Azure Well-Architected Framework-Überprüfung – Azure-App lizenzierungsgateway v2
Dieser Artikel enthält bewährte Architekturmethoden für die Azure Application Gateway v2-SKUs. Die Leitlinien basieren auf den fünf Säulen der architektonischen Exzellenz:
Wir gehen davon aus, dass Sie über ein funktionierendes Wissen über Azure-App lizenzierungsgateway verfügen und mit v2-SKU-Features vertraut sind. Weitere Informationen finden Sie unter Azure-App lication Gateway-Features.
Voraussetzungen
- Das Verständnis der Säulen des Well-Architected Framework kann dazu beitragen, eine qualitativ hochwertige, stabile und effiziente Cloudarchitektur zu erzeugen. Es wird empfohlen, Ihre Arbeitsauslastung mithilfe der Bewertung von Azure Well-Architected Framework zu überprüfen.
- Verwenden Sie eine Referenzarchitektur, um die Überlegungen auf der Grundlage der anleitungen in diesem Artikel zu überprüfen. Es wird empfohlen, mit protect APIs mit Application Gateway und API Management und IaaS zu beginnen: Webanwendung mit relationaler Datenbank.
Zuverlässigkeit
In der Cloud muss leider mit Fehlern gerechnet werden. Es geht nicht darum, Fehler vollständig zu verhindern, sondern darum, die Auswirkungen einer einzelnen fehlerhaften Komponente zu minimieren. Verwenden Sie die folgenden Informationen, um fehlgeschlagene Instanzen zu minimieren.
Prüfliste für den Entwurf
Wenn Sie Entwurfsentscheidungen für das Anwendungsgateway treffen, überprüfen Sie die Prinzipien des Zuverlässigkeitsentwurfs.
- Stellen Sie die Instanzen in einer zonenfähigen Konfiguration bereit (sofern verfügbar).
- Verwenden Sie das Anwendungsgateway mit der Webanwendungsfirewall (WAF) in einem virtuellen Netzwerk, um eingehenden
HTTP/SDatenverkehr vor dem Internet zu schützen. - Verwenden Sie in neuen Bereitstellungen Azure-App lication Gateway v2, es sei denn, es gibt einen zwingenden Grund, Azure-App lication Gateway v1 zu verwenden.
- Planen von Regelupdates
- Verwenden von Integritätstests zum Erkennen der Back-End-Nichtverfügbarkeit
- Überprüfen der Auswirkungen der Intervall- und Schwellenwerteinstellungen auf Integritätstests
- Überprüfen von Downstreamabhängigkeiten mithilfe von Integritätsendpunkten
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre Anwendungsgateway-Konfiguration für Zuverlässigkeit zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Planen von Regelupdates | Planen Sie genügend Zeit für Updates ein, bevor Sie auf Application Gateway zugreifen oder weitere Änderungen vornehmen. Das Entfernen von Servern aus dem Back-End-Pool kann beispielsweise einige Zeit in Anspruch nehmen, da vorhandene Verbindungen ausgeglichen werden müssen. |
| Verwenden von Integritätstests zum Erkennen der Back-End-Nichtverfügbarkeit | Wenn Application Gateway zum Lastausgleich des eingehenden Datenverkehrs über mehrere Back-End-Instanzen verwendet wird, wird die Verwendung von Integritätstests empfohlen. So wird sichergestellt, dass der Datenverkehr nicht an Back-Ends weitergeleitet wird, die den Datenverkehr nicht verarbeiten können. |
| Überprüfen der Auswirkungen der Intervall- und Schwellenwerteinstellungen auf Integritätstests | Der Integritätstest sendet in einem festgelegten Intervall Anforderungen an den konfigurierten Endpunkt. Außerdem gibt es einen Schwellenwert für fehlgeschlagene Anforderungen, der toleriert wird, bevor das Back-End als fehlerhaft gekennzeichnet wird. Diese Zahlen stellen einen Kompromiss dar. – Wenn Sie ein höheres Intervall festlegen, wird eine höhere Last für Ihren Dienst ausgeführt. Jede Application Gateway-Instanz sendet eigene Integritätstests, sodass 100 Instanzen alle 30 Sekunden 100 Anforderungen pro 30 Sekunden bedeuten. - Wenn Sie ein niedrigeres Intervall festlegen, bleibt mehr Zeit, bevor ein Ausfall erkannt wird. - Das Festlegen eines niedrigen Unhealthy-Schwellenwerts kann bedeuten, dass kurze vorübergehende Fehler ein Back-End-System herunternehmen können. – Das Festlegen eines hohen Schwellenwerts kann länger dauern, bis ein Back-End aus der Drehung herausnimmt. |
| Überprüfen von Downstreamabhängigkeiten mithilfe von Integritätsendpunkten | Es wird angenommen, dass jedes Back-End über eigene Abhängigkeiten verfügt, um sicherzustellen, dass Fehler isoliert werden. Beispielsweise kann eine hinter dem Anwendungsgateway gehostete Anwendung mehrere Back-Ends haben, die jeweils mit einer anderen Datenbank (Replikat) verbunden sind. Wenn eine solche Abhängigkeit fehlschlägt, funktioniert die Anwendung möglicherweise, gibt aber keine gültigen Ergebnisse zurück. Aus diesem Grund sollte der Integritätsendpunkt möglichst alle Abhängigkeiten überprüfen. Beachten Sie, dass, wenn jeder Aufruf des Integritätsendpunkts über einen direkten Abhängigkeitsaufruf verfügt, diese Datenbank alle 30 Sekunden 100 Abfragen anstelle von 1 erhält. Um dies zu vermeiden, sollte der Integritätsendpunkt den Zustand der Abhängigkeiten für einen kurzen Zeitraum zwischenspeichern. |
Wenn Sie HTTP/S-Anwendungen mit Azure Front Door und Application Gateway schützen, verwenden Sie WAF-Richtlinien in Front Door, und sperren Sie Application Gateway, sodass nur Datenverkehr von Azure Front Door empfangen wird. |
Bestimmte Szenarien können Sie zwingen, Regeln speziell für das Anwendungsgateway zu implementieren. Wenn beispielsweise ModSec CRS 2.2.9, CRS 3.0- oder CRS 3.1-Regeln erforderlich sind, können diese Regeln nur auf dem Anwendungsgateway implementiert werden. Umgekehrt stehen Ratenbegrenzung und Geofilterung nur in Azure Front Door und nicht in Application Gateway zur Verfügung. |
Azure Advisor hilft Ihnen, die Kontinuität Ihrer geschäftskritischen Anwendungen sicherzustellen und zu verbessern. Überprüfen Sie die Azure Advisor-Empfehlungen.
Sicherheit
Sicherheit ist einer der wichtigsten Aspekte jeder Architektur. Application Gateway bietet Funktionen, mit denen sowohl das Prinzip der geringsten Rechte als auch die tiefgehende Verteidigung eingesetzt werden können. Wir empfehlen Ihnen, die Grundsätze des Sicherheitsentwurfs zu überprüfen.
Prüfliste für den Entwurf
- Einrichten einer TLS-Richtlinie für erweiterte Sicherheit
- Verwenden von AppGateway für den TLS-Abschluss
- Verwenden von Azure Key Vault zum Speichern von TLS-Zertifikaten
- Stellen Sie beim erneuten Verschlüsseln des Back-End-Datenverkehrs sicher, dass das Back-End-Serverzertifikat sowohl die Stamm- als auch die Zwischenzertifizierungsstellen (CAs) enthält.
