Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Gateway de Aplicativo do Azure v2 é um balanceador de carga de tráfego da Web que opera na camada de aplicativo. O Gateway de Aplicativo gerencia o tráfego para seus aplicativos Web com base nos atributos de uma solicitação HTTP. Use o Gateway de Aplicativo para cenários que tenham recursos avançados de roteamento e exijam segurança e escalabilidade aprimoradas.
Este artigo pressupõe que, como arquiteto, você revisou as opções de rede e escolheu o Gateway de Aplicativo como o balanceador de carga de tráfego da Web para sua carga de trabalho. As diretrizes neste artigo fornecem recomendações arquitetônicas que são mapeadas para os princípios dos pilares do Well-Architected Framework.
Escopo da tecnologia
Esta revisão se concentra nas decisões interrelacionadas para os seguintes recursos do Azure:
- Gateway de Aplicativo v2
- Firewall do Aplicativo Web (WAF) no Gateway de Aplicativo
Reliability
A finalidade do pilar confiabilidade é fornecer funcionalidade contínua criando resiliência suficiente e a capacidade de se recuperar rapidamente de falhas.
princípios de design de confiabilidade fornecem uma estratégia de design de alto nível aplicada a componentes individuais, fluxos do sistema e o sistema como um todo.
Lista de verificação de design de carga de trabalho
Inicie sua estratégia de design com base na lista de verificação de design para Confiabilidade. Determine sua relevância para seus requisitos de negócios, tendo em mente os recursos do Gateway de Aplicativo e suas dependências. Estenda a estratégia para incluir mais abordagens conforme necessário.
Use o Gateway de Aplicativo v2 em novas implantações, a menos que sua carga de trabalho exija especificamente o Gateway de Aplicativo v1.
Criar redundância em seu design. Distribua instâncias do Gateway de Aplicações entre zonas de disponibilidade para melhorar a tolerância a falhas e construir redundância. O tráfego vai para outras zonas se uma zona falhar. Para obter mais informações, confira as Recomendações para usar zonas e regiões de disponibilidade.
Planeje tempo extra para atualizações de regra e outras alterações de configuração antes de acessar o Gateway de Aplicativo ou fazer outras alterações. Por exemplo, talvez seja necessário tempo extra para remover servidores de um pool de back-end porque eles precisam esvaziar as conexões existentes.
Implementar o padrão Monitoramento do Ponto de Extremidade de Integridade. Seu aplicativo deve expor pontos de extremidade de integridade, que agregam o estado dos serviços críticos e das dependências que seu aplicativo precisa para atender às solicitações. As investigações de integridade do Gateway de Aplicativos usam o ponto de extremidade para detectar a saúde dos servidores no pool de back-end. Para obter mais informações, consulte Padrão de monitoramento de ponto de extremidade de integridade.
Avalie o impacto das configurações de intervalo e limite em uma investigação de integridade. A sonda de saúde envia solicitações para o endpoint configurado em intervalos definidos. E o back-end tolera um número limitado de solicitações com falha antes de ser marcado como não saudável. Essas configurações podem entrar em conflito, o que apresenta uma compensação.
Um intervalo mais alto coloca uma carga maior em seu serviço. Cada instância do Gateway de Aplicativo envia sua própria investigação de integridade, portanto, 100 instâncias a cada 30 segundos são iguais a 100 solicitações a cada 30 segundos.
Um intervalo menor aumenta a quantidade de tempo antes que a investigação de integridade detecte uma interrupção.
Um limite baixo e não íntegro aumenta a chance de falhas curtas e transitórias desligarem um back-end.
Um limite alto aumenta a quantidade de tempo que leva um back-end para sair da rotação.
Verifique as dependências downstream por meio de pontos de extremidade de integridade. Para isolar falhas, cada um de seus back-ends pode ter suas próprias dependências. Por exemplo, um aplicativo hospedado por trás do Gateway de Aplicativo pode ter vários back-ends e cada back-end se conecta a um banco de dados ou réplica diferente. Quando essa dependência falha, o aplicativo pode funcionar, mas não retorna resultados válidos. Por esse motivo, o ponto de extremidade de integridade deve validar idealmente todas as dependências.
