Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Application Gateway v2, uygulama katmanında çalışan bir web trafiği yük dengeleyicidir. Application Gateway, web uygulamalarınıza yönelik trafiği bir HTTP isteğinin özniteliklerine göre yönetir. Gelişmiş yönlendirme özelliklerine sahip olan ve gelişmiş güvenlik ve ölçeklenebilirlik gerektiren senaryolar için Application Gateway'i kullanın.
Bu makalede, bir mimar olarak ağ seçeneklerini gözden geçirdiğiniz ve iş yükünüz için web trafiği yük dengeleyici olarak Application Gateway'i seçtiğiniz varsayılır. Bu makaledeki kılavuz, Well-Architected Framework sütunları'nın ilkelerine dayalı mimari öneriler sağlar.
Teknoloji kapsamı
Bu gözden geçirme, aşağıdaki Azure kaynakları için birbiriyle ilişkili kararlara odaklanır:
- Application Gateway v2
- Application Gateway'de Web Uygulaması Güvenlik Duvarı (WAF)
Reliability
Güvenilirlik sütununun amacı, yeterli dayanıklılık ve hatalardan hızlı kurtarma olanağı oluşturarak sürekli işlevsellik sağlamaktır.
Güvenilirlik tasarım ilkeleri tek tek bileşenler, sistem akışları ve bir bütün olarak sistem için uygulanan üst düzey bir tasarım stratejisi sağlar.
İş yükü tasarımı denetim listesi
Güvenilirlikiçin
İş yükünüz application gateway v1'i özel olarak gerektirmediği sürece yeni dağıtımlarda Application Gateway v2 kullanın.
Tasarımınızda yedeklilik oluşturun. Hataya dayanıklılığı geliştirmek ve yedeklilik oluşturmak için Application Gateway örneklerini kullanılabilirlik alanlarına yayma. Bir bölge başarısız olursa trafik diğer bölgelere gider. Daha fazla bilgi için bkz. Kullanılabilirlik alanlarını ve bölgelerikullanma önerileri.
Application Gateway'e erişmeden veya daha fazla değişiklik yapmadan önce kural güncelleştirmeleri ve diğer yapılandırma değişiklikleri için ek süre planlayın. Örneğin, var olan bağlantıları boşaltmaları gerektiğinden sunucuları arka uç havuzundan kaldırmak için fazladan zamana ihtiyacınız olabilir.
Sağlık Uç Noktası İzleme desenini uygulayın. Uygulamanız, uygulamanızın isteklere hizmet vermek için ihtiyaç duyduğu kritik hizmetlerin ve bağımlılıkların durumunu toplayan sistem durumu uç noktalarını kullanıma sunmalıdır. Application Gateway sistem durumu yoklamaları, arka uç havuzundaki sunucuların durumunu algılamak için uç noktayı kullanır. Daha fazla bilgi için bkz: Sağlık Uç Noktası İzleme deseni.
Aralık ve eşik ayarlarının sağlık sorgulaması üzerindeki etkisini değerlendirin. Sistem durumu yoklaması, yapılandırılmış uç noktaya belirli bir aralıkta istek gönderir. Arka uç sistem, sağlıksız olarak işaretlenmeden önce sınırlı sayıda başarısız isteği tolere eder. Bu ayarlar çakışabilir ve bu da bir denge sağlar.
Daha yüksek bir aralık hizmetinize daha yüksek yük getirir. Her Application Gateway örneği kendi sistem durumu araştırmasını gönderir, bu nedenle her 30 saniyede bir 100 örnek her 30 saniyede bir 100 isteğe eşit olur.
Daha düşük bir aralık, sistem durumu yoklaması kesinti algılamadan önce geçen süreyi artırır.
Düşük ve sağlıksız bir eşik, kısa ve geçici hataların alt sistemi devre dışı bırakma olasılığını artırır.
Yüksek eşik, arka plan hizmetinin döngüden çıkması için gereken süreyi artırır.
Sağlık uç noktaları aracılığıyla aşağı akış bağımlılıklarını doğrulayın. Hataları yalıtmak için back-end'lerinizin her birinin kendi bağımlılıklarına sahip olabilir. Örneğin, Application Gateway'in arkasında barındırdığınız bir uygulamanın birden çok arka ucu olabilir ve her arka uç farklı bir veritabanına veya çoğaltmaya bağlanabilir. Böyle bir bağımlılık başarısız olduğunda, uygulama çalışabilir ancak geçerli sonuçlar döndürmez. Bu nedenle, sistem durumu uç noktası ideal olarak tüm bağımlılıkları doğrulamalıdır.
Sistem sağlığı uç noktasına yapılan her çağrının doğrudan bir bağımlılık çağrısı varsa, bu veritabanı bir sorgu yerine 30 saniyede 100 sorgu alır. Aşırı sorgulardan kaçınmak için sistem durumu uç noktasının bağımlılıkların durumunu kısa bir süre için önbelleğe alması gerekir.
Application Gateway sınırlamalarını ve güvenilirliği etkileyebilecek bilinen sorunları göz önünde bulundurun. Tasarıma göre davranışlar, yapım aşamasındaki düzeltmeler, platform sınırlamaları ve olası geçici çözümler veya risk azaltma stratejileri hakkında önemli bilgiler için Application Gateway SSS bölümünü gözden geçirin. Application Gateway'e ayrılmış alt ağda UDR'leri kullanmayın.
Tasarımınızda Application Gateway'deki arka uç bağlantılarını etkileyebilecek Kaynak Ağ Adresi Çevirisi (SNAT) bağlantı noktası sınırlamalarını göz önünde bulundurun. Bazı faktörler Application Gateway'in SNAT bağlantı noktası sınırına nasıl ulaştığını etkiler. Örneğin, arka uç bir genel IP adresiyse, kendi SNAT bağlantı noktasına ihtiyaç duyar. SNAT bağlantı noktası sınırlamalarını önlemek için aşağıdaki seçeneklerden birini yapabilirsiniz:
Her Application Gateway için örnek sayısını artırın.
Daha fazla IP adresine sahip olmak için arka uçları ölçeklendirin.
Arka uçlarınızı aynı sanal ağa taşıyın ve arka uçlar için özel IP adresleri kullanın.
Application Gateway SNAT bağlantı noktası sınırına ulaşırsa, saniyedeki istekleri (RPS) etkiler. Örneğin, Application Gateway arka uca yeni bir bağlantı açamaz ve istek başarısız olur.
Mümkün olduğunda CNI Overlay tümleştirmesini göz önünde bulundurun. Örneğin, AKS kullanırken kapsayıcılar için Application Gateway'in "overlay pod ağı" desteğinden yararlanın. Bu özellik, IP alanını korurken birden fazla AKS kümesinin girişi paylaşmasına olanak tanır ve güvenilirlik ve ölçeklenmeyi engelleyen bir faktör olarak alt ağ tükenmesini ortadan kaldırır. Daha fazla bilgi için bkz Kapsayıcılar için Application Gateway ile Kapsayıcı Ağı.
Yapılandırma önerileri
| Recommendation | Benefit |
|---|---|
| Application Gateway örneklerini alan algılayan bir yapılandırmada dağıtın. Bölge yedekliliği için bölgesel desteği denetleyin çünkü tüm bölgeler bu özelliği sunmaz. |
Birden çok örneği bölgelere yaydığınızda, iş yükünüz tek bir bölgedeki hatalara dayanabilir. Kullanılamayan bir bölgeniz varsa trafik otomatik olarak diğer bölgelerdeki iyi durumdaki örneklere kaydırılır ve bu da uygulama güvenilirliğini korur. |
| Arka uç kullanılamazlığını algılamak için Application Gateway sistem durumu yoklamalarını kullanın. | Sağlık taramaları, trafiğin yalnızca trafiği işleyebilen arka uçlara yönlendirilmesini sağlar. Application Gateway, arka uç havuzundaki tüm sunucuların durumunu izler ve iyi durumda olmadığını düşündüğü herhangi bir sunucuya trafik göndermeyi otomatik olarak durdurur. |