- Verwenden eines geeigneten DNS-Servers für Back-End-Poolressourcen
- Einhalten aller NSG-Einschränkungen für das Anwendungsgateway
- Verwenden von UDRs im Anwendungsgateway-Subnetz nicht
- Beachten Sie Die Kapazitätsänderungen des Anwendungsgateways beim Aktivieren von WAF
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre Anwendungsgateway-Konfiguration für Sicherheit zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Einrichten einer TLS-Richtlinie für erweiterte Sicherheit | Richten Sie eine TLS-Richtlinie für zusätzliche Sicherheit ein. Stellen Sie sicher, dass Sie immer die neueste verfügbare TLS-Richtlinienversion verwenden. Diese erzwingt TLS 1.2 und stärkere Verschlüsselungen. |
| Verwenden von AppGateway für den TLS-Abschluss | Vorteile der Verwendung von Application Gateway für den TLS-Abschluss: – Die Leistung verbessert sich, da Anforderungen an verschiedene Back-End-Ends vorgenommen werden müssen, um sich bei jedem Back-End erneut zu authentifizieren. - Bessere Auslastung von Back-End-Servern, da sie keine TLS-Verarbeitung durchführen müssen – Intelligentes Routing durch Zugriff auf den Anforderungsinhalt. – Einfachere Zertifikatverwaltung, da das Zertifikat nur auf dem Anwendungsgateway installiert werden muss. |
| Verwenden von Azure Key Vault zum Speichern von TLS-Zertifikaten | Das Anwendungsgateway kann in Key Vault integriert werden. Dies bietet mehr Sicherheit, eine einfachere Trennung von Rollen und Zuständigkeiten, Unterstützung für verwaltete Zertifikate und eine einfachere Zertifikatverlängerung und -rotation. |
| Stellen Sie beim erneuten Verschlüsseln des Back-End-Datenverkehrs sicher, dass das Back-End-Serverzertifikat sowohl die Stamm- als auch die Zwischenzertifizierungsstellen (CAs) enthält. | Ein TLS-Zertifikat des Back-End-Servers muss von einer bekannten Zertifizierungsstelle ausgestellt werden. Wenn das Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, überprüft das Anwendungsgateway, ob das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde usw., bis ein vertrauenswürdiges Zertifizierungsstellenzertifikat gefunden wurde. Erst dann wird eine sichere Verbindung hergestellt. Andernfalls kennzeichnet Application Gateway das Back-End als fehlerhaft. |
| Verwenden eines geeigneten DNS-Servers für Back-End-Poolressourcen | Wenn der Back-End-Pool einen auflösbaren FQDN enthält, basiert die DNS-Auflösung auf einer privaten DNS-Zone oder einem benutzerdefinierten DNS-Server (sofern im VNET konfiguriert) oder es wird das von Azure bereitgestellte Standard-DNS verwendet. |
| Einhalten aller NSG-Einschränkungen für das Anwendungsgateway | NSGs werden im Subnetz des Anwendungsgateways unterstützt, es gibt jedoch einige Einschränkungen. So ist beispielsweise die Kommunikation mit bestimmten Portbereichen nicht zulässig. Stellen Sie sicher, dass Sie die Auswirkungen dieser Einschränkungen verstehen. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen. |
| Verwenden von UDRs im Anwendungsgateway-Subnetz nicht | Die Verwendung von benutzerdefinierten Routen (USER Defined Routes, UDR) im Subnetz des Anwendungsgateways kann einige Probleme verursachen. Der Integritätsstatus im Back-End ist möglicherweise unbekannt. Application Gateway-Protokolle und Metriken werden möglicherweise nicht generiert. Sie sollten keine benutzerdefinierten Routen im Application Gateway-Subnetz verwenden, damit Sie die Back-End-Integrität, Protokolle und Metriken anzeigen können. Wenn Ihre Organisationen UDR im Application Gateway-Subnetz verwenden müssen, überprüfen Sie die unterstützten Szenarien. Weitere Informationen finden Sie unter Unterstützte benutzerdefinierte Routen. |
| Beachten Sie Die Kapazitätsänderungen des Anwendungsgateways beim Aktivieren von WAF | Wenn WAF aktiviert ist, muss jede Anforderung vom Anwendungsgateway gepuffert werden, bis sie vollständig eintrifft, überprüft, ob die Anforderung mit einer Regelverletzung im Kernregelsatz übereinstimmt und das Paket dann an die Back-End-Instanzen weiterleitet. Wenn große Dateiuploads vorhanden sind (30 MB+ größe), kann dies zu einer erheblichen Latenz führen. Da sich die Application Gateway-Kapazitätsanforderungen von der WAF unterscheiden, wird nicht empfohlen, die WAF auf Application Gateway ohne ordnungsgemäße Tests und Überprüfungen zu aktivieren. |
Weitere Vorschläge finden Sie unter Prinzipien der Säule „Sicherheit“.
