Поддержка высокого трафика шлюза приложений

Замечание

В этой статье описано несколько предлагаемых рекомендаций, которые помогут вам настроить шлюз приложений для обработки дополнительного трафика для любого большого объема трафика, который может возникнуть. Пороговые значения оповещений являются исключительно предложениями и универсальными в природе. Пользователи могут определять пороговые значения оповещений на основе их рабочей нагрузки и ожиданий использования.

Шлюз приложений можно использовать с брандмауэром веб-приложений (WAF) для масштабируемого и безопасного способа управления трафиком в веб-приложениях.

Важно масштабировать шлюз приложений в соответствии с вашим трафиком и с небольшим запасом, чтобы подготовиться к любым всплескам или пикам трафика и минимизировать влияние, которое это может оказать на вашу QoS. Следующие рекомендации помогут настроить шлюз приложений с WAF для обработки дополнительного трафика.

Ознакомьтесь с документацией по метрикам , чтобы получить полный список метрик, предлагаемых шлюзом приложений. См. визуализация метрик в портале Azure и документацию по Azure Monitor о том, как настраивать оповещения для метрик.

Подробные сведения и рекомендации по повышению производительности шлюза приложений см. в статье Azure Well-Architected Framework: Шлюз приложений Azure версии 2.

Масштабирование для SKU шлюза приложений версии 1 (стандартный или SKU WAF)

Установите количество экземпляров на основе пикового использования ЦП

Если вы используете шлюз SKU версии 1, вы сможете настроить шлюз приложений до 32 экземпляров для масштабирования. Проверьте использование ЦП шлюза приложений за последний месяц для любых пиков выше 80%; оно доступно в качестве метрики для отслеживания. Рекомендуется задавать количество экземпляров в соответствии с пиковым использованием, добавляя буфер от 10% до 20%, чтобы учесть любые всплески трафика.

Используйте SKU версии 2 вместо версии 1 из-за возможностей автомасштабирования и преимуществ производительности.

SKU v2 предоставляет автомасштабирование, чтобы обеспечить масштабирование вашего шлюза приложений с увеличением трафика. Он также предлагает другие значительные преимущества производительности, такие как в 5 раз лучшая производительность разгрузки TLS, более быстрое развертывание и время обновления, зональная избыточность и многое другое по сравнению с версией v1. Дополнительные сведения см. в нашей документации версии 2 и в документации по миграции с версии 1 на версию 2, чтобы узнать, как перенести существующие шлюзы SKU версии 1 на SKU версии 2.

Автоматическое масштабирование для SKU шлюза приложений версии 2 (SKU Standard_v2/WAF_v2)

Задайте максимально допустимое число экземпляров (125)

Для SKU шлюза приложений версии 2 установка максимального количества экземпляров на максимально возможное значение 125 позволяет шлюзу приложений масштабироваться по мере необходимости. Это позволяет обрабатывать возможное увеличение трафика в приложениях. Плата взимается только за используемые единицы емкости.

Обязательно проверьте размер подсети и количество доступных IP-адресов в подсети и задайте максимальное количество экземпляров на основе этого. Если в подсети недостаточно места для размещения, необходимо повторно создать шлюз в той же или другой подсети с достаточной емкостью.

Замечание

Если ваши потребности в трафике превышают 125 экземпляров, вы можете использовать Azure Traffic Manager или Azure Front Door перед шлюзом приложений. Дополнительные сведения см. в статье "Подключение Azure Front Door Premium" к шлюзу приложений Azure с помощью приватного канала и использованию шлюза приложений Azure с диспетчером трафика Azure

Задайте минимальное количество экземпляров на основе среднего использования единиц вычислений

Для SKU шлюза приложений v2 автомасштабирование занимает три-пять минут, чтобы расширить и подготовить дополнительный набор экземпляров, готовых принимать трафик. До тех пор, если происходит кратковременный рост трафика, существующие экземпляры шлюза могут испытывать стресс, что может привести к неожиданным задержкам и потере данных трафика.

Рекомендуется установить минимальное количество экземпляров на оптимальном уровне. Например, если требуется 50 экземпляров для обработки трафика при пиковой нагрузке, то установить минимальное значение от 25 до 30 — хорошая идея, вместо <10, чтобы даже при наличии коротких всплесков трафика шлюз приложений мог бы справиться с ним и дать достаточно времени автоматическому масштабированию, чтобы среагировать и вступить в силу.

Проверьте метрику единицы вычислений за последний месяц. Метрика единицы вычислительных ресурсов — это представление использования ЦП вашего шлюза, и на основе пикового использования, разделенного на 10, можно установить минимальное количество требуемых экземпляров. Обратите внимание, что 1 экземпляр шлюза приложений может обрабатывать не менее 10 единиц вычислений.

Ручное масштабирование для SKU шлюза приложений v2 (Standard_v2/WAF_v2)

Установите количество экземпляров в зависимости от максимального использования вычислительных единиц (Compute Unit)

В отличие от автомасштабирования при ручном масштабировании необходимо вручную задать количество экземпляров приложения-шлюза в соответствии с требованиями к трафику. Рекомендуется задавать количество экземпляров в соответствии с пиковым использованием, добавляя буфер от 10% до 20%, чтобы учесть любые всплески трафика. Например, если для вашего трафика на пике требуется 50 экземпляров, подготовьте 55–60 экземпляров, чтобы справиться с возможными неожиданными скачками трафика.

Проверьте метрику единицы вычислений за последний месяц. Метрика единиц вычислений — это представление использования ЦП шлюза и на основе пикового использования, разделенного на 10, можно задать количество необходимых экземпляров, так как 1 экземпляр шлюза приложений может обрабатывать не менее 10 единиц вычислений.

Мониторинг и оповещение

Чтобы получать уведомления о аномалиях трафика или использования, можно настроить оповещения для определенных метрик. Полный список метрик, предлагаемых шлюзом приложений, см. в документации по метрикам . См. визуализация метрик в портале Azure и документацию по Azure Monitor о том, как настраивать оповещения для метрик.

Сведения о настройке оповещений с помощью шаблонов ARM см. в статье "Настройка оповещений Azure Monitor для шлюза приложений".

Оповещения для SKU шлюза приложений версии 1 (standard/WAF)

Оповещение, если среднее использование ЦП пересекает 80%

В обычных условиях использование ЦП не должно регулярно превышать 90%, так как это может привести к задержке на веб-сайтах, размещенных за шлюзом приложений, и нарушить работу клиента. Вы можете косвенно контролировать или улучшать использование ЦП, изменив конфигурацию шлюза приложений, увеличив число экземпляров или перейдя к большему размеру SKU или выполняя оба. Задайте оповещение, если метрика использования ЦП превышает 80% среднем.

Оповещение, если число неработоспособных узлов пересекает пороговое значение

Эта метрика указывает количество внутренних серверов, которые шлюз приложений не может успешно проверять. Это выявляет проблемы, когда экземпляры шлюза приложений не могут соединиться с серверной частью. Оповещение, если показатель превышает 20% мощности серверной части. Например, если у вас есть 30 внутренних серверов в серверном пуле, задайте оповещение, если число неработоспособных узлов превышает 6.

Оповещение, если состояние ответа (4xx, 5xx) пересекает пороговое значение

Создайте оповещение, если состояние ответа шлюза приложений равно 4xx или 5xx. Из-за временных проблем может возникать случайный ответ 4xx или 5xx. Чтобы определить статическое пороговое значение или использовать динамический порог для оповещения, следует наблюдать за шлюзом в рабочей среде.

Уведомление, если число неудачных запросов превышает порог

Создайте оповещение, когда метрика неудачных запросов пересекает пороговое значение. Чтобы определить статическое пороговое значение или использовать динамический порог для оповещения, следует наблюдать за шлюзом в рабочей среде.

Пример: Настройка оповещения для более чем 100 неудачных запросов за последние 5 минут

В этом примере показано, как использовать портал Azure для настройки оповещения, когда количество неудачных запросов за последние 5 минут превышает 100.

1. Перейдите к шлюзу приложений.
2. На левой панели выберите метрики на вкладке "Мониторинг ".
3. Добавьте метрику для неудачных запросов.
4. Щелкните новое правило генерации оповещений и определите условие и действия
5. Щелкните "Создать правило генерации оповещений ", чтобы создать и включить оповещение

Оповещения для второго варианта шлюза приложений (Standard_v2/WAF_v2)

Оповещение, если использование единиц вычислений пересекает 75% среднего использования

Единица вычислений — мера использования вычислительных ресурсов шлюза приложений. Проверьте среднее использование вычислительных единиц за последний месяц и установите оповещение, если оно превышает 75%. Например, если среднее использование составляет 10 единиц вычислений, установите уведомление для 7,5 единиц. Это оповещает вас, если использование увеличивается и дает вам время на ответ. Если вы думаете, что этот трафик будет устойчивым, вы можете повысить минимум, чтобы предупредить вас о возможном увеличении трафика. Следуйте приведенным выше рекомендациям по масштабированию, чтобы увеличить масштаб по мере необходимости.

Пример: Настройка уведомления на 75% среднего уровня использования CU

В этом примере показано, как использовать портал Azure для настройки оповещения при достижении 75% среднего объема использования CU.

1. Перейдите к шлюзу приложений.
2. На левой панели выберите метрики на вкладке "Мониторинг ".
3. Добавьте метрику для средних текущих единиц вычислений.
4. Если вы задали минимальное количество экземпляров в качестве среднего использования CU, используйте оповещение, если используется 75% минимальных экземпляров. Например, если ваше среднее использование составляет 10 ЦС, установите оповещение на 7,5 ЦС. Это оповещает вас, если использование увеличивается и дает вам время на ответ. Если вы думаете, что этот трафик будет устойчивым, вы можете повысить минимум, чтобы предупредить вас о возможном увеличении трафика.

Замечание

Вы можете настроить оповещение на более низкий или более высокий процент использования CU в зависимости от того, насколько чувствительными к потенциальным пикам трафика вы хотите быть.

Оповещение, если использование единицы емкости превышает 75% от пикового значения.

Единицы емкости представляют общее использование шлюза с точки зрения пропускной способности, вычислений и количества подключений. Проверьте максимальное использование единицы емкости за последний месяц и установите оповещение, если оно пересекает 75%. Например, если максимальное использование составляет 100 единиц емкости, установите оповещение на 75 единиц емкости. Следуйте приведенным выше двум предложениям по масштабированию по мере необходимости.

Оповещение, если число неработоспособных узлов пересекает пороговое значение

Эта метрика указывает количество внутренних серверов, которые шлюз приложений не может успешно проверять. Это выявляет проблемы, когда экземпляры шлюза приложений не могут соединиться с серверной частью. Оповещение, если показатель превышает 20% мощности серверной части. Например, если у вас есть 30 внутренних серверов в серверном пуле, задайте оповещение, если число неработоспособных узлов превышает 6.

Оповещение, если состояние ответа (4xx, 5xx) пересекает пороговое значение

Создайте оповещение, если состояние ответа шлюза приложений равно 4xx или 5xx. Из-за временных проблем может возникать случайный ответ 4xx или 5xx. Чтобы определить статическое пороговое значение или использовать динамический порог для оповещения, следует наблюдать за шлюзом в рабочей среде.

Уведомление, если число неудачных запросов превышает порог

Создайте оповещение, когда метрика неудачных запросов пересекает пороговое значение. Чтобы определить статическое пороговое значение или использовать динамический порог для оповещения, следует наблюдать за шлюзом в рабочей среде.

Оповещение, если время отклика последнего байта бэкэнда пересекает пороговое значение

Эта метрика указывает интервал времени между началом установки подключения к внутреннему серверу и получением последнего байта текста ответа. Создайте оповещение, если задержка ответов серверной части больше, чем обычное пороговое значение. Например, выставьте предупреждение, если задержка ответа бэкенда увеличивается более чем на 30% по сравнению с обычным значением.

Оповещение, если общее время шлюза приложений пересекает пороговое значение

Это интервал от времени, когда шлюз приложений получает первый байт HTTP-запроса до момента отправки последнего байта ответа клиенту. Следует создать оповещение, если задержка ответов серверной части больше, чем обычное пороговое значение. Например, они могут настроить получение оповещений, если общая задержка времени увеличивается более чем на 30% по сравнению с обычным значением.

Настройка WAF с помощью геофильтрации и защиты ботов для остановки атак

Если требуется дополнительный уровень безопасности перед приложением, используйте шлюз приложений WAF_v2 SKU для возможностей WAF. Номер SKU версии 2 можно настроить так, чтобы разрешить доступ к вашим приложениям только из данной страны или данного региона или стран/регионов. Правило WAF настраивается для четкого разрешения или блокировки трафика в зависимости от географического местоположения. Дополнительные сведения см. в статье о геофильтрации пользовательских правил и настройке пользовательских правил в шлюзе приложений WAF_v2 SKU с помощью PowerShell.

Включите защиту бота для блокировки известных плохих ботов. Это должно уменьшить объем трафика, получаемого в приложение. Дополнительные сведения см. в разделе "Защита ботов" с инструкциями по настройке.

Включите диагностику на шлюзе приложений и WAF

Журналы диагностики позволяют просматривать журналы брандмауэра, журналы производительности и получать доступ к журналам. Эти журналы можно использовать в Azure для управления шлюзами приложений и устранения неполадок. Дополнительные сведения см. в нашей документации по диагностике.

Настройка политики TLS для дополнительной безопасности

Убедитесь, что вы используете последнюю версию политики TLS (AppGwSslPolicy2020101) или более поздней. Они поддерживают минимальную версию TLS версии 1.2 с более сильными шифрами. Дополнительные сведения см. в статье о настройке версий политик TLS и наборов шифров с помощью PowerShell.