Dukungan lalu lintas tinggi Application Gateway

  • Artikel

Catatan

Artikel ini menjelaskan beberapa saran panduan untuk membantu Anda menyiapkan Application Gateway untuk menghandel lalu lintas ekstra untuk volume lalu lintas tinggi yang mungkin terjadi. Ambang pemberitahuan sifatnya hanya saran dan generik. Pengguna dapat menentukan ambang batas pemberitahuan berdasarkan ekspektasi beban kerja dan pemanfaatan mereka.

Anda dapat menggunakan Application Gateway dengan Web Application Firewall (WAF) untuk mengelola aplikasi web Anda agar dapat diskalakan dan aman.

Penting bagi Anda untuk menskalakan Application Gateway sesuai dengan lalu lintas Anda dan dengan sedikit buffer sehingga Anda siap untuk setiap lonjakan lalu lintas atau lonjakan dan meminimalkan dampak yang mungkin terjadi di QoS Anda. Saran berikut ini membantu Anda menyiapkan Application Gateway dengan WAF untuk menghandel lalu lintas tambahan.

Periksa dokumentasi metrik untuk melihat daftar lengkap metrik yang ditawarkan oleh Application Gateway. Lihat memvisualisasikan metrik di portal Microsoft Azure dan dokumentasi monitor Azure tentang cara mengatur pemberitahuan untuk metrik.

Untuk detail dan rekomendasi tentang efisiensi performa untuk Application Gateway, lihat Ulasan Azure Well-Architected Framework - Azure Application Gateway v2.

Penskalaan Application Gateway v1 SKU (Standard/WAF SKU)

Tentukan jumlah instans Anda berdasarkan penggunaan CPU puncak Anda

Jika Anda menggunakan gateway SKU v1, Anda akan memiliki kemampuan untuk mengatur Application Gateway hingga 32 instans untuk penskalaan. Periksa pemanfaatan CPU Application Gateway Anda dalam satu bulan terakhir untuk setiap lonjakan di atas 80%, tersedia sebagai metrik untuk Anda pantau. Disarankan agar Anda mengatur jumlah instans sesuai dengan penggunaan puncak Anda dan dengan buffer tambahan 10% hingga 20% untuk memperhitungkan lonjakan lalu lintas apa pun.

V1 CPU utilization metrics

Lebih baik gunakan SKU v2 daripada v1 untuk mendapatkan keuntungan kapabilitas dan kinerja

SKU v2 menawarkan autoscaling untuk memastikan bahwa Gateway Aplikasi Anda dapat menskala seiring dengan meningkatnya lalu lintas. SKU v2 juga menawarkan keuntungan performa yang signifikan lainnya, seperti kinerja offload TLS 5x lebih baik, penyebaran dan waktu pembaruan yang lebih cepat, redundansi zona, dan banyak lagi jika dibandingkan dengan v1. Untuk informasi selengkapnya, lihat dokumentasi v2 kami dan lihat dokumentasi migrasi v1 ke v2 kami untuk mempelajari cara memigrasikan gateway SKU v1 Anda ke SKU v2.

Penskalaan Otomatis untuk Application Gateway v2 SKU (Standard_v2/WAF_v2 SKU)

Tentukan jumlah instans hingga maksimum (125)

Untuk Application Gateway v2 SKU, mengatur jumlah instans ke nilai maksimum 125 memungkinkan Application Gateway dapat meluaskan skala sesuai kebutuhan. Pengaturan Ini memungkinkan Application Gateway untuk menghandel kemungkinan peningkatan lalu lintas ke aplikasi Anda. Anda hanya dikenakan biaya untuk Unit Kapasitas (CUs) yang Anda gunakan.

Pastikan untuk memeriksa ukuran subnet dan jumlah alamat IP yang tersedia di subnet Anda, dan tentukan jumlah instans maksimum Anda berdasarkan kedua hal tersebut. Jika subnet Anda tidak memiliki cukup ruang untuk diakomodasi, Anda harus membuat ulang gateway Anda di subnet yang sama atau berbeda yang memiliki kapasitas yang cukup.