Azure Advisor hilft Ihnen, die Kontinuität Ihrer geschäftskritischen Anwendungen sicherzustellen und zu verbessern. Überprüfen Sie die Azure Advisor-Empfehlungen.
Richtliniendefinitionen
- Die Webanwendungsfirewall (WAF) sollte für das Anwendungsgateway aktiviert sein. Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land/Region, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken.
- Die Webanwendungsfirewall (WAF) sollte den angegebenen Modus für das Anwendungsgateway verwenden. Legt fest, dass die Verwendung des Modus „Erkennung“ oder „Prävention“ für alle Web Application Firewall-Richtlinien für Application Gateway aktiv ist.
- Azure DDoS Protection sollte aktiviert sein. DDoS Protection sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Anwendungsgateways mit einer öffentlichen IP-Adresse ist.
Alle integrierten Richtliniendefinitionen im Zusammenhang mit Azure Networking sind in integrierten Richtlinien – Netzwerk aufgeführt.
Kostenoptimierung
Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Wir empfehlen Ihnen, die Entwurfsprinzipien für die Kostenoptimierung zu überprüfen.
Prüfliste für den Entwurf
- Machen Sie sich mit den Preisen für das Anwendungsgateway vertraut
- Überprüfen von unterausgelasteten Ressourcen
- Beenden von Anwendungsgateway-Instanzen, die nicht verwendet werden
- Nutzen einer Richtlinie für horizontales Herunterskalieren und horizontale Skalierung
- Überprüfen von Verbrauchsmetriken über verschiedene Parameter hinweg
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre Anwendungsgateway-Konfiguration für die Kostenoptimierung zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Machen Sie sich mit den Preisen für das Anwendungsgateway vertraut | Weitere Informationen zu „Application Gateway – Preise“ finden Sie unter Grundlegendes zu Preisen für Azure Application Gateway und Web Application Firewall. Sie können auch den Preisrechner nutzen. Achten Sie darauf, dass die Optionen die richtige Größe haben, um dem Kapazitätsbedarf gerecht zu werden und die erwartete Leistung zu liefern, ohne Ressourcen zu vergeuden. |
| Überprüfen von unterausgelasteten Ressourcen | Identifizieren und löschen Sie Anwendungsgateway-Instanzen mit leeren Back-End-Pools, um unnötige Kosten zu vermeiden. |
| Beenden von Application Gateway-Instanzen, wenn sie nicht verwendet werden | Wenn sich Application Gateway im Status „Beendet“ befindet, werden Ihnen keine Kosten in Rechnung gestellt. Die kontinuierliche Ausführung von Application Gateway-Instanzen kann zusätzliche Kosten verursachen. Bewerten Sie die Nutzungsmuster und beenden Sie Instanzen, wenn Sie sie nicht benötigen. So dürfte beispielsweise die Nutzung außerhalb der Geschäftszeiten in Dev/Test-Umgebungen gering sein. Informationen zum Beenden und Starten von Instanzen finden Sie in folgenden Artikeln. - Stop-AzApplicationGateway - Start-AzApplicationGateway |
