Stöd för höga trafikvolymer i Application Gateway

Kommentar

Den här artikeln beskriver några föreslagna riktlinjer som hjälper dig att konfigurera din Application Gateway för att hantera extra trafik för alla volymer med hög trafik som kan uppstå. Tröskelvärdena för aviseringar är enbart förslag och generiska. Användare kan fastställa tröskelvärden för aviseringar baserat på deras förväntningar på arbetsbelastning och användning.

Du kan använda Application Gateway med Web Application Firewall (WAF) för ett skalbart och säkert sätt att hantera trafik till dina webbprogram.

Det är viktigt att du skalar din Application Gateway enligt din trafik och med lite buffert så att du är beredd på eventuella trafiktoppar eller toppar och minimerar den påverkan som den kan ha i din QoS. Följande förslag hjälper dig att konfigurera Application Gateway med WAF för att hantera extra trafik.

I dokumentationen för mått finns en fullständig lista över mått som erbjuds av Application Gateway. Se visualisera mått i dokumentationen för Azure Portal och Azure Monitor om hur du anger aviseringar för mått.

Mer information och rekommendationer om prestandaeffektivitet för Application Gateway finns i Azure Well-Architected Framework review – Azure Application Gateway v2.

Skalning för Application Gateway v1 SKU (Standard/WAF SKU)

Ange antalet instanser baserat på din högsta CPU-användning

Om du använder en V1 SKU-gateway har du möjlighet att ställa in din Application Gateway upp till 32 instanser för skalning. Kontrollera cpu-användningen för Application Gateway under den senaste månaden för eventuella toppar över 80 %. Det är tillgängligt som ett mått som du kan övervaka. Vi rekommenderar att du anger antalet instanser enligt din högsta användning och med en buffert på 10 % till 20 % för att ta hänsyn till eventuella trafiktoppar.

V1 CPU-användningsmått

Använd V2 SKU över v1 för dess funktioner för automatisk skalning och prestandafördelar

V2 SKU erbjuder automatisk skalning för att säkerställa att Din Application Gateway kan skalas upp när trafiken ökar. Det ger också andra betydande prestandafördelar, till exempel 5x bättre TLS-avlastningsprestanda, snabbare distributions- och uppdateringstider, zonredundans och mer jämfört med v1. Mer information finns i vår v2-dokumentation och se vår dokumentation om v1 till v2-migrering för att lära dig hur du migrerar dina befintliga V1 SKU-gatewayer till v2 SKU.

Automatisk skalning för Application Gateway v2 SKU (Standard_v2/WAF_v2 SKU)

Ange maximalt antal instanser till maximalt antal möjliga (125)

För Application Gateway v2 SKU kan Application Gateway skala ut efter behov genom att ange det maximala antalet instanser till det maximala möjliga värdet på 125. På så sätt kan den hantera den möjliga ökningen av trafiken till dina program. Du debiteras endast för de kapacitetsenheter (CUS) som du använder.

Kontrollera storleken på undernätet och antalet tillgängliga IP-adresser i undernätet och ange det maximala antalet instanser baserat på detta. Om ditt undernät inte har tillräckligt med utrymme för att rymma, måste du återskapa din gateway i samma eller ett annat undernät som har tillräckligt med kapacitet.

Konfiguration av automatisk skalning i V2

Ange ditt minsta antal instanser baserat på din genomsnittliga beräkningsenhetsanvändning

För Application Gateway v2 SKU tar det sex till sju minuter att skala ut och etablera ytterligare instanser som är redo att ta trafik. Tills dess, om det finns korta trafiktoppar, kan dina befintliga gatewayinstanser bli stressade och detta kan orsaka oväntad svarstid eller förlust av trafik.

Vi rekommenderar att du anger det minsta antalet instanser till en optimal nivå. Om du till exempel behöver 50 instanser för att hantera trafiken vid hög belastning är det en bra idé att ange minst 25 till 30 i stället för vid <10, så att Application Gateway även när det finns korta trafiktoppar kan hantera den och ge tillräckligt med tid för automatisk skalning att svara och börja gälla.

Kontrollera beräkningsenhetsmåttet för den senaste månaden. Beräkningsenhetsmått är en representation av din gateways CPU-användning och baserat på din högsta användning dividerat med 10 kan du ange det minsta antal instanser som krävs. Observera att en programgatewayinstans kan hantera minst 10 beräkningsenheter

V2-beräkningsenhetsmått

Manuell skalning för Application Gateway v2 SKU (Standard_v2/WAF_v2)

Ange antalet instanser baserat på din högsta användning av beräkningsenheter

Till skillnad från automatisk skalning måste du vid manuell skalning manuellt ange antalet instanser av din programgateway baserat på trafikkraven. Vi rekommenderar att du anger antalet instanser enligt din högsta användning och med en buffert på 10 % till 20 % för att ta hänsyn till eventuella trafiktoppar. Om din trafik till exempel kräver 50 instanser med hög belastning etablerar du 55 till 60 instanser för att hantera oväntade trafiktoppar som kan uppstå.

