Obsługa dużego natężenia ruchu usługi Application Gateway

Usługa Application Gateway z zaporą aplikacji internetowej (WAF) umożliwia skalowalny i bezpieczny sposób zarządzania ruchem do aplikacji internetowych.

Ważne jest, aby skalować usługę Application Gateway zgodnie z ruchem i z odrobiną buforu, aby przygotować się na wszelkie wzrosty ruchu lub skoki i zminimalizować wpływ, jaki może mieć w QoS. Poniższe sugestie ułatwiają skonfigurowanie usługi Application Gateway z zaporą aplikacji internetowej w celu obsługi dodatkowego ruchu.

Zapoznaj się z dokumentacją metryk, aby uzyskać pełną listę metryk oferowanych przez usługę Application Gateway. Zobacz wizualizację metryk w witrynie Azure Portal i dokumentację usługi Azure Monitor, aby dowiedzieć się, jak ustawić alerty dla metryk.

Aby uzyskać szczegółowe informacje i zalecenia dotyczące wydajności usługi Application Gateway, zobacz Artykuł Azure Well-Architected Framework review — aplikacja systemu Azure Gateway w wersji 2.

Skalowanie dla jednostki SKU usługi Application Gateway w wersji 1 (jednostka SKU w warstwie Standardowa/zapora aplikacji internetowej)

Ustawianie liczby wystąpień na podstawie szczytowego użycia procesora CPU

Jeśli używasz bramy jednostki SKU w wersji 1, możesz skonfigurować usługę Application Gateway do 32 wystąpień na potrzeby skalowania. Sprawdź wykorzystanie procesora CPU usługi Application Gateway w ciągu ostatniego miesiąca pod kątem skoków powyżej 80%, jest ono dostępne jako metryka do monitorowania. Zaleca się ustawienie liczby wystąpień zgodnie z szczytowym użyciem i użyciem 10% do 20% dodatkowego buforu, aby uwzględnić wszelkie skoki ruchu.

Używanie jednostki SKU w wersji 2 za pośrednictwem wersji 1 w celu uzyskania możliwości skalowania automatycznego i korzyści z wydajności

Jednostka SKU w wersji 2 oferuje skalowanie automatyczne, aby upewnić się, że usługa Application Gateway może skalować w górę w miarę wzrostu ruchu. Oferuje również inne znaczące korzyści z wydajności, takie jak 5x lepsze odciążanie protokołu TLS, szybsze wdrażanie i czasy aktualizacji, nadmiarowość strefy i nie tylko w porównaniu z wersją 1. Aby uzyskać więcej informacji, zobacz dokumentację dotyczącą migracji z wersji 2 do wersji 2, aby dowiedzieć się, jak migrować istniejące bramy jednostki SKU w wersji 1 do jednostki SKU w wersji 2.

Skalowanie automatyczne dla jednostki SKU Application Gateway v2 (jednostka SKU Standard_v2/WAF_v2)

Ustaw maksymalną liczbę wystąpień na maksymalną (125)

W przypadku jednostki SKU usługi Application Gateway w wersji 2 ustawienie maksymalnej liczby wystąpień na maksymalną możliwą wartość 125 umożliwia usłudze Application Gateway skalowanie w poziomie zgodnie z potrzebami. Dzięki temu może obsługiwać możliwy wzrost ruchu do aplikacji. Opłaty są naliczane tylko za używane jednostki wydajności .CU.

Pamiętaj, aby sprawdzić rozmiar podsieci i liczbę dostępnych adresów IP w podsieci i ustawić maksymalną liczbę wystąpień na podstawie tego. Jeśli podsieć nie ma wystarczającej ilości miejsca do uwzględnienia, musisz ponownie utworzyć bramę w tej samej lub innej podsieci, która ma wystarczającą pojemność.

Ustawianie minimalnej liczby wystąpień na podstawie średniego użycia jednostek obliczeniowych

W przypadku jednostki SKU usługi Application Gateway w wersji 2 skalowanie automatyczne trwa od sześciu do siedmiu minut, aby skalować w poziomie i aprowizować dodatkowy zestaw wystąpień gotowych do ruchu. Do tego czasu, jeśli występują krótkie skoki ruchu, istniejące wystąpienia bramy mogą zostać obciążone i może to spowodować nieoczekiwane opóźnienie lub utratę ruchu.