| Nutzen einer Richtlinie für horizontales Herunterskalieren und horizontale Skalierung | Eine Richtlinie für horizontale Skalierung stellt sicher, dass genügend Instanzen vorhanden sind, um eingehenden Datenverkehr und Spitzen zu verarbeiten. Verwenden Sie außerdem eine Richtlinie für horizontales Herunterskalieren, mit der sichergestellt wird, dass die Anzahl der Instanzen reduziert wird, wenn der Bedarf sinkt. Denken Sie an die Wahl der Instanzgröße. Die Größe kann die Kosten erheblich beeinflussen. Einige zu berücksichtigende Aspekte werden unter Schätzen der Anzahl der Application Gateway-Instanzen erläutert. Weitere Informationen finden Sie unter Was ist Azure-App lication Gateway v2? |
| Überprüfen von Verbrauchsmetriken über verschiedene Parameter hinweg | Die Abrechnung erfolgt auf Grundlage der gezählten Instanzen von Application Gateway auf der Grundlage der von Azure erfassten Metriken. Werten Sie die verschiedenen Metriken und Kapazitätseinheiten aus, und ermitteln Sie die Kostenfaktoren. Weitere Informationen finden Sie unter Microsoft Cost Management and Billing. Die folgenden Metriken sind der Schlüssel für das Anwendungsgateway. Diese Informationen können verwendet werden, um zu überprüfen, ob die Anzahl der bereitgestellten Instanzen der Menge des eingehenden Datenverkehrs entspricht. - Geschätzte abgerechnete Kapazitätseinheiten - Feste abrechnende Kapazitätseinheiten - Aktuelle Kapazitätseinheiten Weitere Informationen finden Sie unter Application Gateway – Metriken. Stellen Sie sicher, dass Sie die Bandbreitenkosten berücksichtigen. |
Weitere Vorschläge finden Sie in den Grundsätzen der Kostenoptimierungssäule.
Azure Advisor hilft Ihnen, die Kontinuität Ihrer geschäftskritischen Anwendungen sicherzustellen und zu verbessern. Überprüfen Sie die Azure Advisor-Empfehlungen.
Optimaler Betrieb
Überwachung und Diagnose sind entscheidend, um die operative Exzellenz Ihres Anwendungsgateways und der Webanwendungen oder Back-Ends hinter dem Gateway sicherzustellen. Sie können nicht nur Leistungsstatistiken messen, sondern auch Metriken verwenden, um Probleme schnell zu beheben und zu beheben. Wir empfehlen Ihnen, die Designprinzipien der Operational Excellence zu überprüfen.
Prüfliste für den Entwurf
- Überwachen von Kapazitätsmetriken
- Aktivieren der Diagnose für Anwendungsgateway und Webanwendungsfirewall (WAF)
- Verwenden von Azure Monitor-Netzwerkerkenntnisse
- Abstimmen von Timeouteinstellungen mit der Back-End-Anwendung
- Überwachen von Problemen mit der Konfiguration von Key Vault mithilfe von Azure Advisor
- Konfigurieren und Überwachen von SNAT-Portbeschränkungen
- Berücksichtigen Sie SNAT-Portbeschränkungen in Ihrem Design.
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre Anwendungsgateway-Konfiguration für operative Exzellenz zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Überwachen von Kapazitätsmetriken | Verwenden Sie diese Metriken als Indikatoren für die Auslastung der bereitgestellten Application Gateway-Kapazität. Es wird dringend empfohlen, Kapazitätswarnungen einzurichten. Weitere Informationen finden Sie unter Unterstützung von hohem Datenverkehr für Application Gateway. |
| Problembehandlung mithilfe von Metriken | Es gibt weitere Metriken, die auf Probleme entweder mit Application Gateway oder dem Back-End hinweisen können. Es wird empfohlen, die folgenden Warnungen auszuwerten: - Unhealthy Host Count - Antwortstatus (Dimension 4xx und 5xx) - Back-End-Antwortstatus (Dimension 4xx und 5xx) - Back-End-Letzte Byte-Antwortzeit – Gesamtzeit des Anwendungsgateways Weitere Informationen finden Sie unter Metriken für das Anwendungsgateway. |
| Aktivieren der Diagnose für Anwendungsgateway und Webanwendungsfirewall (WAF) | Diagnoseprotokolle ermöglichen es Ihnen, Firewallprotokolle, Leistungsprotokolle und Zugriffsprotokolle anzuzeigen. Verwenden Sie diese Protokolle, um Probleme mit Application Gateway-Instanzen zu verwalten und zu beheben. Weitere Informationen finden Sie unter Back-End-Integrität und Diagnoseprotokolle für Application Gateway. |
| Verwenden von Azure Monitor-Netzwerkerkenntnisse | Azure Monitor-Netzwerkerkenntnisse bietet eine umfassende Übersicht der Integrität und Metriken für Netzwerkressourcen, einschließlich Application Gateway. Weitere Informationen und unterstützte Funktionen für Application Gateway finden Sie unter Azure Monitor-Netzwerkerkenntnisse. |
| Abstimmen von Timeouteinstellungen mit der Back-End-Anwendung | Stellen Sie sicher, dass die Leerlauftimeout-Einstellungen so konfiguriert sind, dass sie den Listener- und Datenverkehrsmerkmalen der Back-End-Anwendung entsprechen. Der Standardwert ist auf vier Minuten festgelegt und kann maximal 30 Minuten konfiguriert werden. Weitere Informationen finden Sie unter TCP-Zurücksetzung und Leerlauftimeout für Load Balancer. Überlegungen zur Arbeitsauslastung finden Sie unter Überwachen der Anwendungsintegrität für zuverlässigkeit. |
| Überwachen von Problemen mit der Konfiguration von Key Vault mithilfe von Azure Advisor | Das Anwendungsgateway sucht im verknüpften Key Vault jedes 4-Stunden-Intervalls nach der erneuerten Zertifikatversion. Wenn aufgrund einer falschen Key Vault-Konfiguration nicht darauf zugegriffen werden kann, protokolliert er diesen Fehler und pusht eine entsprechende Empfehlung des Advisor. Sie müssen die Advisor-Benachrichtigungen so konfigurieren, dass sie auf dem neuesten Stand bleiben und solche Probleme sofort beheben, um Probleme im Zusammenhang mit Steuerelementen oder Datenebenen zu vermeiden. Weitere Informationen finden Sie unter Untersuchen und Beheben von Schlüsseltresorfehlern. Verwenden Sie den Empfehlungstyp als Lösung des Azure Key Vault-Problems für Ihr Anwendungsgateway, um eine Warnung für diesen speziellen Fall festzulegen. |
| Berücksichtigen Sie SNAT-Portbeschränkungen in Ihrem Design. | SNAT-Porteinschränkungen sind wichtig für Back-End-Verbindungen des Application Gateway. Es gibt verschiedene Faktoren, die beeinflussen, wie Application Gateway das SNAT-Portlimit erreicht. Wenn das Back-End beispielsweise eine öffentliche IP-Adresse ist, benötigt es einen eigenen SNAT-Port. Um SNAT-Portbeschränkungen zu vermeiden, können Sie die Anzahl der Instanzen pro Anwendungsgateway erhöhen, die Back-Ends skalieren, um mehr IP-Adressen zu haben, oder Ihre Back-Ends in dasselbe virtuelle Netzwerk verschieben und private IP-Adressen für die Back-Ends verwenden. Anforderungen pro Sekunde (RPS) auf dem Application Gateway werden beeinträchtigt, wenn das SNAT-Portlimit erreicht wird. Wenn beispielsweise ein Anwendungsgateway den SNAT-Portgrenzwert erreicht, kann es keine neue Verbindung mit dem Back-End öffnen, und die Anforderung schlägt fehl. |
Weitere Vorschläge finden Sie in den Grundsätzen der operativen Exzellenzsäule.
