Çok bölgeli yük dengeleme, Traffic Manager ve Application Gateway

Application Gateway
Bastion
Load Balancer
Traffic Manager

Bu başvuru mimarisi, esnek çok katmanlı uygulamalarla Web iş yükleri sunar ve yüksek kullanılabilirlik ve sağlam olağanüstü durum kurtarma elde etmek için birden çok Azure bölgesinde dağıtılır.

Microsoft Azure Traffic Manager bölgeler arasında trafiği dengeler ve Azure Application Gateway dayalı bir bölgesel yük dengeleyici vardır. bu bileşim, Traffic Manager esnek yönlendirmenin avantajlarından ve Application Gateway birçok özelliğine sahip olur:

  • Web uygulaması güvenlik duvarı (WAF).
  • Aktarım Katmanı Güvenliği (TLS) sonlandırma.
  • Yol tabanlı yönlendirme.
  • Tanımlama bilgisi tabanlı oturum benzeşimi.

Bu senaryoda, uygulama üç katmandan oluşur:

  • Web katmanı: Bu, en üst katmandır ve Kullanıcı arabirimine sahiptir. Kullanıcı etkileşimlerini ayrıştırır ve işlemleri işlenmek üzere iş katmanına geçirir.
  • İş katmanı: Kullanıcı etkileşimlerini işler ve sonraki adımları belirler. Web ve veri katmanlarını bağlar.
  • Veri katmanı: Uygulama verilerini genellikle bir veritabanında, nesne depolamada veya dosyalarda depolar.

Application Gateway ve Traffic Manager ile çok bölgeli yük dengeleme.

Not

Azure, tam olarak yönetilen bir Yük Dengeleme çözümleri paketi sağlar. Aktarım Katmanı Güvenliği (TLS) protokolü sonlandırma ("SSL boşaltması") veya HTTP/HTTPS isteği, uygulama katmanı işleme için arıyorsanız Azure Application Gateway nedir?seçeneğini gözden geçirin. bölgesel yük dengelemeyi arıyorsanız Azure Load Balancergözden geçirin. Uçtan uca senaryolarınızda bu çözümleri bir arada da kullanabilirsiniz.

Azure Yük Dengeleme seçeneklerinin karşılaştırması için bkz. Azure 'da Yük Dengeleme seçeneklerine genel bakış.

Mimari

Traffic Manager, uygulama trafiğini tercih ettiğiniz yönlendirme yöntemine göre yönlendirmek için DNS katmanında çalışır. Örneğin, yanıt verme hızını artırmak için isteklerin en yakın uç noktalara gönderilmesini doğrudan yapabilirsiniz. Application Gateway yük, HTTP (S) ve WebSocket isteklerini, arka uç havuzu sunucularına yönlendirdiğinden dengeler. Arka uç, genel veya özel uç noktalar, sanal makineler, Azure sanal makine ölçek kümeleri, uygulama hizmetleri veya AKS kümeleri olabilir. Trafiği, ana bilgisayar adı ve URI yolu gibi bir HTTP isteği özniteliklerine göre yönlendirebilirsiniz.

