt de status van alle servers in de back-endpool en stopt automatisch met het verzenden van verkeer naar een server die als beschadigd wordt beschouwd. |
| Configureer regels voor snelheidsbeperking voor Azure WAF, zodat clients niet te veel verkeer naar uw toepassing kunnen verzenden. | Gebruik rate limiting om problemen zoals herhalingsstormen te voorkomen. |
| Gebruik geen UDR's in Application Gateway, zodat het back-endstatusrapport correct functioneert en de juiste logboeken en metrische gegevens genereert. Als u een UDR in het Application Gateway-subnet moet gebruiken, raadpleegt u Ondersteunde UDR's. |
UDR's in het Application Gateway-subnet kunnen enkele problemen veroorzaken. Gebruik geen UDR's in het Application Gateway-subnet, zodat u de back-endstatus, logboeken en metrische gegevens kunt bekijken. |
| Configureer de idleTimeout-instellingen zodat deze overeenkomen met de listener- en verkeerskenmerken van de back-endtoepassing. De standaardwaarde is vier minuten. U kunt deze configureren tot maximaal 30 minuten. Zie voor meer informatie load balancer Transmission Control Protocol (TCP) reset en idle-time-out. |
Stel de IdleTimeout in zodat deze overeenkomt met de back-end. Deze instelling zorgt ervoor dat de verbinding tussen Application Gateway en de client open blijft als het meer dan vier minuten duurt om op de aanvraag te reageren. Als u deze instelling niet configureert, wordt de verbinding gesloten en ziet de client het antwoord van de back-end niet. |
Veiligheid
Het doel van de pijler Beveiliging is het bieden van vertrouwelijkheid, integriteit en beschikbaarheid garanties voor de workload.
De principes voor beveiligingsontwerp bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze doelen door benaderingen toe te passen op het technische ontwerp van Application Gateway.
Controlelijst voor ontwerpen
Start uw ontwerpstrategie op basis van de ontwerpbeoordelingschecklist voor beveiliging en identificeer kwetsbaarheden en maatregelen om de beveiligingspositie te verbeteren. Breid de strategie uit om zo nodig meer benaderingen op te nemen.
Controleer de beveiligingsbasislijn voor Application Gateway.
Veelvoorkomende bedreigingen aan de grens afweren. WAF kan worden geïntegreerd met Application Gateway. Schakel WAF-regels op de front-ends in om toepassingen te beschermen tegen veelvoorkomende aanvallen en beveiligingsproblemen aan de netwerkrand, die zich dicht bij de aanvalsbron bevindt. Zie WAF op Application Gateway voor meer informatie.
Meer informatie over hoe WAF van invloed is op wijzigingen in de capaciteit van Application Gateway. Wanneer u WAF inschakelt, Application Gateway:
Buffert elke aanvraag totdat deze volledig binnenkomt.
Controleert of de aanvraag overeenkomt met een regelschending in de basisregelset.
Stuurt het pakket door naar de back-endinstanties.
Grote bestandsuploads die 30 MB of meer zijn, kunnen aanzienlijke latentie veroorzaken. De capaciteitsvereisten van Application Gateway veranderen wanneer u WAF inschakelt. Daarom raden we u aan deze methode eerst goed te testen en te valideren.
Wanneer u Azure Front Door en Application Gateway gebruikt om HTTP- of HTTPS-toepassingen te beveiligen, gebruikt u WAF-beleid in Azure Front Door en vergrendelt u Application Gateway om alleen verkeer van Azure Front Door te ontvangen. Bepaalde scenario's kunnen u dwingen om regels specifiek op Application Gateway te implementeren. Als u bijvoorbeeld ModSec CRS 2.2.9-, CRS 3.0- of CRS 3.1-regels nodig hebt, kunt u deze regels alleen implementeren op Application Gateway. Azure Front Door biedt daarentegen ondersteuning voor snelheidsbeperking en geofiltering, en Application Gateway biedt geen ondersteuning voor deze functies.
Alleen geautoriseerde toegang tot het besturingsvlak toestaan. Gebruik op rollen gebaseerd toegangsbeheer (RBAC) van Application Gateway om de toegang te beperken tot alleen de identiteiten die dit nodig hebben.
Gegevens tijdens overdracht beveiligen. Schakel end-to-end Transport Layer Security (TLS), TLS-beëindiging en end-to-end TLS-versleuteling in. Wanneer u het back-endverkeer opnieuw versleutelt, moet u ervoor zorgen dat het back-endservercertificaat zowel de basiscertificeringsinstanties als tussenliggende certificeringsinstanties (CA's) bevat.
