Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Application Gateway v2 är en lastbalanserare för webbtrafik som fungerar på programnivå. Application Gateway hanterar trafik till dina webbprogram baserat på attributen för en HTTP-begäran. Använd Application Gateway för scenarier som har avancerade routningsfunktioner och kräver förbättrad säkerhet och skalbarhet.
Den här artikeln förutsätter att du som arkitekt har granskat nätverksalternativen och valt Application Gateway som lastbalanserare för webbtrafik för din arbetsbelastning. Vägledningen i den här artikeln innehåller arkitektoniska rekommendationer som mappas till principerna för Well-Architected Framework-pelarna.
Viktigt!
Använda den här guiden
Varje avsnitt har en checklista för design som presenterar arkitekturområden som är viktiga tillsammans med designstrategier som är lokaliserade till teknikomfånget.
Dessutom ingår rekommendationer för de teknikfunktioner som kan hjälpa till att materialisera dessa strategier. Rekommendationerna representerar inte en fullständig lista över alla konfigurationer som är tillgängliga för Application Gateway och dess beroenden. I stället listar de de viktigaste rekommendationerna som mappats till designperspektiven. Använd rekommendationerna för att skapa ditt konceptbevis eller för att optimera dina befintliga miljöer.
Grundläggande arkitektur som visar de viktigaste rekommendationerna: Baslinje med hög tillgänglighet, zonredundant webbprogramarkitektur.
Teknikomfång
Den här granskningen fokuserar på de relaterade besluten för följande Azure-resurser:
- Application Gateway v2
- Brandvägg för webbprogram (WAF) på Application Gateway
Tillförlitlighet
Syftet med grundpelarna för tillförlitlighet är att tillhandahålla fortsatt funktionalitet genom att skapa tillräckligt med motståndskraft och möjlighet att snabbt återhämta sig från fel.
Principer för tillförlitlighetsdesign tillhandahålla en övergripande designstrategi som tillämpas för enskilda komponenter, systemflöden och systemet som helhet.
Checklista för design
Påbörja din designstrategi baserat på checklistan för designgranskning för tillförlitlighet. Fastställ dess relevans för dina affärskrav samtidigt som du tänker på funktionerna i Application Gateway och dess beroenden. Utöka strategin till att omfatta fler metoder efter behov.
Använd Application Gateway v2 i nya distributioner om inte din arbetsbelastning specifikt kräver Application Gateway v1.
Skapa redundans i din design. Sprid Application Gateway-instanser mellan tillgänglighetszoner för att förbättra feltoleransen och skapa redundans. Trafiken går till andra zoner om en zon misslyckas. Mer information finns i rekommendationer för användning av tillgänglighetszoner och regioner.
Planera extra tid för regeluppdateringar och andra konfigurationsändringar innan du kommer åt Application Gateway eller gör ytterligare ändringar. Du kan till exempel behöva extra tid för att ta bort servrar från en back-endpool eftersom de måste tömma befintliga anslutningar.
Implementera hälsoslutpunktsövervakningsmönstret. Ditt program bör exponera hälsoslutpunkter som aggregerar tillståndet för de kritiska tjänster och beroenden som programmet behöver för att hantera begäranden. Application Gateway-hälsoövervakning använder slutpunkten för att bedöma hälsotillståndet för servrar i serverpoolen. Mer information finns i hälsoslutpunktsövervakningsmönster.
Utvärdera effekten av intervall- och tröskelvärdesinställningar på en hälsokontroll. Hälsoavsökningen skickar begäranden till den konfigurerade slutpunkten med ett angivet intervall. Och backend-systemet tolererar ett begränsat antal misslyckade begäranden innan det markeras som ohälsosamt. De här inställningarna kan vara motstridiga, vilket innebär en kompromiss.
Ett högre intervall ger en högre belastning på tjänsten. Varje Application Gateway-instans skickar en egen hälsoavsökning, så 100 instanser var 30:e sekund är lika med 100 begäranden var 30:e sekund.