Kontrollera beräkningsenhetsmåttet för den senaste månaden. Beräkningsenhetsmått är en representation av din gateways CPU-användning och baserat på din högsta användning dividerat med 10 kan du ange det antal instanser som krävs eftersom 1 programgatewayinstans kan hantera minst 10 beräkningsenheter

Övervakning och avisering

Om du vill få meddelanden om eventuella trafik- eller användningsavvikelser kan du konfigurera aviseringar för vissa mått. I dokumentationen för mått finns en fullständig lista över mått som erbjuds av Application Gateway. Se visualisera mått i dokumentationen för Azure Portal och Azure Monitor om hur du anger aviseringar för mått.

Information om hur du konfigurerar aviseringar med ARM-mallar finns i Konfigurera Azure Monitor-aviseringar för Application Gateway.

Aviseringar för Application Gateway v1 SKU (Standard/WAF)

Avisering om genomsnittlig CPU-användning överskrider 80 %

Under normala förhållanden bör CPU-användningen inte regelbundet överskrida 90 %,eftersom detta kan orsaka långsamma svarstider på de webbplatser som Application Gateway är värd för, vilket kan vara frustrerande för kunderna. Du kan indirekt styra eller förbättra CPU-användningen genom att ändra konfigurationen av Application Gateway genom att öka antalet instanser eller flytta till en större SKU-storlek eller göra båda. Ange en avisering om cpu-användningsmåttet överskrider genomsnittet på 80 %.

Avisering om antal ej felfria värdar överskrider tröskelvärdet

Det här måttet anger antalet serverdelsservrar som programgatewayen inte kan avsöka. Detta fångar upp problem där Application Gateway-instanser inte kan ansluta till serverdelen. Avisera om det här antalet överskrider 20 % av serverdelskapaciteten. Om du till exempel har 30 serverdelsservrar i en serverdelspool anger du en avisering om antalet felaktiga värdar överskrider 6.

Avisering om svarsstatus (4xx, 5xx) överskrider tröskelvärdet

Skapa avisering när Application Gateway-svarsstatusen är 4xx eller 5xx. Det kan uppstå enstaka 4xx- eller 5xx-svar på grund av tillfälliga problem. Du bör observera gatewayen i produktionen för att fastställa statiska tröskelvärden eller använda dynamiskt tröskelvärde för aviseringen.

Avisering om misslyckade begäranden överskrider tröskelvärdet

Skapa avisering när måttet Misslyckade begäranden överskrider tröskelvärdet. Du bör observera gatewayen i produktionen för att fastställa statiska tröskelvärden eller använda dynamiskt tröskelvärde för aviseringen.

Exempel: Konfigurera en avisering för fler än 100 misslyckade begäranden under de senaste 5 minuterna

Det här exemplet visar hur du använder Azure Portal för att konfigurera en avisering när antalet misslyckade begäranden under de senaste 5 minuterna är mer än 100.

  1. Gå till din Application Gateway.
  2. Välj Mått på fliken Övervakningden vänstra panelen.
  3. Lägg till ett mått för Misslyckade begäranden.
  4. Klicka på Ny aviseringsregel och definiera villkor och åtgärder
  5. Klicka på Skapa aviseringsregel för att skapa och aktivera aviseringen

V2 skapa aviseringar

Aviseringar för Application Gateway v2 SKU (Standard_v2/WAF_v2)

Avisering om beräkningsenhetsanvändningen överskrider 75 % av den genomsnittliga användningen

Beräkningsenheten är måttet på beräkningsanvändningen för din Application Gateway. Kontrollera den genomsnittliga användningen av beräkningsenheter under den senaste månaden och ange avisering om den överskrider 75 % av den. Om din genomsnittliga användning till exempel är 10 beräkningsenheter anger du en avisering på 7,5 CU:er. Detta varnar dig om användningen ökar och ger dig tid att svara. Du kan höja minimivärdet om du tror att trafiken kommer att upprätthållas för att varna dig om att trafiken kan öka. Följ skalningsförslagen ovan för att skala ut efter behov.

Exempel: Konfigurera en avisering för 75 % av den genomsnittliga CU-användningen

Det här exemplet visar hur du använder Azure Portal för att konfigurera en avisering när 75 % av den genomsnittliga CU-användningen nås.