| İstemcilerin uygulamanıza çok fazla trafik gönderemeyecek şekilde Azure WAF için hız sınırlama kurallarını yapılandırın. | Yeniden deneme fırtınaları gibi sorunlardan kaçınmak için hız sınırlamayı kullanın. |
|
Arka uç sistem durumu raporunun düzgün çalışabilmesi ve doğru günlükleri ve ölçümleri oluşturması için Application Gateway'de UDR'leri kullanmayın. Application Gateway alt akında UDR kullanmanız gerekiyorsa bkz . Desteklenen UDR'ler. |
Application Gateway alt ağındaki UDR'ler bazı sorunlara neden olabilir. Application Gateway alt ağı üzerinde UDR kullanmayın; bu sayede arka uç sağlığını, günlükleri ve ölçümleri görüntüleyebilirsiniz. |
|
IdleTimeout ayarlarını arka uç uygulamasının dinleyici ve trafik özellikleriyle eşleşecek şekilde yapılandırın. Varsayılan değer dört dakikadır. 30 dakikaya kadar ayarlayabilirsiniz. Daha fazla bilgi için, bkz. Yük Dengeleyici İletim Denetimi Protokolü (TCP) sıfırlama ve boşta kalma zaman aşımı. |
IdleTimeout değerini arka uçla eşleşecek şekilde ayarlayın. Bu ayar, arka ucun isteğe yanıt vermesi dört dakikadan uzun sürerse Application Gateway ile istemci arasındaki bağlantının açık kalmasını sağlar. Bu ayarı yapılandırmazsanız bağlantı kapatılır ve istemci arka uç yanıtını görmez. |
Security
Güvenlik sütununun amacı, iş yüküne gizlilik, bütünlük ve kullanılabilirlik garanti sağlamaktır.
Güvenlik tasarımı ilkeleri, Application Gateway'in teknik tasarımına yaklaşımlar uygulayarak bu hedeflere ulaşmak için üst düzey bir tasarım stratejisi sağlar.
İş yükü tasarımı denetim listesi
Güvenlik için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın ve güvenlik duruşunu geliştirmek için güvenlik açıklarını ve denetimleri belirleyin.
Application Gateway için güvenlik temelini gözden geçirin.
Yaygın tehditleri uçta engelleyin. WAF, Application Gateway ile tümleşir. Uygulamaları saldırı kaynağına yakın olan ağ kenarındaki yaygın açıklardan ve güvenlik açıklarından korumak için ön uçlarda WAF kurallarını etkinleştirin. Daha fazla bilgi için bkz. Application Gateway'de WAF.
WAF'nin Application Gateway kapasite değişikliklerini nasıl etkilediğini anlama. WAF'yi etkinleştirdiğinizde Application Gateway:
Tam olarak ulaşana kadar her isteği arabelleğe alır.
İsteğin, temel kural kümesindeki herhangi bir kural ihlaliyle eşleşip eşleşmediğini denetler.
Paketi arka uç sistemlerine iletir.
30 MB veya daha fazla büyük dosya yüklemeleri önemli gecikme süresine neden olabilir. WAF'yi etkinleştirdiğinizde Application Gateway kapasite gereksinimleri değişir, bu nedenle önce bu yöntemi düzgün bir şekilde test etmenizi ve doğrulamanızı öneririz.
HTTP veya HTTPS uygulamalarını korumak için Azure Front Door ve Application Gateway kullanırken, Azure Front Door'da WAF ilkelerini kullanın ve Application Gateway'i yalnızca Azure Front Door'dan trafik alacak şekilde kilitleyin. Bazı senaryolar sizi özel olarak Application Gateway'de kuralları uygulamaya zorlayabilir.
Kontrol düzlemine yalnızca yetkili erişime izin verin. Erişimi yalnızca ihtiyacı olan kimliklere kısıtlamak için Application Gateway rol tabanlı erişim denetimini (RBAC) kullanın.
Aktarımdaki verileri koru. Uçtan uca Aktarım Katmanı Güvenliği (TLS), TLS sonlandırma ve uçtan uca TLS şifrelemesini etkinleştirin. Arka uç trafiğini yeniden şifrelerken, arka uç sunucu sertifikasının hem kök hem de ara sertifika yetkililerini (CA) içerdiğinden emin olun.