V2 autoscaling configuration

Atur jumlah instans minimum Anda berdasarkan penggunaan Unit Komputasi rata-rata Anda

Untuk Application Gateway v2 SKU, autoscaling membutuhkan waktu enam hingga tujuh menit untuk meluaskan skala dan menyediakan instans tambahan yang siap untuk menghandel lalu lintas. Selama proses tersebut, jika ada lonjakan pendek pada lalu lintas, instans gateway yang ada dapat tertekan dan menyebabkan latensi atau hilangnya lalu lintas yang tidak terduga.

Disarankan agar Anda mengatur jumlah instans minimum Anda ke tingkat optimal. Misalnya, jika Anda memerlukan 50 instans untuk menangani lalu lintas pada beban puncak, maka mengatur minimal 25 hingga 30 adalah ide yang baik daripada pada <10 sehingga bahkan ketika ada ledakan lalu lintas singkat, Application Gateway akan dapat menanganinya dan memberikan waktu yang cukup untuk penskalaan otomatis untuk merespons dan berlaku.

Periksa metrik Unit Komputasi Anda selama satu bulan terakhir. Metrik unit komputasi adalah representasi dari pemanfaatan CPU gateway Anda dan Berdasarkan penggunaan puncak Anda dibagi 10, Anda dapat menyetel jumlah instans minimum yang diperlukan. Ingatlah, 1 instans gateway application dapat menghandel minimal 10 unit komputasi

V2 compute unit metrics

Penskalaan Otomatis untuk Application Gateway v2 SKU (Standard_v2/WAF_v2 SKU)

Tentukan jumlah instans berdasarkan penggunaan CPU puncak Anda

Tidak seperti autoscaling, dalam penskalaan manual, Anda harus mengatur jumlah instans gateway aplikasi Anda secara manual berdasarkan kebutuhan lalu lintas. Disarankan agar Anda mengatur jumlah instans sesuai dengan penggunaan puncak Anda dan dengan buffer tambahan 10% hingga 20% untuk memperhitungkan lonjakan lalu lintas apa pun. Misalnya, jika lalu lintas Anda memerlukan 50 instans pada puncaknya, provisikan 55 hingga 60 instans untuk menangani lonjakan lalu lintas tak terduga yang mungkin terjadi.

Periksa metrik Unit Komputasi Anda selama satu bulan terakhir. Metrik unit komputasi adalah representasi dari penggunaan CPU gateway Anda dan berdasarkan penggunaan puncak Anda dibagi 10, Anda dapat mengatur jumlah instans yang diperlukan karena 1 instans gateway aplikasi dapat menangani minimal 10 unit komputasi

Pemantauan dan Pemberitahuan

Untuk mendapatkan pemberitahuan tentang anomali lalu lintas atau pemanfaatan, Anda dapat mengatur pemberitahuan pada metrik tertentu. Periksa dokumentasi metrik untuk melihat daftar lengkap metrik yang ditawarkan oleh Application Gateway. Lihat memvisualisasikan metrik di portal Microsoft Azure dan dokumentasi monitor Azure tentang cara mengatur pemberitahuan untuk metrik.

Untuk mengonfigurasi pemberitahuan menggunakan templat ARM, lihat Mengonfigurasi pemberitahuan Azure Monitor untuk Application Gateway.

Pemberitahuan untuk Application Gateway v1 SKU (Standar/WAF)

Pemberitahuan jika rata-rata penggunaan CPU melebihi 80%

Dalam kondisi normal, penggunaan CPU tidak boleh terus menerus melebihi 90% karena dapat menyebabkan latensi di situs web yang dihosting di belakang Gateway Aplikasi dan mengganggu pengalaman klien. Anda secara tidak langsung dapat meningkatkan penggunaan CPU dengan memodifikasi konfigurasi Application Gateway dengan meningkatkan jumlah instans atau dengan berpindah ke ukuran SKU yang lebih besar atau melakukan keduanya. Atur pemberitahuan jika metrik penggunaan CPU berada di atas rata-rata 80%.

Pemberitahuan jika jumlah host tidak sehat melewati ambang batas

Metrik ini menunjukkan jumlah server ujung belakang yang tidak berhasil diperiksa gateway aplikasi. Ini menangkap masalah di mana instans gateway Aplikasi tidak dapat terhubung ke backend. Pemberitahuan jika jumlahnya melebihi 20% kapasitas backend. Misalnya, jika Anda memiliki 30 server backend di kumpulan backend, atur pemberitahuan jika jumlah host yang tidak sehat berada di atas 6.

