Revisión de Azure Well-Architected Framework: App de Azure lication Gateway v2
En este artículo se proporcionan procedimientos recomendados de arquitectura para la familia de SKU Azure Application Gateway v2. La guía se basa en los cinco pilares de excelencia arquitectónica:
Se supone que tiene conocimientos prácticos de App de Azure lication Gateway y está bien familiarizado con las características de SKU v2. Para obtener más información, consulte App de Azure lication Gateway features (Características de puerta de enlace de App de Azure lication).
Requisitos previos
- Comprender los pilares del marco bien diseñado puede ayudar a generar una arquitectura en la nube de alta calidad, estable y eficaz. Se recomienda revisar la carga de trabajo mediante la evaluación de revisión del marco de trabajo de Azure Well-Architected.
- Use una arquitectura de referencia para revisar las consideraciones en función de las instrucciones proporcionadas en este artículo. Se recomienda empezar con Proteger API con Application Gateway y API Management e IaaS: aplicación web con base de datos relacional.
Confiabilidad
En la nube, reconocemos que se producen errores. En lugar de intentar evitar todos los errores, el objetivo es minimizar los efectos que pueden provocar los errores de un único componente. Use la siguiente información para minimizar las instancias con errores.
Diseño de una lista de comprobación
A medida que tome decisiones de diseño para Application Gateway, revise los principios de diseño de confiabilidad.
- Implemente las instancias en una configuración que tenga en cuenta la zona, siempre que esté disponible.
- Use Application Gateway con firewall de aplicaciones web (WAF) dentro de una red virtual para proteger el tráfico entrante
HTTP/S
de Internet. - En las nuevas implementaciones, use App de Azure lication Gateway v2 a menos que haya una razón convincente para usar App de Azure lication Gateway v1.
- Planeamiento de las actualizaciones de reglas
- Uso de sondeos de estado para detectar la indisponibilidad del back-end
- Revisión del impacto de la configuración de intervalo y umbral en los sondeos de estado
- Comprobación de las dependencias de nivel inferior a través de puntos de conexión de estado
Recomendaciones
Explore la tabla siguiente de recomendaciones para optimizar la configuración de Application Gateway para la confiabilidad.
Recomendación | Prestación |
---|---|
Planeamiento de las actualizaciones de reglas | Planee tiempo suficiente para las actualizaciones antes de acceder a Application Gateway o de realizar más cambios. Por ejemplo, la eliminación de servidores del grupo de back-end puede tardar algún tiempo porque tienen que purgar las conexiones existentes. |
Uso de sondeos de estado para detectar la indisponibilidad del back-end | Si Application Gateway se usa para equilibrar la carga del tráfico entrante a través de varias instancias de back-end, se recomienda el uso de sondeos de estado. Esto garantizará que el tráfico no se enrute a back-end que no pueden controlar el tráfico. |
Revisión del impacto de la configuración de intervalo y umbral en los sondeos de estado | El sondeo de estado envía solicitudes al punto de conexión configurado en un intervalo establecido. Además, existe un umbral de las solicitudes con errores que se tolerarán antes de que el back-end se marque como incorrecto. Estos números presentan ventajas e inconvenientes. - Si se establece un intervalo mayor, se coloca una carga más alta en el servicio. Cada instancia de Application Gateway envía sus propios sondeos de estado, de modo que 100 instancias cada 30 segundos significa 100 solicitudes cada 30 segundos. - Establecer un intervalo inferior deja más tiempo antes de que se detecte una interrupción. - Establecer un umbral incorrecto bajo podría significar que los errores transitorios cortos podrían quitar un back-end. - Establecer un umbral alto puede tardar más tiempo en sacar un back-end de la rotación. |
Comprobación de las dependencias de nivel inferior a través de puntos de conexión de estado | Supongamos que cada back-end tiene sus propias dependencias para garantizar el aislamiento de los errores. Por ejemplo, una aplicación hospedada detrás de Application Gateway podría tener varios back-end, cada uno conectado a una base de datos diferente (réplica). Cuando se produce un error en esta dependencia, es posible que la aplicación funcione pero no devuelva resultados válidos. Por ese motivo, lo ideal es que el punto de conexión de estado valide todas las dependencias. Tenga en cuenta que si cada llamada al punto de conexión de estado tiene una llamada de dependencia directa, esa base de datos recibiría 100 consultas cada 30 segundos en lugar de 1. Para evitarlo, el punto de conexión de estado debe almacenar en caché el estado de las dependencias durante un breve período de tiempo. |
Cuando use Azure Front Door y Application Gateway para proteger las aplicaciones HTTP/S , use las directivas del firewall de aplicaciones web en Azure Front Door y bloquee Application Gateway para que solo reciba tráfico de Azure Front Door. |
Algunos escenarios pueden obligar a implementar reglas específicamente en Application Gateway. Por ejemplo, si se requieren reglas ModSec CRS 2.2.9, CRS 3.0 o CRS 3.1, estas reglas solo se pueden implementar en Application Gateway. Por el contrario, la limitación de velocidad y el filtrado geográfico solo están disponibles en Azure Front Door, no en AppGateway. |
Azure Advisor le ayuda a garantizar y mejorar la continuidad de las aplicaciones críticas para la empresa. Revise las recomendaciones de Azure Advisor.