Azure Advisor hilft Ihnen, die Kontinuität Ihrer geschäftskritischen Anwendungen sicherzustellen und zu verbessern. Überprüfen Sie die Azure Advisor-Empfehlungen.
Effiziente Leistung
Leistungseffizienz ist die Fähigkeit Ihrer Workload, eine effiziente Skalierung entsprechend den Anforderungen der Benutzer auszuführen. Wir empfehlen Ihnen, die Prinzipien der Leistungseffizienz zu überprüfen.
Prüfliste für den Entwurf
- Schätzen der Anzahl der Application Gateway-Instanzen
- Definieren der maximalen Anzahl der Instanzen
- Definieren der Mindestanzahl der Instanzen
- Definieren der Application Gateway-Subnetzgröße
- Nutzen der Vorteile von Application Gateway V2 für die automatische Skalierung und Leistung
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre Anwendungsgateway-Konfiguration für die Leistungseffizienz zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Schätzen der Anzahl der Application Gateway-Instanzen | Das Anwendungsgateway v2 wird basierend auf vielen Aspekten skaliert, z. B. CPU, Netzwerkdurchsatz, aktuelle Verbindungen und vieles mehr. Zum Bestimmen der ungefähren Anzahl von Instanzen verwenden Sie die folgenden Metriken: Aktuelle Recheneinheiten – Gibt die CPU-Auslastung an. 1 Application Gateway-Instanz entspricht ungefähr 10 Compute-Einheiten. Durchsatz – Anwendungsgatewayinstanz kann ca. 500 MBit/s des Durchsatzes bereitstellen. Diese Daten sind abhängig vom Nutzlasttyp. Berücksichtigen Sie diese Gleichung beim Berechnen der Anzahl der Instanzen.  Nachdem Sie die Anzahl der Instanzen geschätzt haben, vergleichen Sie diesen Wert mit der maximalen Anzahl der Instanzen. Dies zeigt an, wie nah Sie an der maximal verfügbaren Kapazität sind. |
| Definieren der Mindestanzahl der Instanzen | Bei der Application Gateway v2-SKU dauert die automatische Skalierung einige Zeit (etwa sechs bis sieben Minuten), bevor die zusätzlichen Instanzen für den Datenverkehr bereit sind. Während dieser Zeit ist bei kurzen Datenverkehrsspitzen mit vorübergehenden Latenzzeiten oder Datenverlusten zu rechnen. Es wird empfohlen, die Mindestanzahl der Instanzen auf ein optimales Niveau festzulegen. Nachdem Sie die durchschnittliche Anzahl der Instanzen geschätzt und die Trends für die automatische Application Gateway-Skalierung ermittelt haben, definieren Sie die minimale Anzahl der Instanzen basierend auf Ihren Anwendungsmustern. Weitere Informationen finden Sie unter Unterstützung von hohem Datenverkehr mit Application Gateway. Überprüfen Sie die aktuellen Compute-Einheiten für den letzten Monat. Diese Metrik stellt die CPU-Auslastung des Gateways dar. Zum Definieren der Mindestanzahl der Instanzen teilen Sie die Spitzenauslastung durch 10. Wenn ihre durchschnittlichen aktuellen Computeeinheiten im letzten Monat beispielsweise 50 beträgt, legen Sie die Mindestanzahl der Instanzen auf fünf fest. |
| Definieren der maximalen Anzahl der Instanzen | Es wird empfohlen, 125 als maximale Anzahl der Autoskalierungsinstanzen zu verwenden. Stellen Sie sicher, dass das Subnetz mit Application Gateway genügend verfügbare IP-Adressen hat, um das Hochskalieren von Instanzen zu unterstützen. Das Festlegen der maximalen Anzahl der Instanzen auf 125 hat keine Auswirkungen auf die Kosten, da Ihnen nur die verbrauchte Kapazität in Rechnung gestellt wird. |