Pemberitahuan jika status Respons (4xx, 5xx) melewati ambang batas

Buat pemberitahuan saat status respons Application Gateway adalah 4xx atau 5xx. Respons 4xx atau 5xx dapat sesekali terlihat karena masalah sementara. Anda harus mengamati gateway dalam produksi untuk menentukan menggunakan ambang batas statis atau dinamis untuk pengaturan pemberitahuan.

Pemberitahuan jika permintaan yang gagal (Failed) melebihi Ambang

Membuat pemberitahuan saat metrik permintaan gagal melewati Ambang. Anda harus mengamati gateway dalam produksi untuk menentukan menggunakan ambang batas statis atau dinamis untuk pengaturan pemberitahuan.

Contoh: Menyiapkan pemberitahuan jika ada lebih dari 100 permintaan gagal dalam 5 menit terakhir

Contoh ini menunjukkan cara menggunakan portal Microsoft Azure untuk menyiapkan peringatan saat jumlah permintaan yang gagal dalam 5 menit terakhir lebih dari 100.

  1. Telusuri ke Application Gateway Anda.
  2. Di panel kiri, pilih Metrics di bawah tab Monitoring.
  3. Tambahkan metrik untuk Permintaan gagal.
  4. Klik New alert rule dan tentukan kondisi dan tindakan Anda
  5. Klik Create alert rule untuk membuat dan mengaktifkan pemberitahuan

V2 create alerts

Pemberitahuan untuk Application Gateway v2 SKU (Standard_v2/WAF_v2)

Pemberitahuan jika penggunaan Unit Komputasi melebihi 75% penggunaan rata-rata

Unit komputasi adalah ukuran pemanfaatan komputasi Application Gateway Anda. Periksa rata-rata penggunaan unit komputasi Anda dalam satu bulan terakhir dan atur pemberitahuan jika melebihi 75% dari rata-rata. Misalnya, jika penggunaan rata-rata adalah 10 unit komputasi, set pemberitahuan pada 7,5 CUs. Dengan pengaturan ini, pemberitahuan akan muncul jika penggunaan meningkat dan memberi Anda waktu untuk merespons. Anda dapat menaikkan batas minimum jika menurut Anda lalu lintas tersebut akan bertahan, sehingga Anda akan mendapat pemberitahuan jika lalu lintas meningkat. Ikuti saran penskalaan di atas untuk melakukan peluasan skala yang diperlukan.

Contoh: Menyiapkan pemberitahuan pada 75% penggunaan CU rata-rata

Contoh ini menunjukkan cara menggunakan portal Microsoft Azure untuk menyiapkan pemberitahuan saat penggunaan mencapai 75% penggunaan CU rata-rata.

  1. Telusuri ke Application Gateway Anda.
  2. Di panel kiri, pilih Metrics di bawah tab Monitoring.
  3. Tambahkan metrik untuk Unit Komputasi Rata-Rata Saat Ini.
  4. Jika Anda telah menetapkan jumlah instans minimum sebagai penggunaan CU rata-rata, lanjutkan dan setel pemberitahuan ketika 75% instans minimum Anda digunakan. Misalnya, jika penggunaan rata-rata adalah 10 unit komputasi, set pemberitahuan pada 7,5 CUs. Dengan pengaturan ini, pemberitahuan akan muncul jika penggunaan meningkat dan memberi Anda waktu untuk merespons. Anda dapat menaikkan batas minimum jika menurut Anda lalu lintas tersebut akan bertahan, sehingga Anda akan mendapat pemberitahuan jika lalu lintas meningkat.

V2 compute unit alerts

Catatan

Anda dapat menentukan apakah pemberitahuan akan muncul pada persentase penggunaan unit komputasi rendah atau tinggi, tergantung anda ingin seberapa sensitif terhadap potensi lonjakan lalu lintas.

Pemberitahuan jika penggunaan Unit Kapasitas melebihi 75% penggunaan puncak

Unit kapasitas mewakili penggunaan gateway secara keseluruhan dalam hal jumlah throughput, komputasi, dan koneksi. Periksa rata-rata penggunaan unit komputasi Anda dalam satu bulan terakhir dan atur pemberitahuan jika melebihi 75% dari rata-rata. Misalnya, jika penggunaan maksimum Anda adalah 100 unit kapasitas, tetapkan pemberitahuan pada 75 CUs. Ikuti dua saran di atas untuk memperluas skala sesuai kebutuhan.