Seguridad
La seguridad es uno de los aspectos más importantes de cualquier arquitectura. Application Gateway proporciona características para emplear el principio de privilegios mínimos y la defensa en defensa. Se recomienda revisar los principios de diseño de seguridad.
Diseño de una lista de comprobación
- Configuración de una directiva TLS para aumentar la seguridad
- Uso de AppGateway para la terminación TLS
- Uso de Azure Key Vault para almacenar certificados TLS
- Al volver a cifrar el tráfico de back-end, asegúrese de que el certificado de servidor back-end contiene las entidades de certificación raíz e intermedias (CA)
- Uso de un servidor DNS adecuado para los recursos del grupo de back-end
- Cumplimiento de todas las restricciones de NSG para Application Gateway
- Evitar el uso de UDR en la subred de Application Gateway
- Tenga en cuenta los cambios de capacidad de Application Gateway al habilitar WAF.
Recomendaciones
Explore la tabla siguiente de recomendaciones para optimizar la configuración de Application Gateway para la seguridad.
Recomendación | Prestación |
---|---|
Configuración de una directiva TLS para aumentar la seguridad | Configure una directiva TLS para lograr un nivel de seguridad adicional. Asegúrese de que siempre usa la versión más reciente de la directiva TLS disponible. Esto exige el uso de TLS 1.2 y cifrados más seguros. |
Uso de AppGateway para la terminación TLS | El uso de Application Gateway para la terminación TLS presenta algunas ventajas: - El rendimiento mejora porque las solicitudes que van a distintos back-end tienen que volver a autenticarse en cada back-end. - Mejor uso de los servidores back-end porque no tienen que realizar el procesamiento tls. - Enrutamiento inteligente accediendo al contenido de la solicitud. - Administración de certificados más sencilla porque el certificado solo debe instalarse en Application Gateway. |
Uso de Azure Key Vault para almacenar certificados TLS | Application Gateway se puede integrar con Key Vault. Esto proporciona una mayor seguridad, una separación de roles y responsabilidades más fácil, compatibilidad con certificados administrados y un proceso de renovación y rotación de certificados más sencillo. |
Al volver a cifrar el tráfico de back-end, asegúrese de que el certificado de servidor back-end contiene las entidades de certificación raíz e intermedias (CA) | Una entidad de certificación conocida debe emitir un certificado TLS del servidor backend. Si un ca de confianza no emitió el certificado, Application Gateway comprueba si el certificado lo emitió una ENTIDAD de certificación de confianza, etc., hasta que se encuentre un certificado de CA de confianza. Solo entonces se establece una conexión segura. De lo contrario, Application Gateway marca el back-end como incorrecto. |
Uso de un servidor DNS adecuado para los recursos del grupo de back-end | Cuando el grupo de back-end contiene un FQDN que se puede resolver, la resolución de DNS se basa en una zona DNS privada o un servidor DNS personalizado (si se ha configurado en la red virtual), o bien usa el DNS proporcionado por Azure predeterminado. |
Cumplimiento de todas las restricciones de NSG para Application Gateway | Los NSG se admiten en la subred de Application Gateway, pero hay algunas restricciones. Por ejemplo, se prohíbe cierta comunicación con determinados intervalos de puertos. Asegúrese de comprender las implicaciones de esas restricciones. Para más información, consulte Grupos de seguridad de red. |
Evitar el uso de UDR en la subred de Application Gateway | El uso de rutas definidas por el usuario (UDR) en la subred de Application Gateway puede causar algunos problemas. Es posible que el estado de mantenimiento del back-end sea desconocido. Es posible que los registros y las métricas de Application Gateway no se generen. Se recomienda que no use rutas definidas por el usuario en la subred de Application Gateway para que pueda ver el estado, los registros y las métricas del back-end. Si las organizaciones requieren el uso de UDR en la subred de Application Gateway, asegúrese de revisar los escenarios admitidos. Para más información, consulte la Rutas definidas por el usuario compatibles. |
Tenga en cuenta los cambios de capacidad de Application Gateway al habilitar WAF. | Cuando waf está habilitado, cada solicitud debe almacenarse en búfer mediante Application Gateway hasta que llegue por completo, comprueba si la solicitud coincide con cualquier infracción de regla en su conjunto de reglas principal y, a continuación, reenvía el paquete a las instancias de back-end. Cuando hay cargas de archivos grandes (30 MB+ de tamaño), puede dar lugar a una latencia significativa. Dado que los requisitos de capacidad de Application Gateway son diferentes con WAF, no se recomienda habilitar WAF en Application Gateway sin las pruebas y la validación adecuadas. |
Para obtener más sugerencias, consulte Principios de diseño de seguridad.
Azure Advisor le ayuda a garantizar y mejorar la continuidad de las aplicaciones críticas para la empresa. Revise las recomendaciones de Azure Advisor.
Definiciones de directiva
- El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway. Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países o regiones, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas.
- El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway. Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Application Gateway.
- Azure DDoS Protection debe estar habilitado. DDoS Protection debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública.
Todas las definiciones de directiva integradas relacionadas con las redes de Azure se enumeran en Directivas integradas: red.
Optimización de costos
La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Se recomienda revisar los principios de diseño de optimización de costos.
Diseño de una lista de comprobación
- Familiarícese con los precios de Application Gateway
- Revisión de los recursos infrautilizados
- Detención de instancias de Application Gateway que no están en uso
- Disposición de una directiva de escalabilidad horizontal y reducción horizontal
- Revisión de las métricas de consumo en distintos parámetros
Recomendaciones
Explore la tabla siguiente de recomendaciones para optimizar la configuración de Application Gateway para la optimización de costos.
Recomendación | Prestación |
---|---|
Familiarícese con los precios de Application Gateway | Para obtener información sobre los precios de Application Gateway, vea Descripción de los precios de Azure Application Gateway y Web Application Firewall. También puede aprovechar la calculadora de precios. Asegúrese de que las opciones tienen el tamaño adecuado para satisfacer la demanda de capacidad y ofrecer el rendimiento esperado sin desperdiciar recursos. |
Revisión de los recursos infrautilizados | Identifique y elimine instancias de Application Gateway con grupos de back-end vacíos para evitar costos innecesarios. |
Detención de las instancias de Application Gateway cuando no están en uso | No se le facturará cuando Application Gateway esté en estado detenido. La ejecución continua de instancias de Application Gateway puede incurrir en costos superfluos. Evalúe los patrones de uso y detenga las instancias cuando no las necesite. Por ejemplo, se espera que el uso después del horario comercial en entornos de desarrollo y pruebas sea bajo. Consulte estos artículos para obtener información sobre cómo detener e iniciar instancias. - Stop-AzApplicationGateway - Start-AzApplicationGateway |
Disposición de una directiva de escalabilidad horizontal y reducción horizontal | Una directiva de escalado horizontal garantiza que habrá suficientes instancias para controlar el tráfico entrante y los picos. Además, tenga una directiva de reducción horizontal que garantice que el número de instancias se reduce cuando la demanda disminuye. Considere la posibilidad de elegir el tamaño de la instancia. El tamaño puede afectar significativamente al costo. Algunas consideraciones se describen en Cálculo del recuento de instancias de Application Gateway. Para más información, consulte ¿Qué es App de Azure lication Gateway v2? |
Revisión de las métricas de consumo en distintos parámetros | Se le factura en función de las instancias de uso medido de Application Gateway en función de las métricas de las que Azure realiza un seguimiento. Evalúe las distintas métricas y unidades de capacidad y determine los factores de costos. Para obtener más información, consulte Administración de costos y facturación de Microsoft. Las métricas siguientes son clave para Application Gateway. Esta información se puede usar para validar que el recuento de instancias aprovisionadas coincide con la cantidad de tráfico entrante. - Unidades de capacidad facturadas estimadas - Unidades de capacidad facturables fijas - Unidades de capacidad actuales Para más información, consulte Métricas de Application Gateway. Asegúrese de tener en cuenta los costos de ancho de banda. |
Para obtener más sugerencias, consulte Principios del pilar de optimización de costos.
Azure Advisor le ayuda a garantizar y mejorar la continuidad de las aplicaciones críticas para la empresa. Revise las recomendaciones de Azure Advisor.
Excelencia operativa
La supervisión y el diagnóstico son cruciales para garantizar la excelencia operativa de Application Gateway y las aplicaciones web o back-end detrás de la puerta de enlace. No solo puede medir las estadísticas de rendimiento, sino también usar métricas para solucionar y corregir problemas rápidamente. Se recomienda revisar los principios de diseño de excelencia operativa.
Diseño de una lista de comprobación
- Supervisión de métricas de capacidad
- Habilitación de diagnósticos en Application Gateway y Firewall de aplicaciones web (WAF)
- Uso de Azure Monitor Network Insights
- Coincidencia de la configuración de tiempo de espera con la aplicación de back-end
- Supervisión de problemas de configuración de Key Vault mediante Azure Advisor
- Configuración y supervisión de limitaciones del puerto SNAT
- Considere las limitaciones del puerto SNAT en el diseño
Recomendaciones
Explore la tabla siguiente de recomendaciones para optimizar la configuración de Application Gateway para la excelencia operativa.
Recomendación | Prestación |
---|---|
Supervisión de métricas de capacidad | Use estas métricas como indicadores de uso de la capacidad de Application Gateway aprovisionada. Se recomienda encarecidamente configurar alertas sobre la capacidad. Para obtener más información, consulte Compatibilidad con tráfico elevado en Application Gateway. |
Solución de problemas mediante métricas | Hay otras métricas que pueden indicar problemas en Application Gateway o en el back-end. Se recomienda evaluar las siguientes alertas: - Recuento de hosts incorrectos - Estado de respuesta (dimensión 4xx y 5xx) - Estado de respuesta de back-end (dimensión 4xx y 5xx) - Tiempo de respuesta del último byte de back-end - Tiempo total de Application Gateway Para más información, consulte Métricas para Application Gateway. |
Habilitación de diagnósticos en Application Gateway y Firewall de aplicaciones web (WAF) | Los registros de diagnóstico permiten ver los registros de firewall, los registros de rendimiento y los registros de acceso. Use estos registros para administrar y solucionar problemas con las instancias de Application Gateway. Para más información, consulte Mantenimiento del back-end. |
Uso de Azure Monitor Network Insights | Azure Monitor Network Insights ofrece una vista completa del estado y las métricas de los recursos de red, incluido Application Gateway. Para obtener más detalles y conocer las funcionalidades admitidas para Application Gateway, consulte Azure Monitor Network Insights. |
Coincidencia de la configuración de tiempo de espera con la aplicación de back-end | Asegúrese de que ha configurado los valores de IdleTimeout para que coincidan con las características de escucha y tráfico de la aplicación de back-end. El valor predeterminado se establece en cuatro minutos y se puede configurar en un máximo de 30. Para obtener más información, vea Tiempo de espera de inactividad y restablecimiento de TCP de Load Balancer. Para conocer las consideraciones sobre la carga de trabajo, consulte Supervisión del estado de la aplicación para obtener confiabilidad. |
Supervisión de problemas de configuración de Key Vault mediante Azure Advisor | Application Gateway comprueba la versión del certificado renovado en key Vault vinculado cada intervalo de 4 horas. Si no es accesible debido a cualquier configuración incorrecta de Key Vault, registra ese error e inserta una recomendación de Advisor correspondiente. Debe configurar las alertas de Advisor para mantenerse actualizadas y corregir estos problemas inmediatamente para evitar problemas relacionados con el control o el plano de datos. Para más información, consulte Investigación y resolución de errores del almacén de claves. Para establecer una alerta para este caso específico, use el tipo de recomendación como Resolución del problema de Azure Key Vault para Application Gateway. |