Bileşenler

  • Azure sanal makineleri Sanal makineler, size sanallaştırma esnekliği sağlayan ancak fiziksel donanım bakım taleplerini ortadan kaldıran isteğe bağlı, ölçeklenebilir bilgi işlem kaynaklarıdır. işletim sistemi seçenekleri Windows ve Linux içerir. VM 'Ler isteğe bağlı ve ölçeklenebilir bir kaynaktır.
  • Azure sanal makine ölçek kümeleri , uygulamalarınızın yönetimini kolaylaştıran ve kullanılabilirliği arttığı otomatik ve yük dengeli VM ölçeklendirmesidir.
  • Traffic Manager , yüksek kullanılabilirlik ve yanıt hızı sağlarken, trafiği küresel Azure bölgelerindeki hizmetlere en iyi şekilde dağıtan DNS tabanlı bir trafik yük dengeleyicidir. Daha fazla bilgi için bkz. Traffic Manager yapılandırması.
  • Application Gateway , katman 7 yük dengeleyicidir. Bu mimaride, bölgesel olarak yedekli bir Application Gateway HTTP isteklerini Web ön ucuna yönlendirir. Application Gateway Ayrıca, uygulamayı yaygın güvenlik açıklarından ve güvenlik açıklarından koruyan bir Web uygulaması güvenlik duvarı (WAF) sağlar. Application Gateway v2 SKU 'SU bölgeler arası yedekliliği destekler. Tek bir Application Gateway dağıtımı, ağ geçidinin birden çok örneğini çalıştırabilir.
  • Azure Load Balancer, 4. katmanda çalışan bir yük dengeleyicidir. İki SKU vardır: Standart ve temel. Bu mimaride, bölgesel olarak yedekli bir Standart Load Balancer ağ trafiğini Web katmanından iş katmanına yönlendirir. Bölgesel olarak yedekli Load Balancer belirli bir bölgeye sabitlenmediği için, uygulama ağ trafiğini bir bölge hatası durumunda dağıtmaya devam edecektir.
  • Azure DDoS koruması , dağıtılmış hizmet reddi (DDoS) saldırılarına karşı korunmaya yönelik gelişmiş özelliklere sahiptir. Azure 'un sağladığı temel korumanın ötesinde olan özelliklerdir.
  • Azure DNS, DNS etki alanları için bir barındırma hizmetidir. Microsoft Azure altyapısını kullanarak ad çözümlemesi sağlar. Etki alanlarınızı Azure'da barındırarak DNS kayıtlarınızı diğer Azure hizmetlerinde kullandığınız kimlik bilgileri, API’ler, araçlar ve faturalarla yönetebilirsiniz. Ayrıca, özel DNS bölgelerinide destekler Azure DNS. Bir sanal ağ içinde ve sanal ağlar arasında ad çözümlemesi sağlamak Azure DNS Özel Bölgeleri. Özel bir DNS bölgesinde bulunan kayıtlar Internet 'ten çözümlenemez. Özel bir DNS bölgesine karşı DNS çözümlemesi yalnızca kendisiyle bağlantılı olan sanal ağlardan işe yarar.
  • Azure sanal ağ , buluttaki güvenli bir özel ağ. VM 'Leri bir diğerine, internet 'e ve şirket içi ağlara bağlar.
  • Azure savunma, sanal ağ içindeki VM 'lere güvenli ve sorunsuz Uzak Masaüstü Protokolü (RDP) ve Secure Shell (SSH) erişimi sağlar. Bu, sanal ağdaki VM 'lerin açığa çıkarılan genel IP adreslerini sınırlandırırken erişim sağlar. Azure savunma, aynı sanal ağ içindeki tüm VM 'lere erişim sağlamak için sağlanan bir VM 'ye uygun maliyetli bir alternatif sağlar.

Öneriler

Aşağıdaki öneriler çoğu senaryo için geçerlidir. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.

  • Daha yüksek kullanılabilirlik için en az iki Azure bölgesi kullanın. Uygulamanızı, etkin/Pasif veya etkin/etkin yapılandırmalarda birden çok Azure bölgesine dağıtabilirsiniz. Ayrıntılar için bkz. birden çok bölge.
  • Üretim iş yükleri için en az iki ağ geçidi örneği çalıştırın. bu mimaride, uygulama ağ geçitlerinin genel uç noktalarının Traffic Manager arka uçlar olarak yapılandırıldığını unutmayın.
  • Katmanlar arasındaki trafiği kısıtlamak için ağ güvenlik grupları (NSG) kurallarını kullanın. Ayrıntılar için bkz. ağ güvenlik grupları.

Kullanılabilirlik konusunda dikkat edilmesi gerekenler

Azure Kullanılabilirlik Alanları

Bir bölge içinde yüksek kullanılabilirlik sağlamak Azure kullanılabilirlik alanları . Bölgesel ağ, her bölgede en az üç fiziksel olarak farklı şekilde yerleştirilmiş veri merkezini bağlar.

Birden çok bölge

Birden çok bölgede dağıtmak, tek bir bölgeye dağıtmaya kıyasla daha yüksek kullanılabilirlik sağlayabilir. Birinci bölge bölgesel bir kesintiden etkileniyorsa, ikinci bölgeye yük devretmek için Traffic Manager kullanabilirsiniz. Birden çok bölge, uygulamanın tek bir alt sisteminin başarısız olmasına da yardımcı olabilir.

Bu mimarinin, Azure bölgelerindeki etkin/Pasif yapılandırmaların yanı sıra etkin/Pasif için de geçerli olduğunu unutmayın.

Teknik bilgiler için bkz. Azure 'Da bölgeler ve kullanılabilirlik alanları.

Eşleştirilmiş bölgeler

Her Azure bölgesi aynı coğrafya içindeki başka bir bölgeyle (örneğin, Birleşik Devletler, Avrupa veya Asya) eşleştirilir. Bu yaklaşım, VM depolama gibi kaynakların bölgeler arasında çoğaltılmasını sağlar. Diğeri doğal olağanüstü durum, hukuki geri kalanı, güç kaybı, ağ kesintisi vb. nedeniyle kullanılamaz hale gelirse, bir bölgenin kullanılabilir tutulması önerilir.

Bölgesel eşleştirmenin başka avantajları da vardır:

  • Daha geniş bir Azure kesintisi durumunda, uygulamalar için geri yükleme süresini azaltmak üzere her çift içinden bir bölgeye öncelik verilir.
  • Kapalı kalma süresini ve uygulama kesintisi riskini azaltmak amacıyla, planlı Azure güncelleştirmeleri, bölge çiftlerine tek tek uygulanır.
  • Veriler, vergi ve yasa uygulama yetkisi bakımından çiftiyle aynı coğrafyada (Brezilya Güney hariç) bulunmaya devam eder.

Her iki bölgenin de uygulamanız için gereken tüm Azure hizmetlerini desteklemesini sağlayın (bkz. bölgeye göre hizmetler). Bölgesel çiftler hakkında daha fazla bilgi için bkz. İş sürekliliği ve olağanüstü durum kurtarma (BCDR): Eşleştirilmiş Azure Bölgeleri.

Traffic Manager yapılandırması

Traffic Manager uç noktaları izleyerek ve bir uç nokta geçtiğinde otomatik yük devretme sağlayarak kritik uygulamalarınız için yüksek kullanılabilirlik sağlar.

Traffic Manager’ı yapılandırırken aşağıdaki noktaları göz önünde bulundurun:

  • yönlendirme: Traffic Manager trafiğin çeşitli hizmet uç noktalarına nasıl yönlendirileceğini anlamak için altı trafik yönlendirme yöntemini destekler. Bu mimaride, trafiği, Kullanıcı için en düşük gecikme süresine sahip olan uç noktaya yönlendiren performans yönlendirmesi kullanıyoruz. uç nokta gecikmeleri değiştiğinde Traffic Manager otomatik olarak ayarlanır. ayrıca, daha ayrıntılı bir denetime ihtiyacınız varsa — örneğin, bir bölge içinde tercih edilen bir yük devretme seçmek için), iç içe bir yapılandırmada Traffic Manager kullanabilirsiniz.

    Yapılandırma bilgileri için bkz. performans trafiği yönlendirme yöntemini yapılandırma.

    çeşitli yönlendirme yöntemleri hakkında daha fazla bilgi için bkz. Traffic Manager yönlendirme yöntemleri.

  • durum araştırması: Traffic Manager her bölgenin kullanılabilirliğini izlemek için HTTP (veya HTTPS) araştırması kullanır. Yoklama, belirtilen bir URL yolu için bir HTTP 200 yanıtının alınıp alınmadığını denetler. En iyi uygulama olarak, uygulamanın genel durumunu raporlayan bir uç nokta oluşturun ve durum yoklaması için bu uç noktayı kullanın. Aksi halde, uygulamanın kritik parçaları başarısız olduğunda araştırma sağlıklı bir uç nokta bildirebilir. Daha fazla bilgi için bkz. Sistem Durumu Uç Nokta İzleme düzeni.

    Traffic Manager yük devrettiğinde istemcilerin uygulamaya ulaşamadığı bir zaman dilimi olur. Bu süre aşağıdaki faktörlerden etkilenir:

    • Durum yoklaması, birincil bölgenin ulaşılamaz hale geldiğini algılamalıdır.
    • DNS sunucuları, önbelleğe alınan DNS kayıtlarını IP adresi için güncelleştirmelidir; bu, DNS yaşam süresine (TTL) bağlıdır. Varsayılan TTL 300 saniyedir (5 dakika), ancak Traffic Manager profilini oluştururken bu değeri yapılandırabilirsiniz.