Se cada chamada para o ponto de extremidade de integridade tiver uma chamada de dependência direta, esse banco de dados receberá 100 consultas a cada 30 segundos em vez de uma consulta. Para evitar consultas excessivas, o ponto de extremidade de integridade deve armazenar em cache o estado das dependências por um curto período de tempo.
Considere as limitações do Gateway de Aplicativo e os problemas conhecidos que podem afetar a confiabilidade. Examine as perguntas frequentes do Gateway de Aplicativo para obter informações importantes sobre o comportamento por design, correções em construção, limitações de plataforma e possíveis soluções alternativas ou estratégias de mitigação. Não utilize UDRs na sub-rede dedicada do Gateway de Aplicação.
Considere as limitações de porta SNAT (Conversão de Endereços de Rede de Origem) em seu design que podem afetar conexões de back-end no Gateway de Aplicativo. Alguns fatores afetam como o Gateway de Aplicação alcança o limite de porta SNAT. Por exemplo, se o back-end for um endereço IP público, ele exigirá sua própria porta SNAT. Para evitar limitações de porta SNAT, você pode executar uma das seguintes opções:
Aumente o número de instâncias para cada Gateway de Aplicativo.
Expanda os back-ends para ter mais endereços IP.
Mova suas back-ends para a mesma rede virtual e use endereços IP privados para os back-ends.
Se o Gateway de Aplicativo atingir o limite de porta SNAT, ele afetará as solicitações por segundo (RPS). Por exemplo, o Gateway de Aplicativo não pode abrir uma nova conexão com o back-end e a solicitação falha.
Sempre que possível, considere a integração do CNI Overlay. Por exemplo, ao usar AKS, aproveite o suporte do Application Gateway para Contêineres para sobreposição de rede de pods. Esse recurso permite dimensionar vários clusters do AKS compartilhando o ingress e conservando o espaço IP, eliminando o esgotamento da sub-rede como um bloqueador de confiabilidade e escalabilidade. Para obter mais informações, consulte Rede de contêineres com o Gateway de Aplicativo para Contêineres.
Recomendações de configuração
| Recommendation | Benefit |
|---|---|
| Implantar instâncias do Gateway de Aplicativo em uma configuração com reconhecimento de zona. Verifique o suporte regional para redundância de zona porque nem todas as regiões oferecem esse recurso. |
Quando você espalha várias instâncias entre zonas, sua carga de trabalho pode suportar falhas em uma única zona. Se você tiver uma zona indisponível, o tráfego será automaticamente redirecionado para instâncias saudáveis em outras zonas, mantendo a confiabilidade do aplicativo. |
| Use Investigações de integridade do Gateway de Aplicativo para detectar a indisponibilidade de back-end. | Investigações de integridade garantem que o tráfego somente direciona para back-ends que possam lidar com o tráfego. O Gateway de Aplicativo monitora a integridade de todos os servidores em seu pool de back-end e interrompe automaticamente o envio de tráfego para qualquer servidor que considere não íntegro. |
| Configure regras de limitação de taxa para o WAF do Azure para que os clientes não possam enviar muito tráfego para seu aplicativo. | Use a limitação de taxa para evitar problemas como novas tempestades. |
| Não use UDRs no Gateway de Aplicativos para que o relatório de integridade de back-end funcione corretamente e gere os logs e as métricas corretas. Se você precisar usar uma UDR na sub-rede do Gateway de Aplicativo, consulte UDRs com suporte. |
UDRs na sub-rede do Gateway de Aplicativos podem causar alguns problemas. Não use UDRs na sub-rede do Gateway de Aplicativo a fim de poder exibir a integridade, os logs e as métricas de back-end. |
| Defina as configurações idleTimeout para corresponder às características de tráfego e ouvinte do aplicativo de back-end. O valor padrão é quatro minutos. Você pode configurá-lo para um máximo de 30 minutos. Para mais informações, consulte Redefinição do Protocolo de Controle de Transmissão (TCP) do balanceador de carga e tempo limite de inatividade. |
Defina o IdleTimeout para corresponder ao back-end. Essa configuração garante que a conexão entre o Gateway de Aplicativo e o cliente permaneça aberta se o back-end levar mais de quatro minutos para responder à solicitação. Se você não definir essa configuração, a conexão será fechada e o cliente não verá a resposta de back-end. |
Segurança
O objetivo do pilar Segurança é fornecer garantias de confidencialidade, integridade e disponibilidade para a carga de trabalho.
Os princípios de design de segurança fornecem uma estratégia de design de alto nível para atingir essas metas aplicando abordagens ao design técnico do Gateway de Aplicativo.
Lista de verificação de design de carga de trabalho
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Segurança e identifique vulnerabilidades e controles para melhorar a postura de segurança.
Examine a linha de base de segurança do Gateway de Aplicativo.
Bloqueie ameaças comuns na periferia. O WAF integra-se ao Gateway de Aplicações. Habilite as regras do WAF nos front-ends para proteger os aplicativos contra explorações e vulnerabilidades comuns na borda da rede, que está próxima da fonte de ataque. Para obter mais informações, consulte WAF no Gateway de Aplicativos.
Entenda como o WAF afeta as alterações de capacidade do Gateway de Aplicativo. Ao habilitar o WAF, o Gateway de Aplicativos:
Armazena em buffer todas as solicitações até que ela chegue totalmente.
Verifica se a solicitação corresponde a qualquer violação de regra em seu conjunto de regras principal.
Encaminha o pacote para as instâncias de back-end.
Uploads de arquivos grandes com 30 MB ou mais podem introduzir latência significativa. Os requisitos de capacidade do Gateway de Aplicativo mudam quando você habilita o WAF, portanto, recomendamos que você teste e valide esse método corretamente primeiro.
Quando você usa o Azure Front Door e o Gateway de Aplicativo para proteger aplicativos HTTP ou HTTPS, use políticas de WAF no Azure Front Door e bloqueie o Gateway de Aplicativo para receber tráfego somente do Azure Front Door. Determinados cenários podem forçar você a implementar regras especificamente no Gateway de Aplicativo.
Permitir apenas o acesso autorizado ao plano de controle. Use o RBAC (controle de acesso baseado em função) do Gateway de Aplicativo para restringir o acesso apenas às identidades que precisam dele.
Proteger dados em trânsito. Habilite a TLS (Segurança de Camada de Transporte de ponta a ponta), a terminação TLS e a criptografia TLS de ponta a ponta. Ao criptografar novamente o tráfego de back-end, verifique se o certificado do servidor de back-end contém as autoridades de certificação raiz e intermediárias (CAs).
Use uma AC conhecida para emitir um certificado TLS do servidor de back-end. Se você não usar uma AC confiável para emitir o certificado, o Gateway de Aplicativo verificará até que encontre um certificado de uma AC confiável. Ele estabelece uma conexão segura somente quando encontra uma AC confiável. Caso contrário, o Gateway de Aplicativo marcará o back-end como não saudável.
Proteja os segredos do aplicativo. Use o Azure Key Vault para armazenar certificados TLS para aumentar a segurança e um processo de renovação e rotação de certificados mais fácil.
Reduza a superfície de ataque e proteja a configuração. Remova as configurações padrão de que você não precisa e proteja a configuração do Gateway de Aplicativo para reforçar os controles de segurança. Cumprir todas as restrições do NSG (grupo de segurança de rede) para o Gateway de Aplicativo.
Use um servidor DNS (Sistema de Nomes de Domínio) apropriado para recursos do pool de back-end. Quando o pool de back-end contém um FQDN (nome de domínio totalmente qualificado) resolvível, a resolução DNS é baseada em uma zona DNS privada ou servidor DNS personalizado (se configurado na rede virtual) ou usa o DNS padrão fornecido pelo Azure.
Monitore a atividade anômala. Examine regularmente os logs para verificar se há ataques e falsos positivos. Envie Registros WAF do Gateway de Aplicativo para o SIEM (gerenciamento centralizado de eventos e informações de segurança) da sua organização, como o Microsoft Sentinel, para detectar padrões de ameaça e incorporar medidas preventivas no design do workload. Sempre que possível, use recursos que executam a análise de ameaças com recursos de segurança habilitados para IA. Por exemplo, a integração do Firewall do Aplicativo Web do Azure ao Microsoft Security Copilot pode agilizar a identificação de ameaças resumindo insights contextuais e sugestões de mitigação de ameaças.
Recomendações de configuração
| Recommendation | Benefit |
|---|---|
| Configure uma política TLS para segurança aprimorada. Certifique-se de usar a versão mais recente da política do TLS. | Use a política TLS mais recente para impor o uso do TLS 1.2 e criptografias mais fortes. A política TLS inclui o controle da versão do protocolo TLS e os conjuntos de criptografia e também a ordem na qual um handshake TLS usa criptografias. |
| Use o Gateway de Aplicativo para terminação TLS. | O desempenho melhora porque as solicitações que vão para back-ends diferentes não precisam ser reautenticadas para cada back-end. O gateway pode acessar o conteúdo da solicitação e tomar decisões de roteamento inteligentes. Você só precisa instalar o certificado no Gateway de Aplicativo, o que simplifica o gerenciamento de certificados. |
| Integre o Gateway de Aplicativo ao Key Vault para armazenar certificados TLS. | Essa abordagem fornece segurança mais forte, separação mais fácil de funções e responsabilidades, suporte para certificados gerenciados e um processo de renovação e rotação de certificados mais fácil. |
| Cumprir todas as restrições de NSG para o Gateway de Aplicativo. | A sub-rede do Gateway de Aplicativo dá suporte a NSGs, mas há algumas restrições. Por exemplo, qualquer comunicação com determinados intervalos de portas é proibida. Certifique-se de entender as implicações dessas restrições. |
Otimização de custos
A otimização de custos se concentra na na detecção de padrões de gastos, na priorização de investimentos em áreas críticas e na otimização de outras para atender ao orçamento da organização e, ao mesmo tempo, aos requisitos comerciais.
Os princípios de design de Otimização de Custos fornecem uma estratégia de design de alto nível para atingir essas metas e fazer compensações conforme necessário no design técnico relacionado ao Gateway de Aplicativo e seu ambiente.
Lista de verificação de design de carga de trabalho
Comece sua estratégia de design com base na lista de verificação de revisão de design para otimização de custos em investimentos. Ajuste o design para que a carga de trabalho seja alinhada com o orçamento alocado para a carga de trabalho. Seu design deve usar os recursos corretos do Azure, monitorar investimentos e encontrar oportunidades para otimizar ao longo do tempo.
Familiarize-se com os preços do Gateway de Aplicativo e do WAF. Escolha opções de tamanho adequado para atender à demanda de capacidade de carga de trabalho e fornecer o desempenho esperado sem desperdiçar recursos. Para estimar os custos, use a calculadora de preços.
Remova as instâncias do Gateway de Aplicativo não utilizadas e otimize as subutilizadas. Para evitar custos desnecessários, identifique e exclua instâncias do Gateway de Aplicativo que tenham pools de back-end vazios. Interrompa as instâncias do Gateway de Aplicativo quando elas não estiverem em uso.
Otimize o custo de dimensionamento da instância do Gateway de Aplicações. Para otimizar sua estratégia de dimensionamento e reduzir as demandas do wokload, consulte Recomendações para otimizar o custo de dimensionamento.
Para dimensionar ou reduzir o serviço com base nos requisitos de tráfego do aplicativo, use o dimensionamento automático no Gateway de Aplicativo v2.
Monitore as métricas de consumo do Gateway de Aplicativo e entenda seu impacto no custo. O Azure cobra por instâncias limitadas do Gateway de Aplicativo com base em métricas controladas. Avalie as várias métricas e as unidades de capacidade e determine os drivers de custo. Para obter mais informações, consulte o Gerenciamento de Custos da Microsoft.
Recomendações de configuração
| Recommendation | Benefit |
|---|---|
| Interrompa as instâncias do Gateway de Aplicativo quando elas não estiverem em uso. Para obter mais informações, consulte Stop-AzApplicationGateway e Start-AzApplicationGateway. | Uma instância do Gateway de Aplicativo interrompida não incorre em custos. As instâncias do Gateway de Aplicativo executadas continuamente podem incorrer em custos desnecessários. Avalie os padrões de uso e interrompa as instâncias quando não precisar delas. Por exemplo, espere baixo uso após o horário comercial em ambientes de desenvolvimento/teste. |
| Monitore as métricas do Gateway de Aplicativo, como os principais fatores de custo: - Unidades de capacidade cobradas estimadas. - Unidades de capacidade faturáveis fixas. - Unidades de capacidade atuais. Certifique-se de considerar os custos de largura de banda. |
Use essas métricas para validar se a contagem de instâncias provisionadas corresponde à quantidade de tráfego de entrada e garantir que você utilize totalmente os recursos alocados. |
Excelência operacional
A Excelência Operacional concentra-se principalmente em procedimentos relacionados às práticas de desenvolvimento , observabilidade e gerenciamento de lançamentos.
Os princípios de design da Excelência Operacional fornecem uma estratégia de design de alto nível para atingir essas metas para os requisitos operacionais da carga de trabalho.
Lista de verificação de design de carga de trabalho
Inicie sua estratégia de projeto com base na lista de verificação da revisão de projeto para Excelência Operacional, visando definir processos relacionados à observabilidade, teste e implantação no Gateway de Aplicação.
Habilitar diagnósticos no Gateway de Aplicativo e no WAF. Colete logs e métricas para que você possa monitorar a integridade da carga de trabalho, identificar tendências no desempenho e confiabilidade da carga de trabalho e solucionar problemas. Para projetar sua abordagem de monitoramento geral, consulte Recomendações para criar e criar um sistema de monitoramento.
Use métricas de capacidade para monitorar o uso da capacidade provisionada do Gateway de Aplicativo. Defina alertas em métricas para notificar você sobre problemas de capacidade ou outros problemas no Gateway de Aplicativo ou no back-end. Use os logs de diagnóstico para gerenciar e solucionar problemas com instâncias do Gateway de Aplicativos.
Use o Azure Monitor Network Insights para obter uma visão abrangente da integridade e das métricas para recursos de rede, incluindo o Gateway de Aplicativo. Use o monitoramento centralizado para identificar e resolver problemas rapidamente, otimizar o desempenho e garantir a confiabilidade de seus aplicativos.
Monitore as recomendações do Gateway de Aplicativo no Azure Advisor. Configure alertas para notificar sua equipe quando você tiver recomendações novas e críticas para sua instância do Gateway de Aplicativo. O Assistente gera recomendações com base em propriedades, como categoria, nível de impacto e tipo de recomendação.
Planeje atualizações de manutenção de rotina. Aproveite a funcionalidade de manutenção da instância do Gateway de Aplicativo v2 que permite que o gateway de produção seja atualizado sem descartar conexões e evitando a degradação transitória de desempenho durante essas atualizações contínuas. No entanto, você precisa alocar espaço IP adicional, que é usado para provisionar instâncias temporárias.
Recomendações de configuração
| Recommendation | Benefit |
|---|---|
| Configure alertas para notificar sua equipe quando as métricas de capacidade, como uso da CPU e uso de unidade de computação, ultrapassarem os limites recomendados. Para configurar um conjunto abrangente de alertas com base nas métricas de capacidade, consulte o suporte de alto tráfego do Gateway de Aplicativo. |
Defina alertas quando as métricas ultrapassarem os limites para que você saiba quando seu uso aumenta. Essa abordagem garante que você tenha tempo suficiente para implementar as alterações necessárias na carga de trabalho e impede a degradação ou interrupções. |
| Configure alertas para notificar sua equipe sobre métricas que indicam problemas no Gateway de Aplicativo ou no back-end. Recomendamos que você avalie os seguintes alertas: - Contagem de hosts não íntegros - Status da resposta, como erros 4xx e 5xx - Status da resposta do servidor, como erros 4xx e 5xx - Tempo de resposta do último byte do back-end - Tempo total do Gateway de aplicativos Para obter mais informações, consulte Métricas para Gateway de Aplicativo. |
Use alertas para ajudar a garantir que sua equipe possa responder a problemas em tempo hábil e facilitar a solução de problemas. |
| Habilite os logs de diagnóstico no Gateway de Aplicativo e no WAF para coletar logs de firewall, logs de desempenho e logs de acesso. | Use logs para ajudar a detectar, investigar e solucionar problemas com instâncias do Gateway de Aplicativo e seu fluxo de trabalho. |
| Use o Assistente para monitorar problemas de configuração do Key Vault. Defina um alerta para notificar sua equipe quando você receber a recomendação que indica resolver o problema do Azure Key Vault para o Gateway de Aplicações. | Use alertas do Assistente para se manter atualizado e corrigir problemas imediatamente. Evite problemas relacionados ao plano de controle ou ao plano de dados. O Gateway de Aplicativo verifica a versão do certificado renovada na instância vinculada do Key Vault a cada 4 horas. Se a versão do certificado estiver inacessível devido a uma configuração incorreta do Key Vault, ela registrará esse erro e enviará por push uma recomendação do Assistente correspondente. |
Eficiência de desempenho
Eficiência de desempenho significa manter a experiência do usuário mesmo quando há um aumento na carga por meio do gerenciamento da capacidade. A estratégia inclui dimensionamento de recursos, identificação e otimização de possíveis gargalos e otimização para o desempenho de pico.
Os princípios de design de eficiência de desempenho fornecem uma estratégia de design de alto nível para atingir essas metas de capacidade considerando o uso esperado.
Lista de verificação de design de carga de trabalho
Comece sua estratégia de design com base na lista de verificação de revisão de design para eficiência de desempenho. Defina uma linha de base baseada nos principais indicadores de desempenho do Gateway de Aplicativo.
Estime os requisitos de capacidade do Gateway de Aplicativo para suportar suas demandas de trabalho. Aproveite a funcionalidade de dimensionamento automático no Gateway de Aplicações v2. Defina os valores apropriados para o número mínimo e máximo de instâncias. Dimensione adequadamente a sub-rede dedicada necessária para o Gateway de Aplicativo. Para obter mais informações, consulte Recomendações para planejamento de capacidade.
O Gateway de Aplicativo v2 é dimensionado com base em muitos aspectos, como CPU, taxa de transferência de rede e conexões atuais. Para determinar a contagem aproximada de instâncias, considere estas métricas:
Unidades de computação atuais: Essa métrica indica o uso da CPU. Uma instância do Gateway de Aplicativo é igual a aproximadamente 10 unidades de computação.
Throughput: Uma instância do Gateway de Aplicativo pode atender a aproximadamente 500 Mbps de taxa de transferência. Esses dados dependem do tipo de conteúdo.
Considere essa equação ao calcular contagens de instâncias.
Depois de estimar a contagem de instâncias, compare esse valor com a contagem máxima de instâncias. Use essa comparação para determinar o quão próximo você está da capacidade máxima disponível.
Aproveite os recursos para dimensionamento automático e benefícios de desempenho. O SKU v2 oferece dimensionamento automático, que aumenta o Gateway de Aplicações conforme o tráfego aumenta. Em comparação com o SKU v1, o SKU v2 tem recursos que aprimoram o desempenho da carga de trabalho. Por exemplo, o SKU v2 tem melhor desempenho de descarregamento de TLS, tempos de implantação e atualização mais rápidos e suporte à redundância de zona. Para obter mais informações, confira Gateway de Aplicativo de Dimensionamento v2 e WAF v2.
Se você usar o Gateway de Aplicativo v1, considere migrar para o Gateway de Aplicativo v2. Para obter mais informações, consulte Migrar o Gateway de Aplicativo e o WAF da v1 para a v2.
Recomendações de configuração
| Recommendation | Benefit |
|---|---|
| Defina a contagem mínima de instâncias como um nível ideal com base na contagem de instâncias estimada, nas tendências reais de dimensionamento automático do Gateway de Aplicativo e nos padrões do aplicativo. Verifique as unidades de computação atuais do mês passado. Essa métrica representa o uso da CPU do gateway. Para definir a contagem mínima de instâncias, divida o uso de pico por 10. Por exemplo, se as unidades de computação atuais médias no mês passado forem 50, defina a contagem mínima de instâncias como cinco. |
Para o Gateway de Aplicativo v2, o dimensionamento automático leva aproximadamente de três a cinco minutos até que o conjunto extra de instâncias esteja pronto para lidar com o tráfego. Durante esse tempo, se o Gateway de Aplicativo tiver picos curtos no tráfego, espere latência transitória ou perda de tráfego. |
| Defina a contagem máxima de instâncias de dimensionamento automático como o máximo possível, que é de 125 instâncias. Verifique se a sub-rede dedicada do Gateway de Aplicativo tem endereços IP disponíveis suficientes para dar suporte ao conjunto maior de instâncias. Se o requisito de tráfego precisar de mais de 125 instâncias, você pode usar o Gerenciador de Tráfego do Azure ou o Azure Front Door na frente do Gateway de Aplicativo. Para obter mais informações, consulte Conectar o Azure Front Door Premium a um Gateway de Aplicativo do Azure com Link Privado e usar o Gateway de Aplicativo do Azure com o Gerenciador de Tráfego do Azure. |
O Application Gateway pode escalar conforme necessário para lidar com o aumento do tráfego para os seus aplicativos. Essa configuração não aumenta o custo porque você paga apenas pela capacidade consumida. |
| Dimensione adequadamente a sub-rede dedicada do Gateway de Aplicativo. É altamente recomendável uma sub-rede /24 para uma implantação do Gateway de Aplicativo v2. Se você quiser implantar outros recursos do Gateway de Aplicativo na mesma sub-rede, considere os endereços IP extras necessários para a contagem máxima de instâncias. Para obter mais considerações sobre o dimensionamento da sub-rede, consulte a configuração de infraestrutura do Gateway de Aplicativo. |
Use uma sub-rede /24 para fornecer suporte a todos os endereços IP necessários para a implantação do Gateway de Aplicativo v2. O Gateway de Aplicativo usará um endereço IP privado para cada instância e outro endereço IP privado se você configurar um IP de front-end privado. O SKU Standard_v2 ou WAF_v2 pode dar suporte a até 125 instâncias. O Azure reserva cinco endereços IP em cada sub-rede para uso interno. |
Políticas do Azure
O Azure fornece um amplo conjunto de políticas internas relacionadas ao Gateway de Aplicativo e suas dependências. Algumas das recomendações anteriores podem ser auditadas por meio do Azure Policy. Por exemplo, você pode verificar se:
- Você deve habilitar o WAF para o Gateway de Aplicativo. Implante o WAF na frente de aplicativos Web voltados para o público para adicionar outra camada de inspeção para o tráfego de entrada. O WAF fornece proteção centralizada para seus aplicativos Web. Ele ajuda a evitar explorações e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode usar regras personalizadas para restringir o acesso a seus aplicativos Web com base em países ou regiões, intervalos de endereços IP e outros parâmetros HTTP ou HTTPS.
- O WAF deve usar o modo especificado para o Gateway de Aplicativo. Verifique se todas as políticas do WAF para o Gateway de Aplicativo usam o modo de Detecção ou Prevenção .
- Você deve habilitar a Proteção contra DDoS do Azure. Habilite a Proteção contra DDoS para todas as redes virtuais que tenham uma sub-rede que contenha o Gateway de Aplicativo com um IP público.
Para governança abrangente, examine as definições internas do Azure Policy para o Gateway de Aplicativo e outras políticas que podem afetar a segurança da infraestrutura de rede.
Recomendações do Assistente do Azure
O Assistente do Azure é um consultor de nuvem personalizado que ajuda você a seguir as práticas recomendadas para otimizar suas implantações do Azure.
Para obter mais informações, consulte o Assistente do Azure.
Arquitetura de exemplo
Arquitetura fundamental que demonstra as principais recomendações: Arquitetura de aplicativos da Web de linha de base altamente disponível e redundante por zona.
Próximas etapas
- Usar Gateways de API em microsserviços
- Firewall do Azure e Gateway de Aplicativo para redes virtuais
- Proteger APIs com o Gateway de Aplicativo e o Gerenciamento de API do Azure
- aplicativos Web gerenciados com segurança
- Rede de Confiança Zero para aplicativos Web com o Firewall do Azure e o Gateway de Aplicativo
- Início Rápido: direcionar o tráfego da Web com o Gateway de Aplicativo do Azure – portal do Azure