Zaleca się ustawienie minimalnej liczby wystąpień na optymalny poziom. Jeśli na przykład potrzebujesz 50 wystąpień do obsługi ruchu przy szczytowym obciążeniu, ustawienie minimum 25 do 30 jest dobrym pomysłem, a nie <na 10, tak aby nawet w przypadku krótkich wybuchów ruchu usługa Application Gateway mogła go obsłużyć i zapewnić wystarczającą ilość czasu na automatyczne skalowanie w celu reagowania i stosowania.

Sprawdź metryki jednostki obliczeniowej w ciągu ostatniego miesiąca. Metryka jednostki obliczeniowej jest reprezentacją użycia procesora CPU bramy i na podstawie szczytowego użycia podzielonego przez 10, można ustawić minimalną wymaganą liczbę wystąpień. Należy pamiętać, że 1 wystąpienie bramy aplikacji może obsługiwać co najmniej 10 jednostek obliczeniowych

Ręczne skalowanie jednostki SKU usługi Application Gateway w wersji 2 (Standard_v2/WAF_v2)

Ustawianie liczby wystąpień na podstawie szczytowego użycia jednostek obliczeniowych

W przeciwieństwie do skalowania automatycznego, w przypadku skalowania ręcznego należy ręcznie ustawić liczbę wystąpień bramy aplikacji na podstawie wymagań dotyczących ruchu. Zaleca się ustawienie liczby wystąpień zgodnie z szczytowym użyciem i użyciem 10% do 20% dodatkowego buforu, aby uwzględnić wszelkie skoki ruchu. Jeśli na przykład ruch wymaga 50 wystąpień w szczytowym momencie, aprowizuj od 55 do 60 wystąpień, aby obsłużyć nieoczekiwane skoki ruchu, które mogą wystąpić.

Sprawdź metryki jednostki obliczeniowej w ciągu ostatniego miesiąca. Metryka jednostki obliczeniowej jest reprezentacją wykorzystania procesora CPU bramy i na podstawie szczytowego użycia podzielonego przez 10, można ustawić wymaganą liczbę wystąpień, ponieważ 1 wystąpienie bramy aplikacji może obsłużyć co najmniej 10 jednostek obliczeniowych

Monitorowanie i zgłaszanie alertów

Aby otrzymywać powiadomienia o wszelkich anomaliach dotyczących ruchu lub wykorzystania, możesz skonfigurować alerty dotyczące określonych metryk. Zobacz dokumentację metryk, aby uzyskać pełną listę metryk oferowanych przez usługę Application Gateway. Zobacz wizualizację metryk w witrynie Azure Portal i dokumentację usługi Azure Monitor, aby dowiedzieć się, jak ustawić alerty dla metryk.

Aby skonfigurować alerty przy użyciu szablonów usługi ARM, zobacz Konfigurowanie alertów usługi Azure Monitor dla usługi Application Gateway.

Alerty dla jednostki SKU usługi Application Gateway w wersji 1 (Standardowa/WAF)

Alert, jeśli średnie wykorzystanie procesora CPU przekroczy 80%

W normalnych warunkach użycie procesora nie powinno regularnie przekraczać 90%, ponieważ może to powodować opóźnienie w witrynach internetowych hostowanych za bramą aplikacji i zakłócać środowisko klienta. Możesz pośrednio kontrolować lub poprawić wykorzystanie procesora CPU, modyfikując konfigurację usługi Application Gateway, zwiększając liczbę wystąpień lub przechodząc do większego rozmiaru jednostki SKU lub wykonując obie te czynności. Ustaw alert, jeśli metryka wykorzystania procesora CPU przekroczy średnią 80%.

Alert, jeśli liczba hostów w złej kondycji przekracza próg

Ta metryka wskazuje liczbę serwerów zaplecza, których brama aplikacji nie może pomyślnie sondować. To przechwytuje problemy polegające na tym, że wystąpienia usługi Application Gateway nie mogą nawiązać połączenia z zapleczem. Alert, jeśli ta liczba przekroczy 20% pojemności zaplecza. Jeśli na przykład masz 30 serwerów zaplecza w puli zaplecza, ustaw alert, jeśli liczba hostów w złej kondycji przekroczy 6.

