Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure API Management, karma ve çoklu bulut dahil olmak üzere tüm ortamlarda API'ler için bir yönetim platformu ve ağ geçididir. Hizmet olarak platform (PaaS) çözümü olarak API Management, iş yükünüzün API yaşam döngüsünü desteklemeye yardımcı olur.
Bu makalede, mimar olarak tümleştirme hizmetleri karar ağacını gözden geçirip iş yükünüz için tümleştirme hizmeti olarak API Management'ı seçtiğiniz varsayılır. Bu makaledeki kılavuz, Well-Architected Framework sütunları'nın ilkelerine dayalı mimari öneriler sağlar.
Önemli
Bu kılavuzu kullanma
Her bölümde, teknoloji kapsamına göre yerelleştirilmiş tasarım stratejilerinin yanı sıra, ilgili mimari alanları sunan bir tasarım denetim listesi vardır.
Bu stratejilerin gerçekleştirilmesine yardımcı olabilecek teknoloji özelliklerine yönelik öneriler de dahildir. Öneriler, API Management veya iş yükünüzün arka uç API sunucuları için kullanılabilen tüm yapılandırmaların kapsamlı bir listesini temsil etmemektedir. Bunun yerine, tasarım perspektiflerine eşlenen önemli önerileri listeler. Kavram kanıtınızı oluşturmak veya mevcut ortamlarınızı iyileştirmek için önerileri kullanın.
Temel önerileri gösteren temel mimari: API Management giriş bölgesi mimarisi.
Teknoloji kapsamı
Bu gözden geçirme, aşağıdaki Azure kaynağı için birbiriyle ilişkili kararlara odaklanır:
- Azure API Management
Bu kılavuzun kapsamı, API Management hizmetidir; öncelikli olarak ağ geçidi bileşeni (veri düzlemi) olan bu hizmet, API isteklerini istemci uygulamalarından çeşitli platformlarda veya şirket içi konumlarda barındırılan arka uç API'lerine yönlendiren proxy işlevi görür. İş yükünün mimarisi API Management denetim düzlemini ve ağ geçidine erişen istemci uygulamaları ve yönlendirilen istekleri işleyen arka uç API'leri gibi ilgili bileşenleri hesaba katmalıdır. Ayrıca ağ, izleme, kimlik yönetimi ve diğer özellikler de dahil olmak üzere destekleyici Azure hizmetlerini tümleştirir.
Bu kılavuz Azure API Center'da yer almaz. API tasarımında dikkat edilmesi gerekenler hakkında iyi tasarlanmış bir bakış açısı sağlamak yerine API Management ile ilgili api düzeyinde konuları ele alır.
Uyarı
Tüm öneriler API Management'ın tüm hizmet katmanları için geçerli değildir. Bu kılavuzdaki birçok öneri, çoğu kurumsal iş yükü için önerilen üretim katmanları olan API Management'ın Standart v2 ve klasik Premium katmanlarına odaklanır.
Önemli
Kurumsal özelliklere sahip Premium v2 katmanı önizleme aşamasındadır. Tasarımınızın erken erişim özelliklerine mi yoksa genel olarak kullanılabilir özelliklere mi dayanması gerektiğini belirlemek için, tasarım ve uygulama zaman çizelgelerinizi Premium v2'nin sürüm ve geçiş yolları hakkındaki kullanılabilir bilgilerle ilgili olarak değerlendirin.
Güvenilirlik
Güvenilirlik sütununun amacı, yeterli dayanıklılık vehatalardan hızlı bir şekilde kurtarabilmek için sürekli işlevsellik sağlamaktır.
Güvenilirlik tasarım ilkeleri tek tek bileşenler, sistem akışları ve bir bütün olarak sistem için uygulanan üst düzey bir tasarım stratejisi sağlar.
Tasarım denetim listesi
Güvenilirlikiçin
Güvenilirlik ve yedeklilik için ağ geçidi özelliklerini değerlendirin: her ortam için iş yükünün güvenilirlik gereksinimlerini karşılamak için gereken API Management katmanını ve özelliklerini belirleyin.
Kullanılabilirlik alanları, birden çok ağ geçidi birimi, birden çok bölge ve çalışma alanı gibi ağ geçidi yedekliliği özelliklerini değerlendirin. Bu özelliklerin tümü Premium katmanında desteklenir. Hizmet düzeyi sözleşmesi (SLA) içermeyen Geliştirici katmanı, üretim iş yükleri için uygun değildir. Olası hata noktalarına ve performans sorunlarına neden olabilecek dış önbelleğe alma gibi özellikleri benimsemenin dezavantajlarını göz önünde bulundurun.
Gözlemlenebilirlik özelliklerini gözden geçirin: Azure İzleyici günlükleri ve ölçümleri, Application Insights, yerleşik analiz ve yerleşik tanılama gibi hizmetin gözlemlenebilirlik özelliklerini göz önünde bulundurun. İş yükünüzün güvenilirlik sinyallerini izlemek için bu özellikleri kullanın.
Örneğin, API Management ağ geçidi veya bağımlılıklarıyla ilgili olası sorunları size bildirmek için Azure İzleyici uyarılarını kullanmayı göz önünde bulundurun.
Ölçeklendirme stratejilerini gözden geçirin: Hizmet güvenilirliğini korumak için birimler ekleyerek ağ geçidinin ölçeğini genişletme ölçütlerini tanımlayın. İsteklere, özel durumlara veya her ikisine göre ölçeklendirilip ölçeklendirilmeyeceğini göz önünde bulundurun. Ağ geçidi bileşeninin iş yükünün diğer bileşenleri üzerindeki etkisini değerlendirin. Örneğin, ağ adres alanı üzerindeki etkisi ve arka uçların ölçeklendirme özellikleri.
Kritik iş yüklerini yalıtma: API'lerinizde veri hakimiyeti veya performans iyileştirme gibi iş yükü gereksinimlerini karşılamak için işlem yalıtımının gerekli olup olmadığını belirleyin. Kritik API'ler için ayrılmış ağ geçitleri ve daha az kritik API'ler için paylaşılan ağ geçitleri kullanın.
Ayrılmış çalışma alanı ağ geçidi veya ayrı bir API Management örneği kullanma gibi bir yalıtım yaklaşımı seçin. Birden çok örnek için, güvenli dağıtım uygulamalarınızın bir parçası olarak ortamları eşitlenmiş durumda tutun.
Hizmet düzeyi hedefi (SLO) hizalaması: İş yükünüzün SLO'larını ayarlarken ağ geçidinin SLA kapsamını dikkate alırsınız. Hizmet kendi SLA'sını sağlar, ancak API arka uçları gibi diğer iş yükü bileşenlerinin beklenen güvenilirliğini de hesaba katmalısınız.
Arka uç hatalarını giderin: Hem beklenen hem de beklenmeyen arka uç hataları için planlayın. Bu senaryolarda istemci deneyimlerini test edin. Dayanıklılığı geliştirmek ve istemci deneyimini geliştirmek için ağ geçidi ilkelerini değerlendirin. API belirtimlerinizde belirtildiği gibi kotalara, hız sınırlarına, yeniden deneme ilkelerine, arka uç devre kesicilerine, yük dengelemeye ve özel durum işlemeye odaklanın.
Test stratejilerini tanımlama: Gerçek üretim iş yüklerini yansıtmak için ağınızın içinden Azure Yük Testi gibi bir test çözümü kullanın. Yayımlanan aktarım hızına veya iş yükünüz için geçerli olmayan diğer tahminlere güvenmeyin.
Olağanüstü durum kurtarma planı (DR): Ağ geçidi altyapısını ve API'lerini yedekleme ve geri yükleme seçeneklerini gözden geçirin. Bazı senaryolarda yerleşik yedekleme ve geri yükleme özellikleri yararlı olabilir. Ancak APIOps araçları ve kod olarak altyapı (IaC) çözümleri gibi müşteri tarafından yönetilen seçenekler de göz önünde bulundurulabilir. Kullanıcı abonelikleri de dahil olmak üzere diğer sistem verilerini korumak için stratejiler geliştirin.
Öneriler
Bu güvenilirlik önerileri hizmetin kendisine veya API'ler ve ilkeleri aracılığıyla akan trafiğe uygulanabilir. (Hizmet) veya (API) belirleyicileri, bir önerinin hizmeti mi yoksa API'leri mi hedeflediğini belirtir.
| Tavsiye | Fayda |
|---|---|
| (Hizmet) Premium katmanında bölge yedekliliğini etkinleştirin ve en az üç birimi dağıtın. Bu yapılandırmada, normal çalışma koşulları altında, yapılandırılmış tüm bölgelerdeki tüm ölçek birimleri etkindir ve ağ geçidi trafiğine hizmet eder. Tüm etkin-etkin senaryolarda, ilk olarak hatalı bölgede işlenen trafiği işlemek için kalan etkin bölgelerde ölçeği genişletmeyi desteklemeyi planlayın. |
Dayanıklılık, bir bölge içindeki veri merkezi kesintisi sırasında sağlanır. Tam bir veri merkezi kaybı sırasında API trafiği diğer bölgelere dağıtılan kalan birimler arasında akmaya devam eder. |
| (Hizmet) Trafik taleplerine göre otomatik ölçeklendirmeyi etkinleştirin. Çok bölgeli dağıtımlarda ikincil bölgelerin otomatik ölçek genişletme veya daraltma özellikleri yoktur. İsteğe bağlı olarak birim ayarlamalarını yönetmek için Azure İzleyici ölçüm uyarılarına yanıt olarak etkinleştiren özel bir işlev veya Mantıksal Uygulama uygulamanız gerekir. |
Yeterli kaynakların API istemcilerinden gelen talebi karşılaması garanti edilir ve bu da yetersiz kapasite nedeniyle hataları önler. |
| (Hizmet) Tam bir bölgesel hataya karşı dayanıklılığı desteklemek için çoklu bölge topolojisi kullanın. Bu yaklaşım, iş yükünüzdeki diğer bileşenlerle eşgüdümlü çalışmanızı ve bunların planlanan yük devretme özelliklerini anlamanızı gerektirir. Tüm etkin-etkin senaryolarda, artık etkin olmayan bölgenin başlangıçta işlediği trafiği işlemek için kalan etkin bölgelerde ölçeği genişletmeyi desteklemeyi planlayın. Çoklu bölge topolojinizin aktarımdaki veriler veya önbellek yerleşimindeki veriler için tüm uyumluluk gereksinimleriyle uyumlu olduğundan emin olun. |
Tam bir bölgesel kesinti sırasında sağlam dayanıklılık sağlanır ve bu da diğer bölgelere dağıtılan birimler aracılığıyla kesintisiz API trafiğinin sağlanmasına yardımcı olur. |
| (Hizmet) İlişkisiz API'leri çalışma alanları veya ek API Management örnekleriyle yalıtma. | Yanlış yapılandırma veya kesintilerin neden olduğu hataların etkisi, API'leri farklı işlem örnekleri arasında ayırarak en aza indirilir. |
| (API) İlke ifadelerini ve mantığını kapsamlı bir şekilde test edin ve BUNLARı API yönetim ilkelerindeki dayanıklı hata işleme teknikleri ile eşleştirin. | İstemci deneyimi, ağ geçidinde yeni hata kaynaklarını önlemek ve zarif bozulma veya güvenli geçici hata yönetimi sağlamak suretiyle geliştirilmiştir. |
| (Hizmet ve API) Güvenilirlik ölçümlerini toplayın. Tipik API güvenilirlik ölçümleri şunlardır: - Hız sınırları ve kota ihlalleri. - HTTP durum kodları temelinde hata oranı. - Taban çizgisinden oran sapmalarını isteyin. - Bağımlılık sağlığı da dahil olmak üzere sağlık kontrolleri. |
Beklenen davranıştan ve geçmiş taban çizgilerinden sapmalar tanımlanır. Bu veriler, değiştirilen kullanıcı davranışı, rutin işlemlerden kaynaklanan girişim, yeni özelliklerden beklenmeyen etkiler veya iş yükündeki planlanmamış hatalar gibi kök nedenleri izlemek için kullanılabilir. |
| (Hizmet ve API) DR playbook'unuzun bir parçası olarak API Management'ta yerleşik olarak bulunan yerleşik yedekleme ve geri yükleme özelliklerini kullanın. Bağımlılıklar ve arka uçlarla kurtarma koordinasyonu da dahil olmak üzere çeşitli senaryoları işleyebilen güçlü bir çözüm için bu özellikleri IaC yapıtlarınızla ve APIOps süreçlerinizle destekleyin. | api ağ geçidinin kurtarılması ve tam bir sistem kaybından sonra tanımlı API'lerin geri yüklenmesine izin vererek iş sürekliliği sağlanır. |
Güvenlik
Güvenlik sütununun amacı, iş yüküne gizlilik, bütünlük ve kullanılabilirlik garanti sağlamaktır.
Güvenlik tasarımı ilkeleri, API Management ağ geçidinin korunmasında teknik tasarıma yaklaşımlar uygulayarak bu hedeflere ulaşmak için üst düzey bir tasarım stratejisi sağlar.
Uyarı
Bu bölümdeki denetim listesi ve öneriler API Management ağ geçidi kaynağının güvenliğini sağlamaya odaklanır. API'lerin güvenliğini sağlamak yalnızca kısa bir süre ele alınıyor. Daha fazla bilgi için bkz. API Yönetiminde OWASP API güvenlik açığı ilk 10'unu hafifletme.
Tasarım denetim listesi
Güvenlik için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın ve güvenlik duruşunu geliştirmek için güvenlik açıklarını ve denetimleri belirleyin. Gerektiğinde daha fazla yaklaşım içerecek şekilde stratejiyi genişletin.
Güvenlik temeli oluşturma:API Management için güvenlik temelini gözden geçirin ve geçerli ölçüleri temelinize ekleyin.
Dağıtım işlem hattını koruyun: Hizmet platformunu, sürekli tümleştirmeyi ve sürekli dağıtım (CI/CD) işlem hatlarını ve tek tek API'leri yönetmek için gereken kişileri ve rol tabanlı erişim denetimi rollerini belirleyin. Hizmeti ve API'lerini yönetmek için yalnızca yetkili kişilerin erişimi olduğundan emin olun.
Veri duyarlılığını değerlendirme: Hassas veriler API Management ağ geçidindeki API istekleri ve yanıtları aracılığıyla akıyorsa, tüm yaşam döngüsü boyunca korunmasını sağlayın. Farklı bölgeler arasında değişen veri koruma gereksinimlerini hesaba dahil edin. Belirli verileri yalıtmak için birden çok bölge gibi hizmet özelliklerini değerlendirin. Ayrıca, önbelleğe alma stratejinizin bu yalıtım gereksinimleriyle uyumlu olup olmadığını onaylayın.
Paylaşılan ağ geçitlerinde segmentasyon stratejileri geliştirin: API Management örneğiniz birden çok iş yükü ekibi için API'leri barındırıyorsa rolleri, ağları ve büyük olasılıkla ağ geçitlerini ayrıştırmak için çalışma alanlarını kullanın. Bu yaklaşım, her ekibin diğer ekiplerin API'lerine erişimi kısıtlarken yönettiği API'ler üzerinde uygun erişime ve denetime sahip olmasını sağlar.
Ağ denetimlerini göz önünde bulundurun:Sanal ağları kullanarak gelen ve giden ağ geçidi trafiğini yalıtma veya filtreleme gereksinimlerini ve seçeneklerini belirleyin. Ağ geçidine erişimin Azure Özel Bağlantı aracılığıyla kısıtlanıp kısıtlanmayacağını veya ağ geçidine genel erişimin gerekli olup olmadığını belirleyin. Gerekli ağ yalıtımını elde etmek ve ağ trafiğini filtrelemek için mimarinin Azure Application Gateway'de Azure Web Uygulaması Güvenlik Duvarı veya Azure Front Door gibi bir web uygulaması güvenlik duvarı içerip içermediğini değerlendirin.
API kimlik doğrulaması ve yetkilendirme özelliklerini göz önünde bulundurun: Ağ geçidi isteklerini filtrelemek ve arka uç API'leri için OAuth yetkilendirmesini etkinleştirmek için yerleşik grupları içeren Microsoft Entra Id veya Microsoft Entra External ID gibi kimlik sağlayıcılarının kullanımını değerlendirin.
Ağ trafiğini şifreleme: İş yüklerinizin destekleyebilecekleri en güvenli Aktarım Katmanı Güvenliği (TLS) protokol sürümlerini ve şifrelerini belirleyin. Güvenli olmayan TLS sürümleri gerekmez. İstemcileriniz tarafından desteklendiğinde TLS 1.3 kullanın.
API Management'ta tehdit modellemesi gerçekleştirin ve yüzey alanını azaltın: Doğrudan yönetim API'si veya geliştirici portalına genel erişim gibi belirli API Management bileşenlerinin devre dışı bırakılıp devre dışı bırakılamayacağını, kısıtlanıp kaldırılamayacağını belirleyin.
İş yüklerinin gerektirdiği gizli dizileri belirleyin: Ağ geçidi işlemi için sertifikalar, API anahtarları veya diğer gizli dizi değerleri gerekebilir. Gizli dizileri ve sertifikaları depolamak için Azure Key Vault'un gereksinimlerini ve özelliklerini gözden geçirin. Veya adlandırılmış değerler ve yönetilen sertifikalar gibi yerleşik API Management özelliklerini gözden geçirin.
Öneriler
Bu güvenlik önerileri hizmetin kendisine veya API'ler ve ilkeleri aracılığıyla akan trafiğe uygulanabilir. (Hizmet) veya (API) belirleyicileri, bir önerinin hizmeti mi yoksa API'leri mi hedeflediğini belirtir.
| Tavsiye | Fayda |
|---|---|
| (Hizmet) Kullanım dışı bırakılan doğrudan yönetim API'sini devre dışı bırakın. Denetim düzleminiz olarak Azure Resource Manager'i kullanın. | Bir kontrol düzlemi erişim noktası kaldırılarak hizmetin yüzey alanı azaltılır. |
| (Hizmet) Ağ geçidinin kullanıma açık kalmasını yalnızca meşru istemcilerin nereden bağlandığı temelinde sınırlayın. - Tüm istemciler trafiği bir sanal ağ üzerinden yönlendirebiliyorsa genel IP adresi olmadan sanal ağ enjeksiyonunu kullanın. Trafiği yalnızca beklenen istemci kaynağı IP adresleriyle daha fazla kısıtlamak için bir ağ güvenlik grubu (NSG) kullanın. - İnternet'ten trafik gelmesi gerekiyorsa Application Gateway veya Azure Front Door ile sanal ağ tümleştirmesini kullanın. NSG'yi yalnızca tek giriş noktasından gelen trafiği kabul etmek için yapılandırın. |
Ağ trafiğinin gizliliği, geçerli istemcileri içermesi beklenen kaynak IP adresi aralıklarına maruz kalma durumunu kısıtlayarak korunur. Bu kısıtlamalar, meşru istemci iletişimini başlatmaması gereken kaynaklardan erişimi engeller. Yasal trafik kaynaklarına maruz kalmanın sınırlanması, hizmetin gizliliğini, bütünlüğünü ve kullanılabilirliğini artırır. |
| (Hizmet) Kullanımda değilse geliştirici portalını devre dışı bırakın. Portal kullanımdaysa kaydolma deneyimini devre dışı bırakın, anonim erişimi devre dışı bırakın ve erişimi yalnızca güvenilen ağ konumlarına kısıtlayın. | Hizmetin yüzey alanı ve yanlış yapılandırma veya ihmal olasılığı azalır. |
| (Hizmet) İstemcileriniz ve arka uçlarınız için desteklenen en dar TLS sürümlerini, protokollerini ve şifrelerini açıkça ayarlayın. | Sürümler ve desteklenen şifrelemeler yalnızca istemcilerin ve arka uçların desteklediği seçeneklere indirilir. Bu yaklaşım, bağlantıların gizlilik için mümkün olan en yüksek dereceli bağlantıları önceliklendirmesine yardımcı olur. |
| (Hizmet) Özel sertifikaları Key Vault'ta depolayın. | Sertifika yönetimi işlevselliği, rutin döndürmeyi destekleyen ve sertifikalara erişimi denetleyen Key Vault kullanılarak sağlanır. |
| (Hizmet) Arka uçlar yalnızca API ağ geçitlerinden gelen trafiği kabul etmeli ve diğer tüm trafiği engellemelidir. | Kötü amaçlı trafiğin güvenlik önlemleri ve diğer sistem işlevlerinin yönlendirildiği ağ geçidini atlatması engellenir. |
| (Hizmet) Birden çok ekip veya segmentli iş yükü için API'leri barındıran API Management örnekleri için sağlam bir erişim denetimi yalıtım stratejisi tasarlamanız gerekir. Bu stratejiyi elde etmek için çalışma alanlarını kullanın veya sıkı bir APIOps işlemi uygulayın. Ekiplerin yalnızca sahip oldukları API'lere erişimi olmalıdır. Aynı örnekte barındırılacak diğer API'lere erişimleri olmamalıdır. |
Güvenliği aşılmış bir API kümesinden diğer ilgisiz API'lere saldırganların yanal hareketi azaltılır. |
| (API) Gizli bilgileri Key Vault'ta depolayın ve adlandırılmış değerler aracılığıyla politikalara açığa çıkarın. Sır olmayanları depolamak için Key Vault kullanmayın. Bu değerler için adlandırılmış değer özelliklerini doğrudan kullanın. | Key Vault'ta sertifikalar için kullanılan yaklaşıma benzer şekilde, gizli anahtar döndürme tek bir yönetim düzlemi aracılığıyla teşvik edilir. Bu işlem API Management'ın uygun şekilde güncelleştirilmesini sağlar. Adlandırılmış değerler ayrıca hem sırlar hem de sır olmayanlar için politika yapılandırması için tutarlı bir deneyim sağlar. Erişim geçmişi sağlamak için Anahtar Kasası'nda tüm gizli erişimler de denetlenir. Yalnızca Key Vault'ta gizli dizilerin depolanması, Key Vault bağımlılığını en aza indirir ve Key Vault'u bir uygulama yapılandırma hizmetine dönüştürmez. |
| (API) Authentication-managed-identity ilkesini kullanarak farklı API'ler için kullanıcı tarafından atanan farklı yönetilen kimlikler kullanın. | Her API, her API için en az ayrıcalık erişimi aracılığıyla segmentasyon hedeflerini destekleyen bağımsız bir kimliğe sahip olacak şekilde etkinleştirilir. Ayrıca arka uç sistemlerinde daha iyi denetlenebilirlik sağlar. |
| (API) Mümkün olduğunda, istemcilerin yalnızca abonelik anahtarları veya istemci sertifikaları dahil olmak üzere önceden paylaşılan anahtarları kullanmak yerine OAuth 2.0 akışlarıyla kimlik doğrulamasıyapmalarını isteyin. | Denetim amacıyla istemci belirlemesi iyileştirilir, anahtar döndürme ortadan kalkar ve istemcilerin gizli dizileri koruma yükü önceden paylaşılan anahtarların kullanımına kıyasla azalır. |
| (API) Uygulama ayrıntılarını açıklayan HTTP üst bilgilerini API yanıtlarından kaldırmak için set-header ilkesini kullanın. | Uygulama bilgilerinin saklanması ile saldırganların maliyeti artırılır. |
| (API) Üretimde API izleme kullanmayın. | Hassas verilerin istek izlemelerinde kullanıma sunulmaması engellenir. |
| (API) API'ler için Defender kullanın. | API güvenlik içgörüleri, öneriler ve tehdit algılama sağlanır. |
| (API) API ilkesinde validate-jwt, ip-filter, validate-headers, validate-content gibi önemli güvenlik denetimleri vererek arka uç kaynaklarını koruyun. | Ağ geçidinde güvenlik denetimleri gerçekleştirilerek arka uç hizmetlerine ulaşan geçerli olmayan trafik miktarı azalır. Bu boşaltma yaklaşımı, bu kaynakların bütünlüğünü ve kullanılabilirliğini korumaya yardımcı olur. |
| (API) API ilkesi değişikliklerine güvenlik geliştirme yaşam döngüsü (SDL) uygulamalarını iş yükünüzdeki uygulama koduna önerilen değişiklikleri uyguladığınız şekilde uygulayın. İlkeler, API trafiğine yüksek ayrıcalıklı bir perspektiften bakarak uygulanır. | Güvenliği aşılmış bir API ağ geçidi tarafından gizlilik, bütünlük ve kullanılabilirlik için arka uç korumalarının aşılması engellenir. |
| (Hizmet ve API) Hizmet ve API bağımlılıkları için yönetilen kimlikleri kullanın. | Key Vault, Azure Event Hubs ve sertifikalar ve adlandırılmış değerler gibi diğer bağımlılıklara yönelik bağlantılar önceden paylaşılmış sırlar olmadan kurulur. |
| (Hizmet ve API) Mümkün olduğunda Key Vault, Event Hubs ve arka uçlar gibi bağımlılıklara özel ağ bağlantıları üzerinden bağlanın. | Trafiğin gizliliği, trafiği özel ağın dışına çıkarmayarak korunur. |
| (Hizmet ve API) İnternet'te kullanıma sunulan API'leri hedefleyen istemci trafiğinin API Management'a ulaşmadan önce Web Uygulaması Güvenlik Duvarı gibi bir web uygulaması güvenlik duvarından geçmesi gerekir. Ayrıca Azure DDoS Koruması kullanarak genel uç noktaları koruyun. | Web uygulaması güvenlik duvarıyla güvenlik denetimleri yapılarak ağ geçidine ve arka uç hizmetlerine ulaşan geçerli olmayan trafik miktarı azalır. Bu trafiğin azaltılması, bu kaynakların bütünlüğünü ve kullanılabilirliğini korumaya yardımcı olur. |
| (Hizmet ve API) İş yükünüzle ilgili tüm Azure İlkesi Mevzuat Uyumluluğu denetimlerini değerlendirin ve etkinleştirin. | API Management örneği, istenen duruşla hizalanır ve güvenlik ilkelerine sahip olarak iş yükü geliştikçe hizalı kalır. |
Maliyet İyileştirme
Maliyet Optimizasyonu, harcama düzenlerini algılamaya, kritik alanlardaki yatırımlara öncelik vermeye ve diğer alanlarda kuruluşun bütçesini ve iş gereksinimlerini karşılayacak şekilde iyileştirmeye odaklanır.
Maliyet İyileştirme tasarım ilkeleri, BU hedeflere ulaşmak ve API Management ve ortamıyla ilgili teknik tasarımda gerektiği şekilde ödün vermek için üst düzey bir tasarım stratejisi sağlar.
Tasarım denetim listesi
API Management maliyet modelini göz önünde bulundurun:Azure fiyatlandırma hesaplayıcısını , api Management hizmet katmanını kullanarak doğru maliyet tahminleri geliştirmek için kuruluşunuzun hesap avantajları ve SLA ve ölçeklenebilirlik ölçütleriyle birlikte kullanın. Geri ödeme modelinin gerekli olup olmadığını belirleyin ve ölçümlere, etiketlere ve belirteçlere göre modelin nasıl hesapleneceğini belirleyin.
Hizmet maliyet modeli temel olarak hizmet katmanından, birim sayısından ve ağ geçidi sayısından etkilenir. Yedek birimi korumak veya aktif-pasif DR yapılandırması uygulamakla ilişkili ek maliyetleri değerlendirin.
Çalışma alanları uygularsanız, çeşitli API ekiplerinin veya proje katılımcılarının ayrı API akışı gereksinimlerini karşılamak için ayrı ve paylaşılan çalışma alanı ağ geçitleri kullanmanın maliyetlerini değerlendirin.
Ölçeklendirme maliyetlerini tahmin etme: Ağ geçidi kaynaklarının yüksek kullanımını korumak için ölçeklendirme ölçütleri geliştirin. Üretim öncesi bir ortamda temel maliyetleri değerlendirin ve beklenen iş yükü trafiğine göre ölçeği genişletme maliyetlerini modellemek için test gerçekleştirin.
Ağ geçitlerinizin kötüye kullanımı önlemek ve bu nedenle önceden belirtilen kullanımın ötesinde pahalı ölçeklendirmeyi engellemek için bir azaltma stratejisi tasarlayın.
Hizmet yapılandırmalarını ve ilkelerini değerlendirme: İstek yüklerini yönetmek için maliyet iyileştirme teknikleri olarak hız sınırı ve sınır eşzamanlılığı gibi özellikler kullanılabilir.
Mantıksal yerleştirmeyi iyileştirme: Arka uç sunucularının mantık işleme için daha uygun maliyetli olup olmadığını veya ağ geçidinin kaynak kullanımını işlemesi gerekip gerekmediğini değerlendirin. Ağ geçidi, çapraz kesme endişelerini uygulamaya yönelik güçlü bir bileşendir, ancak bazı senaryolarda aşırı işlevler gerçekleştirebilir. Ağ geçidinin gerçekleştirdiği yoğun kaynak isteği işleme görevlerini belirleyin ve bu mantığı arka uç sunucularına taşımanın maliyetleri düşürip düşüremeyeceğini belirleyin.
Öneriler
Bu maliyet iyileştirme önerileri hizmetin kendisine veya API'ler ve ilkeleri aracılığıyla akan trafiğe uygulanabilir. (Hizmet) veya (API) belirleyicileri, bir önerinin hizmeti mi yoksa API'leri mi hedeflediğini belirtir.
| Tavsiye | Fayda |
|---|---|
| (Hizmet) İş yükünüzün gereksinimlerini destekleyen en düşük maliyetli katmanı kullanın. Örneğin, iş yükünüz yatırım getirisini (ROI) haklı gösterecek şekilde eklenen işlevlerden yararlanamayacaksa Premium katmanı yerine Standart katman seçin. | Kullanılmayan veya kullanılmayan özellikleri satın almaktan kaçınılır. |
| (Hizmet) Geliştirme ortamları, kavram kanıtı dağıtımları ve ilk maliyet modelleme etkinlikleri gibi daha düşük ortamlarda, üretim dışı katmanları veya geçici altyapıyı kullanın. | Kaynak maliyetleri, üretimin tam yapılandırma veya çalışma süresi gereksinimlerini tam olarak yansıtmadan yararlı olabilecek ortamlar için kaydedilir. |
| (Hizmet) Talep azaldığında ölçeği daraltın. Ağ geçidi kapasitesi tanımlı eşiklerin altına düştüğünde birimleri azaltmak için otomatik ölçeklendirme kurallarını veya diğer otomatik işlemleri yapılandırın. | Kapasiteyi talebe göre eşleştirerek gereksiz maliyetler azalır. |
| (Hizmet) Api yönetimi için federasyon modelinin tüm maliyet avantajlarını hesaplamak için API'lere hizmet vermek için çalışma alanlarını kullanın ve ekip yalıtımı da sağlayın. | Dağıtım ve yönetim yüzeyi azalır. Bu yaklaşım zaman ve kaynak satın almaları açısından ölçek ekonomisine ulaşmayı hedefler. |
| (Hizmet) Artık kullanımda olmayan çalışma alanlarını devre dışı bırakın. | Kullanılmayan kaynaklara harcama yapmaktan kaçınılır. |
| (Hizmet) İş yükünüzün önbelleğe alınmış verileri katmanınızdaki yerleşik önbelleğin kısıtlamalarına uyuyorsa yerleşik önbelleği kullanın. | Dış Redis uyumlu önbellek satın alma ve koruma maliyetleri önlenir. |
| (Hizmet) Ağ denetimlerini, DDoS korumasını ve web uygulaması güvenlik duvarlarını kullanarak ağ geçidine ulaşmadan önce kötü amaçlı trafiği engelleyin. API Management'ın belirli katmanları, ağ geçidinin işlediği HTTP isteği işlemlerinin sayısına göre ücretlendirilir. Sonuç olarak bot tarafından oluşturulan istekler gibi istenmeyen trafik maliyetleri artırabilir. Bu yaklaşımın yatırım getirisi olup olmadığını değerlendirmek için engelleme mekanizmasının maliyetini ve HTTP işlemlerini azaltma maliyetine ilişkin tahmini maliyeti değerlendirin. |
Ağ geçidine yönelik aşırı kötü amaçlı veya rahatsız edici HTTP işlemleri nedeniyle oluşan ücretler azalır. |
| (API) İşlemci, ağ veya bellek gibi aşırı işlem kaynağı kullanımından kaçınmak için ilke ifadelerini ve işlemeyi ve kodu iyileştirin. | İyileştirilmemiş ilke uygulamaları ve kod için kapasite sağlamak üzere daha fazla birimin gereksiz şekilde dağıtılması önlenir. |
| API) Ağ geçidiniz, arka uç sisteminiz veya Azure Front Door gibi genel giriş noktanız arasında mantık yerleştirmenin maliyetini değerlendirin. Aynı işleme genellikle her biri kendi dezavantajlarına sahip olan bu katmanlardan herhangi birinde gerçekleşebilir. Ancak bazı katmanlar, bu düzeyde kullanılmayan kapasite nedeniyle maliyet tasarrufu sağlayabilir. Örneğin, başlangıçta arka uçta uygulanan önbelleğe alma mantığı, yerleşik önbellek kullanılarak ağ geçidi düzeyinde daha uygun maliyetli bir şekilde uygulanabilir. Bu yaklaşım, arka uç hizmetlerinde ek ağ ve işlem ek yükünü azaltır. | Yüksek maliyetli kaynaklardaki yük, özellikleri en uygun maliyetli katmana yerleştirerek en aza indirilir. Bu yaklaşım, iş yüklerini yedek kapasiteye veya daha düşük maliyetli işlem seçeneklerine sahip katmanlara kaydırıyor. |
Operasyonel Mükemmellik
Operasyonel Mükemmellik öncelikli olarak geliştirme uygulamaları, gözlemlenebilirlik ve sürüm yönetimiyordamlarına odaklanır.
operasyonel mükemmellik tasarım ilkeleri iş yükünün operasyonel gereksinimleri için bu hedeflere ulaşmak için üst düzey bir tasarım stratejisi sağlar.
API Management ile ilgili gözlemlenebilirlik, test ve dağıtım süreçlerini tanımlamaya yönelik Operasyonel Mükemmellik için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın.
Tasarım denetim listesi
Hizmeti çalıştırmak için gereken temel bilgileri ve becerileri gözden geçirin: Api yaşam döngüsü, DevOps işlemleri, ağ ve bağlantı, izleme ve gözlemlenebilirlik ve yazılım geliştirme alanlarıdır. Bu yaklaşım ilke yapılandırmasını, birim testini ve CI/CD işlem hatlarının oluşturulmasını kapsar.
Belge gereksinimlerini göz önünde bulundurun: Kuruluşlar hizmet düzeyi ve API düzeyinde yapılandırma, yaşam döngüsü işlemleri ve API ekipleri için farklı erişim desenleri için belgeleme süreçlerini taahhüt etmelidir.
Hizmet işlemlerini desteklemek için standart araçları değerlendirin. Örneğin, API'leri yayımlamak ve API yapılandırmalarını yönetmek için GitOps ve CI/CD gibi APIOps yöntemlerini benimseyin. Hizmet düzeyi yapılandırma değişiklikleri için IaC araçlarını kullanın. Geliştirme ortamlarından üretim ortamına sorunsuz bir şekilde geçiş yapabilecek yeniden kullanılabilir yapıtlar tasarla. Spectral gibi kendi kendine yönetilen veya Azure API Center gibi bir Azure hizmetine tümleştirilmiş bir linter'i API onay işlem hatlarıyla tümleştirmeyi göz önünde bulundurun.
Önemli işletimsel ölçümleri ve günlükleri belirleme: Üretim ölçümlerini gözden geçirin. Bu ölçümler ağ geçidi kapasitesi, CPU kullanımı, bellek kullanımı ve istek sayısını içerir. Azure İzleyici ve Application Insights gibi günlükleri ve gözlemlenebilirlik araçlarını gözden geçirin. Üretim ortamlarında büyük hacimli gözlemsel verileri etkili bir şekilde yönetmek için gereken stratejileri ve araçları belirleyin. Hem ağ geçidi operatörü hem de belirli barındırılan API'leri izleyen paydaşlar için eyleme dönüştürülebilir içgörüler sunan sorguları belirleyin.
Yük testini kullanarak üretim iş yüklerinin düzenli testini planlayın .
Otomasyon gerektiren CI/CD veya IaC işlemlerinin ötesindeki operasyonel görevleri belirleyin . API Management ilkesi kaynak yönetimi, Azure ilkeleri ve belirli geliştirici portalı yapılandırmaları gibi alanlarda otomasyonu planlayın.
Öneriler
Bu operasyonel mükemmellik önerileri hizmetin kendisi veya API'ler ve ilkeleri aracılığıyla akan trafik için geçerli olabilir. (Hizmet) veya (API) belirleyicileri, bir önerinin hizmeti mi yoksa API'leri mi hedeflediğini belirtir.
| Tavsiye | Fayda |
|---|---|
| (Hizmet) API Management için Azure tanılama kaynak günlüklerini yapılandırın. | Platform tarafından oluşturulan günlükler, rutin işlemleri, isteğe bağlı ihtiyaçları veya güvenlik denetimleri gibi acil senaryoları sorgulamak için kullanılabilir. |
(Hizmet) API Management örneğinizin tetiklediğiAPICreated gibi anlamlı olaylara dayalı otomasyon için Azure Event Grid kullanın. |
Otomasyon veya bildirim görevleri, API Management örneğinde gerçekleşen önemli yaşam döngüsü olayları etrafında oluşturulabilir. |
| (Hizmet) Microsoft tarafından barındırılan bir ağ geçidi birimi senaryonuzda çalışıyorsa kendi kendine barındırılan bir ağ geçidi kullanmaktan kaçının. | Otomasyon veya bildirim görevleri, API Management örneğinde gerçekleşen önemli yaşam döngüsü olayları etrafında oluşturulabilir. |
| (Hizmet) Örneğinizi yönetmenize ve güvenlik gereksinimleri de dahil olmak üzere iş yükü gereksinimleriyle uyumlu olacak şekilde kısıtlamanıza yardımcı olan tüm yerleşik Azure İlkesi ilkelerini uygulayın. Örneğin, API'lerin HTTP üzerinden kullanıma sunulmasını veya doğrudan yönetim REST API'sinin etkinleştirilmesini önlemek için reddetme ilkelerini kullanın. Reddetme ilkeleri kullanılamıyorsa denetim ilkelerini kullanın veya iş yükünüz için önemliyse özel reddetme ilkeleri oluşturun. | API Management örneği tasarımla hizalanır ve iş yükü geliştikçe hizalı kalır. |
| (Hizmet) Azure portalındaki Sorunları tanılama ve çözme özelliği hakkında bilgi sahibi olun. Ağ bağlantısı sorunlarını gidermek için portaldaki Ağ durumu dikey penceresini kullanın. |
Site güvenilirlik mühendisliği bireyleri tüm ortamlarda ağ geçidi performansı, hizmet kullanılabilirliği ve ağ bağlantısı sorunlarını belirleyebilir ve giderebilir. |
| (API) Neredeyse gerçek zamanlı tepkiler veya kısa zaman çerçevesi pencereli işlemler gerektiren API çağrılarından günlük veya olay akışlarını işlemek için Event Hubs'ı kullanın. | Günlük girdilerinin neredeyse gerçek zamanlı kullanılabilirliği sağlanır. API'ler içinde Azure İzleyici'ye günlük kaydı yapılırken oluşan günlük verisi alma gecikmesi önlenir. |
| (API) Geliştiricilerin ilke uygulamalarını anlamasına yardımcı olmak için geliştirme aşamasında API izleme kullanımını destekleyin. | Geliştirici üretkenliği, bir API içindeki ilkelerin uygulanmasına ilişkin içgörüler sağlayarak iyileştirilmiştir. Bu özellik olmadan, geliştiricilerin içgörü elde etmek için ilke uygulamasında hack'leri tanıtmaları gerekir. |
| (API) API Management'ın arka uçlar özelliğini kullanarak arka uçları her zaman tanımlayın. Set-backend-service kullanarak ilkede bu arka uçlara kimlikle başvurun. Yük dengeli arka uçlar arka uç havuzu olarak tanımlanmalıdır. | Arka uç bağlantı değişiklikleri, tek tek ilke kodunda güncelleştirme gerektirmeden arka ucu kullanan tüm API'ler için geçerlidir. Yanlış yapılandırma veya göz ardı edilen API ilkesi değişiklikleri riski azalır ve birden çok API'nin aynı arka ucu paylaştığı senaryolar bu yapılandırma soyutlaması katmanında uygundur. |
| (API) API Management'ın sürüm oluşturma ve düzeltme özellikleriyle uyumlu hale getirmek için API'lerinizin sürüm oluşturma yaklaşımını tasarlayın. Bu yaklaşımı API dağıtım işlemlerinizde dikkate alın. | API Management tarafından kullanıma sunulan bir API sürüm oluşturma stratejisi, özel çözümler oluşturmak yerine yerleşik özelliklerden yararlanmak için kullanılır. |
| (Hizmet ve API) API'leri eklemek, değiştirmek ve silmek için tutarlı ve sürdürülebilir bir operasyonel süreç tanımlayın. Bu deneyimin portal aracılığıyla el ile mi yönetileceğini yoksa bir APIOps işlemiyle mi uygulandığını belirleyin. Portal tabanlı yaklaşım yerine IaC tabanlı bir yaklaşım kullanmayı tercih edin. API Management'ın Resource Manager API'sindeki gösterimi birçok alt kaynak içerir, bu nedenle bu kaynak koleksiyonunun IaC tabanlı yönetimi için katmanlı bir yaklaşım benimsemek önemlidir. |
API belirtimleri ve bunların ağ geçidi uygulamaları, iş yükünün değişiklik denetimi süreçleriyle tümleştirilir. Bu yaklaşım, arka uç API'lerinde yapılan değişikliklerin ağ geçidi üzerinden API istemcilerine sunulmalarından farklı şekilde işlenmesini engeller. |
Performans Verimliliği
Performans Verimliliği, kapasiteyi yöneterek yük artış olduğunda bile kullanıcı deneyimini korumakla ilgilidir. Strateji kaynakları ölçeklendirmeyi, olası performans sorunlarını tanımlamayı ve iyileştirmeyi ve en yüksek performans için iyileştirmeyi içerir.
Performans Verimliliği tasarım ilkeleri beklenen kullanıma karşı bu kapasite hedeflerine ulaşmak için üst düzey bir tasarım stratejisi sağlar.
Tasarım stratejinizi, API Yönetimi için temel performans göstergelerine dayalı bir başlangıç yaparak Performans Verimliliği için tasarım gözden geçirme denetim listesini esas alarak başlatın.
Tasarım denetim listesi
Performans hedeflerini tanımlama: API Management ağ geçidinin performansını değerlendirmeye yönelik temel ölçümler, ağ geçidi altyapısı için CPU ve bellek kullanım yüzdeleri, istek süresi ve istek aktarım hızı gibi kapasite ölçümlerini içerir. Çok bölgeli dağıtımlarda her bölge için performans hedefleri tanımlayın. Müşterinin trafik desenlerine, API iş yüklerine ve ölçeklendirme sürelerine göre uygun ölçeklendirme eşiklerini tanımlaması gerekir.
Performans verilerini toplama: Farklı ayrıntı düzeylerinde performans toplamak ve analiz etmek için yerleşik analiz, Azure İzleyici ölçümleri, Azure İzleyici günlükleri, Application Insights ve Event Hubs özelliklerini gözden geçirin.
Canlı performans sorunlarını tanımlamayı gözden geçirin: Canlı performans sorunlarına yönelik göstergeler Arasında Azure hizmet kullanılabilirliği, HTTP yanıt hataları ve portaldaki Sorunları tanılama ve çözme bölümünde oluşan hatalar yer alır. Azure portalında, Application Insights, Kusto sorguları ve API Management Diagnostics önerilerini kullanarak performans ve kullanılabilirlik sorunlarını giderin.
Test performansı: Yük testlerini kullanarak üretim koşulları altında performansı test edin.
Performansı geliştirebilecek bitişik hizmetleri değerlendirin: Önbelleğe alma ilkeleri veya dış önbellek belirli API işlemlerinin performansını artırabilir. Azure Front Door ve Application Gateway, TLS boşaltma için yaygın seçeneklerdir.
Belgelenen sınırları ve kısıtlamaları gözden geçirin:API Management'ta sınırlar ve kısıtlamalar var. Belgelenen kısıtlamaları gözden geçirin ve bu kısıtlamaları önleyen bir çözüm tasarlamanız gerekip gerekmediğini görmek için bunları iş yükünüzün gereksinimleriyle karşılaştırın.
Öneriler
Bu performans verimliliği önerileri hizmetin kendisine veya API'ler ve ilkeleri aracılığıyla akan trafiğe uygulanabilir. (Hizmet) veya (API) belirleyicileri, bir önerinin hizmeti mi yoksa API'leri mi hedeflediğini belirtir.
| Tavsiye | Fayda |
|---|---|
| (Hizmet) Talebi karşılayacak şekilde dinamik olarak ölçeklendirin. Ağ geçidi birimlerini hedef kullanım kapasitesiyle eşleşecek şekilde ayarlamak için otomatik ölçeklendirme kurallarını veya diğer otomatik işlemleri yapılandırın. | Esneklik, şu anda dağıtılan birimlerin kaynak tükenmesini veya kapasitenin fazla ayrılmasını önleyen eşzamanlı kullanıma göre elde edilir. |
| (API) Büyük istek gövdelerinde validate-content ilkesini kullanarak veya çok sayıda etkin WebSocket'i koruyarak, büyük arabelleğe alınmış yük boyutları gibi maliyetli işleme görevlerini en aza indirin. | Ölçek birimleri üzerindeki yük azaltılır ve ölçek genişletmeye gerek duymadan önce daha fazla isteği eşzamanlı olarak işlemelerini sağlar. |
| (Hizmet ve API) Performans ölçümlerini toplayın. Yaygın API performans ölçümleri şunlardır: - Ağ geçidinin kendisi ve tüm işlem süreci için işleme süresini talep edin. - Ağ geçidi birimi kaynak kullanımı ölçümleri. - Saniye başına istek sayısı veya saniye başına megabit gibi aktarım hızı ölçümleri. - Önbellek isabet oranı. |
Gerçek performans, iş yükünün hedeflerine göre ölçülür. |
| (Hizmet ve API) Application Insights için performansı etkilemeden yeterli görünürlük sağlayan bir örnekleme yüzdesi tanımlayın. | Gözlemlenebilirlik veri gereksinimleri, genel performansı etkilemeden karşılanmıştır. |
| (Hizmet ve API) Ağ geçidiniz, arka ucunuz veya Azure Front Door gibi genel giriş noktanız arasındaki mantıksal yerleştirmenin performans etkisini değerlendirin. Aynı işleme görevleri genellikle bu katmanlardan herhangi birinde gerçekleşebilir ve her biri için performans dengeleri ve iyileştirme fırsatlarındaki sınırlamalar söz konusu olur. API management API ilkesi gibi bir görev çok fazla gecikme süresine neden olursa, bu görevin daha iyileştirilmiş bir şekilde başka bir yerde çalıştırılıp çalıştırılamayacağını göz önünde bulundurun. | API'lere gecikme süresi ekleyen görevler, iş yükü gereksinimlerini karşılamak için iyileştirilmiş işlem üzerinde çalıştırılır. |
Azure ilkeleri
Azure, API Management ve bağımlılıklarıyla ilgili kapsamlı bir yerleşik ilke kümesi sağlar. Önceki önerilerden bazıları Azure İlkesi aracılığıyla denetlenebilir. Örneğin, şunları denetleyebilirsiniz:
- Ağ geçidi, alanlar arası yedeklilik için yapılandırılmıştır.
- API Management ağ geçidi için, sanal ağda dağıtım gibi uygun ağ denetimleri vardır.
- Hizmet yapılandırma uç noktaları genel olarak erişilemez.
- Doğrudan Yönetim REST API'si devre dışı bırakıldı.
Kapsamlı idare için API Management ağ geçidinin güvenliğini etkileyebilecek Azure İlkesi yerleşik tanımlarını ve diğer ilkeleri gözden geçirin.
Azure Danışmanı önerileri
Azure Danışmanı, Azure dağıtımlarınızı iyileştirmek için en iyi yöntemleri izlemenize yardımcı olan kişiselleştirilmiş bir bulut danışmanıdır.
Daha fazla bilgi için bkz. Azure Danışmanı.
Danışman, üretim sisteminizde aşağıdakiler gibi başka öneriler de gösterebilir:
- Uzun JWT anahtar boyutlarını gerektirmeme hatası, validate-jwt ilkesinde ortaya çıkıyor.
- Kaynağı dağıtmak için eski bir Resource Manager API sürümü kullandınız.
- API anahtar belirteçleri son kullanma tarihlerine yakındır.
- Sertifika döndürme işleminde hata.
Tavizler
Sütun denetim listelerindeki yaklaşımları kullanıyorsanız tasarımdan ödün vermek zorunda olabilirsiniz. Avantajların ve dezavantajların bazı örnekleri aşağıda verilmiştir.
Yedekleme ve ayırma aracılığıyla yüksek kullanılabilirlik
Yüksek kullanılabilirlik. Mimariye yedeklilik eklemek maliyetleri etkiler. Örneğin, bölgesel kesintileri önlemek için en az üç birim sağlamak iş yükünüz için mali açıdan uygun olmayabilir. En az altı birim veya bölge başına üç birim gerektiren çok bölgeli mimariyle maliyetler daha da artar. Çok bölgeli yapılandırma, güvenli dağıtımları koordine etme, güvenilir ölçeklendirme ve arka uçlarla yük devretme koordinasyonu için operasyonel maliyetler getirir.
Yalıtım. İş yüklerinin çalışma alanları veya API Management örnekleri arasında yalıtılması, işlem yalıtımına sahip çok kiracılı bir sistemi yönetmeyi içerdiğinden işlem karmaşıklığını artırır.
Talebi karşılayacak şekilde ölçeklendirin
İyi davranmış istemcilerden gelen talebi karşılamak için ölçeği otomatik olarak genişlettiğinizde, bu maliyetler zaten maliyet modellerinize dahil edilir. Ancak bu ölçeklendirme özelliği, hizmetin rahatsız edici ve kötü amaçlı trafikten gelen trafiği işleyecek şekilde ölçeklendirilmesine de olanak tanır.
İstenmeyen trafiğin azaltılması maliyetlere yol açar. Web uygulaması güvenlik duvarı ve DDoS koruması gibi hizmetlerin eklenmesi giderleri artırır. Hizmetinizi trafiği işleyecek şekilde ölçeklendirmek, eklenen birimler nedeniyle maliyetleri artırır. Üst ölçeklendirme sınırlarının ayarlanması harcamayı sınırlayabilir, ancak kötü amaçlı veya zararlı trafik API'nizi zorlarsa geçerli kullanıcılar için güvenilirlik sorunlarına neden olabilir.
Federasyon ve dağıtılmış yaklaşım karşılaştırması
API Management'ta temel bir karar, tek bir API Management örneği içindeki farklı iş yüklerini birlikte kullanmak veya iş yüklerini tam otonom bir topolojide birden çok örnekte yalıtmaktır.
API Management çalışma alanları, birden çok API ekibi için çok kiracılı bir birlikte bulundurma platformu olarak verimli bir çalışma sağlar. Katmanlı fiyatlandırma modelleri, hizmet maliyetlerinin ağ geçitlerini kullanan tüm kiracılar arasında paylaşılması için tasarlanmıştır. Ancak, tüm ortak konum platformları gibi kesintiler veya yanlış yapılandırmalar da aynı altyapıyı paylaşan ilişkisiz iş yükleri üzerinde yaygın etkilere neden olabilir.
Her iş yükü ekibinin kendi örneklerini yönettiği dağıtık bir model, rutin işlemlerde yinelenen maliyetler ve fazlalıklarla sonuçlanır. Ancak güvenilirlik, güvenlik ve performansla ilgili olaylar için doğal patlama yarıçapı azaltma sağlar.
Sonraki Adımlar
API Management genellikle aşağıdaki hizmetlerle birleştirilir. İş yükünüz aşağıdaki hizmetleri içeriyorsa hizmet kılavuzlarını veya ürün belgelerini gözden geçirmeyi unutmayın.
- Uygulama Ağ Geçidi
- Redis için Azure Önbelleği
- Azure Ön Kapı
- Key Vault
- Azure OpenAI Hizmeti
- Azure Sanal Ağ
- Web Uygulaması Güvenlik Duvarı
Aşağıdaki makalelerde, bu makalede ele alınan bazı öneriler gösterilmektedir.