Supporto del traffico elevato nel gateway applicazione
Nota
Questo articolo descrive alcune linee guida consigliate per configurare il gateway applicazione in modo da gestire il traffico aggiuntivo causato da eventuali aumenti nel volume di traffico. Le soglie di avviso sono puramente suggerimenti e sono di natura generica. Gli utenti possono determinare le soglie di avviso in base ai carichi di lavoro e alle aspettative di utilizzo.
È possibile usare il gateway applicazione con web application firewall (WAF) per un modo sicuro e scalabile di gestire il traffico verso le applicazioni Web.
È importante ridimensionare il gateway applicazione in base al traffico e con una quantità di buffer, in modo da prepararsi a eventuali aumenti o picchi di traffico e ridurre al minimo l'effetto sul QoS. I suggerimenti seguenti consentono di configurare il gateway applicazione con WAF per gestire il traffico aggiuntivo.
Consultare la documentazione delle metriche per l'elenco completo delle metriche offerte dal gateway applicazione. Vedere visualizzare le metriche nel portale di Azure e la documentazione di Monitoraggio di Azure su come impostare gli avvisi per le metriche.
Per informazioni dettagliate e suggerimenti sull'efficienza delle prestazioni per il gateway applicazione, vedere Panoramica di Azure Well-Architected Framework - Gateway applicazione di Azure v2.
Ridimensionamento per lo SKU v1 del gateway applicazione (SKU Standard/WAF)
Impostare il numero di istanze in base al picco di utilizzo della CPU
Se si usa un gateway SKU v1, sarà possibile impostare il gateway applicazione su 32 istanze per il ridimensionamento. Controllare l'utilizzo della CPU del gateway applicazione nell'ultimo mese per eventuali picchi superiori all'80%, è disponibile come metrica da monitorare. È consigliabile impostare il numero di istanze in base all'utilizzo massimo e con un buffer aggiuntivo del 10% al 20% per tenere conto di eventuali picchi di traffico.
Usare lo SKU v2 piuttosto che la versione 1 per le funzionalità di scalabilità automatica e i vantaggi a livello di prestazioni
Lo SKU v2 offre funzionalità di scalabilità automatica per garantire che il gateway applicazione possa aumentare le prestazioni in caso di aumento del traffico. Offre anche altri vantaggi significativi a livello di prestazioni, ad esempio prestazioni di offload TLS 5 volte migliori, tempi di distribuzione e aggiornamento più rapidi, ridondanza della zona e molto altro rispetto alla versione v1. Per altre informazioni, vedere la documentazione sulla v2 e vedere la documentazione sulla migrazione da v1 a v2, per informazioni su come eseguire la migrazione dei gateway SKU v1 esistenti allo SKU v2.
Scalabilità automatica per lo SKU v2 del gateway applicazione (SKU Standard_v2/WAF_v2)
Impostare il numero massimo di istanze sul massimo possibile (125)
Per SKU v2 del gateway applicazione, l'impostazione del numero massimo di istanze sul valore massimo possibile di 125 consente l'estensione del gateway applicazione in base alle esigenze. Ciò permette di gestire il possibile aumento del traffico per le applicazioni. Verranno addebitati solo i costi per le unità di capacità usate.
Assicurarsi di controllare le dimensioni della subnet e il numero di indirizzi IP disponibili nella subnet e impostare il numero massimo di istanze in base a tale valore. Se la subnet non ha spazio sufficiente per adattarsi, è necessario ricreare il gateway nella stessa subnet o in una subnet diversa con capacità sufficiente.
Impostare il numero minimo di istanze in base all'utilizzo medio dell'unità di calcolo
Per lo SKU v2 del gateway applicazione, la scalabilità automatica richiede dai sei ai sette minuti per aumentare il numero di istanze ed effettuare il provisioning di un set aggiuntivo di istanze pronte per l'esecuzione del traffico. Fino ad allora, se sono presenti brevi picchi di traffico, le istanze del gateway esistenti potrebbero essere messe sotto pressione e ciò può causare una latenza imprevista o una perdita di traffico.
È consigliabile impostare il numero minimo di istanze su un livello ottimale. Ad esempio, se sono necessarie 50 istanze per gestire il traffico al picco di carico, impostare il valore minimo da 25 a 30 è una buona idea anziché su <10, in modo che anche quando sono presenti brevi picchi di traffico, il gateway applicazione potrà gestirlo e dare tempo sufficiente alla scalabilità automatica per rispondere e funzionare.
Controllare la metrica dell'unità di calcolo per l'ultimo mese. La metrica delle unità di calcolo è una rappresentazione dell'utilizzo della CPU del gateway e, in base al picco di utilizzo diviso per 10, è possibile impostare il numero minimo di istanze necessarie. Si noti che 1 istanza del gateway applicazione può gestire almeno 10 unità di calcolo
Scalabilità manuale per lo SKU v2 del gateway applicazione (Standard_v2/WAF_v2)
Impostare il numero di istanze in base all'utilizzo massimo dell'unità di calcolo
A differenza della scalabilità automatica, nella scalabilità manuale è necessario impostare manualmente il numero di istanze del gateway applicazione in base ai requisiti del traffico. È consigliabile impostare il numero di istanze in base all'utilizzo massimo e con un buffer aggiuntivo del 10% al 20% per tenere conto di eventuali picchi di traffico. Ad esempio, se il traffico richiede 50 istanze al picco, effettuare il provisioning da 55 a 60 istanze per gestire picchi di traffico imprevisti che possono verificarsi.
Controllare la metrica dell'unità di calcolo per l'ultimo mese. La metrica dell'unità di calcolo è una rappresentazione dell'utilizzo della CPU del gateway e, in base al picco di utilizzo diviso per 10, è possibile impostare il numero di istanze necessarie, poiché 1 istanza del gateway applicazione può gestire un minimo di 10 unità di calcolo
Monitoraggio e avvisi
Per ricevere una notifica di eventuali anomalie del traffico o dell'utilizzo, è possibile configurare avvisi su determinate metriche. Vedere la documentazione delle metriche per l'elenco completo delle metriche offerte dal gateway applicazione. Vedere visualizzare le metriche nel portale di Azure e la documentazione di Monitoraggio di Azure su come impostare gli avvisi per le metriche.
Per configurare gli avvisi usando i modelli di Resource Manager, vedere Configurare gli avvisi di Monitoraggio di Azure per il gateway applicazione.
Avvisi per lo SKU v1 del gateway applicazione (Standard/WAF)
Avvisare se l'utilizzo medio della CPU supera l'80%
In condizioni normali, l'utilizzo della CPU non deve superare regolarmente il 90%, in quanto ciò potrebbe causare una latenza nei siti Web ospitati dietro il gateway applicazione e compromettere l'esperienza del client. È possibile controllare indirettamente o migliorare l'utilizzo della CPU modificando la configurazione del gateway applicazione tramite un aumento del numero di istanze o il passaggio a dimensioni di SKU maggiori oppure eseguendo entrambe queste operazioni. Impostare un avviso se la metrica di utilizzo della CPU supera l'80% della media.
Avvisare se il numero di host non integri supera la soglia
Questa metrica indica il numero di server back-end di cui il gateway applicazione non è in grado di eseguire correttamente il probe. In questo modo si risolvono i problemi per cui le istanze del gateway applicazione non riescono a connettersi al back-end. Avvisare se il numero supera il 20% della capacità back-end. Ad esempio, se sono presenti 30 server back-end in un pool back-end, impostare un avviso se il numero di host non integri supera 6.
Avvisare se lo stato della risposta (4xx, 5xx) supera la soglia
Creare un avviso quando lo stato della risposta del gateway applicazione è 4xx o 5xx. È possibile che si verifichi occasionalmente una risposta 4xx o 5xx a causa di problemi temporanei. È necessario osservare il gateway nell'ambiente di produzione per determinare la soglia statica o usare una soglia dinamica per l'avviso.
Avvisare se le richieste non completate superano la soglia
Creare un avviso quando la metrica delle richieste non completate supera una soglia. È necessario osservare il gateway nell'ambiente di produzione per determinare la soglia statica o usare una soglia dinamica per l'avviso.
Esempio: Configurazione di un avviso per più di 100 richieste non riuscite negli ultimi 5 minuti
Questo esempio illustra come usare il portale di Azure per configurare un avviso quando il numero di richieste non riuscite negli ultimi 5 minuti è superiore a 100.
- Passare al gateway applicazione.
- Nel pannello a sinistra selezionare Metrica nella scheda Monitoraggio.
- Aggiungere una metrica per le richieste non riuscite.
- Fare clic su Nuova regola di avviso e definire la condizione e le azioni
- Fare clic su Crea regola di avviso per creare e abilitare l'avviso
Avvisi per lo SKU v2 del gateway applicazione (Standard_v2/WAF_v2)
Avvisare se l'utilizzo delle unità di calcolo supera il 75% dell'utilizzo medio
L'unità di calcolo è la misura dell'utilizzo di calcolo del gateway applicazione. Controllare l'utilizzo medio delle unità di calcolo nell'ultimo mese e impostare un avviso se supera il 75%. Ad esempio, se l'utilizzo medio è pari a 10 unità di calcolo, impostare un avviso per 7,5 unità di capacità. In questo modo viene visualizzato un avviso se l'utilizzo aumenta e si ha quindi tempo per rispondere. È possibile aumentare il valore minimo se si ritiene che il traffico sarà sostenuto per segnalare che il traffico potrebbe aumentare. Seguire i suggerimenti di ridimensionamento precedenti per aumentare il numero di istanze in base alle esigenze.
Esempio: Configurazione di un avviso per utilizzo medio di unità di capacità pari al 75%
Questo esempio illustra come usare il portale di Azure per configurare un avviso quando viene raggiunto il 75% dell'utilizzo medio di unità di capacità.
- Passare al gateway applicazione.
- Nel pannello a sinistra selezionare Metrica nella scheda Monitoraggio.
- Aggiungere una metrica per Average Current Compute Units (Unità di calcolo correnti medie).
- Se è stato impostato il numero minimo di istanze come utilizzo medio di unità di capacità, procedere e impostare un avviso quando il 75% del numero minimo di istanze è in uso. Ad esempio, se l'utilizzo medio è pari a 10 unità di capacità, impostare un avviso per 7,5 unità di capacità. In questo modo viene visualizzato un avviso se l'utilizzo aumenta e si ha quindi tempo per rispondere. È possibile aumentare il valore minimo se si ritiene che il traffico sarà sostenuto per segnalare che il traffico potrebbe aumentare.
Nota
È possibile impostare l'avviso affinché venga generato per una percentuale di utilizzo di unità di capacità inferiore o superiore, a seconda del livello di dettaglio desiderato per il rilevamento dei potenziali picchi di traffico.
Avvisare se l'utilizzo dell'unità di capacità supera il 75% dell'utilizzo massimo
Le unità di capacità rappresentano l'utilizzo complessivo del gateway in termini di velocità effettiva, calcolo e numero di connessioni. Controllare l'utilizzo massimo dell'unità di capacità nell'ultimo mese e impostare un avviso se supera il 75%. Ad esempio, se l'utilizzo massimo è di 100 unità di capacità, impostare un avviso su 75 unità di calcolo. Seguire i due suggerimenti precedenti per aumentare il numero di istanze, se necessario.
Avvisare se il numero di host non integri supera la soglia
Questa metrica indica il numero di server back-end di cui il gateway applicazione non è in grado di eseguire correttamente il probe. In questo modo si risolvono i problemi per cui le istanze del gateway applicazione non riescono a connettersi al back-end. Avvisare se il numero supera il 20% della capacità back-end. Ad esempio, se sono presenti 30 server back-end in un pool back-end, impostare un avviso se il numero di host non integri supera 6.
Avvisare se lo stato della risposta (4xx, 5xx) supera la soglia
Creare un avviso quando lo stato della risposta del gateway applicazione è 4xx o 5xx. È possibile che si verifichi occasionalmente una risposta 4xx o 5xx a causa di problemi temporanei. È necessario osservare il gateway nell'ambiente di produzione per determinare la soglia statica o usare una soglia dinamica per l'avviso.
Avvisare se le richieste non completate superano la soglia
Creare un avviso quando la metrica delle richieste non completate supera una soglia. È necessario osservare il gateway nell'ambiente di produzione per determinare la soglia statica o usare una soglia dinamica per l'avviso.
Avvisare se il tempo di risposta dell'ultimo byte di back-end che supera la soglia
Questa metrica indica l'intervallo di tempo tra l'avvio di una connessione al server back-end e la ricezione dell'ultimo byte del corpo della risposta. Creare un avviso se la latenza della risposta back-end supera una determinata soglia rispetto al solito. Ad esempio, impostare questa opzione per ricevere un avviso quando la latenza della risposta back-end aumenta di oltre il 30% rispetto al valore consueto.
Avvisare se il tempo totale del gateway applicazione che supera la soglia
Questo è l'intervallo dal momento in cui il gateway applicazione riceve il primo byte della richiesta HTTP all'ora in cui l'ultimo byte di risposta è stato inviato al client. È consigliabile creare un avviso se la latenza della risposta back-end supera una determinata soglia rispetto al solito. Ad esempio, possono impostare questa opzione per ricevere un avviso quando la latenza totale del tempo aumenta di oltre il 30% dal valore consueto.
Configurare WAF con filtri per posizione geografica e protezione dei bot per arrestare gli attacchi
Se si vuole un ulteriore livello di sicurezza per l'applicazione, usare il gateway applicazione WAF_v2 SKU per le funzionalità WAF. È possibile configurare lo SKU v2 in modo da consentire solo l'accesso alle applicazioni da un determinato paese/area geografica o da più aree geografiche/paesi. Si configura una regola personalizzata di WAF per consentire o bloccare in modo esplicito il traffico in base alla posizione geografica. Per altre informazioni, vedere Regole personalizzate di filtrazione per posizione geografica e Come configurare regole personalizzate per il gateway applicazione WAF_v2 SKU tramite PowerShell.
Abilitare la protezione dai bot per bloccare i bot dannosi noti. Questa operazione dovrebbe ridurre la quantità di traffico per l'applicazione. Per altre informazioni, vedere la pagina relativa alla protezione dai bot con istruzioni di configurazione.
Attivare la diagnostica per il gateway applicazione e WAF
I log di diagnostica consentono di visualizzare i log del firewall, i log delle prestazioni e i log di accesso. È possibile usare questi log in Azure per gestire e risolvere i problemi dei gateway applicazione. Per altre informazioni, vedere la documentazione relativa alla diagnostica.
Configurare un criterio TLS per maggiore sicurezza
Assicurarsi di usare la versione più recente dei criteri TLS (AppGwSslPolicy20220101) o successiva. Questi supportano una versione minima di TLS 1.2 con crittografie più avanzate. Per altre informazioni, vedere Configurazione delle versioni dei criteri TLS e dei pacchetti di crittografia tramite PowerShell.