Alert, jeśli próg przekracza stan odpowiedzi (4xx, 5xx)

Utwórz alert, gdy stan odpowiedzi usługi Application Gateway to 4xx lub 5xx. Czasami może wystąpić odpowiedź 4xx lub 5xx z powodu przejściowych problemów. Należy obserwować bramę w środowisku produkcyjnym, aby określić próg statyczny lub użyć progu dynamicznego dla alertu.

Alert, jeśli przekroczono próg żądań, które zakończyły się niepowodzeniem

Utwórz alert, gdy próg przekroczenia metryki nie powiodło się. Należy obserwować bramę w środowisku produkcyjnym, aby określić próg statyczny lub użyć progu dynamicznego dla alertu.

Przykład: Konfigurowanie alertu dla ponad 100 żądań, które zakończyły się niepowodzeniem w ciągu ostatnich 5 minut

W tym przykładzie pokazano, jak za pomocą witryny Azure Portal skonfigurować alert, gdy liczba niepomyślnych żądań w ciągu ostatnich 5 minut przekracza 100.

1. Przejdź do usługi Application Gateway.
2. Na panelu po lewej stronie wybierz pozycję Metryki na karcie Monitorowanie .
3. Dodaj metrykę dla żądań, które zakończyły się niepowodzeniem.
4. Kliknij pozycję Nowa reguła alertu i zdefiniuj warunek i akcje
5. Kliknij pozycję Utwórz regułę alertu, aby utworzyć i włączyć alert

Alerty dotyczące jednostki SKU usługi Application Gateway w wersji 2 (Standard_v2/WAF_v2)

Alert, jeśli użycie jednostek obliczeniowych przekracza 75% średniego użycia

Jednostka obliczeniowa jest miarą wykorzystania zasobów obliczeniowych w usłudze Application Gateway. Sprawdź średnie użycie jednostek obliczeniowych w ciągu ostatniego miesiąca i ustaw alert, jeśli przekroczy 75% z niego. Jeśli na przykład średnie użycie wynosi 10 jednostek obliczeniowych, ustaw alert dla 7,5 jednostek CU. To alerty, jeśli użycie rośnie i daje czas odpowiedzi. Możesz podnieść minimum, jeśli uważasz, że ten ruch będzie trwały, aby otrzymywać alerty o tym, że ruch może rosnąć. Postępuj zgodnie z powyższymi sugestiami skalowania, aby skalować w poziomie w razie potrzeby.

Przykład: konfigurowanie alertu dotyczącego 75% średniego użycia aktualizacji CU

W tym przykładzie pokazano, jak za pomocą witryny Azure Portal skonfigurować alert po osiągnięciu 75% średniego użycia aktualizacji cu.

1. Przejdź do usługi Application Gateway.
2. Na panelu po lewej stronie wybierz pozycję Metryki na karcie Monitorowanie .
3. Dodaj metrykę dla średnich bieżących jednostek obliczeniowych.
4. Jeśli ustawiono minimalną liczbę wystąpień na średnie użycie aktualizacji CU, przejdź do przodu i ustaw alert, gdy są używane 75% minimalnych wystąpień. Jeśli na przykład średnie użycie wynosi 10 jednostek CU, ustaw alert dla 7,5 jednostek CU. To alerty, jeśli użycie rośnie i daje czas odpowiedzi. Możesz podnieść minimum, jeśli uważasz, że ten ruch będzie trwały, aby otrzymywać alerty o tym, że ruch może rosnąć.

Alert, jeśli wykorzystanie jednostek pojemności przekracza 75% szczytowego użycia

Jednostki pojemności reprezentują ogólne wykorzystanie bramy pod względem przepływności, obliczeń i liczby połączeń. Sprawdź maksymalne użycie jednostek pojemności w ciągu ostatniego miesiąca i ustaw alert, jeśli przekroczy 75% z niego. Jeśli na przykład maksymalne użycie wynosi 100 jednostek pojemności, ustaw alert dla 75 jednostek CU. Postępuj zgodnie z powyższymi dwiema sugestiami, aby skalować w poziomie w razie potrzeby.