    Diğer ayrıntılar için bkz. Traffic Manager hakkında.

  • Trafik Görünümü: Hangi Trafik Görünümü fazla trafiğe sahip olduğunu, ancak gecikme sürelerinin daha yüksek olduğunu anlamak için bu özelliği etkinleştirin. Ardından bu bilgileri kullanarak yeni Azure bölgelerine ayak izi genişletmenizi planlayabilirsiniz. Böylece kullanıcılarınız daha düşük bir gecikme süresi deneyimine sahip olur. Ayrıntılar Traffic Manager Trafik Görünümü bkz.

Application Gateway

  • Application Gateway v1 SKU'su, iki veya daha fazla örnek dağıtıldığında yüksek kullanılabilirlik senaryolarını destekler. Azure, tüm örneklerin aynı anda başarısız olmasını sağlamak için bu örnekleri güncelleştirme ve hata etki alanlarına dağıtır. v1 SKU'su, yükü paylaşmak için aynı ağ geçidinin birden çok örneğini ekleyerek ölçeklenebilirliği destekler.
  • Application Gateway v2 SKU'su otomatik olarak yeni örneklerin hata etki alanlarına ve güncelleştirme etki alanlarına yayılmasını sağlar. Bölge yedekliliği seçerseniz, bölge hatasına karşı daha fazla yedeklilik sunmak için en yeni örnekler de kullanılabilirlik alanlara yayılır.

Durum araştırmaları

Application Gateway ve Load Balancer sanal makine örneklerinin kullanılabilirliğini izlemek için sistem durumu yoklamalarını kullanır.

  • Application Gateway her zaman bir HTTP araştırması kullanır.
  • Load Balancer HTTP veya TCP'yi test etmek için kullanılabilir. Genel olarak, bir VM bir HTTP sunucusu çalıştırırsa, BIR HTTP araştırması kullanın. Aksi takdirde TCP kullanın.

Bir yoklama zaman aşımı süresi içinde bir örneğine ulaşalamasa, Application Gateway veya Load Balancer sanal makineye trafik göndermeyi durdurur. Yoklama denetlemeye devam eder ve VM yeniden kullanılabilir hale gelirse VM'yi arka uç havuzuna geri döner. HTTP araştırmaları, belirtilen yola bir HTTP GET isteği gönderir ve HTTP 200 yanıtını dinler. Bu yol kök yol ("/") veya uygulamanın durumunu denetlemeye yönelik özel mantık uygulayan bir sistem durumu izleme uç noktası olabilir. Uç nokta anonim HTTP isteklerine izin vermelidir.

Durum araştırmaları hakkında daha fazla bilgi için bkz:

Sistem durumu yoklama uç noktası tasarlama hakkında dikkat edilmesi gerekenler için bkz. Sistem Durumu Uç Noktası İzleme düzeni.

Yönetilebilirlik konusunda dikkat edilmesi gerekenler

  • Kaynak grupları: Azure kaynaklarını yaşam süresine, sahipe ve diğer özelliklere göre yönetmek için Kaynak gruplarını kullanın.
  • Sanal ağ eşlemesi:Azure'da iki veya daha fazla sanal ağı sorunsuz bir şekilde bağlamak için Sanal ağ eşlemeyi kullanın. Sanal ağlar, bağlantı amacıyla bir sanal ağ olarak görünür. Eşli sanal ağlarda sanal makineler arasındaki trafik, Microsoft omurga altyapısını kullanır. Sanal ağların adres alanı çakışmaz. Bu senaryoda, birincil bölgeden ikincil bölgeye veri çoğaltmaya izin vermek için sanal ağlar Genel sanal ağ eşlemesi aracılığıyla eşler.
  • Sanal ağ ve alt ağlar: Azure VM ve belirli Azure kaynakları (Application Gateway ve Load Balancer gibi), alt ağlara segmentlere bölen bir sanal ağa dağıtılır. Her katman için ayrı bir alt ağ oluşturun.