  1. Gå till din Application Gateway.
  2. Välj Mått på fliken Övervakningden vänstra panelen.
  3. Lägg till ett mått för genomsnittliga aktuella beräkningsenheter.
  4. Om du har angett att ditt minsta antal instanser ska vara din genomsnittliga CU-användning kan du gå vidare och ange en avisering när 75 % av dina minsta instanser används. Om din genomsnittliga användning till exempel är 10 PROCESSORer anger du en avisering på 7,5 CU:er. Detta varnar dig om användningen ökar och ger dig tid att svara. Du kan höja minimivärdet om du tror att trafiken kommer att upprätthållas för att varna dig om att trafiken kan öka.

Aviseringar för V2-beräkningsenhet

Kommentar

Du kan ange att aviseringen ska ske med en lägre eller högre CU-användningsprocent beroende på hur känslig du vill vara för potentiella trafiktoppar.

Avisering om kapacitetsenhetsanvändningen överskrider 75 % av den högsta användningen

Kapacitetsenheter representerar den totala gatewayanvändningen när det gäller dataflöde, beräkning och antal anslutningar. Kontrollera din maximala kapacitetsenhetsanvändning under den senaste månaden och ange avisering om den överskrider 75 % av den. Om din maximala användning till exempel är 100 kapacitetsenheter anger du en avisering på 75 CU:er. Följ ovanstående två förslag för att skala ut efter behov.

Avisering om antal ej felfria värdar överskrider tröskelvärdet

Det här måttet anger antalet serverdelsservrar som programgatewayen inte kan avsöka. Detta fångar upp problem där Application Gateway-instanser inte kan ansluta till serverdelen. Avisera om det här antalet överskrider 20 % av serverdelskapaciteten. Om du till exempel har 30 serverdelsservrar i en serverdelspool anger du en avisering om antalet felaktiga värdar överskrider 6.

Avisering om svarsstatus (4xx, 5xx) överskrider tröskelvärdet

Skapa avisering när Application Gateway-svarsstatusen är 4xx eller 5xx. Det kan uppstå enstaka 4xx- eller 5xx-svar på grund av tillfälliga problem. Du bör observera gatewayen i produktionen för att fastställa statiska tröskelvärden eller använda dynamiskt tröskelvärde för aviseringen.

Avisering om misslyckade begäranden överskrider tröskelvärdet

Skapa avisering när måttet Misslyckade begäranden överskrider tröskelvärdet. Du bör observera gatewayen i produktionen för att fastställa statiska tröskelvärden eller använda dynamiskt tröskelvärde för aviseringen.

Avisering om svarstiden för serverdelens senaste byte överskrider tröskelvärdet

Det här måttet anger tidsintervallet mellan att upprätta en anslutning till serverdelsservern och ta emot svarstextens sista byte. Skapa en avisering om svarstiden för serverdelen är mer än ett visst tröskelvärde från vanligt. Ange till exempel att detta ska aviseras när svarsfördröjningen för serverdelen ökar med mer än 30 % från det vanliga värdet.

Avisering om Total tid för Application Gateway överskrider tröskelvärdet

Det här är intervallet från den tidpunkt då Application Gateway tar emot den första byte av HTTP-begäran till den tidpunkt då senaste svarsbyte har skickats till klienten. Bör skapa en avisering om svarstiden för serverdelen är mer än ett visst tröskelvärde från vanligt. De kan till exempel ställa in att detta ska aviseras när den totala tidsfördröjningen ökar med mer än 30 % från det vanliga värdet.

Konfigurera WAF med geofiltrering och robotskydd för att stoppa attacker

Om du vill ha ett extra säkerhetslager framför programmet använder du Application Gateway WAF_v2 SKU för WAF-funktioner. Du kan konfigurera V2 SKU:n så att den endast tillåter åtkomst till dina program från ett visst land/en viss region eller länder/regioner. Du konfigurerar en anpassad WAF-regel för att uttryckligen tillåta eller blockera trafik baserat på geo-platsen. Mer information finns i geofiltrering av anpassade regler och hur du konfigurerar anpassade regler på Application Gateway WAF_v2 SKU via PowerShell.

Aktivera robotskydd för att blockera kända felaktiga robotar. Detta bör minska mängden trafik som kommer till ditt program. Mer information finns i botskydd med konfigurationsinstruktioner.

Aktivera diagnostik på Application Gateway och WAF

Med diagnostikloggar kan du visa brandväggsloggar, prestandaloggar och åtkomstloggar. Du kan använda dessa loggar i Azure för att hantera och felsöka Application Gateways. Mer information finns i vår diagnostikdokumentation.

Konfigurera en TLS-princip för extra säkerhet

Se till att du använder den senaste TLS-principversionen (AppGwSslPolicy20220101) eller senare. Dessa stöder en lägsta TLS-version av 1.2 med starkare chiffer. Mer information finns i konfigurera TLS-principversioner och chiffersviter via PowerShell.