Ett lägre intervall förlänger tiden innan hälsokontrollen identifierar ett avbrott.
Ett lågt, ohälsosamt tröskelvärde ökar risken för att korta, tillfälliga fel stänger ner en backend.
Ett högt tröskelvärde ökar den tid det tar för en bakända att tas ur rotation.
Verifiera underordnade beroenden via hälsoslutpunkter. För att isolera fel kan var och en av dina respektive serverdelar ha sina egna beroenden. Ett program som du är värd för bakom Application Gateway kan till exempel ha flera serverdelar och varje serverdel ansluter till en annan databas eller replik. När ett sådant beroende misslyckas kan programmet fungera men returnerar inte giltiga resultat. Därför bör hälsoslutpunkten helst validera alla beroenden.
Om varje anrop till hälsoslutpunkten har ett direkt beroendeanrop tar databasen emot 100 frågor var 30:e sekund i stället för en fråga. För att undvika överdrivna frågor bör hälsoslutpunkten cachelagrar beroendenas tillstånd under en kort tidsperiod.
Överväg begränsningar för Application Gateway och kända problem som kan påverka tillförlitligheten. Läs vanliga frågor och svar om Application Gateway för viktig information om beteende efter design, korrigeringar under konstruktion, plattformsbegränsningar och möjliga lösningar eller åtgärdsstrategier. Använd inte UDR:er i det dedikerade undernätet för Application Gateway.
Överväg portbegränsningar för källnätverksadressöversättning (SNAT) i din design som kan påverka backend-anslutningar i Application Gateway. Vissa faktorer påverkar hur Application Gateway når SNAT-portgränsen. Om bakänden till exempel är en offentlig IP-adress kräver den en egen SNAT-port. För att undvika SNAT-portbegränsningar kan du göra något av följande:
Öka antalet instanser för varje Application Gateway.
Skala ut de tekniska backend-systemen för att få fler IP-adresser.
Flytta dina serverdelar till samma virtuella nätverk och använd privata IP-adresser för serverdelarna.
Om Application Gateway når SNAT-portgränsen påverkar det begäranden per sekund (RPS). Application Gateway kan till exempel inte öppna en ny anslutning till serverdelen och begäran misslyckas.
Rekommendationer
| Rekommendation | Förmån |
|---|---|
| Distribuera Application Gateway-instanser i en zonmedveten konfiguration. Kontrollera regionalt stöd för zonredundans eftersom inte alla regioner erbjuder den här funktionen. |
När du sprider ut flera instanser över olika zoner kan din arbetsbelastning klara av fel i en enskild zon. Om du har en otillgänglig zon flyttas trafiken automatiskt till hälsosamma instanser i andra zoner, vilket upprätthåller applikationens tillförlitlighet. |
| Använd Application Gateway-hälsoundersökningar för att identifiera otillgänglighet i back-end. | Hälsonkontroller säkerställer att trafiken endast dirigeras till bakändar som kan hantera den. Application Gateway övervakar hälsotillståndet för alla servrar i serverdelspoolen och slutar automatiskt att skicka trafik till alla servrar som den anser vara felfria. |
| Konfigurera regler för hastighetsbegränsning för Azure WAF så att klienter inte kan skicka för mycket trafik till ditt program. | Använd hastighetsbegränsning för att undvika problem som att försöka storma igen. |
| Använd inte UDR:er på Application Gateway så att backend-hälsorapporten fungerar korrekt och genererar rätt loggar och mått. Om du måste använda en UDR i Application Gateway-undernätet läser du UDR:er som stöds. |
UDR:er i Application Gateway-undernätet kan orsaka vissa problem. Använd inte UDR:er i Application Gateway-undernätet så att du kan visa serverdelshälsa, loggar och mått. |
| Konfigurera inställningarna för IdleTimeout så att de matchar lyssnarens och trafikmönstren för bakgrundsprogrammet. Standardvärdet är fyra minuter. Du kan konfigurera den till högst 30 minuter. Mer information finns i Load balancer Transmission Control Protocol (TCP)-nollställning och timeout vid inaktivitet. |
Ställ in IdleTimeout så att den matchar backend. Den här inställningen säkerställer att anslutningen mellan Application Gateway och klienten förblir öppen om serverdelen tar mer än fyra minuter att svara på begäran. Om du inte konfigurerar den här inställningen stängs anslutningen och klienten ser inte serverdelssvaret. |
Säkerhet
Syftet med säkerhetspelare är att tillhandahålla konfidentialitet, integritet och tillgänglighet garantier för arbetsbelastningen.
Principerna för säkerhetsdesign ger en övergripande designstrategi för att uppnå dessa mål genom att tillämpa metoder för den tekniska utformningen av Application Gateway.
Checklista för design
Påbörja din designstrategi baserad på checklistan för designgranskning för säkerhet och identifiera sårbarheter och kontroller för att förbättra säkerhetsläget. Utöka strategin till att omfatta fler metoder efter behov.
Blockera vanliga hot på gränsen. WAF integreras med Application Gateway. Aktivera WAF-regler på klientdelen för att skydda program från vanliga sårbarheter och sårbarheter vid nätverksgränsen, som ligger nära attackkällan. Mer information finns i WAF på Application Gateway.
Förstå hur WAF påverkar ändringar i Application Gateway-kapaciteten. När du aktiverar WAF, Application Gateway:
Buffrar varje förfrågan tills den helt har kommit fram.
Kontrollerar om begäran matchar någon regelöverträdelse i dess kärnregeluppsättning.
Vidarebefordrar paketet till bakändenheter.
Stora filuppladdningar som är 30 MB eller mer kan medföra betydande svarstider. Kapacitetskraven för Application Gateway ändras när du aktiverar WAF, så vi rekommenderar att du testar och validerar metoden korrekt först.
När du använder Azure Front Door och Application Gateway för att skydda HTTP- eller HTTPS-program använder du WAF-principer i Azure Front Door och låser Application Gateway för att endast ta emot trafik från Azure Front Door. Vissa scenarier kan tvinga dig att implementera regler specifikt på Application Gateway. Om du till exempel behöver ModSec CRS 2.2.9, CRS 3.0 eller CRS 3.1-regler kan du bara implementera dessa regler på Application Gateway. Omvänt stöder Azure Front Door hastighetsbegränsning och geo-filtrering, och Application Gateway stöder inte dessa funktioner.
Tillåt endast auktoriserad åtkomst till kontrollplanet. Använd rollbaserad åtkomstkontroll för Application Gateway (RBAC) för att begränsa åtkomsten till endast de identiteter som behöver den.
Skydda data under överföring. Aktivera TLS (End-to-End Transport Layer Security), TLS-avslutning och TLS-kryptering från slutpunkt till slutpunkt. När du krypterar om trafik till serverdelen, kontrollera att serverdelscertifikatet innehåller både rot- och mellanliggande certifikatutfärdare.
Använd en välkänd certifikatutfärdare för att utfärda ett TLS-certifikat för backend-servern. Om du inte använder en betrodd certifikatutfärdare för att utfärda certifikatet kontrollerar Application Gateway tills det hittar ett betrott CA-certifikat. Den upprättar endast en säker anslutning när den hittar en betrodd certifikatutfärdare. Annars markerar Application Gateway bakänden som ohälsosam.
Skydda programhemligheter. Använd Azure Key Vault för att lagra TLS-certifikat för ökad säkerhet och en enklare process för förnyelse och rotation av certifikat.
Minska attackytan och härda konfigurationen. Ta bort standardkonfigurationer som du inte behöver och hårdna Application Gateway-konfigurationen för att skärpa säkerhetskontrollerna. Följ alla NSG-begränsningar (Network Security Group) för Application Gateway.
Använd en lämplig DNS-server (Domain Name System) för serverdelspoolresurser. När serverdelspoolen innehåller ett fullständigt domännamn (FQDN) baseras DNS-upplösningen på en privat DNS-zon eller anpassad DNS-server (om den är konfigurerad i det virtuella nätverket) eller använder standard-DNS som tillhandahålls av Azure.
Övervaka avvikande aktivitet. Granska regelbundet loggar för att söka efter attacker och falska positiva identifieringar. Skicka WAF-loggar från Application Gateway till organisationens centraliserade säkerhetsinformation och händelsehantering (SIEM), till exempel Microsoft Sentinel, för att identifiera hotmönster och införliva förebyggande åtgärder i arbetsbelastningsdesignen.
Rekommendationer
| Rekommendation | Förmån |
|---|---|
| Konfigurera en TLS-princip för förbättrad säkerhet. Se till att du använder den senaste TLS-principversionen. | Använd den senaste TLS-principen för att framtvinga användningen av TLS 1.2 och starkare chiffer. TLS-principen innehåller kontroll över TLS-protokollversionen och chiffersviterna och även i vilken ordning en TLS-handskakning använder chiffer. |
| Använd Application Gateway för TLS-avslutning. | Prestanda förbättras eftersom begäranden som går till olika serverdelar inte behöver autentiseras på nytt till varje serverdel. Gatewayen kan komma åt begärandeinnehållet och fatta intelligenta routningsbeslut. Du behöver bara installera certifikatet på Application Gateway, vilket förenklar certifikathanteringen. |
| Integrera Application Gateway med Key Vault för att lagra TLS-certifikat. | Den här metoden ger starkare säkerhet, enklare uppdelning av roller och ansvarsområden, stöd för hanterade certifikat och en enklare process för förnyelse och rotation av certifikat. |
| Följ alla NSG-begränsningar för Application Gateway. | Application Gateway-undernätet stöder NSG:er, men det finns vissa begränsningar. Till exempel är viss kommunikation med vissa portintervall förbjuden. Se till att du förstår konsekvenserna av dessa begränsningar. |
Kostnadsoptimering
Kostnadsoptimering fokuserar på identifiera utgiftsmönster, prioritera investeringar inom kritiska områden och optimera i andra för att uppfylla organisationens budget samtidigt som affärskraven uppfylls.
Designprinciperna för kostnadsoptimering ger en övergripande designstrategi för att uppnå dessa mål och göra avvägningar vid behov i den tekniska designen som rör Application Gateway och dess miljö.
Checklista för design
Påbörja din designstrategi baserat på checklistan för designgranskning och kostnadsoptimering för investeringar. Finjustera designen så att arbetsbelastningen är i linje med den budget som allokeras för arbetsbelastningen. Din design bör använda rätt Azure-funktioner, övervaka investeringar och hitta möjligheter att optimera över tid.
Bekanta dig med priser för Application Gateway och WAF. Välj lämpliga alternativ för att uppfylla efterfrågan på arbetsbelastningskapacitet och leverera förväntade prestanda utan att slösa resurser. Om du vill beräkna kostnader använder du priskalkylatorn.
Ta bort oanvända Application Gateway-instanser och optimera underanvända instanser. Undvik onödiga kostnader genom att identifiera och ta bort Application Gateway-instanser som har tomma serverdelspooler. Stoppa Application Gateway-instanser när de inte används.
Optimera skalningskostnaden för din Application Gateway-instans. Information om hur du optimerar din skalningsstrategi och minskar kraven för din wokload finns i Rekommendationer för att optimera skalningskostnaden.
Om du vill skala in eller ut tjänsten baserat på kraven för programtrafik använder du automatisk skalning i Application Gateway v2.
Övervaka förbrukningsmått för Application Gateway och förstå deras kostnadspåverkan. Azure-avgifter för uppmätta instanser av Application Gateway baserat på spårade mått. Utvärdera de olika måtten och kapacitetsenheterna och fastställa kostnadsdrivande faktorer. Mer information finns i Microsoft Cost Management.
Rekommendationer
| Rekommendation | Förmån |
|---|---|
| Stoppa Application Gateway-instanser när de inte används. Mer information finns i Stop-AzApplicationGateway och Start-AzApplicationGateway. | En stoppad Application Gateway-instans medför inte kostnader. Application Gateway-instanser som körs kontinuerligt kan medföra onödiga kostnader. Utvärdera användningsmönster och stoppa instanser när du inte behöver dem. Du kan till exempel förvänta dig låg användning efter kontorstid i utvecklings-/testmiljöer. |
| Övervaka viktiga kostnadsdrivare Application Gateway-mått, till exempel: – Uppskattade fakturerade kapacitetsenheter. - Fasta fakturerbara kapacitetsenheter. – Aktuella kapacitetsenheter. Se till att du tar hänsyn till bandbreddskostnader. |
Använd dessa mått för att kontrollera om antalet etablerade instanser matchar mängden inkommande trafik och se till att du fullt ut använder de allokerade resurserna. |
Operativ skicklighet
Operational Excellence fokuserar främst på procedurer för utvecklingsmetoder, observerbarhet och versionshantering.
Designprinciperna för Operational Excellence tillhandahåller en övergripande designstrategi för att uppnå dessa mål när det gäller arbetsbelastningens driftskrav.
Checklista för design
Starta din designstrategi baserat på checklistan för designgranskning för operational excellence för att definiera processer för observerbarhet, testning och distribution som är relaterade till Application Gateway.
Aktivera diagnostik på Application Gateway och WAF. Samla in loggar och mått så att du kan övervaka hälsotillståndet för arbetsbelastningen, identifiera trender i arbetsbelastningens prestanda och tillförlitlighet och felsöka problem. Information om hur du utformar din övergripande övervakningsmetod finns i Rekommendationer för att utforma och skapa ett övervakningssystem.
Använd kapacitetsmått för att övervaka användningen av den etablerade Application Gateway-kapaciteten. Ange aviseringar för mått för att meddela dig om kapacitetsproblem eller andra problem, antingen i Application Gateway eller i serverdelen. Använd diagnostikloggar för att hantera och felsöka problem med Application Gateway-instanser.
Använd Azure Monitor Network Insights för att få en omfattande vy över hälsa och mått för nätverksresurser, inklusive Application Gateway. Använd centraliserad övervakning för att snabbt identifiera och lösa problem, optimera prestanda och säkerställa tillförlitligheten för dina program.
Övervaka Application Gateway-rekommendationer i Azure Advisor. Konfigurera aviseringar för att meddela ditt team när du har nya, kritiska rekommendationer för din Application Gateway-instans. Advisor genererar rekommendationer baserat på egenskaper, till exempel kategori, effektnivå och rekommendationstyp.
Rekommendationer
| Rekommendation | Förmån |
|---|---|
| Konfigurera aviseringar för att meddela ditt team när kapacitetsmått, till exempel CPU-användning och beräkningsenhetsanvändning, överskrider rekommenderade tröskelvärden. Information om hur du konfigurerar en omfattande uppsättning aviseringar baserat på kapacitetsmått finns i Stöd för hög trafik i Application Gateway. |
Ange aviseringar när mått överskrider tröskelvärden så att du vet när din användning ökar. Den här metoden säkerställer att du har tillräckligt med tid för att implementera nödvändiga ändringar i din arbetsbelastning och förhindrar försämring eller avbrott. |
| Konfigurera aviseringar för att meddela ditt team om mått som indikerar problem antingen i Application Gateway eller i serverdelen. Vi rekommenderar att du utvärderar följande aviseringar: – Antal ej felfria värdar – Svarsstatus, till exempel 4xx- och 5xx-fel – Svarsstatus för serverdelen, till exempel 4xx- och 5xx-fel – Svarstid för senaste byte i backend-delen – Total tid för Application Gateway För mer information, se Mått för Application Gateway. |
Använd aviseringar för att säkerställa att ditt team kan svara på problem i tid och underlätta felsökning. |
| Aktivera diagnostikloggar på Application Gateway och WAF för att samla in brandväggsloggar, prestandaloggar och åtkomstloggar. | Använd loggar för att identifiera, undersöka och felsöka problem med Application Gateway-instanser och din arbetsbelastning. |
| Använd Advisor för att övervaka konfigurationsproblem med Key Vault. Ange en avisering för att meddela ditt team när du får rekommendationen att lösa Azure Key Vault-problem för din Application Gateway. | Använd Advisor-aviseringar för att hålla dig uppdaterad och åtgärda problem omedelbart. Förhindra eventuella kontrollplans- eller dataplansrelaterade problem. Application Gateway söker efter den förnyade certifikatversionen i den länkade Key Vault-instansen var fjärde timme. Om certifikatversionen inte är tillgänglig på grund av en felaktig Key Vault-konfiguration loggar den felet och skickar en motsvarande Advisor-rekommendation. |
Prestandaeffektivitet
Effektiv prestanda handlar om att upprätthålla användarupplevelsen även när belastningen ökar genom att hantera kapacitet. Strategin omfattar skalning av resurser, identifiering och optimering av potentiella flaskhalsar och optimering för högsta prestanda.
Designprinciperna för prestandaeffektivitet tillhandahåller en designstrategi på hög nivå för att uppnå dessa kapacitetsmål med hänsyn till den förväntade användningen.
Checklista för design
Beräkna kapacitetskrav för Application Gateway för att stödja dina arbetsbelastningskrav. Dra nytta av funktionen för automatisk skalning i Application Gateway v2. Ange lämpliga värden för det lägsta och högsta antalet instanser. Storleksanpassa det dedikerade undernät som Application Gateway kräver. Mer information finns i rekommendationer för kapacitetsplanering.
Application Gateway v2 skalas ut baserat på många aspekter, till exempel CPU, nätverksdataflöde och aktuella anslutningar. För att fastställa det ungefärliga antalet instanser tar du hänsyn till följande mått:
Aktuella beräkningsenheter: Det här måttet anger CPU-användningen. En Application Gateway-instans är lika med cirka 10 beräkningsenheter.
Genomströmning: En Application Gateway-instans kan hantera cirka 500 Mbit/s dataflöde. Dessa data beror på typen av nyttolast.
Tänk på den här ekvationen när du beräknar antalet instanser.
När du har uppskattat antalet instanser jämför du det värdet med det maximala antalet instanser. Använd den här jämförelsen för att avgöra hur nära du är den maximala tillgängliga kapaciteten.
Dra nytta av funktioner för automatisk skalning och prestandafördelar. V2 SKU erbjuder automatisk skalning, vilket skalar upp Application Gateway när trafiken ökar. Jämfört med V1 SKU har V2 SKU funktioner som förbättrar arbetsbelastningens prestanda. V2 SKU:n har till exempel bättre prestanda för TLS-avlastning, snabbare distributions- och uppdateringstider samt stöd för zonredundans. Mer information finns i Skala Application Gateway v2 och WAF v2.
Om du använder Application Gateway v1 kan du överväga att migrera till Application Gateway v2. Mer information finns i Migrera Application Gateway och WAF från v1 till v2.
