共用方式為

API 管理待命區加速器的營運管理考量

本文提供使用 API 管理登陸區域加速器時作業管理的設計考慮和建議。 作業管理涵蓋多個層面,包括:

  • 布建、調整及監視 API 管理實例
  • 在閘道中設定原則
  • 管理 API
  • 準備商務持續性和災害復原

深入瞭解 管理 設計區域。

管理和監視

管理和監控的設計考慮

  • 請注意每個 API 管理服務層級的最大 輸送量限制 。 這些限制是近似的,且不保證。
  • 請注意每個 API 管理服務層級的 縮放單位 數目上限。
  • 請注意擴展、部署至另一個區域或轉換為不同服務等級所需的時間。
  • API 管理不會自動相應放大;需要 額外的設定
  • 向外擴展過程中不會有任何營運中斷。
  • 只有 API 管理的閘道元件會部署到 多區域部署中的所有區域
  • 請注意 Application Insights 日誌 在高負載時的可能效能影響。
  • 請注意所套用的輸入和輸出原則數目,以及它們對效能的影響。
  • API 管理原則是程式代碼,且應處於版本控制之下
  • API 管理內 建快取 是由相同 API 管理服務中相同區域中的所有單位共用。
  • 使用 可用性區域。 選取的縮放單位數目必須平均分散到區域。
  • 如果使用 自行架設網關,請注意認證每隔 30 天到期一次,並且必須更新。
  • URI /status-0123456789abcdef 可用作 API 管理服務的通用健康檢查端點。
  • API 管理服務不是 WAF。 在前面部署 WAF,例如 Azure 應用程式閘道,以取得額外的保護層級。
  • 用戶端憑證交涉是在個別網關組態中啟用。
  • 金鑰保存庫中的憑證和秘密會在設定後的 4 小時內在 API 管理中更新。 您也可以使用 Azure 入口網站或透過管理 REST API 手動重新整理秘密。
  • 自訂網域 可以套用至所有端點或僅套用子集。 進階層支援為閘道端點設定多個主機名。
  • API 管理可以使用其管理 REST API 進行備份 。 備份會在 30 天后到期。 請注意哪些 API 管理不會備份。
  • 命名的值 是全域的。
  • API 作業可以分組為產品和訂用帳戶。 根據實際商務需求進行設計。

管理與監視的設計建議

  • 僅將自定義網域套用至閘道端點。
  • 使用 事件中樞原則 在高效能水平進行記錄。
  • 使用 外部快取 以達到控制和提升效能至最快。
  • 為每個區域至少部署兩個分散在兩個可用性區域的縮放單位,以獲得最佳可用性和效能。
  • 使用 Azure 監視器自動調整規模 API 管理。 如果使用自行託管閘道,請使用 Kubernetes 水平 Pod 自動調整程式 來擴展閘道。
  • 當 Azure 本身沒有靠近後端 API 區域時,部署自我託管閘道。
  • 使用 Key Vault 進行憑證記憶體、通知和輪替。
  • 除非必要,否則請勿啟用 3DES、TLS 1.1 或較低的加密通訊協定。
  • 使用DevOps和基礎結構即程式代碼做法來處理所有部署、更新和災害復原。
  • 為每個 API 更新建立 API 修訂 和變更日誌條目。
  • 使用 後端 來消除備援 API 後端組態。
  • 使用 具名值 來儲存可用於原則的通用值。
  • 使用 Key Vault(金鑰保存庫)來儲存命名值可以參考的秘密。 金鑰保存庫中更新的秘密會在 API 管理中自動輪替
  • 開發通訊策略,以通知用戶中斷 API 版本更新。
  • 設定 診斷設定 ,將 AllMetrics 和 AllLogs 轉送至 Log Analytics 工作區。

商務持續性和災害復原

商務持續性和災害復原的設計考慮

  • 針對您想要保護的 API 管理實例,判斷復原時間目標 (RTO) 和恢復點目標 (RPO),以及它們所支援之價值鏈結(取用者和提供者)。 請考慮部署新的實例或設置熱備份/冷待命。
  • API 管理支援 多區域多區域 部署。 根據需求,您可以只啟用一或兩者。
  • 故障轉移可以自動化:
    • 多區域部署會自動故障切換。
    • 多區域部署需要基於 DNS 的負載平衡器,例如 Traffic Manager,來進行故障切換。
  • API 管理可以使用其管理 REST API 進行備份
    • 備份會在 30 天后到期。
    • 請注意 APIM 不備份的內容

商務持續性和災害復原的設計建議

  • 使用 使用者指派的受控識別 為 API 管理,防止從 ARM 範本重新部署期間的停機。 如果使用系統指派的受控識別,則移除資源時,將會移除此身分識別及其相關聯的角色和指派,例如 Azure Key Vault 秘密存取。 如果使用使用者指派的受控識別,這些指派將會保留,讓您將它與 API 管理產生關聯,而不會遺失存取權。
  • 使用自動化的 Azure Pipelines 來執行備份。
  • 決定是否需要 多區域部署

企業級假設

以下是用於開發 API 管理登陸區加速器的假設:

  • 建議使用支援可用性區域和多區域部署之 API 管理的進階層實例。
  • Azure Pipelines 可用來管理和部署基礎設施即代碼。
  • Last updated on