Alert, jeśli liczba hostów w złej kondycji przekracza próg

Ta metryka wskazuje liczbę serwerów zaplecza, których brama aplikacji nie może pomyślnie sondować. To przechwytuje problemy polegające na tym, że wystąpienia usługi Application Gateway nie mogą nawiązać połączenia z zapleczem. Alert, jeśli ta liczba przekroczy 20% pojemności zaplecza. Jeśli na przykład masz 30 serwerów zaplecza w puli zaplecza, ustaw alert, jeśli liczba hostów w złej kondycji przekroczy 6.

Alert, jeśli próg przekracza stan odpowiedzi (4xx, 5xx)

Utwórz alert, gdy stan odpowiedzi usługi Application Gateway to 4xx lub 5xx. Czasami może wystąpić odpowiedź 4xx lub 5xx z powodu przejściowych problemów. Należy obserwować bramę w środowisku produkcyjnym, aby określić próg statyczny lub użyć progu dynamicznego dla alertu.

Alert, jeśli przekroczono próg żądań, które zakończyły się niepowodzeniem

Utwórz alert, gdy próg przekroczenia metryki nie powiodło się. Należy obserwować bramę w środowisku produkcyjnym, aby określić próg statyczny lub użyć progu dynamicznego dla alertu.

Alert, jeśli próg czasu ostatniego bajtu odpowiedzi zaplecza przekracza próg

Ta metryka wskazuje przedział czasu między rozpoczęciem nawiązywania połączenia z serwerem zaplecza i odbieraniem ostatniego bajtu treści odpowiedzi. Utwórz alert, jeśli opóźnienie odpowiedzi zaplecza jest większe niż zwykle określone progi. Na przykład ustaw tę opcję, aby otrzymywać alerty, gdy opóźnienie odpowiedzi zaplecza zwiększa się o ponad 30% od zwykłej wartości.

Alert, jeśli łączny czas usługi Application Gateway przekracza próg

Jest to interwał od momentu odebrania przez usługę Application Gateway pierwszego bajtu żądania HTTP do momentu wysłania ostatniego bajtu odpowiedzi do klienta. Powinien utworzyć alert, jeśli opóźnienie odpowiedzi zaplecza jest większe niż zwykle określone progi. Można na przykład ustawić tę opcję, aby otrzymywać alerty, gdy łączne opóźnienie czasu zwiększa się o ponad 30% od zwykłej wartości.

Konfigurowanie zapory aplikacji internetowej z filtrowaniem geograficznym i ochroną botów w celu zatrzymania ataków

Jeśli potrzebujesz dodatkowej warstwy zabezpieczeń przed aplikacją, użyj jednostki SKU usługi Application Gateway WAF_v2 na potrzeby funkcji zapory aplikacji internetowej. Jednostkę SKU w wersji 2 można skonfigurować tak, aby zezwalała tylko na dostęp do aplikacji z danego kraju/regionu lub krajów/regionów. Skonfigurowaliśmy regułę niestandardową zapory aplikacji internetowej, aby jawnie zezwalać na ruch lub blokować ruch na podstawie lokalizacji geograficznej. Aby uzyskać więcej informacji, zobacz Filtrowanie geograficzne reguł niestandardowych i sposób konfigurowania reguł niestandardowych w usłudze Application Gateway WAF_v2 sku za pomocą programu PowerShell.

Włącz ochronę botów, aby zablokować znane złe boty. Powinno to zmniejszyć ilość ruchu przychodzącego do aplikacji. Aby uzyskać więcej informacji, zobacz ochrona botów za pomocą instrukcji konfiguracji.

Włączanie diagnostyki w usłudze Application Gateway i zaporze aplikacji internetowej

Dzienniki diagnostyczne umożliwiają wyświetlanie dzienników zapory, dzienników wydajności i dzienników dostępu. Te dzienniki można używać na platformie Azure do zarządzania usługami Application Gateway i rozwiązywania problemów z nimi. Aby uzyskać więcej informacji, zobacz dokumentację diagnostyki.

Konfigurowanie zasad protokołu TLS w celu zapewnienia dodatkowych zabezpieczeń

Upewnij się, że używasz najnowszej wersji zasad PROTOKOŁU TLS (AppGwSslPolicy20220101) lub nowszej. Obsługują one minimalną wersję protokołu TLS w wersji 1.2 z silniejszymi szyframi. Aby uzyskać więcej informacji, zobacz Konfigurowanie wersji zasad PROTOKOŁU TLS i zestawów szyfrowania za pomocą programu PowerShell.