Considerazioni sulla gestione delle operazioni per l'acceleratore di zona di destinazione di Gestione API

Questo articolo fornisce considerazioni di progettazione e raccomandazioni su gestione operativa quando si usa l'acceleratore di zona di approdo di gestione API. La gestione delle operazioni riguarda più aspetti, tra cui:

• Provisioning, ridimensionamento e monitoraggio dell'istanza di Gestione delle API
• Configurazione dei criteri nel gateway
• Gestione delle API
• Preparazione per la continuità aziendale e il ripristino di emergenza

Scopri di più sull'area della gestione progettuale.

Gestione e monitoraggio

Considerazioni sulla progettazione per la gestione e il monitoraggio

• Tenere presente i limiti massimi di velocità effettiva di ogni livello di servizio Gestione API. Questi limiti sono approssimativi e non garantiti.
• Tenere presente il numero massimo di unità di scala per livello di servizio Gestione API.
• Tenere presente il tempo necessario per scalare, distribuire in un'altra regione o convertirlo in un livello di servizio diverso.
• La gestione API non si espande automaticamente; è necessaria una configurazione aggiuntiva.
• Non è previsto alcun tempo di inattività durante un evento di scalabilità orizzontale.
• Solo il componente gateway di Gestione API viene distribuito in tutte le aree in una distribuzione in più aree.
• Tenere presente il possibile impatto sulle prestazioni della registrazione di Application Insights a carichi elevati.
• Tenere presente il numero di criteri in ingresso e in uscita applicati e il relativo impatto sulle prestazioni.
• I criteri di Gestione API sono codice e devono essere sotto il controllo della versione
• La cache predefinita di Gestione API è condivisa da tutte le unità nella stessa area nello stesso servizio Gestione API.
• Usare le zone di disponibilità. Il numero di unità di scala selezionate deve essere distribuito uniformemente tra le zone.
• Se si utilizza un gateway autogestito, tenere presente che le credenziali scadono ogni 30 giorni e devono essere rinnovate.
• L'URI /status-0123456789abcdef può essere usato come endpoint di integrità comune per il servizio Gestione API.
• Il servizio Gestione API non è un WAF. Distribuire un WAF, ad esempio gateway applicazione di Azure, davanti a ulteriori livelli di protezione.
• La negoziazione del certificato client è abilitata in una configurazione per gateway.
• I certificati e i segreti in Key Vault vengono aggiornati in Gestione API entro 4 ore dall'impostazione. È anche possibile aggiornare manualmente un segreto usando il portale di Azure o tramite l'API REST di gestione.
• I domini personalizzati possono essere applicati a tutti gli endpoint o solo a un subset. Il livello Premium supporta l'impostazione di più nomi host per l'endpoint del gateway.
• È possibile eseguire il backup di Gestione API usando l'API REST di gestione. I backup scadono dopo 30 giorni. Tenere presente cosa Gestione delle API non esegue il backup.
• I valori denominati sono globali nell'ambito.
• Le operazioni API possono essere raggruppate in prodotti e sottoscrizioni. Basare la progettazione sui requisiti aziendali effettivi.

Consigli di progettazione per la gestione e il monitoraggio

• Applicare domini personalizzati solo all'endpoint del gateway.
• Usare Event Hubs policy per la registrazione a livelli di prestazioni elevati.
• Usare una cache esterna per controllare e ottenere prestazioni più veloci.
• Distribuire almeno due unità di scala distribuite in due zone di disponibilità per area per ottenere una migliore disponibilità e prestazioni.
• Usare Monitoraggio di Azure per autoscale gestione API. Se si utilizza un gateway auto-gestito, utilizzare il horizontal pod autoscaler di Kubernetes per scalare il gateway.
• Distribuire gateway autogestiti dove Azure non ha una regione vicina alle API back-end.
• Usare Key Vault per l'archiviazione, la notifica e la rotazione dei certificati.
• Non abilitare 3DES, TLS 1.1 o protocolli di crittografia inferiori, a meno che non sia necessario.
• Usare DevOps e le procedure di infrastruttura come codice per gestire tutte le distribuzioni, gli aggiornamenti e il ripristino di emergenza.
• Creare una revisione dell'API e una voce del registro delle modifiche per ogni aggiornamento dell'API.
• Usare i back-end per eliminare le configurazioni back-end dell'API ridondanti.
• Usare i valori denominati per archiviare i valori comuni che possono essere usati nei criteri.
• Usare Key Vault per archiviare segreti a cui possono fare riferimento i valori con nome. I segreti aggiornati nell'insieme di credenziali delle chiavi vengono ruotati automaticamente in Gestione API
• Sviluppare una strategia di comunicazione per notificare agli utenti l'interruzione degli aggiornamenti delle versioni dell'API.
• Configurare le impostazioni diagnostic per inoltrare AllMetrics e AllLogs a un'area di lavoro Log Analytics.

Continuità aziendale e ripristino di emergenza

Considerazioni sulla progettazione per la continuità aziendale e il ripristino di emergenza

• Determinare l'obiettivo del tempo di ripristino (RTO) e l'obiettivo del punto di ripristino (RPO) per le istanze di Gestione API da proteggere e le catene di valori supportate (consumer e provider). Prendere in considerazione la distribuzione di istanze nuove o prevedere un sistema di standby caldo/freddo.
• Gestione API supporta distribuzioni multizone e multiregion . In base ai requisiti, è possibile abilitare solo uno o entrambi.
• Il failover può essere automatizzato:
  • Viene eseguito automaticamente il failover di una distribuzione a più zone.
  • Una distribuzione con più aree richiede un servizio di bilanciamento del carico basato su DNS, ad esempio Gestione traffico, per eseguire il failover.
• È possibile eseguire il backup di API Management usando la sua API REST di gestione.
  • I backup scadono dopo 30 giorni.
  • Tenere presente cosa APIM non include nel backup.

Consigli di progettazione per la continuità aziendale e il ripristino di emergenza

• Usare un'identità gestita assegnata dall'utente per Gestione API per evitare tempi di inattività durante la ridistribuzione dai modelli di Resource Manager. Se si usa un'identità gestita assegnata dal sistema, questa identità e i relativi ruoli e assegnazioni associati, ad esempio Azure Key Vault accesso segreto, verranno rimossi se la risorsa viene rimossa. Se si usa un'identità gestita assegnata dall'utente, queste assegnazioni rimarranno, consentendo di associarla a Gestione API senza perdita di accesso.
• Usare i Azure Pipelines automatizzati per eseguire i backup.
• Decidere se è necessaria la distribuzione di più aree .

Presupposti su scala aziendale

Di seguito sono riportati i presupposti che sono stati inseriti nello sviluppo dell'acceleratore di zona di destinazione di Gestione API:

• È consigliabile un'istanza di livello Premium di Gestione API che supporta le zone di disponibilità e le distribuzioni con più aree.
• Azure Pipelines vengono usati per gestire e distribuire l'infrastruttura come codice.