Arka uç sunucusunun TLS sertifikasını vermek için iyi bilinen bir CA kullanın. Sertifikayı vermek için güvenilir bir CA kullanmıyorsanız, Application Gateway güvenilen bir CA sertifikası bulana kadar denetler. Yalnızca güvenilir bir CA bulduğunda güvenli bir bağlantı kurar. Aksi takdirde Application Gateway arka ucu iyi durumda değil olarak işaretler.
Uygulama sırlarını koruyun. Daha fazla güvenlik ve daha kolay bir sertifika yenileme ve döndürme işlemi için TLS sertifikalarını depolamak için Azure Key Vault kullanın.
Saldırı yüzeyini azaltın ve yapılandırmayı sağlamlaştırın. İhtiyacınız olmayan varsayılan yapılandırmaları kaldırın ve güvenlik denetimlerini sıkılaştırmak için Application Gateway yapılandırmanızı sağlamlaştırabilirsiniz. Application Gateway için tüm ağ güvenlik grubu (NSG) kısıtlamalarına uyun.
Arka uç havuzu kaynakları için uygun bir Etki Alanı Adı Sistemi (DNS) sunucusu kullanın. Arka uç havuzu çözümlenebilir bir tam etki alanı adı (FQDN) içerdiğinde, DNS çözümlemesi özel bir DNS bölgesine veya sanal ağda yapılandırılmışsa özel bir DNS sunucusuna dayanır ya da varsayılan Azure tarafından sağlanan DNS'yi kullanır.
Anormal etkinliği izleyin. Saldırıları ve hatalı pozitif sonuçları denetlemek için günlükleri düzenli olarak gözden geçirin. Tehdit desenlerini algılamak ve iş yükü tasarımına önleyici ölçüler eklemek için Application Gateway'den WAF günlüklerini kuruluşunuzun merkezi güvenlik bilgilerine ve Microsoft Sentinel gibi olay yönetimine (SIEM) gönderin. Mümkün olduğunda yapay zeka destekli güvenlik özellikleriyle tehdit analizi gerçekleştiren özellikleri kullanın. Örneğin, Microsoft Security Copilot ile Azure Web Uygulaması Güvenlik Duvarı tümleştirmesi , bağlamsal içgörüleri ve tehdit azaltma önerilerini özetleyerek tehdit tanımlamayı hızlandırabilir.
Yapılandırma önerileri
| Recommendation | Benefit |
|---|---|
| Gelişmiş güvenlik için bir TLS ilkesi ayarlayın. En son TLS ilke sürümünü kullandığınızdan emin olun. | TLS 1.2 ve daha güçlü şifrelemelerin kullanımını zorunlu kılmak için en son TLS ilkesini kullanın. TLS ilkesi, TLS protokol sürümünün ve şifre paketlerinin denetimini ve ayrıca TLS el sıkışmasının şifreleri kullanma sırasını içerir. |
| TLS sonlandırması için Application Gateway kullanın. | Farklı arka uçlara giden isteklerin her arka uca yeniden kimlik doğrulaması yapmak zorunda olmaması nedeniyle performans iyileşir. Ağ geçidi istek içeriğine erişebilir ve akıllı yönlendirme kararları alabilir. Sertifikayı yalnızca sertifika yönetimini basitleştiren Application Gateway'e yüklemeniz gerekir. |
| TLS sertifikalarını depolamak için Application Gateway'i Key Vault ile tümleştirin. | Bu yaklaşım daha güçlü güvenlik, rollerin ve sorumlulukların daha kolay ayrılması, yönetilen sertifikalar için destek ve daha kolay bir sertifika yenileme ve döndürme işlemi sağlar. |
| Application Gateway için tüm NSG kısıtlamalarına uyun. | Application Gateway alt ağı NSG'leri destekler, ancak bazı kısıtlamalar vardır. Örneğin, belirli bağlantı noktası aralıklarıyla bazı iletişimler yasaktır. Bu kısıtlamaların etkilerini anladığınızdan emin olun. |
Maliyet İyileştirme
Maliyet Optimizasyonu, harcama düzenlerini algılamaya, kritik alanlardaki yatırımlara öncelik vermeye ve diğer alanlarda kuruluşun bütçesini ve iş gereksinimlerini karşılayacak şekilde iyileştirmeye odaklanır.
Maliyet İyileştirme tasarım ilkeleri, bu hedeflere ulaşmak ve Application Gateway ve ortamıyla ilgili teknik tasarımda gerekli olan dengeleri sağlamak için üst düzey bir tasarım stratejisi sağlar.
İş yükü tasarımı denetim listesi
Yatırımlar için Maliyet İyileştirme için
Application Gateway ve WAF fiyatlandırması hakkında bilgi sahibi olun. İş yükü kapasitesi talebinizi karşılamak ve kaynakları boşa harcamadan beklenen performansı sunmak için uygun şekilde boyutlandırılmış seçenekleri belirleyin. Maliyetleri tahmin etmek için fiyatlandırma hesaplayıcısını kullanın.
Kullanılmayan Application Gateway örneklerini kaldırın ve kullanılmayan örnekleri iyileştirin. Gereksiz maliyetleri önlemek için boş arka uç havuzları olan Application Gateway örneklerini tanımlayın ve silin. Application Gateway örneklerini kullanımda değilken durdurun.
Application Gateway örneğinizin ölçeklendirme maliyetini iyileştirin. Ölçeklendirme stratejinizi iyileştirmek ve wokload'unuzun taleplerini azaltmak için bkz. Ölçeklendirme maliyetini iyileştirmeye yönelik öneriler.
Uygulama trafiği gereksinimlerine göre hizmetin ölçeğini daraltmak veya genişletmek için Application Gateway v2'de otomatik ölçeklendirmeyi kullanın.
Application Gateway tüketim ölçümlerini izleyin ve bunların maliyet etkisini anlayın. Azure, izlenen metriklere göre Application Gateway'in tarifeli örnekleri için ücretlendirme yapar. Çeşitli ölçümleri ve kapasite birimlerini değerlendirin ve maliyet sürücülerini belirleyin. Daha fazla bilgi için bkz. Microsoft Maliyet Yönetimi.
Yapılandırma önerileri
| Recommendation | Benefit |
|---|---|
| Application Gateway örneklerini kullanımda değilken durdurun. Daha fazla bilgi için bkz . Stop-AzApplicationGateway ve Start-AzApplicationGateway. | Durdurulan Application Gateway örneği maliyet doğurmuyor. Sürekli çalışan Application Gateway örnekleri gereksiz maliyetlere neden olabilir. Kullanım desenlerini değerlendirin ve ihtiyacınız olmadığında örnekleri durdurun. Örneğin geliştirme/test ortamlarında iş saatlerinin ardından düşük kullanım olmasını bekleyebilirsiniz. |
| Ana maliyet sürücüsü Application Gateway ölçümlerini izleyin, örneğin: - Tahmini faturalanan kapasite birimleri. - Sabit faturalanabilir kapasite birimleri. - Geçerli kapasite birimleri. Bant genişliği maliyetlerini hesaba eklediğinizden emin olun. |
Sağlanan örnek sayısının gelen trafik miktarıyla eşleşip eşleşmediğini doğrulamak ve ayrılan kaynakları tam olarak kullandığınızdan emin olmak için bu ölçümleri kullanın. |
Operasyonel Mükemmellik
Operasyonel Mükemmellik öncelikli olarak geliştirme uygulamaları, gözlemlenebilirlik ve sürüm yönetimiyordamlarına odaklanır.
operasyonel mükemmellik tasarım ilkeleri iş yükünün operasyonel gereksinimleri için bu hedeflere ulaşmak için üst düzey bir tasarım stratejisi sağlar.
İş yükü tasarımı denetim listesi
Application Gateway ile ilgili gözlemlenebilirlik, test ve dağıtım süreçlerini tanımlamaya yönelik Operasyonel Mükemmellik için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın.
Application Gateway ve WAF'de tanılamayı etkinleştirin. İş yükünün durumunu izlemek, iş yükü performansı ve güvenilirliğindeki eğilimleri belirlemek ve sorunları gidermek için günlükleri ve ölçümleri toplayın. Genel izleme yaklaşımınızı tasarlamak için bkz. İzleme sistemi tasarlama ve oluşturma önerileri.
Sağlanan Application Gateway kapasitesinin kullanımını izlemek için kapasite ölçümlerini kullanın. Application Gateway'de veya arka uçta kapasite sorunları veya diğer sorunlar hakkında sizi bilgilendirmek için ölçümlerle ilgili uyarılar ayarlayın. Application Gateway örnekleriyle ilgili sorunları yönetmek ve gidermek için tanılama günlüklerini kullanın.
Application Gateway de dahil olmak üzere ağ kaynaklarına yönelik sistem durumu ve ölçümlerin kapsamlı bir görünümünü elde etmek için Azure İzleyici Ağ İçgörüleri'ni kullanın. Sorunları hızla belirlemek ve çözmek, performansı iyileştirmek ve uygulamalarınızın güvenilirliğini sağlamak için merkezi izlemeyi kullanın.
Azure Danışmanı'nda Application Gateway önerilerini izleyin. Application Gateway örneğine yönelik yeni ve kritik önerileriniz olduğunda ekibinize bildirim göndermek için uyarıları yapılandırın. Danışman, kategori, etki düzeyi ve öneri türü gibi özelliklere göre öneriler oluşturur.
Rutin bakım güncelleştirmelerini planlayın. Application Gateway v2 örneği bakım özelliğinden yararlanarak, üretim ağ geçidinin bağlantıları kesmeden ve geçici performans düşüşlerine yol açmadan sıralı güncelleştirmelerle yükseltilebilmesini sağlayın. Ancak, geçici örnekleri sağlamak için kullanılan ek IP alanı ayırmanız gerekir.
Yapılandırma önerileri
| Recommendation | Benefit |
|---|---|
| CPU kullanımı ve işlem birimi kullanımı gibi kapasite ölçümleri önerilen eşikleri aştığında ekibinize bildirim gönderecek uyarılar yapılandırın. Kapasite ölçümlerini temel alan kapsamlı bir uyarı kümesi yapılandırmak için bkz. Application Gateway yüksek trafik desteği. |
Ölçümler eşikleri aştığında, kullanımınızın ne zaman arttığını bilmeniz için uyarılar ayarlayın. Bu yaklaşım, iş yükünüzde gerekli değişiklikleri uygulamak için yeterli zamanınız olmasını sağlar ve bozulmayı veya kesintileri önler. |
| Application Gateway'de veya arka uçta sorun olduğunu belirten ölçümler hakkında ekibinize bildirim göndermek için uyarıları yapılandırın. Aşağıdaki uyarıları değerlendirmenizi öneririz: - Sağlıksız konak sayısı - 4xx ve 5xx hataları gibi yanıt durumu - 4xx ve 5xx hataları gibi arka plan yanıt durumu - Arka uç son bayt yanıt süresi - Application Gateway toplam süresi Daha fazla bilgi için Application Gateway ölçümleri bölümüne bakın. |
Ekibinizin sorunlara zamanında yanıt vermesini ve sorun gidermeyi kolaylaştırmasını sağlamaya yardımcı olmak için uyarıları kullanın. |
| Güvenlik duvarı günlüklerini, performans günlüklerini ve erişim günlüklerini toplamak için Application Gateway ve WAF'de tanılama günlüklerini etkinleştirin. | Application Gateway örnekleri ve iş yükünüzle ilgili sorunları algılamanıza, araştırmanıza ve gidermenize yardımcı olması için günlükleri kullanın. |
| Key Vault yapılandırma sorunlarını izlemek için Danışman'ı kullanın. Application Gateway'iniz için Azure Key Vault sorununu çözün önerisini aldığınızda ekibinize bildirmek üzere bir uyarı ayarlayın. | Güncel kalmak ve sorunları hemen çözmek için Danışman uyarılarını kullanın. Kontrol düzlemi veya veri düzlemi ile ilgili sorunları önleyin. Application Gateway, bağlı Key Vault örneğinde 4 saatte bir yenilenen sertifika sürümünü denetler. Hatalı bir Key Vault yapılandırması nedeniyle sertifika sürümüne erişilemiyorsa, bu hatayı günlüğe kaydeder ve ilgili Danışman önerisini iletir. |
Performans Verimliliği
Performans Verimliliği, kapasiteyi yöneterek yük artış olduğunda bile kullanıcı deneyimini korumakla ilgilidir. Strateji kaynakları ölçeklendirmeyi, olası performans sorunlarını tanımlamayı ve iyileştirmeyi ve en yüksek performans için iyileştirmeyi içerir.
Performans Verimliliği tasarım ilkeleri beklenen kullanıma karşı bu kapasite hedeflerine ulaşmak için üst düzey bir tasarım stratejisi sağlar.
İş yükü tasarımı denetim listesi
Performans Verimliliğiiçin
İş yükü gereksinimlerinizi desteklemek için Application Gateway için kapasite gereksinimlerini tahmin edin. Application Gateway v2'deki otomatik ölçeklendirme işlevinden yararlanın. En düşük ve en fazla örnek sayısı için uygun değerleri ayarlayın. Application Gateway'in gerektirdiği ayrılmış alt ağı uygun şekilde boyutlandırın. Daha fazla bilgi için bkz. kapasite planlamaiçin öneriler
. Application Gateway v2, CPU, ağ aktarım hızı ve geçerli bağlantılar gibi birçok yönü temel alarak ölçeği genişletebilir. Yaklaşık örnek sayısını belirlemek için şu ölçümleri göz önünde bulundurun:
Geçerli işlem birimleri: Bu ölçüm CPU kullanımını gösterir. Bir Application Gateway örneği yaklaşık 10 işlem birimine eşittir.
Verim: Application Gateway örneği yaklaşık 500 Mb/sn aktarım hızı sağlayabilir. Bu veriler yükün türüne bağlıdır.
Örnek sayılarını hesaplarken bu denklemi göz önünde bulundurun.
Örnek sayısını tahmin ettikten sonra bu değeri en fazla örnek sayısıyla karşılaştırın. Kullanılabilir kapasite üst sınırına ne kadar yaklaştığınızı belirlemek için bu karşılaştırmayı kullanın.
Otomatik ölçeklendirme ve performans avantajları için özelliklerden yararlanın. v2 SKU'su, trafik arttıkça Application Gateway ölçeğini artıran otomatik ölçeklendirme sunar. v1 SKU'su ile karşılaştırıldığında, v2 SKU'su iş yükünün performansını geliştiren özelliklere sahiptir. Örneğin, v2 SKU'su daha iyi TLS boşaltma performansına, daha hızlı dağıtım ve güncelleştirme sürelerine ve alanlar arası yedeklilik desteğine sahiptir. Daha fazla bilgi için Application Gateway v2 ve WAF v2'nin ölçeklendirilmesi kısmına bakın.
Application Gateway v1 kullanıyorsanız Application Gateway v2'ye geçiş yapmayı göz önünde bulundurun. Daha fazla bilgi için bkz . Application Gateway ve WAF'yi v1'den v2'ye geçirme.
Yapılandırma önerileri
| Recommendation | Benefit |
|---|---|
| Tahmini örnek sayısını, gerçek Application Gateway otomatik ölçeklendirme eğilimlerini ve uygulama desenlerinizi temel alarak en düşük örnek sayısını en uygun düzeye ayarlayın. Geçen ayın geçerli işlem birimlerini denetleyin. Bu ölçüm, ağ geçidinin CPU kullanımını temsil eder. En düşük örnek sayısını tanımlamak için en yüksek kullanımı 10'a bölün. Örneğin, geçen ayki ortalama geçerli işlem birimleriniz 50 ise en düşük örnek sayısını beş olarak ayarlayın. |
Application Gateway v2 için, ek örnek kümesinin trafiğe hizmet etmeye hazır olması için otomatik ölçeklendirme yaklaşık üç-beş dakika sürer. Bu süre boyunca Application Gateway'de trafikte kısa ani artışlar varsa, geçici gecikme süresi veya trafik kaybı bekleyebilirsiniz. |
|
En yüksek otomatik ölçeklendirme örneği sayısını mümkün olan en yüksek değere (125 örnek) ayarlayın. Application Gateway ayrılmış alt ağdaki kullanılabilir IP adreslerinin artan örnek kümesini desteklemek için yeterli olduğundan emin olun. Trafik gereksinimleriniz 125'ten fazla örneğe ihtiyaç duyuyorsa, Application Gateway'inizin önünde Azure Traffic Manager veya Azure Front Door kullanabilirsiniz. Daha fazla bilgi için bkz. Azure Front Door Premium'u Özel Bağlantı ile Azure Application Gateway'e bağlama ve Azure App Gateway'i Azure Traffic Manager ile kullanma. |