| Definieren der Application Gateway-Subnetzgröße | Application Gateway benötigt ein dediziertes Subnetz innerhalb eines virtuellen Netzwerks. Das Subnetz kann mehrere Instanzen der bereitgestellten Application Gateway-Ressourcen umfassen. Sie können auch andere Application Gateway-Ressourcen in diesem Subnetz, v1 oder v2-SKU bereitstellen. Einige Überlegungen zum Definieren der Subnetzgröße: – Das Anwendungsgateway verwendet eine private IP-Adresse pro Instanz und eine andere private IP-Adresse, wenn eine private Front-End-IP konfiguriert ist. – Azure reserviert fünf IP-Adressen in jedem Subnetz für die interne Verwendung. – Anwendungsgateway (Standard- oder WAF-SKU) kann bis zu 32 Instanzen unterstützen. Bei 32 Instanz-IP-Adressen + 1 privaten Front-End-IP + 5 reservierten Azure-IPs wird eine minimale Subnetzgröße von /26 empfohlen. Da die Standard_v2- oder WAF_v2-SKU bis zu 125 Instanzen unterstützen kann, wird bei gleicher Berechnung eine Subnetzgröße von /24 empfohlen. – Wenn Sie zusätzliche Anwendungsgatewayressourcen im selben Subnetz bereitstellen möchten, berücksichtigen Sie die zusätzlichen IP-Adressen, die für die maximale Instanzenanzahl sowohl für Standard als auch für Standard v2 erforderlich sind. |
| Nutzen von Features für automatische Skalierung und Leistungsvorteile | Die v2-SKU bietet automatische Skalierung, um sicherzustellen, dass Ihr Application Gateway bei steigendem Datenverkehr zentral hochskaliert werden kann. Im Vergleich zur v1-SKU verfügt v2 über Funktionen, die die Leistung der Workload verbessern. Beispielsweise eine bessere TLS-Abladeleistung, schnellere Bereitstellungs- und Aktualisierungszeiten, Zonenredundanz und mehr. Weitere Informationen zu features für die automatische Skalierung finden Sie unter Scaling Application Gateway v2 und WAF v2. Wenn Sie v1 SKU-Anwendungsgateway ausführen, sollten Sie die Migration zum Anwendungsgateway v2 SKU in Betracht ziehen. Weitere Informationen finden Sie unter Migrieren von Azure Application Gateway und Web Application Firewall von v1 zu v2. |
Azure Advisor hilft Ihnen, die Kontinuität Ihrer geschäftskritischen Anwendungen sicherzustellen und zu verbessern. Überprüfen Sie die Azure Advisor-Empfehlungen.
Azure Advisor-Empfehlungen
Bei Azure Advisor handelt es sich um einen personalisierten Cloudberater, der Sie mit bewährten Methoden zum Optimieren von Azure-Bereitstellungen unterstützt. Hier sind einige Empfehlungen, die Ihnen helfen können, die Zuverlässigkeit, Sicherheit, Kosteneffizienz, Leistung und operative Exzellenz Ihres Anwendungsgateways zu verbessern.
Zuverlässigkeit
- Sicherstellen der Fehlertoleranz des Anwendungsgateways
- Setzen Sie den Hostnamen nicht außer Kraft, um die Integrität der Website sicherzustellen.
Zusätzliche Ressourcen
Leitfaden zum Azure Architecture Center
- Verwenden von API-Gateways in Microservices
- Firewall und Application Gateway für virtuelle Netzwerke
- Schützen von APIs mit Application Gateway und API Management
- IaaS: Webanwendung mit relationaler Datenbank
- Sicher verwaltete Webanwendungen
- Zero Trust-Netzwerk für Webanwendungen mit Azure Firewall und Application Gateway
Nächste Schritte
- Stellen Sie ein Anwendungsgateway bereit, um zu sehen, wie es funktioniert: Schnellstart: Direkter Webdatenverkehr mit Azure-App lication Gateway – Azure-Portal