Considere las limitaciones del puerto SNAT en el diseño | Las limitaciones de puertos SNAT son importantes para las conexiones de back-end en Application Gateway. Hay factores independientes que afectan a la manera en que Application Gateway alcanza el límite de puertos SNAT. Por ejemplo, si el back-end es una dirección IP pública, necesitará su propio puerto SNAT. Para evitar limitaciones de puerto SNAT, puede aumentar el número de instancias por Application Gateway, escalar horizontalmente los back-end para tener más direcciones IP o mover los back-end a la misma red virtual y usar direcciones IP privadas para los back-end. Las solicitudes por segundo (RPS) en Application Gateway se verán afectadas si se alcanza el límite de puertos SNAT. Por ejemplo, si una instancia de Application Gateway alcanza el límite de puertos SNAT, no podrá abrir una nueva conexión al back-end y se producirá un error en la solicitud. |
Para obtener más sugerencias, consulte Principios del pilar de excelencia operativa.
Azure Advisor le ayuda a garantizar y mejorar la continuidad de las aplicaciones críticas para la empresa. Revise las recomendaciones de Azure Advisor.
Eficiencia del rendimiento
La eficiencia del rendimiento es la capacidad que tiene la carga de trabajo para escalar con el fin de satisfacer de manera eficiente las demandas que los usuarios hayan realizado sobre ella. Se recomienda revisar los principios de eficiencia del rendimiento.
Diseño de una lista de comprobación
- Cálculo del recuento de instancias de Application Gateway
- Definición del recuento de instancias máximo
- Definición del recuento de instancias mínimo
- Definición del tamaño de la subred de Application Gateway
- Aproveche las ventajas de las características de Application Gateway V2 para el escalado automático y las ventajas de rendimiento.
Recomendaciones
Explore la tabla siguiente de recomendaciones para optimizar la configuración de Application Gateway para mejorar la eficacia del rendimiento.
Recomendación | Prestación |
---|---|
Cálculo del recuento de instancias de Application Gateway | Application Gateway v2 se escala horizontalmente en función de muchos aspectos, como CPU, rendimiento de red, conexiones actuales, etc. Para determinar el recuento aproximado de instancias, debe tener en cuenta estas métricas: Unidades de proceso actuales: indica el uso de la CPU. 1 instancia de Application Gateway equivale aproximadamente a 10 unidades de proceso. Rendimiento: la instancia de Application Gateway puede servir aproximadamente 500 Mbps de rendimiento. Este dato depende del tipo de carga. Tenga en cuenta esta ecuación al calcular los recuentos de instancias. Después de calcular el recuento de instancias, compare el valor obtenido con el recuento de instancias máximo. Le indicará la proximidad a la capacidad máxima disponible. |
Definición del recuento de instancias mínimo | Para la SKU de Application Gateway v2, el escalado automático tarda algún tiempo (aproximadamente de seis a siete minutos) antes de que el conjunto de instancias adicional esté listo para atender el tráfico. Durante ese tiempo, si hay picos breves en el tráfico, se espera una latencia transitoria o una pérdida de tráfico. Se recomienda establecer el recuento de instancias mínimo en un nivel óptimo. Después de calcular el recuento de instancias medio y determinar las tendencias de escalado automático de Application Gateway, defina el recuento de instancias mínimo en función de los patrones de aplicación. Para obtener información, vea Soporte técnico para tráfico elevado en Application Gateway. Compruebe las unidades de proceso actuales del último mes. Esta métrica representa el uso de CPU de la puerta de enlace. Para definir el recuento de instancias mínimo, divida el uso máximo entre 10. Por ejemplo, si la media de unidades de proceso actuales del mes pasado es de 50, establezca el recuento mínimo de instancias en cinco. |
Definición del recuento de instancias máximo | Se recomienda 125 como recuento de instancias máximo de escalado automático. Asegúrese de que la subred que contiene la instancia de Application Gateway tiene suficientes direcciones IP disponibles para admitir el conjunto de escalado vertical de instancias. Establecer el recuento de instancias máximo en 125 no tiene implicaciones de costos porque solo se le facturará por la capacidad consumida. |
Definición del tamaño de la subred de Application Gateway | Application Gateway necesita una subred dedicada dentro de una red virtual. La subred puede tener varias instancias del recurso de Application Gateway implementado. También puede implementar otros recursos de Application Gateway en esa subred: SKU v1 o v2. Estas son algunas consideraciones para definir el tamaño de la subred: - Application Gateway usa una dirección IP privada por instancia y otra dirección IP privada si se configura una dirección IP de front-end privada. - Azure reserva cinco direcciones IP en cada subred para su uso interno. - Application Gateway (SKU estándar o WAF) puede admitir hasta 32 instancias. Para 32 instancias de direcciones IP + 1 dirección IP de front-end privada + 5 instancias reservadas de Azure, se recomienda un tamaño de subred mínimo de /26. Dado que la SKU Standard_v2 o WAF_v2 puede admitir hasta 125 instancias, con el mismo cálculo, se recomienda un tamaño de subred de /24. - Si desea implementar recursos adicionales de Application Gateway en la misma subred, tenga en cuenta las direcciones IP adicionales necesarias para su recuento máximo de instancias para Standard y Standard v2. |
Aproveche las ventajas de las características para el escalado automático y las ventajas de rendimiento. | La SKU v2 ofrece escalado automático para garantizar que Application Gateway se puede escalar verticalmente a medida que aumenta el tráfico. En comparación con la SKU v1, v2 tiene funcionalidades que mejoran el rendimiento de la carga de trabajo. Por ejemplo, mejor rendimiento de descarga de TLS, tiempos de implementación y actualización más rápidos, redundancia de zona, etc. Para más información sobre las características de escalado automático, consulte Escalado de Application Gateway v2 y WAF v2. Si está ejecutando application gateway de SKU v1, considere la posibilidad de migrar a la SKU de Application Gateway v2. Para obtener más información, consulte Migrar Azure Application Gateway y Web Application Firewall de v1 a v2. |
Azure Advisor le ayuda a garantizar y mejorar la continuidad de las aplicaciones críticas para la empresa. Revise las recomendaciones de Azure Advisor.
Recomendaciones de Azure Advisor
Azure Advisor es un consultor en la nube personalizado que ayuda a seguir los procedimientos recomendados para optimizar las implementaciones de Azure. Estas son algunas recomendaciones que pueden ayudarle a mejorar la confiabilidad, la seguridad, la rentabilidad, el rendimiento y la excelencia operativa de Application Gateway.
Confiabilidad
- Asegurarse de que la tolerancia a errores de Application Gateway
- No invalide el nombre de host para garantizar la integridad del sitio web
Recursos adicionales
Guía del Centro de arquitectura de Azure
- Uso de puertas de enlace de API en microservicios
- Firewall y Application Gateway para redes virtuales
- Protección de las API con Application Gateway y API Management
- IaaS: aplicación web con base de datos relacional
- Aplicaciones web administradas de forma segura
- Red de confianza cero para aplicaciones web con Azure Firewall y Application Gateway
Pasos siguientes
- Implementación de una instancia de Application Gateway para ver cómo funciona: Inicio rápido: Inicio rápido: Tráfico web directo con App de Azure lication Gateway: Azure Portal