Pemberitahuan jika jumlah host tidak sehat melewati ambang batas

Metrik ini menunjukkan jumlah server ujung belakang yang tidak berhasil diperiksa gateway aplikasi. Ini menangkap masalah di mana instans gateway Aplikasi tidak dapat terhubung ke backend. Pemberitahuan jika jumlahnya melebihi 20% kapasitas backend. Misalnya, jika Anda memiliki 30 server backend di kumpulan backend, atur pemberitahuan jika jumlah host yang tidak sehat berada di atas 6.

Pemberitahuan jika status Respons (4xx, 5xx) melewati ambang batas

Buat pemberitahuan saat status respons Application Gateway adalah 4xx atau 5xx. Respons 4xx atau 5xx dapat sesekali terlihat karena masalah sementara. Anda harus mengamati gateway dalam produksi untuk menentukan menggunakan ambang batas statis atau dinamis untuk pengaturan pemberitahuan.

Pemberitahuan jika permintaan yang gagal (Failed) melebihi Ambang

Membuat pemberitahuan saat metrik permintaan gagal melewati Ambang. Anda harus mengamati gateway dalam produksi untuk menentukan menggunakan ambang batas statis atau dinamis untuk pengaturan pemberitahuan.

Pemberitahuan jika waktu response byte terakhir Backend melewati ambang

Metrik ini menunjukkan interval waktu antara awal penyambungan koneksi ke server ujung belakang dan menerima byte terakhir dari isi respons. Buatlah pemberitahuan jika latensi respons backend lebih dari ambang tertentu dari biasanya. Misalnya, atur agar mendapat pemberitahuan ketika latensi respons backend meningkat lebih dari 30% dari nilai biasa.

Pemberitahuan jika total waktu Application Gateway melebihi ambang

Total waktu Ini adalah interval dari waktu ketika Application Gateway menerima byte pertama dari permintaan HTTP hingga waktu ketika byte respons terakhir dikirim ke klien. Buatlah pemberitahuan jika latensi respons backend melebihi ambang tertentu dari biasanya. Misalnya, mereka dapat mengatur mendapat pemberitahuan ketika latensi total waktu meningkat lebih dari 30% dari nilai biasa.

Siapkan WAF dengan filter geografis dan perlindungan bot untuk menghentikan serangan

Jika Anda menginginkan lapisan keamanan tambahan di depan aplikasi Anda, gunakan Application Gateway WAF_v2 SKU untuk kemampuan WAF. Anda dapat mengonfigurasi SKU v2 untuk hanya mengizinkan akses ke aplikasi Anda dari negara/wilayah tertentu. Anda perlu menyiapkan aturan kustom WAF untuk secara eksplisit mengizinkan atau memblokir lalu lintas berdasarkan lokasi geografis. Untuk informasi selengkapnya, lihat aturan kustom filter geografisdan cara mengonfigurasi aturan kustom di Application Gateway WAF_v2 SKU melalui PowerShell.

Aktifkan perlindungan bot untuk memblokir bot jahat yang dikenal. Pengaturan ini akan mengurangi jumlah lalu lintas yang masuk ke aplikasi Anda. Untuk informasi selengkapnya, lihat perlindungan dari bot dengan instruksi pengaturan.

Mengaktifkan diagnostik di Application Gateway dan WAF

Log diagnostik memungkinkan Anda melihat log firewall, log performa, dan log akses. Anda dapat menggunakan log diagnostik di Azure untuk mengelola dan memecahkan masalah Application Gateway. Untuk informasi selengkapnya, lihat dokumentasi diagnostik kami.

Menyiapkan kebijakan TLS untuk keamanan tambahan

Pastikan Anda menggunakan versi kebijakan TLS terbaru (AppGwSslPolicy20220101) atau yang lebih tinggi. Ini mendukung versi TLS minimum 1.2 dengan cipher yang lebih kuat. Untuk informasi selengkapnya, lihat mengonfigurasi versi kebijakan TLS dan suite sandi melalui PowerShell.