Rekommendationer
| Rekommendation | Förmån |
|---|---|
| Ange det minsta antalet instanser till en optimal nivå baserat på det uppskattade antalet instanser, faktiska trender för automatisk skalning av Application Gateway och dina programmönster. Kontrollera de aktuella beräkningsenheterna för den senaste månaden. Det här måttet representerar gatewayens CPU-användning. Om du vill definiera det minsta antalet instanser delar du den högsta användningen med 10. Om dina genomsnittliga aktuella beräkningsenheter under den senaste månaden till exempel är 50 anger du det minsta antalet instanser till fem. |
För Application Gateway v2 tar automatisk skalning ungefär tre till fem minuter innan den extra uppsättningen instanser är redo att hantera trafik. Om Application Gateway under den tiden har korta trafiktoppar kan du förvänta dig tillfälliga svarstider eller trafikförluster. |
| Ange maximalt antal autoskalningsinstanser till det högsta möjliga, vilket är 125 instanser. Kontrollera att det dedikerade Undernätet för Application Gateway har tillräckligt med tillgängliga IP-adresser för att stödja den ökade uppsättningen instanser. | Application Gateway kan skalas ut efter behov för att hantera ökad trafik till dina program. Den här inställningen ökar inte kostnaden eftersom du bara betalar för den förbrukade kapaciteten. |
| Ändra storlek på det dedikerade undernätet för Application Gateway. Vi rekommenderar starkt ett /24-undernät för en Application Gateway v2-distribution. Om du vill distribuera andra Application Gateway-resurser i samma undernät bör du överväga de extra IP-adresser som du behöver för maximalt antal instanser. Mer information om hur du ändrar storlek på undernätet finns i Konfiguration av Application Gateway-infrastruktur. |
Använd ett /24-undernät för att ge stöd för alla IP-adresser som din Application Gateway v2-distribution behöver. Application Gateway använder en privat IP-adress för varje instans och en annan privat IP-adress om du konfigurerar en privat klientdels-IP. SKU:n Standard_v2 eller WAF_v2 kan ha stöd för upp till 125 instanser. Azure reserverar fem IP-adresser i varje undernät för internt bruk. |
Azure-riktlinjer
Azure tillhandahåller en omfattande uppsättning inbyggda principer som rör App Service och dess beroenden. En uppsättning Azure-principer kan granska några av föregående rekommendationer. Du kan till exempel kontrollera om:
Du bör aktivera WAF för Application Gateway. Distribuera WAF framför offentliga webbprogram för att lägga till ytterligare ett inspektionslager för inkommande trafik. WAF ger ett centraliserat skydd för dina webbprogram. Det hjälper till att förhindra vanliga exploateringar och sårbarheter, till exempel SQL-injektioner, cross-site scripting-angrepp och lokala och fjärranslutna körningar av filer. Du kan också använda anpassade regler för att begränsa åtkomsten till dina webbprogram baserat på länder eller regioner, IP-adressintervall och andra HTTP- eller HTTPS-parametrar.
WAF bör använda det angivna läget för Application Gateway. Se till att alla WAF-principer för Application Gateway använder identifierings - eller förebyggande läge.
Du bör aktivera Azure DDoS Protection. Aktivera DDoS Protection för alla virtuella nätverk som har ett undernät som innehåller Application Gateway med en offentlig IP-adress.
För omfattande styrning, granska de inbyggda definitionerna för Azure Policy och andra principer som kan påverka nätverk.
Azure Advisor-rekommendationer
Azure Advisor är en anpassad molnkonsult som hjälper dig att följa metodtipsen för att optimera dina Azure-distributioner. Här följer några rekommendationer som kan hjälpa dig att förbättra tillförlitlighet, säkerhet, kostnadseffektivitet, prestanda och driftseffektivitet för Application Gateway.
Nästa steg
- Använda API-gatewayer i mikrotjänster
- Azure Firewall och Application Gateway för virtuella nätverk
- Skydda API:er med Application Gateway och Azure API Management
- Säkert hanterade webbprogram
- Noll förtroendenätverk för webbprogram med Azure Firewall och Application Gateway
- Snabbstart: Dirigera webbtrafik med Application Gateway via Azure-portalen