Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo discute uma coleção de práticas recomendadas do Azure para a implantação do balanceador de carga. Essas práticas recomendadas derivam da nossa experiência de rede do Azure e da experiência de clientes como você.
Para cada prática recomendada, este artigo explica:
- O que é a prática recomendada
- Por que é ideal habilitar essa prática recomendada
- O que pode acontecer se você não habilitar a prática recomendada
- Como você pode aprender a habilitar essa prática recomendada
Essas práticas recomendadas baseiam-se em uma opinião de consenso e nos conjuntos de recursos e funcionalidades da plataforma do Azure, como existem no momento em que este artigo foi escrito.
Melhores práticas de arquitetura
As diretrizes de arquitetura a seguir ajudam a garantir a confiabilidade da implantação do Azure Load Balancer. Ele inclui as práticas recomendadas para implantar com redundância de zona, redundância no pool de back-end e implantação de um balanceador de carga global. Juntamente com a confiabilidade do Balanceador de carga do gateway, que é recomendado ao usar NVAs em vez de uma configuração de balanceador de carga duplo.
Melhores práticas de confiabilidade
As práticas recomendadas a seguir são recomendadas para garantir a confiabilidade da implantação do Azure Load Balancer.
Implantar com redundância de zona
A redundância de zona fornece a melhor resiliência protegendo o caminho de dados contra falhas de zona. A seleção da zona de disponibilidade do balanceador de carga é sinônimo de seleção de zona do IP de front-end. Para balanceadores de carga públicos, se o IP público no front-end do balanceador de carga for com redundância de zona, o balanceador de carga também será com redundância de zona.
- Implante o balanceador de carga em uma região que dá suporte a zonas de disponibilidade e habilite a redundância de zona ao criar um novo endereço IP público usado para a configuração de IP de front-end.
- Os endereços IP públicos não podem ser alterados para com redundância de zona, mas estamos atualizando todos os IPs públicos padrão não zonais para serem redundantes por zona por padrão. Para obter mais informações, visite o seguinte Blog do Microsoft Azure os IPs Públicos do Azure agora são redundantes por zona por padrão | Blog do Microsoft Azure. Para ver a lista mais atualizada de regiões que dão suporte a IPs públicos padrão com redundância de zona por padrão, consulte endereços IP públicos no Azure
- Se você não puder implantar como com redundância de zona, a próxima opção é ter uma implantação de balanceador de carga zonal.
- Um front-end zonal é recomendado quando o back-end está concentrado em uma zona específica. Embora seja recomendável implantar membros do pool de back-end em várias zonas para se beneficiar da redundância de zona.
- Consulte o documento a seguir se você quiser migrar implantações existentes para zonal ou com redundância de zona migrar o Load Balancer para o suporte à zona de disponibilidade.
Redundância no pool de back-end
Verifique se o pool de back-end contém pelo menos duas instâncias. Se o pool de back-end tiver apenas uma instância e não estiver íntegro, todo o tráfego enviado para o pool de back-end falhará devido à falta de redundância. O SLA do Standard Load Balancer também só tem suporte quando há pelo menos duas instâncias de pool de back-end íntegras por pool de back-end. Visite a documentação do SLA para obter mais informações.
Implantar um balanceador de carga global
O Standard Load Balancer dá suporte ao balanceamento de carga entre regiões, permitindo a redundância regional por meio da vinculação de um balanceador de carga global aos balanceadores de carga regionais existentes. Com um balanceador de carga global, se uma região falhar, o tráfego será roteado para o próximo balanceador de carga regional íntegro mais próximo. Para obter mais detalhes, visite a documentação do Balanceador de carga global.
Para obter mais informações, consulte documentação de confiabilidade do Azure Load Balancer.
Confiabilidade com o Balanceador de carga do gateway
As práticas recomendadas a seguir são recomendadas para garantir a confiabilidade da implantação do Balanceador de carga do gateway.
Encadear o Balanceador de carga do gateway a um Balanceador de Carga Público Padrão
É recomendável encadear seu Balanceador de carga do gateway a um Load Balancer Público Padrão. Essa configuração fornece alta disponibilidade e redundância na NVA e na camada de aplicativo. Para obter mais informações, consulte Tutorial: Criar um balanceador de carga de gateway
Use um balanceador de carga do Gateway ao usar NVAs em vez de uma configuração de balanceador de carga dupla.
É recomendável usar um balanceador de carga do Gateway em cenários de tráfego norte-sul com NVAs (Virtual Appliances de Rede) parceiros. É mais fácil de implantar porque os balanceadores de carga do Gateway não exigem configuração extra, como UDRs (rotas definidas pelo usuário), porque mantém a consistência do fluxo e a simetria do fluxo. Também é mais fácil de gerenciar porque as NVAs podem ser facilmente adicionadas e removidas. Para obter mais informações, consulte documentação do Balanceador de carga do gateway.
Orientações de configuração
As diretrizes de configuração a seguir são as práticas recomendadas para configurar as implantações do Azure Load Balancer.
Criar NSGs (Grupos de Segurança de Rede)
Para permitir explicitamente o tráfego de entrada permitido, você deve criar NSGs (Grupos de Segurança de Rede). Os NSGs devem ser criados na NIC (sub-rede ou placa de interface de rede) da VM, caso contrário, não haverá conectividade de entrada com seus balanceadores de carga externos Standard. Para obter mais informações, consulte Criar, alterar ou excluir um grupo de segurança de rede do Azure.
Desbloquear o endereço IP 168.63.129.16
Verifique se o endereço IP 168.63.129.16 não está bloqueado por nenhum grupo de segurança de rede do Azure e políticas de firewall local. Esse endereço IP permite que investigações de integridade do Azure Load Balancer determinem o estado de integridade da VM. Se não for permitido, a investigação de integridade falhará, pois não conseguirá alcançar sua instância e marcará sua instância como inoperante. Para obter mais informações, consulte investigação de integridade do Azure Load Balancer e O que é o endereço IP 168.63.129.16?s.
Usar regras de saída com alocação manual de porta
Use regras de saída com alocação manual de porta em vez de alocação de porta padrão para evitar falhas de escape ou conexão SNAT. A alocação de porta padrão atribui automaticamente um número conservador de portas que pode causar um risco maior de esgotamento da porta SNAT. A alocação manual de porta pode ajudar a maximizar o número de portas SNAT disponibilizadas para cada uma das instâncias no pool de back-end, o que pode ajudar a impedir que suas conexões sejam afetadas devido à realocação da porta. Há duas opções para alocação manual de porta, "portas por instância" ou "número máximo de instâncias de back-end". Para entender as considerações de ambos, consulte SNAT (Conversão de Endereços de Rede de Origem) para conexões de saída.
Verificar o modo de distribuição
O Azure Load Balancer usa um modo de distribuição baseado em hash de 5 tuplas por padrão e também oferece persistência de sessão usando um hash de 2 tuplas ou de 3 tuplas. Considere se sua implantação pode se beneficiar da persistência de sessão (também conhecida como afinidade de sessão), em que as conexões do mesmo IP do cliente ou do mesmo IP do cliente e do protocolo vão para a mesma instância de back-end no pool de back-end. Considere também que habilitar a afinidade de sessão pode causar distribuição de carga irregular, pois a maioria das conexões provenientes do mesmo IP do cliente ou do mesmo IP do cliente e do protocolo será enviada para a mesma VM de back-end. Para obter mais informações sobre os modos de distribuição do Azure Load Balancers, consulte os modos de distribuição do Azure Load Balancer.
Habilitar redefinições de TCP
A habilitação de redefinições de TCP em seu Load Balancer envia pacotes de redefinições bidirecionais de TCP para pontos de extremidade de cliente e servidor no tempo limite ocioso para informar aos pontos de extremidade do aplicativo que a conexão atingiu o tempo limite e não é mais utilizável. Sem habilitar a redefinição de TCP, o Load Balancer descarta silenciosamente os fluxos quando o tempo limite ocioso de um fluxo é atingido. Também poderá ser útil aumentar o tempo limite ocioso e/ou usar um TCP keep-alive se as conexões estiverem atingindo o tempo limite. Para obter mais informações sobre redefinições de TCP, tempos limite ociosos e TCP keep-alive, acesse Redefinição de TCP e tempos limite ociosos do Load Balancer no Azure.
Configurar a interface de loop back ao configurar o IP flutuante
Se você habilitar o IP flutuante, verifique se você tem uma interface de loopback no sistema operacional convidado configurada com o endereço IP de front-end do balanceador de carga. O IP flutuante precisa ser habilitado. Você deseja reutilizar a porta de back-end em várias regras. Alguns exemplos de casos de uso da reutilização de porta incluem clustering de alta disponibilidade e soluções de virtualização de rede. Para saber mais, veja Configuração de IP flutuante do Azure Load Balancer.
Implementar as práticas recomendadas de configuração do Balanceador de carga do gateway
Separe o tráfego confiável e não confiável em duas interfaces de túnel diferentes; use o tipo de interface de túnel externo para tráfego não confiável/ainda não inspecionado ou gerenciado e use o tipo de interface de túnel interno para tráfego confiável/inspecionado. Como prática recomendada de segurança, isso garante o isolamento do tráfego confiável e não confiável e pode permitir uma solução de problemas e controle de tráfego mais granular.
Verifique se o limite de MTU de NVAs aumentou para pelo menos 1550 ou até o limite recomendado de 4000 para cenários em que quadros jumbo são usados. Sem aumentar o limite de MTU, você pode experimentar quedas de pacotes devido ao tamanho maior do pacote de outros pacotes gerados pelos cabeçalhos VXLAN.
Comunicados de desativação
Juntamente com novas melhorias e atualizações para o Azure Load Balancer, também há substituições nas funcionalidades. É essencial manter-se atualizado e garantir que você esteja fazendo as alterações necessárias para evitar possíveis interrupções de serviço. Para obter uma lista completa de anúncios de desativação, consulte a página Atualizações do Azure e filtre para “Load Balancer” em “Produtos” e “Aposentadorias” em “Tipo” de Atualização.
Usar ou atualizar para o Standard Load Balancer
O Load Balancer Básico foi desativado em 30 de setembro de 2025 e os clientes devem atualizar do Load Balancer Básico para o Standard Load Balancer até lá. O Standard Load Balancer fornece melhorias significativas, incluindo alto desempenho, latência ultra baixa, segurança por padrão e SLA de 99,99% de disponibilidade.
Não use o acesso de saída padrão
Seguindo em frente, não use o acesso de saída padrão e verifique se todas as VMs têm um método de saída explícito definido. Isso é recomendado para melhor segurança e maior controle sobre como suas VMs se conectam à Internet. O acesso de saída padrão desativará 30 de setembro de 2025 e as VMs criadas após essa data devem usar uma das seguintes soluções de saída para se comunicar com a Internet:
- Associar um NAT GW à sub-rede
- Usar um ou mais IPs de front-end de um Load Balancer para saída por meio de regras de saída
- Atribuir um endereço IP público no nível da instância à VM