Suporte de tráfego elevado para o Gateway de Aplicação

  • Artigo

Nota

Este artigo descreve algumas diretrizes sugeridas para ajudá-lo a configurar seu Application Gateway para lidar com tráfego extra para qualquer volume de tráfego alto que possa ocorrer. Os limiares de alerta são meramente sugestivos e de natureza genérica. Os usuários podem determinar limites de alerta com base em sua carga de trabalho e expectativas de utilização.

Você pode usar o Application Gateway com o Web Application Firewall (WAF) para obter uma maneira escalável e segura de gerenciar o tráfego para seus aplicativos Web.

É importante que você dimensione seu Application Gateway de acordo com seu tráfego e com um pouco de buffer para que esteja preparado para quaisquer picos ou picos de tráfego e minimizando o impacto que isso pode ter em sua QoS. As sugestões a seguir ajudam a configurar o Application Gateway com WAF para lidar com tráfego extra.

Verifique a documentação de métricas para obter a lista completa de métricas oferecidas pelo Application Gateway. Consulte visualizar métricas no portal do Azure e a documentação do monitor do Azure sobre como definir alertas para métricas.

Para obter detalhes e recomendações sobre eficiência de desempenho para o Application Gateway, consulte Azure Well-Architected Framework review - Azure Application Gateway v2.

Dimensionamento para SKU do Application Gateway v1 (SKU padrão/WAF)

Defina a contagem de instâncias com base no pico de uso da CPU

Se você estiver usando um gateway SKU v1, poderá definir seu Application Gateway até 32 instâncias para dimensionamento. Verifique a utilização da CPU do seu Application Gateway no último mês para quaisquer picos acima de 80%, ele está disponível como uma métrica para você monitorar. É recomendável que você defina sua contagem de instâncias de acordo com seu pico de uso e com um buffer adicional de 10% a 20% para levar em conta quaisquer picos de tráfego.

V1 CPU utilization metrics

Use o SKU v2 sobre v1 por seus recursos de dimensionamento automático e benefícios de desempenho

O SKU v2 oferece dimensionamento automático para garantir que seu Application Gateway possa ser dimensionado à medida que o tráfego aumenta. Ele também oferece outros benefícios significativos de desempenho, como desempenho de descarregamento TLS 5x melhor, tempos de implantação e atualização mais rápidos, redundância de zona e muito mais quando comparado à v1. Para obter mais informações, consulte nossa documentação v2 e consulte nossa documentação de migração v1 para v2 para saber como migrar seus gateways SKU v1 existentes para SKU v2.

Dimensionamento automático para o SKU v2 (Standard_v2/WAF_v2 SKU) do Gateway de Aplicação

Defina a contagem máxima de instâncias para o máximo possível (125)

Para a SKU do Application Gateway v2, definir a contagem máxima de instâncias para o valor máximo possível de 125 permite que o Application Gateway seja dimensionado conforme necessário. Isso permite que ele lide com o possível aumento no tráfego para seus aplicativos. Você só será cobrado pelas Unidades de Capacidade (UCs) que usar.

Certifique-se de verificar o tamanho da sub-rede e a contagem de endereços IP disponíveis na sub-rede e defina a contagem máxima de instâncias com base nisso. Se sua sub-rede não tiver espaço suficiente para acomodar, você deverá recriar seu gateway na mesma sub-rede ou em sub-rede diferente que tenha capacidade suficiente.

V2 autoscaling configuration

Defina sua contagem mínima de instâncias com base no uso médio da Unidade de Computação

Para a SKU do Application Gateway v2, o dimensionamento automático leva de seis a sete minutos para dimensionar e provisionar um conjunto adicional de instâncias prontas para receber tráfego. Até lá, se houver picos curtos de tráfego, as instâncias de gateway existentes podem ficar sob estresse, o que pode causar latência inesperada ou perda de tráfego.

É recomendável que você defina sua contagem mínima de instâncias para um nível ideal. Por exemplo, se você precisar de 50 instâncias para lidar com o tráfego no pico de carga, definir o mínimo de 25 a 30 é uma boa ideia, em vez de 10 <, para que, mesmo quando houver pequenas explosões de tráfego, o Application Gateway seja capaz de lidar com isso e dar tempo suficiente para que o dimensionamento automático responda e entre em vigor.

Verifique a métrica da Unidade de Computação do último mês. A métrica da unidade de computação é uma representação da utilização da CPU do gateway e, com base no pico de uso dividido por 10, você pode definir o número mínimo de instâncias necessárias. Observe que 1 instância do gateway de aplicativo pode lidar com um mínimo de 10 unidades de computação

V2 compute unit metrics

Dimensionamento manual para SKU do Application Gateway v2 (Standard_v2/WAF_v2)

Defina sua contagem de instâncias com base no pico de uso da Unidade de Computação

Ao contrário do dimensionamento automático, no dimensionamento manual, você deve definir manualmente o número de instâncias do gateway de aplicativo com base nos requisitos de tráfego. É recomendável que você defina sua contagem de instâncias de acordo com seu pico de uso e com um buffer adicional de 10% a 20% para levar em conta quaisquer picos de tráfego. Por exemplo, se o tráfego exigir 50 instâncias no pico, provisione de 55 a 60 instâncias para lidar com picos de tráfego inesperados que possam ocorrer.

Verifique a métrica da Unidade de Computação do último mês. A métrica da unidade de computação é uma representação da utilização da CPU do gateway e, com base no pico de uso dividido por 10, você pode definir o número de instâncias necessárias, já que 1 instância do gateway de aplicativo pode lidar com um mínimo de 10 unidades de computação

Monitorização e alertas

Para ser notificado de qualquer anomalia de tráfego ou utilização, você pode configurar alertas em determinadas métricas. Consulte a documentação de métricas para obter a lista completa de métricas oferecidas pelo Application Gateway. Consulte visualizar métricas no portal do Azure e a documentação do monitor do Azure sobre como definir alertas para métricas.

Para configurar alertas usando modelos ARM, consulte Configurar alertas do Azure Monitor para o Application Gateway.

Alertas para SKU do Application Gateway v1 (Standard/WAF)

Alerta se a utilização média da CPU ultrapassar 80%

Em condições normais, a utilização da CPU não deve exceder regularmente os 90%, uma vez que isso pode causar latência nos sites alojados por trás do Gateway de Aplicação e perturbar a experiência do cliente. Você pode controlar ou melhorar indiretamente a utilização da CPU modificando a configuração do Application Gateway aumentando a contagem de instâncias ou movendo para um tamanho de SKU maior ou fazendo as duas coisas. Defina um alerta se a métrica de utilização da CPU ultrapassar a média de 80%.

Alertar se a contagem de hosts não íntegros ultrapassar o limite

Essa métrica indica o número de servidores back-end que o gateway de aplicativos não consegue investigar com êxito. Isso deteta problemas em que as instâncias do gateway de aplicativo não conseguem se conectar ao back-end. Alerta se esse número ultrapassar 20% da capacidade de back-end. Por exemplo, se você tiver 30 servidores back-end em um pool de back-end, defina um alerta se a contagem de hosts não íntegros for superior a 6.

Alerta se o estado da resposta (4xx, 5xx) ultrapassar o limite

Crie um alerta quando o status de resposta do Application Gateway for 4xx ou 5xx. Pode haver uma resposta ocasional de 4xx ou 5xx devido a problemas transitórios. Você deve observar o gateway em produção para determinar o limite estático ou usar o limite dinâmico para o alerta.

Alertar se Solicitações com falha cruzarem o limite

Crie um alerta quando a métrica Solicitações com falha ultrapassar o limite. Você deve observar o gateway em produção para determinar o limite estático ou usar o limite dinâmico para o alerta.

Exemplo: Configurar um alerta para mais de 100 pedidos falhados nos últimos 5 minutos

Este exemplo mostra como usar o portal do Azure para configurar um alerta quando a contagem de solicitações com falha nos últimos 5 minutos for superior a 100.

  1. Navegue até o Application Gateway.
  2. No painel esquerdo, selecione Métricas na guia Monitoramento.
  3. Adicione uma métrica para Solicitações com falha.
  4. Clique em Nova regra de alerta e defina a sua condição e ações
  5. Clique em Criar regra de alerta para criar e ativar o alerta

V2 create alerts

Alertas para SKU do Application Gateway v2 (Standard_v2/WAF_v2)

Alertar se a utilização da Unidade de Computação ultrapassar 75% do uso médio

Unidade de computação é a medida da utilização computacional do seu Application Gateway. Verifique o uso médio da unidade de computação no último mês e defina um alerta se ela ultrapassar 75% dela. Por exemplo, se o seu uso médio for de 10 unidades de computação, defina um alerta em 7,5 CUs. Isto alerta-o se a utilização está a aumentar e dá-lhe tempo para responder. Você pode aumentar o mínimo se você acha que esse tráfego será sustentado para alertá-lo de que o tráfego pode estar aumentando. Siga as sugestões de dimensionamento acima para dimensionar conforme necessário.

Exemplo: configurar um alerta em 75% do uso médio da UC

Este exemplo mostra como usar o portal do Azure para configurar um alerta quando 75% do uso médio da é atingido.

  1. Navegue até o Application Gateway.
  2. No painel esquerdo, selecione Métricas na guia Monitoramento.
  3. Adicione uma métrica para Unidades de computação atuais médias.
  4. Se você definiu sua contagem mínima de instâncias para ser seu uso médio de, vá em frente e defina um alerta quando 75% de suas instâncias mínimas estiverem em uso. Por exemplo, se o seu uso médio for de 10 CUs, defina um alerta em 7,5 CUs. Isto alerta-o se a utilização está a aumentar e dá-lhe tempo para responder. Você pode aumentar o mínimo se você acha que esse tráfego será sustentado para alertá-lo de que o tráfego pode estar aumentando.

V2 compute unit alerts

Nota

Você pode definir o alerta para ocorrer em uma porcentagem de utilização de menor ou maior, dependendo de quão sensível você deseja ser a possíveis picos de tráfego.

Alertar se a utilização da unidade de capacidade ultrapassar 75% do pico de utilização

As unidades de capacidade representam a utilização geral do gateway em termos de taxa de transferência, computação e contagem de conexões. Verifique o uso máximo da unidade de capacidade no último mês e defina um alerta se ela ultrapassar 75% dela. Por exemplo, se o uso máximo for de 100 unidades de capacidade, defina um alerta em 75 CUs. Siga as duas sugestões acima para dimensionar, conforme necessário.

Alertar se a contagem de hosts não íntegros ultrapassar o limite

Essa métrica indica o número de servidores back-end que o gateway de aplicativos não consegue investigar com êxito. Isso deteta problemas em que as instâncias do gateway de aplicativo não conseguem se conectar ao back-end. Alerta se esse número ultrapassar 20% da capacidade de back-end. Por exemplo, se você tiver 30 servidores back-end em um pool de back-end, defina um alerta se a contagem de hosts não íntegros for superior a 6.

Alerta se o estado da resposta (4xx, 5xx) ultrapassar o limite

Crie um alerta quando o status de resposta do Application Gateway for 4xx ou 5xx. Pode haver uma resposta ocasional de 4xx ou 5xx devido a problemas transitórios. Você deve observar o gateway em produção para determinar o limite estático ou usar o limite dinâmico para o alerta.

Alertar se Solicitações com falha cruzarem o limite

Crie um alerta quando a métrica Solicitações com falha ultrapassar o limite. Você deve observar o gateway em produção para determinar o limite estático ou usar o limite dinâmico para o alerta.

Alertar se o tempo de resposta do último byte de back-end ultrapassar o limite

Essa métrica indica o intervalo de tempo entre o início do estabelecimento de uma conexão com o servidor back-end e o recebimento do último byte do corpo da resposta. Crie um alerta se a latência de resposta de back-end for maior que um determinado limite do habitual. Por exemplo, defina isso para ser alertado quando a latência de resposta de back-end aumentar em mais de 30% em relação ao valor usual.

Alertar se o tempo total do Application Gateway ultrapassar o limite

Este é o intervalo entre o momento em que o Application Gateway recebe o primeiro byte da solicitação HTTP até o momento em que o último byte de resposta foi enviado ao cliente. Deve criar um alerta se a latência de resposta de back-end for maior que um determinado limite do habitual. Por exemplo, eles podem definir isso para ser alertado quando a latência de tempo total aumenta em mais de 30% em relação ao valor normal.

Configure o WAF com filtragem geográfica e proteção de bot para impedir ataques

Se você quiser uma camada extra de segurança na frente do seu aplicativo, use o Application Gateway WAF_v2 SKU para recursos WAF. Você pode configurar o SKU v2 para permitir apenas o acesso aos seus aplicativos de um determinado país/região ou países/regiões. Você configura uma regra personalizada do WAF para permitir ou bloquear explicitamente o tráfego com base na localização geográfica. Para obter mais informações, consulte Regras personalizadas de filtragem geográfica e Como configurar regras personalizadas no Application Gateway WAF_v2 SKU por meio do PowerShell.

Habilite a proteção de bot para bloquear bots mal-intencionados conhecidos. Isso deve reduzir a quantidade de tráfego que chega ao seu aplicativo. Para obter mais informações, consulte Proteção de bot com instruções de configuração.

Ativar diagnósticos no Application Gateway e no WAF

Os logs de diagnóstico permitem visualizar logs de firewall, logs de desempenho e logs de acesso. Você pode usar esses logs no Azure para gerenciar e solucionar problemas de Gateways de Aplicativos. Para obter mais informações, consulte nossa documentação de diagnóstico.

Configurar uma política TLS para segurança extra

Verifique se você está usando a versão mais recente da política TLS (AppGwSslPolicy20220101) ou superior. Estes suportam uma versão TLS mínima de 1.2 com cifras mais fortes. Para obter mais informações, consulte configurando versões de política TLS e pacotes de codificação via PowerShell.