Application Gateway, uygulamalarınıza yönelik artan trafiği işlemek için gerektiğinde ölçeği genişletebilir. Yalnızca tüketilen kapasite için ödeme yaptığınız için bu ayar maliyeti artırmaz. |
| Application Gateway ayrılmış alt ağı uygun şekilde boyutlandırın. Application Gateway v2 dağıtımı için /24 alt ağı önerilir. Aynı alt ağa diğer Application Gateway kaynaklarını dağıtmak istiyorsanız, en fazla örnek sayısı için gereken ek IP adreslerini göz önünde bulundurun. Alt ağı boyutlandırma hakkında daha fazla bilgi için bkz. Application Gateway altyapı yapılandırması. |
Application Gateway v2 dağıtımınızın ihtiyaç duyduğu tüm IP adresleri için destek sağlamak için /24 alt ağı kullanın. Application Gateway, özel bir ön uç IP'sini yapılandırdığınızda her örnek için bir özel IP adresi ve başka bir özel IP adresi kullanır. Standard_v2 veya WAF_v2 SKU'su en fazla 125 örneği destekleyebilir. Azure, iç kullanım için her alt ağda beş IP adresi ayırır. |
Azure ilkeleri
Azure, Application Gateway ve bağımlılıklarıyla ilgili kapsamlı bir yerleşik ilke kümesi sağlar. Önceki önerilerden bazıları Azure İlkesi aracılığıyla denetlenebilir. Örneğin, şunları denetleyebilirsiniz:
- Application Gateway için WAF'yi etkinleştirmeniz gerekir. Genel kullanıma yönelik web uygulamalarının önüne WAF dağıtarak gelen trafiğe yönelik başka bir denetim katmanı ekleyin. WAF, web uygulamalarınız için merkezi koruma sağlar. SQL eklemeleri, siteler arası betik oluşturma ve yerel ve uzak dosya yürütmeleri gibi yaygın açıkların ve güvenlik açıklarının önlenmesine yardımcı olur. Web uygulamalarınıza erişimi ülkelere veya bölgelere, IP adresi aralıklarına ve diğer HTTP veya HTTPS parametrelerine göre kısıtlamak için de özel kurallar kullanabilirsiniz.
- WAF, Application Gateway için belirtilen modu kullanmalıdır. Application Gateway için tüm WAF ilkelerinin Algılama veya Önleme modunu kullandığından emin olun.
- Azure DDoS Koruması'nı etkinleştirmeniz gerekir. Genel IP'ye sahip Application Gateway içeren bir alt ağa sahip tüm sanal ağlar için DDoS Koruması'nı etkinleştirin.
Kapsamlı idare için Application Gateway için Azure İlkesi yerleşik tanımlarını ve ağ altyapısının güvenliğini etkileyebilecek diğer ilkeleri gözden geçirin.
Azure Danışmanı önerileri
Azure Danışmanı, Azure dağıtımlarınızı iyileştirmek için en iyi yöntemleri izlemenize yardımcı olan kişiselleştirilmiş bir bulut danışmanıdır.
Daha fazla bilgi için bkz. Azure Danışmanı.
Örnek mimari
Temel önerileri gösteren temel mimari: Temel yüksek oranda kullanılabilir, alanlar arası yedekli web uygulaması mimarisi.
Sonraki Adımlar
- MIKRO hizmetlerde API ağ geçitlerini kullanma
- Sanal ağlar için Azure Güvenlik Duvarı ve Application Gateway
- Application Gateway ve Azure API Management ile API'leri koruma
- Güvenli bir şekilde yönetilen web uygulamaları
- Azure Güvenlik Duvarı ve Application Gateway ile web uygulamaları için Sıfır Güven ağı
- Hızlı Başlangıç: Azure portalı aracılığıyla Application Gateway ile web trafiğini yönlendirme