Güvenlik konuları

  • Azure'ın sağladığı temel korumadan daha fazla DDoS koruması için DDoS Koruması Standart'ını kullanın. Daha fazla bilgi için bkz. Güvenlikle ilgili dikkat edilmesi gerekenler.
  • Sanal ağ içindeki ağ trafiğini kısıtlamak için Ağ Güvenlik Gruplarını (NSG) kullanın. Örneğin burada gösterilen üç katmanlı mimaride veritabanı katmanı, web ön ucundan değil yalnızca iş katmanından ve Bastion alt a ağından gelen trafiği kabul eder.

Ağ Güvenlik Grupları

Yalnızca iş katmanı veritabanı katmanıyla doğrudan iletişim kurabilir. Bu kuralı uygulamak için veritabanı katmanı, iş katmanı alt ağı dışındaki tüm gelen trafiği engellemeli.

  1. Sanal ağdan gelen tüm trafiği reddedin. (Kuralda VIRTUAL_NETWORK etiketi kullanın.)
  2. İş katmanı alt ağın gelen trafiğine izin verme.
  3. Veritabanı katmanı alt ağının kendisinde gelen trafiğe izin verir. Bu kural, veritabanı çoğaltması ve yük devretme için gereken veritabanı VM'leri arasında iletişime olanak sağlar.

İlk kuraldan daha yüksek önceliğe sahip 2 – 3 kuralları oluşturun, böylece kuralları geçersiz kılarlar.

Ağ Güvenlik Grupları veya Ağ Güvenlik Grupları'nın ağ erişim denetimlerini tanımlamak için hizmet etiketlerini Azure Güvenlik Duvarı. NSG Application Gateway ayrıntıları için bkz. Application Gateway yapılandırması.

Fiyatlandırma

Maliyetleri tahmin etmek için Azure Fiyatlandırma Hesaplayıcısı'ni kullanın. Dikkat edilmesi gereken diğer bazı noktalar buradadır.

Sanal Makine Ölçek Kümeleri

Sanal Makine Ölçek Kümeleri tüm sanal makine Windows kullanılabilir. Yalnızca dağıtmış olduğunuz Azure VM'leri ve depolama ve ağ gibi tüketilen ek altyapı kaynakları için ücret ödemeniz gerekir. Sanal Makine Ölçek Kümeleri hizmeti için artımlı ücret yoktur.

Tek VM fiyatlandırma seçenekleri için bkz. Windows Sanal Makineler Fiyatlandırması.

Standart Load Balancer

Uygulamanın Standart Load Balancer, yapılandırılan giden yük dengeleme kurallarının sayısına göre saatliktir. Gelen NAT kuralları ücretsizdir. Kural yapılandırılmamışsa Standart SKU Load Balancer saatlik ücret yoktur. Ayrıca, verilerin işleye Load Balancer vardır.

Daha fazla bilgi için bkz. Yük Dengeleme fiyatlandırması.

Application Gateway v2 SKU's

Bu Application Gateway v2 SKU'su ile sağlandı ve birden çok sanal Kullanılabilirlik Alanları. v2 SKU'su ile fiyatlandırma modeli tüketime göre çalıştırılır ve iki bileşen içerir: saatlik sabit fiyat ve tüketime dayalı maliyet.

Daha fazla bilgi için bkz. Application Gateway fiyatlandırması.

Traffic Manager

Traffic Manager, aylık 1 milyardan fazla sorgu alan hizmetler için indirimle alınan DNS sorgusu sayısını temel almaktadır. Ayrıca izlenen her uç nokta için de ücret tahsil edilecektir. Fiyatlandırma bilgileri için bkz. Traffic Manager fiyatlandırması.

Sanal ağ eşleme

Birden çok Azure Bölgesinden yararlanan yüksek kullanılabilirlik dağıtımı, sanal ağ eşlemesini kullanır. Aynı bölge içindeki sanal ağ eşleme ücretleri, genel sanal ağ eşlemesi ücretleriyle aynı değildir.

Daha fazla bilgi için bkz. Sanal Ağ Fiyatlandırması.

Sonraki adımlar

Aynı teknolojileri kullanan ek başvuru mimarileri için bkz: