Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo discute uma coleção de práticas recomendadas do Azure para sua implantação de balanceador de carga. Essas práticas recomendadas são derivadas de nossa experiência com a rede do Azure e das experiências de clientes como você.
Para cada prática recomendada, este artigo explica:
- Qual é a melhor prática
- Por que você deseja habilitar essa prática recomendada
- O que pode acontecer se você não habilitar as melhores práticas
- Como você pode aprender a habilitar essa prática recomendada
Essas práticas recomendadas são baseadas em uma opinião consensual e nas capacidades e funcionalidades da plataforma Azure, tal como existem no momento em que este artigo foi escrito.
Melhores práticas arquitetônicas
As diretrizes de arquitetura a seguir ajudam a garantir a confiabilidade da implantação do Balanceador de Carga do Azure. Inclui práticas recomendadas para implementação com redundância de zona, redundância no seu pool de back-end e implementação de um balanceador de carga global. Juntamente com a confiabilidade do Gateway Load Balancer, que é recomendado ao usar NVAs em vez de uma configuração de balanceamento de carga dupla.
Práticas recomendadas de confiabilidade
As práticas recomendadas a seguir são recomendadas para garantir a confiabilidade da implantação do Azure Load Balancer.
Implantar com redundância zonal
A redundância de zona fornece a melhor resiliência, protegendo o caminho de dados contra falhas de zona. A seleção da zona de disponibilidade do balanceador de carga é sinônimo da seleção de zona do IP do frontend. Para balanceadores de carga públicos, se o IP público no frontend do balanceador de carga for redundante de zona, o balanceador de carga também será redundante de zona.
- Implante o balanceador de carga numa região que ofereça suporte a zonas de disponibilidade e ative a redundância de zona ao criar um novo endereço IP público usado para a configuração de IP de Frontend.
- Os endereços IP públicos não podem ser alterados para zona redundante, mas estamos atualizando todos os IPs públicos padrão não zonais para serem redundantes de zona por padrão. Para obter mais informações, visite o seguinte Blog do Microsoft Azure Os IPs públicos do Azure agora são redundantes por zona por padrão | Blog do Microsoft Azure. Para ver a lista mais atualizada de regiões que suportam IPs públicos padrão redundantes de zona por padrão, consulte Endereços IP públicos no Azure
- Se você não puder implantar como redundante de zona, a próxima opção será ter uma implantação de balanceador de carga zonal.
- Um frontend Zonal é recomendado quando o backend está concentrado em uma zona específica. No entanto, recomendamos a implantação de membros do pool de back-end em várias zonas para se beneficiar da redundância de zonas.
- Consulte o seguinte documento se quiser migrar implantações existentes para Load Balancer zonal ou com redundância de zona suportado por zonas de disponibilidade.
Redundância no seu pool de back-end
Verifique se o pool de back-end contém pelo menos duas instâncias. Se o pool de back-end tiver apenas uma instância e estiver com problemas, todo o tráfego enviado para o pool de back-end falha devido à falta de redundância. O SLA do Balanceador de Carga Padrão também só é suportado quando há pelo menos duas instâncias de pool de back-end saudáveis em cada pool de back-end. Visite a documentação do SLA para obter mais informações.
Implantar um balanceador de carga global
O Standard Load Balancer suporta balanceamento de carga entre regiões, permitindo redundância regional por meio da vinculação de um balanceador de carga global aos seus balanceadores de carga regionais existentes. Com um balanceador de carga global, se uma região falhar, o tráfego será roteado para o próximo balanceador de carga regional saudável mais próximo. Para obter mais detalhes, visite a documentação do Global Load Balancer.
Para obter mais informações, consulte a documentação de Confiabilidade do Balanceador de Carga do Azure.
Confiabilidade com o Gateway Load Balancer
As práticas recomendadas a seguir são recomendadas para garantir a confiabilidade da implantação do Gateway Load Balancer.
Encadeie seu Balanceador de Carga de Gateway a um Balanceador de Carga Público Padrão
É recomendável encadear o Balanceador de Carga do Gateway a um Balanceador de Carga Público Padrão. Essa configuração fornece alta disponibilidade e redundância no NVA e na camada de aplicativos. Para obter mais informações, consulte Tutorial: Criar um balanceador de carga de gateway
Use um balanceador de carga de gateway ao usar NVAs em vez de uma configuração com dois balanceadores de carga.
Recomendamos o uso de um balanceador de carga do Gateway em cenários de tráfego norte-sul com NVAs (Network Virtual Appliances) parceiros. É mais fácil de implantar porque os balanceadores de carga do Gateway não exigem configuração extra, como UDRs (rotas definidas pelo usuário), pois mantêm a aderência e a simetria do fluxo. Também é mais fácil de gerenciar porque os NVAs podem ser facilmente adicionados e removidos. Para obter mais informações, consulte a documentação do Gateway Load Balancer.
Diretrizes de configuração
As diretrizes de configuração a seguir são práticas recomendadas para configurar suas implantações do Balanceador de Carga do Azure.
Criar NSGs (grupos de segurança de rede)
Para permitir explicitamente o tráfego de entrada permitido, você deve criar NSGs (Grupos de Segurança de Rede). Os NSGs devem ser criados na sub-rede ou na placa de interface de rede (NIC) da sua VM, caso contrário, não haverá conectividade de entrada com seus balanceadores de carga externos padrão. Para obter mais informações, consulte Criar, alterar ou excluir um grupo de segurança de rede do Azure.
Desbloqueie o endereço IP 168.63.129.16
Verifique se o endereço IP 168.63.129.16 não está bloqueado por nenhum grupo de segurança de rede do Azure e políticas de firewall local. Esse endereço IP permite que as sondas de integridade do Balanceador de Carga do Azure determinem o estado de integridade da VM. Se não for permitido, o teste de integridade falha, pois não consegue alcançar sua instância e marca sua instância como inativa. Para obter mais informações, consulte a sonda de integridade do Balanceador de Carga do Azure e O que é o endereço IP 168.63.129.16?.
Usar regras de tráfego de saída com alocação manual de portas
Utilize regras de saída com alocação manual de porta em vez de alocação de porta padrão para evitar a exaustão de SNAT ou falhas de conexão. A alocação de portas padrão atribui automaticamente um número conservador de portas, o que pode causar um maior risco de exaustão da porta SNAT. A alocação manual de portas pode ajudar a maximizar o número de portas SNAT disponibilizadas para cada uma das instâncias em seu pool de back-end, o que pode ajudar a evitar que suas conexões sejam afetadas devido à realocação de portas. Há duas opções para alocação manual de portas, "portas por instância" ou "número máximo de instâncias de back-end". Para entender as considerações de ambos, consulte Tradução de endereços de rede de origem (SNAT) para conexões de saída.
Verifique o modo de distribuição
O Azure Load Balancer usa um modo de distribuição baseado em hash de 5 tuplas por padrão e também oferece persistência de sessão usando um hash de 2 tuplas ou 3 tuplas. Considere se sua implantação poderia se beneficiar da persistência de sessão (também conhecida como afinidade de sessão), onde as conexões do mesmo IP do cliente ou do mesmo IP e protocolo do cliente vão para a mesma instância de back-end dentro do pool de back-end. Considere também que habilitar a afinidade de sessão pode causar uma distribuição desigual de carga, pois a maioria das conexões que vêm do mesmo IP do cliente ou do mesmo IP e protocolo serão enviadas para a mesma VM de back-end. Para obter mais informações sobre os modos de distribuição do Azure Load Balancers, consulte Modos de distribuição do Azure Load Balancer.
Ativar redefinições de TCP
Ao habilitar as redefinições de TCP no seu Balanceador de Carga, são enviados pacotes de redefinição TCP bidirecionais para os pontos de extremidade do cliente e do servidor durante o tempo de inatividade, informando os pontos de extremidade da aplicação de que a ligação expirou e já não é utilizável. Sem habilitar a redefinição de TCP, o Balanceador de Carga silenciosamente descarta fluxos quando o tempo limite ocioso de um fluxo é atingido. Também pode ser benéfico aumentar o tempo limite ocioso e/ou usar um keep-alive TCP se você estiver vendo o tempo limite das conexões. Para obter mais informações sobre redefinições de TCP, tempos limite ociosos e manutenção de TCP, visite Redefinição de TCP do Balanceador de Carga e tempo limite ocioso no Azure.
Configurar a interface de loop back ao configurar o IP flutuante
Se você habilitar o IP flutuante, certifique-se de ter uma interface de loopback no SO convidado configurada com o endereço IP de front-end do balanceador de carga. O IP flutuante precisa ser ativado se quiser reutilizar a porta de back-end nas várias regras. Alguns exemplos de casos de uso de reutilização de porta incluem clusters de alta disponibilidade e aplicações virtuais de rede. Para obter mais informações, consulte Configuração de IP flutuante do Balanceador de Carga do Azure.
Implementar as práticas recomendadas de configuração do Balanceador de Carga de Gateway
Separe seu tráfego confiável e não confiável em duas interfaces de túnel diferentes; Use o tipo de interface de túnel externo para tráfego não confiável/ainda não inspecionado ou gerenciado e use o tipo de interface de túnel interno para tráfego confiável/inspecionado. Como prática recomendada de segurança, isso garante o isolamento de tráfego confiável e não confiável e pode permitir um controle de tráfego e solução de problemas mais granulares.
Certifique-se de que o limite de unidade de transmissão máxima (MTU) das suas NVAs esteja aumentado para pelo menos 1550, ou até os limites recomendados de 4000 para cenários em que os quadros jumbo são utilizados. Sem aumentar o limite de MTU, poderá ocorrer perdas de pacotes devido ao tamanho maior dos pacotes gerados pelos cabeçalhos VXLAN.
Anúncios de aposentadoria
Juntamente com novas melhorias e atualizações para o Azure Load Balancer, também há descontinuação de funcionalidades. É fundamental manter-se atualizado e garantir que está a fazer as alterações necessárias para evitar potenciais interrupções do serviço. Para uma lista completa de anúncios de descontinuações, consulte a página Atualizações do Azure e filtre por "Balanceador de Carga" em "Produtos" e "Desativações" em "Tipo de Atualização".
Usar ou fazer upgrade para o Standard Load Balancer
O Basic Load Balancer foi desativado em 30 de setembro de 2025 e os clientes devem atualizar do Basic Load Balancer para o Standard Load Balancer até lá. O Standard Load Balancer oferece melhorias significativas, incluindo alto desempenho, latência ultrabaixa, segurança por padrão e SLA de 99,99% de disponibilidade.
Não utilize o acesso de saída predefinido
No futuro, não utilize o acesso de saída predefinido e assegure que todas as VMs tenham um método de saída explícito definido. Isso é recomendado para melhor segurança e maior controle sobre como suas VMs se conectam à Internet. O acesso de saída padrão será desativado em 30 de setembro de 2025 e as VMs criadas após essa data devem usar uma das seguintes soluções de saída para se comunicar com a Internet:
- Associar um GW NAT à sub-rede
- Usar um ou mais IPs frontend de um Load Balancer para saída por meio de regras de saída
- Atribuir um endereço IP público no nível da instância à VM