Gebruik een bekende CA om een TLS-certificaat van de back-endserver uit te geven. Als u geen vertrouwde CA gebruikt om het certificaat uit te geven, controleert Application Gateway totdat er een vertrouwd CA-certificaat wordt gevonden. Er wordt alleen een beveiligde verbinding tot stand gebracht wanneer er een vertrouwde CA wordt gevonden. Anders markeert Application Gateway de back-end als ongezond.
Toepassingsgeheimen beveiligen. Gebruik Azure Key Vault om TLS-certificaten op te slaan voor betere beveiliging en een eenvoudiger proces voor het vernieuwen en rouleren van certificaten.
Verminder het aanvalsoppervlak en versterk de configuratie. Verwijder standaardconfiguraties die u niet nodig hebt en beveilig uw Application Gateway-configuratie om de beveiligingsmaatregelen te verbeteren. Voldoen aan alle netwerkbeveiligingsgroepsbeperkingen (NSG) voor Application Gateway.
Gebruik een geschikte Domain Name System (DNS)-server voor resources in de back-endpool. Wanneer de back-endpool een omzetbare FQDN (Fully Qualified Domain Name) bevat, is de DNS-omzetting gebaseerd op een privé-DNS-zone of aangepaste DNS-server (indien geconfigureerd in het virtuele netwerk) of wordt de standaard door Azure geleverde DNS gebruikt.
Afwijkende activiteit bewaken. Controleer regelmatig logboeken om te controleren op aanvallen en valse meldingen. WAF-logboeken van Application Gateway verzenden naar de gecentraliseerde SIEM (Security Information and Event Management) van uw organisatie, zoals Microsoft Sentinel, om bedreigingspatronen te detecteren en preventieve maatregelen in het workloadontwerp op te nemen.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Stel een TLS-beleid in voor verbeterde beveiliging. Zorg ervoor dat u de nieuwste TLS-beleidsversie gebruikt. | Gebruik het nieuwste TLS-beleid om het gebruik van TLS 1.2 en sterkere coderingen af te dwingen. Het TLS-beleid omvat het beheer van de TLS-protocolversie en de coderingssuites en ook de volgorde waarin een TLS-handshake gebruikmaakt van coderingen. |
| Gebruik Application Gateway voor TLS-beëindiging. | De prestaties worden verbeterd omdat aanvragen die naar verschillende back-ends gaan, niet opnieuw hoeven te verifiëren voor elke back-end. De gateway heeft toegang tot de aanvraaginhoud en neemt intelligente routeringsbeslissingen. U hoeft het certificaat alleen op Application Gateway te installeren, wat het beheer van certificaten vereenvoudigt. |
| Integreer Application Gateway met Key Vault om TLS-certificaten op te slaan. | Deze aanpak biedt een sterkere beveiliging, eenvoudigere scheiding van rollen en verantwoordelijkheden, ondersteuning voor beheerde certificaten en een eenvoudiger proces voor het vernieuwen en rouleren van certificaten. |
| Voldoen aan alle NSG-beperkingen voor Application Gateway. | Het Application Gateway-subnet ondersteunt NSG's, maar er zijn enkele beperkingen. Zo is bepaalde communicatie met bepaalde poortbereiken verboden. Zorg ervoor dat u de gevolgen van deze beperkingen begrijpt. |
Kostenoptimalisatie
Kostenoptimalisatie richt zich op het detecteren van uitgavenpatronen, het prioriteren van investeringen in kritieke gebieden en het optimaliseren van andere gebieden. Dit alles om te voldoen aan het budget van de organisatie terwijl aan de bedrijfsvereisten wordt voldaan.
De ontwerpprincipes voor kostenoptimalisatie bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze doelen en het waar nodig maken van compromissen in het technische ontwerp met betrekking tot Application Gateway en de bijbehorende omgeving.
Controlelijst voor ontwerpen
Start uw ontwerpstrategie op basis van de checklist voor ontwerpbeoordeling ter kostenoptimalisatie van investeringen. Verfijn het ontwerp zodat de werklast is afgestemd op het budget dat daarvoor is toegewezen. Uw ontwerp moet gebruikmaken van de juiste Azure-mogelijkheden, investeringen bewaken en mogelijkheden vinden om in de loop van de tijd te optimaliseren.
Raak vertrouwd met de prijzen van Application Gateway en WAF. Kies de juiste grootteopties om te voldoen aan uw workloadcapaciteitsvraag en verwachte prestaties te leveren zonder resources te verspillen. Als u kosten wilt schatten, gebruikt u de prijscalculator.
Verwijder ongebruikte Application Gateway-exemplaren en optimaliseer ondergeuste exemplaren. Om onnodige kosten te voorkomen, identificeert en verwijdert u Application Gateway-exemplaren met lege back-endpools. Stop Application Gateway-exemplaren wanneer ze niet in gebruik zijn.
Optimaliseer de schaalkosten van uw Application Gateway-exemplaar. Zie Aanbevelingen voor het optimaliseren van schaalkosten om uw schaalstrategie te optimaliseren en de eisen van uw workload te verminderen.
Als u de service wilt in- of uitschalen op basis van de vereisten voor toepassingsverkeer, gebruikt u automatisch schalen in Application Gateway v2.
Bewaak metrische gegevens over het verbruik van Application Gateway en begrijp de impact van de kosten. Azure brengt kosten in rekening voor gemeten instanties van Application Gateway op basis van metrische gegevens. Evalueer de verschillende metrische gegevens en capaciteitseenheden en bepaal de kostenfactoren. Zie Microsoft Cost Management voor meer informatie.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Schakel Application Gateway-instanties uit wanneer ze niet in gebruik zijn. Zie Stop-AzApplicationGateway en Start-AzApplicationGateway voor meer informatie. | Voor een gestopt Application Gateway-exemplaar worden geen kosten in rekening gebracht. Application Gateway-exemplaren die continu draaien, kunnen onnodige kosten veroorzaken. Evalueer gebruikspatronen en stop exemplaren wanneer u ze niet nodig hebt. Verwacht bijvoorbeeld weinig gebruik na kantooruren in ontwikkel-/testomgevingen. |
| Bewaak de metrische gegevens van Application Gateway voor sleutelkosten, zoals: - Geschatte gefactureerde capaciteitseenheden. - Vaste factureerbare capaciteitseenheden. - Huidige capaciteitseenheden. Zorg ervoor dat u rekening houdt met bandbreedtekosten. |
Gebruik deze metrische gegevens om te controleren of het aantal ingerichte exemplaren overeenkomt met de hoeveelheid binnenkomend verkeer en zorg ervoor dat u de toegewezen resources volledig gebruikt. |
Operationele uitmuntendheid
Operational Excellence richt zich voornamelijk op procedures voor ontwikkelprocedures, waarneembaarheid en releasebeheer.
De ontwerpprincipes voor Operational Excellence bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze doelstellingen voor de operationele vereisten van de workload.
Controlelijst voor ontwerpen
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Operational Excellence voor het definiëren van processen voor waarneembaarheid, testen en implementatie met betrekking tot Application Gateway.
Schakel diagnostische gegevens in voor Application Gateway en WAF. Verzamel logboeken en metrische gegevens, zodat u de status van de workload kunt bewaken, trends in de prestaties en betrouwbaarheid van de workload kunt identificeren en problemen kunt oplossen. Zie Aanbevelingen voor het ontwerpen en maken van een bewakingssysteem om uw algehele bewakingsbenadering te ontwerpen.
Gebruik metrische capaciteitsgegevens om het gebruik van de ingerichte Application Gateway-capaciteit te bewaken. Stel waarschuwingen in voor metrische gegevens om u op de hoogte te stellen van capaciteitsproblemen of andere problemen in Application Gateway of de back-end. Gebruik diagnostische logboeken om problemen met Application Gateway-exemplaren te beheren en op te lossen.
Gebruik Azure Monitor Network Insights om een uitgebreid overzicht te krijgen van de status en metrische gegevens voor netwerkbronnen, waaronder Application Gateway. Gebruik gecentraliseerde bewaking om snel problemen te identificeren en op te lossen, prestaties te optimaliseren en de betrouwbaarheid van uw toepassingen te garanderen.
Aanbevelingen voor Application Gateway bewaken in Azure Advisor. Configureer waarschuwingen om uw team op de hoogte te stellen wanneer u nieuwe, kritieke aanbevelingen voor uw Application Gateway-exemplaar hebt. Advisor genereert aanbevelingen op basis van eigenschappen, zoals de categorie, het impactniveau en het aanbevelingstype.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Configureer waarschuwingen om uw team op de hoogte te stellen wanneer metrische capaciteitsgegevens, zoals CPU-gebruik en rekeneenheidgebruik, drempelwaarden kruisen. Als u een uitgebreide set waarschuwingen wilt configureren op basis van metrische capaciteitsgegevens, raadpleegt u de ondersteuning voor hoog verkeer van Application Gateway. |
Stel waarschuwingen in wanneer metrische gegevens drempelwaarden overschrijden, zodat u weet wanneer uw gebruik toeneemt. Deze aanpak zorgt ervoor dat u voldoende tijd hebt om noodzakelijke wijzigingen in uw workload te implementeren en voorkomt degradatie of storingen. |
| Configureer waarschuwingen om uw team op de hoogte te stellen van metrische gegevens die duiden op problemen in Application Gateway of de back-end. U wordt aangeraden de volgende waarschuwingen te evalueren: - Aantal ongezonde hosts - Antwoordstatus, zoals 4xx- en 5xx-fouten - Antwoordstatus van back-end, zoals 4xx- en 5xx-fouten - Reactietijd van laatste byte van back-end - Totale tijd van Application Gateway Zie Metrische gegevens voor Application Gateway voor meer informatie. |
Gebruik waarschuwingen om ervoor te zorgen dat uw team tijdig op problemen kan reageren en het oplossen van problemen kan vergemakkelijken. |
| Schakel diagnostische logboeken in op Application Gateway en WAF om firewalllogboeken, prestatielogboeken en toegangslogboeken te verzamelen. | Gebruik logboeken om problemen met Application Gateway-exemplaren en uw workload te detecteren, onderzoeken en oplossen. |
| Gebruik Advisor om key Vault-configuratieproblemen te bewaken. Stel een waarschuwing in om uw team op de hoogte te stellen wanneer u de aanbeveling krijgt waarin het probleem met Azure Key Vault voor uw Toepassingsgateway wordt opgelost. | Gebruik Advisor-waarschuwingen om op de hoogte te blijven en problemen onmiddellijk op te lossen. Voorkom eventuele problemen met het besturingsvlak of het gegevensvlak. Application Gateway controleert elke 4 uur op de vernieuwde certificaatversie in het gekoppelde Key Vault-exemplaar. Als de certificaatversie niet toegankelijk is vanwege een onjuiste Key Vault-configuratie, registreert deze die fout en pusht een bijbehorende Advisor-aanbeveling. |
Prestatie-efficiëntie
Prestatie-efficiëntie gaat over het waarborgen van de gebruikerservaring, zelfs wanneer er een toename in de belasting is door capaciteitsbeheer. De strategie omvat het schalen van resources, het identificeren en optimaliseren van potentiële knelpunten en het optimaliseren van piekprestaties.
De ontwerpprincipes voor Prestatie-efficiëntie een ontwerpstrategie op hoog niveau bieden voor het bereiken van deze capaciteitsdoelen ten opzichte van het verwachte gebruik.
Controlelijst voor ontwerpen
Maak een schatting van de capaciteitsvereisten voor Application Gateway ter ondersteuning van uw workloadvereisten. Profiteer van de functionaliteit voor automatisch schalen in Application Gateway v2. Stel de juiste waarden in voor het minimum- en maximumaantal exemplaren. Zorg voor de juiste grootte van het toegewijde subnet dat Application Gateway nodig heeft. Zie Aanbevelingen voor capaciteitsplanningvoor meer informatie.
Application Gateway v2 wordt uitgeschaald op basis van veel aspecten, zoals CPU, netwerkdoorvoer en huidige verbindingen. Als u het geschatte aantal exemplaren wilt bepalen, moet u rekening houden met deze metrische gegevens:
Huidige rekeneenheden: Deze metrische waarde geeft het CPU-gebruik aan. Eén Application Gateway-exemplaar is gelijk aan ongeveer 10 rekeneenheden.
Doorvoer: Een Application Gateway-exemplaar kan ongeveer 500 Mbps doorvoer leveren. Deze gegevens zijn afhankelijk van het type nettolading.
Houd rekening met deze vergelijking wanneer u het aantal exemplaren berekent.
Nadat u het aantal exemplaren hebt geschat, vergelijkt u die waarde met het maximumaantal exemplaren. Gebruik deze vergelijking om te bepalen hoe dicht u bij de maximale beschikbare capaciteit bent.
Profiteer van functies voor automatische schaalaanpassing en prestatievoordelen. De v2-SKU biedt autoscaling, waardoor Application Gateway wordt geschaald naarmate het verkeer toeneemt. Vergeleken met de v1-SKU heeft de v2-SKU mogelijkheden die de prestaties van de workload verbeteren. De v2-SKU heeft bijvoorbeeld betere TLS-offloadprestaties, snellere implementatie- en updatetijden en ondersteuning voor zoneredundantie. Voor meer informatie, zie Application Gateway v2 en WAF v2 schalen.
Als u Application Gateway v1 gebruikt, kunt u overwegen om te migreren naar Application Gateway v2. Zie Application Gateway en WAF migreren van v1 naar v2 voor meer informatie.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Stel het minimale aantal exemplaren in op een optimaal niveau op basis van het geschatte aantal exemplaren, werkelijke trends voor automatisch schalen van Application Gateway en uw toepassingspatronen. Controleer de huidige rekeneenheden voor de afgelopen maand. Deze metrische waarde vertegenwoordigt het CPU-gebruik van de gateway. Als u het minimale aantal exemplaren wilt definiëren, deelt u het piekgebruik door 10. Als uw gemiddeld aantal huidige compute-eenheden in de afgelopen maand bijvoorbeeld 50 is, stelt u het minimumaantal instanties in op vijf. |
Voor Application Gateway v2 duurt automatisch schalen ongeveer drie tot vijf minuten voordat de extra set instanties gereed is om verkeer af te handelen. Als Application Gateway gedurende die tijd korte pieken in het verkeer heeft, verwacht u tijdelijke latentie of verlies van verkeer. |
| Stel het maximumaantal exemplaren voor automatische schaalaanpassing in op het maximaal mogelijke aantal exemplaren, namelijk 125 exemplaren. Zorg ervoor dat het toegewezen subnet van Application Gateway voldoende beschikbare IP-adressen heeft om de verhoogde set exemplaren te ondersteunen. | Application Gateway kan zo nodig uitschalen om meer verkeer naar uw toepassingen af te handelen. Deze instelling verhoogt de kosten niet omdat u alleen betaalt voor de verbruikte capaciteit. |
| Maak het toegewezen subnet van de Application Gateway de juiste grootte. We raden ten zeerste een /24-subnet aan voor een Application Gateway v2-implementatie. Als u andere Application Gateway-resources in hetzelfde subnet wilt implementeren, moet u rekening houden met de extra IP-adressen die u nodig hebt voor het maximale aantal exemplaren. Zie de configuratie van de Application Gateway-infrastructuur voor meer overwegingen over het aanpassen van de grootte van het subnet. |
Gebruik een /24-subnet om ondersteuning te bieden voor alle IP-adressen die uw Application Gateway v2-implementatie nodig heeft. Application Gateway gebruikt één privé-IP-adres voor elk exemplaar en een ander privé-IP-adres als u een privé-front-end-IP configureert. De Standard_v2 of WAF_v2 SKU kan maximaal 125 exemplaren ondersteunen. Azure reserveert vijf IP-adressen in elk subnet voor intern gebruik. |
Azure-beleid
Azure biedt een uitgebreide set ingebouwde beleidsregels met betrekking tot App Service en de bijbehorende afhankelijkheden. Een set Azure-beleidsregels kan enkele van de voorgaande aanbevelingen controleren. U kunt bijvoorbeeld controleren of:
Schakel WAF in voor Application Gateway. Implementeer WAF vóór openbare webtoepassingen om een andere inspectielaag toe te voegen voor binnenkomend verkeer. WAF biedt gecentraliseerde beveiliging voor uw webtoepassingen. Het helpt veelvoorkomende aanvallen en beveiligingsproblemen te voorkomen, zoals SQL-injecties, cross-site scripting en lokale en externe bestandsuitvoeringen. U kunt ook aangepaste regels gebruiken om de toegang tot uw webtoepassingen te beperken op basis van landen of regio's, IP-adresbereiken en andere HTTP- of HTTPS-parameters.
WAF moet de opgegeven modus voor Application Gateway gebruiken. Zorg ervoor dat alle WAF-beleidsregels voor Application Gateway de detectie - of preventiemodus gebruiken.
Schakel Azure DDoS Protection in. Schakel DDoS Protection in voor alle virtuele netwerken met een subnet dat Application Gateway bevat met een openbaar IP-adres.
Raadpleeg de ingebouwde Azure Policy-definities en andere beleidsregels die van invloed kunnen zijn op netwerken voor uitgebreide governance.
Aanbevelingen voor Azure Advisor
Azure Advisor is een gepersonaliseerde cloudconsultant waarmee u de aanbevolen procedures kunt volgen om uw Azure-implementaties te optimaliseren. Hier volgen enkele aanbevelingen waarmee u de betrouwbaarheid, beveiliging, kosteneffectiviteit, prestaties en operationele uitmuntendheid van Application Gateway kunt verbeteren.
Volgende stappen
- API-gateways gebruiken in microservices
- Azure Firewall en Application Gateway voor virtuele netwerken
- API's beveiligen met Application Gateway en Azure API Management
- Veilig beheerde webtoepassingen
- Zero Trust-netwerk voor webtoepassingen met Azure Firewall en Application Gateway
- Quickstart: Webverkeer omleiden met Application Gateway via Azure Portal