vyrovnávání zatížení ve více oblastech pomocí Traffic Manager a Application Gateway

Application Gateway
Bastion
Load Balancer
Traffic Manager

Tato referenční architektura slouží webovým úlohám s odolnými vícevrstvým aplikacím a nasazovat je napříč několika oblastmi Azure za účelem dosažení vysoké dostupnosti a robustního zotavení po havárii.

Microsoft Azure Traffic Manager vyvažuje provoz mezi oblastmi a existuje regionální nástroj pro vyrovnávání zatížení založený na Azure Application Gateway. Tato kombinace vám získá výhody Traffic Manager flexibilního směrování a Application Gateway mnoha možností, mezi které patří:

  • Web Application Firewall (WAF).
  • Ukončení protokolu TLS (Transport Layer Security).
  • Směrování na základě cesty.
  • Spřažení relací na základě souborů cookie.

V tomto scénáři se aplikace skládá ze tří vrstev:

  • Webová vrstva – jedná se o nejvyšší vrstvu a má uživatelské rozhraní. Parsuje uživatelské interakce a předává akce do obchodní vrstvy ke zpracování.
  • Obchodní úroveň – zpracovává interakce uživatelů a určuje další kroky. Propojuje webovou a datovou vrstvu.
  • Datová vrstva – ukládá data aplikace, obvykle v databázi, úložišti objektů nebo souborech.

Vyrovnávání zatížení ve více oblastech s Application Gateway a Traffic Manager.

Poznámka

Azure poskytuje sadu plně spravovaných řešení pro vyrovnávání zatížení. Pokud hledáte ukončovací protokol TLS (Transport Layer Security) (přesměrování zpracování SSL) nebo zpracování na základě požadavků HTTP/HTTPS, pro zpracování na aplikační vrstvě, Azure Application Gateway?. Pokud hledáte regionální vyrovnávání zatížení, pročtěte si Azure Load Balancer. Vašim kompletním scénářům by mohla prospět kombinace těchto řešení podle potřeby.

Porovnání možností vyrovnávání zatížení Azure najdete v tématu Přehled možností vyrovnávání zatížení v Azure.

Architektura

Traffic Manager funguje ve vrstvě DNS a směruje provoz aplikací podle vaší volby metody směrování. Můžete například směrovat, aby se požadavky odesílaly do nejbližších koncových bodů, aby se zlepšila odezva. Application Gateway zatížení vyvažuje požadavky HTTP(S) a WebSocket, protože je směruje na servery back-endového fondu. Back-endem mohou být veřejné nebo privátní koncové body, virtuální počítače, azure Virtual Machine Scale Sets, app services nebo clustery AKS. Provoz můžete směrovat na základě atributů požadavku HTTP, jako je název hostitele a cesta URI.

Komponenty

  • Azure Virtual Machines Virtuální počítače jsou škálovatelné výpočetní prostředky na vyžádání, které poskytují flexibilitu virtualizace, ale eliminují nároky na údržbu fyzického hardwaru. Mezi možnosti operačního systému patří Windows a Linux. Virtuální počítače jsou škálovatelné prostředky na vyžádání.
  • Azure Virtual Machine Scale Sets je automatické škálování virtuálního počítače s vyrovnáváním zatížení, které zjednodušuje správu aplikací a zvyšuje dostupnost.
  • Traffic Manager je nástroj pro vyrovnávání zatížení provozu založený na DNS, který optimálně distribuuje provoz do služeb napříč globálními oblastmi Azure a současně poskytuje vysokou dostupnost a rychlost odezvy. Další informace najdete v části konfigurace Traffic Manageru.
  • Application Gateway je nástroj pro vyrovnávání zatížení vrstvy 7. V této architektuře zónově redundantní Application Gateway směruje požadavky HTTP na webový front-end. Application Gateway také poskytuje Web Application Firewall (WAF), který chrání aplikaci před běžným zneužitím a ohrožením zabezpečení. SKU v2 pro Application Gateway podporuje redundanci mezi zónami. Jedno Application Gateway může spustit více instancí brány.
  • Azure Load Balancer je nástroj pro vyrovnávání zatížení vrstvy 4. Existují dvě SKU: Standard a Basic. V této architektuře zónově redundantní Standard Load Balancer síťový provoz z webové vrstvy do obchodní vrstvy. Protože zónově redundantní Load Balancer není připnutá ke konkrétní zóně, bude aplikace v případě selhání zóny dál distribuovat síťový provoz.
  • Azure DDoS Protection vylepšené funkce pro ochranu před distribuovaný útokem na odepření služeb (DDoS), funkce, které jdou nad rámec základní ochrany, kterou Azure poskytuje.
  • Azure DNS je hostitelská služba pro domény DNS. Poskytuje překlad názvů pomocí Microsoft Azure infrastruktury. Pokud svoje domény hostujete v Azure, můžete spravovat svoje DNS záznamy pomocí stejných přihlašovacích údajů, rozhraní API a nástrojů a za stejných fakturačních podmínek jako u ostatních služeb Azure. Azure DNS také privátní zóny DNS. Azure DNS Private Zones překlad názvů v rámci virtuální sítě i mezi virtuálními sítěmi. Záznamy obsažené v privátní zóně DNS nelze z internetu překládání. Překlad DNS proti privátní zóně DNS funguje jenom z virtuálních sítí, které jsou s ní propojené.
  • Azure Virtual Network je zabezpečená privátní síť v cloudu. Propojuje virtuální počítače mezi sebou, k internetu a k místním sítím.
  • Azure Bastion poskytuje zabezpečený a bezproblémový přístup protokol RDP (Remote Desktop Protocol) (RDP) a Secure Shell (SSH) k virtuálním počítačům v rámci virtuální sítě. To poskytuje přístup při omezování vystavených veřejných IP adres virtuálních počítačů ve virtuální síti. Azure Bastion poskytuje nákladově efektivní alternativu ke zřízené virtuálnímu počítači, která poskytuje přístup ke všem virtuálním počítačům ve stejné virtuální síti.

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

  • Pro vyšší dostupnost použijte alespoň dvě oblasti Azure. Aplikaci můžete nasadit napříč několika oblastmi Azure v konfiguracích aktivní/pasivní nebo aktivní/aktivní. Podrobnosti najdete v tématu Více oblastí.
  • Pro produkční úlohy spusťte alespoň dvě instance brány. Všimněte si, že v této architektuře jsou veřejné koncové body služeb Application Gateway nakonfigurované jako Traffic Manager back-endy.
  • Pomocí pravidel skupin zabezpečení sítě (NSG) můžete omezit provoz mezi vrstvami. Podrobnosti najdete v tématu Skupiny zabezpečení sítě.

Aspekty dostupnosti

Zóny dostupnosti Azure

Zóny dostupnosti Azure vysokou dostupnost v rámci oblasti. Regionální síť propojuje alespoň tři fyzicky odlišná strategicky umístěná datacentra v každé oblasti.

Několik oblastí

Nasazení v několika oblastech může poskytovat vyšší dostupnost než nasazení do jedné oblasti. Pokud oblastní výpadek ovlivní primární oblast, můžete použít Traffic Manager a převzít služby při selhání sekundární oblastí. V případě selhání jednotlivého subsystému aplikace může také pomoct více oblastí.

Upozorňujeme, že tato architektura se vztahuje na aktivní/pasivní i pro konfigurace aktivní/aktivní napříč oblastmi Azure.

Technické informace najdete v tématu Oblasti a Zóny dostupnosti v Azure.

Spárované oblasti

Každá oblast Azure je spárovaná s jinou oblastí ve stejné geografické oblasti (například oblast USA, Evropa nebo Asie). Tento přístup umožňuje replikaci prostředků napříč oblastmi, jako je úložiště virtuálního počítače. Myšlenka je, že jedna oblast bude dostupná i v případě, že druhá přestane být dostupná kvůli přírodní katastrofě, občanskému nepokoji, výpadku napájení, výpadku sítě atd.

Párování podle oblasti má i další výhody, mezi které patří:

  • V případě rozsáhlejšího výpadku Azure je z každého páru jedna oblast určená jako prioritní. To pomáhá zkrátit čas potřebný k obnovení aplikací.
  • Plánované aktualizace Azure se pro spárované oblasti nasazují po jedné. Tím se minimalizují prostoje a riziko výpadku aplikací.
  • Pro daňové účely a účely vymáhání zákonů jsou data nadále uložená ve stejné zeměpisné oblasti jako pár oblastí (s výjimkou oblasti Brazílie – jih).

Ujistěte se, že obě oblasti podporují všechny služby Azure, které vaše aplikace potřebuje (viz Služby podle oblasti). Další informace o oblastních párech najdete v článku Provozní kontinuita a zotavení po havárii (BCDR): Spárované oblasti Azure.

Konfigurace Traffic Manageru

Traffic Manager zajišťuje vysokou dostupnost důležitých aplikací prostřednictvím monitorování koncových bodů a poskytování automatického převzetí služeb při selhání, když dojde k vypnutí koncového bodu.

Při konfiguraci Traffic Manageru zvažte následující body:

  • Směrování – Traffic Manager podporuje šest metod směrování provozu, které určují, jak směrovat provoz do různých koncových bodů služby. V této architektuře používáme směrování podle výkonu, které směruje provoz do koncového bodu s nejnižší latencí pro uživatele. Traffic Manager se automaticky upraví při změně latence koncového bodu. Pokud potřebujete podrobnější kontrolu – například zvolit upřednostňované převzetí služeb při selhání v rámci oblasti – můžete použít Traffic Manager ve vnořené konfiguraci.

    Informace o konfiguraci najdete v tématu Konfigurace metody směrování provozu podle výkonu.

    Informace o různých metodách směrování najdete v tématu Traffic Manager metodách směrování.

  • Sonda stavu – Traffic Manager pomocí sondy HTTP (nebo HTTPS) monitoruje dostupnost jednotlivých oblastí. Tato sonda kontroluje odpověď HTTP 200 pro zadanou cestu adresy URL. Osvědčeným postupem je vytvořit koncový bod, který bude hlásit celkový stav aplikace, a použít tento koncový bod pro sondu stavu. V opačném případě může sonda nahlásit koncový bod, který je v pořádku, když selhávají kritické části aplikace. Další informace najdete v tématu Model monitorování stavu pomocí koncových bodů.

    Když Traffic Manager převezme služby při selhání, nastane časový úsek, ve kterém se klienti nebudou moct k aplikaci připojit. Dobu trvání ovlivňují následující faktory:

    • Sonda stavu musí odhalit, že primární oblast už není dostupná.
    • Servery DNS musí aktualizovat záznamy DNS v mezipaměti pro danou IP adresu, která je závislá na DNS hodnotě TTL (Time to Live). Výchozí hodnotou TTL je 300 sekund (5 minut), ale tuto hodnotu můžete při vytváření profilu Traffic Manageru upravit.

    další podrobnosti najdete v tématu o monitorování Traffic Manager.

  • Zobrazení přenosů – umožňuje zobrazení přenosů pochopit, které oblasti mají velký objem provozu, ale mají větší latenci. Potom tyto informace použijete k naplánování rozšíření vašich nároků na nové oblasti Azure. Díky nim budou mít uživatelé nižší možnosti latence. podrobnosti najdete v tématu Traffic Manager Zobrazení přenosů .

Application Gateway

  • Application Gateway v1 SKU podporuje scénáře s vysokou dostupností, pokud jste nasadili dvě nebo víc instancí. Azure distribuuje tyto instance napříč doménami aktualizace a selhání, aby se zajistilo, že se instance ve stejnou dobu nedaří. SKU v1 podporuje škálovatelnost přidáním více instancí stejné brány pro sdílení zatížení.
  • Application Gateway v2 SKU automaticky zajišťuje rozprostření nových instancí mezi doménami selhání a aktualizačními doménami. Pokud zvolíte redundanci zóny, nejnovější instance se rozšíří i napříč zónami dostupnosti, aby se nabízela odolnost selhání zóny.

Sondy stavu

Application Gateway a Load Balancer ke sledování dostupnosti instancí virtuálních počítačů použít sondy stavu.

  • Application Gateway vždy používá test HTTP.
  • Load Balancer může testovat protokol HTTP nebo TCP. Obecně platí, že pokud virtuální počítač spustí server HTTP, použijte test HTTP. V opačném případě použijte protokol TCP.

Pokud se test nemůže spojit s instancí v rámci časového limitu, Application Gateway nebo Load Balancer přestane odesílat data do tohoto virtuálního počítače. Sonda bude pokračovat v kontrole a vrátí virtuální počítač do fondu back-end, pokud bude virtuální počítač opět k dispozici. Sondy HTTP odesílají požadavek HTTP GET do zadané cesty a naslouchají odpovědi HTTP 200. Tato cesta může být kořenová cesta ("/") nebo koncový bod monitorování stavu, který implementuje vlastní logiku pro kontrolu stavu aplikace. Tento koncový bod musí umožňovat anonymní žádosti HTTP.

Další informace o sondách stavu najdete v těchto tématech:

Informace o návrhu koncového bodu sondy stavu najdete v tématu monitorování stavu koncových bodů.

Aspekty správy

  • Skupiny prostředků – používání skupin prostředků ke správě prostředků Azure podle životnosti, vlastníka a dalších vlastností.
  • Partnerský vztah virtuální sítě – pomocí partnerského vztahu virtuálních sítí můžete hladce propojit dvě nebo víc virtuálních sítí v Azure. Virtuální sítě se zobrazí jako jedna pro účely připojení. Přenos dat mezi virtuálními počítači ve virtuálních sítích s navázaným partnerským vztahem používá páteřní infrastrukturu Microsoftu. Ujistěte se, že se adresní prostor virtuálních sítí nepřekrývá. V tomto scénáři jsou virtuální sítě partnerské vztahy prostřednictvím globálního partnerského vztahu virtuálních sítí, aby se povolila replikace dat z primární oblasti do sekundární oblasti.
  • Virtuální síť a podsítě – virtuální počítač Azure a konkrétní prostředky Azure (například Application Gateway a Load Balancer) se nasazují do virtuální sítě, která se dá rozdělit do podsítí. Vytvořte pro každou vrstvu samostatnou podsíť.

Důležité informace o zabezpečení

Network Security Groups (Skupiny zabezpečení sítě)

Pouze obchodní vrstva může komunikovat přímo s databázovou vrstvou. Pro vymáhání tohoto pravidla by měla databázová vrstva blokovat veškerý příchozí provoz s výjimkou podsítě obchodní vrstvy.

  1. Zakazuje veškerý příchozí provoz z virtuální sítě. (Použijte značku VIRTUAL_NETWORK v pravidle.)
  2. Povolí příchozí provoz z podsítě obchodní vrstvy.
  3. Povolí příchozí provoz z samotné podsítě vrstvy databáze. Toto pravidlo umožňuje komunikaci mezi virtuálními počítači databáze, které jsou potřeba pro replikaci a převzetí služeb při selhání databáze.

Vytvořte pravidla 2 – 3 s vyšší prioritou, než má první pravidlo, takže se přepíší.

Pomocí značek služeb můžete definovat řízení přístupu k síti pro skupiny zabezpečení sítě nebo Azure firewall. Podrobnosti o požadavcích Application Gateway NSG najdete v tématu Konfigurace infrastruktury Application Gateway .

Ceny

Pomocí cenové kalkulačky Azure můžete odhadnout náklady. Tady jsou některé další okolnosti.

Virtual Machine Scale Sets

Virtual Machine Scale Sets jsou k dispozici ve všech velikostech Windows virtuálních počítačů. Účtují se vám jenom ty virtuální počítače Azure, které nasazujete, a všechny další základní prostředky infrastruktury spotřebované jako úložiště a sítě. Za službu Virtual Machine Scale Sets se neúčtují žádné dodatečné poplatky.

cenové možnosti s jedním virtuálním počítačem najdete v tématu Windows Virtual Machines ceny.

Standard Load Balancer

Ceny Standard Load Balancer jsou po hodinách založené na počtu nakonfigurovaných odchozích pravidel vyrovnávání zatížení. Pravidla příchozího překladu adres (NAT) jsou zdarma. Pokud nejsou nakonfigurovaná žádná pravidla, není pro standardní SKU Load Balancer žádná hodinová sazba. Pro množství dat, která Load Balancer procesy, se účtuje i poplatek.

Další informace najdete v tématu ceny vyrovnávání zatížení.

SKU Application Gateway v2

Application Gateway by se měla zřídit s SKU v2 a může zahrnovat víc Zóny dostupnosti. V případě SKU verze v2 je cenový model založený na spotřebě a má dvě komponenty: hodinovou pevnou cenu a cenu založenou na spotřebě.

Další informace najdete v tématu Application Gateway ceny.

Traffic Manager

vyúčtování Traffic Manager vychází z počtu přijatých dotazů DNS s slevou pro služby, které přijímají více než 1 000 000 000 měsíčních dotazů. Účtují se vám i každý monitorovaný koncový bod. informace o cenách najdete v tématu Traffic Manager ceny.

Peering virtuálních sítí

Nasazení s vysokou dostupností, které využívá více oblastí Azure, využívá partnerský vztah virtuálních sítí. Poplatky za partnerský vztah virtuálních sítí ve stejné oblasti nejsou stejné jako poplatky za globální partnerský vztah virtuální sítě.

Další informace najdete v tématu Virtual Network ceny.

Další kroky

Další referenční architektury využívající stejné technologie najdete v těchto tématech: