Bewährte Methoden für Azure Load Balancer
In diesem Artikel wird eine Sammlung bewährter Methoden für die Bereitstellung des Lastenausgleichs in Azure erläutert. Diese empfohlenen Vorgehensweisen sind aus unseren Erfahrungen mit dem Azure-Netzwerk und den Erfahrungen von Kunden wie Ihnen abgeleitet.
In diesem Artikel wird für jede bewährte Methode Folgendes erläutert:
- Wobei es bei der bewährten Methode geht
- Warum Sie die bewährte Methode nutzen sollten
- Mögliche Folgen, wenn Sie die bewährte Methode nicht aktivieren
- Wie Sie erfahren können, wie Sie diese empfohlenen Vorgehensweisen aktivieren
Diese bewährten Methoden basieren auf einer Konsensmeinung und der Fähigkeit und den Funktionssätzen der Azure-Plattform zum Erstellungszeitpunkt dieses Artikels.
Bewährte Methoden für die Architektur
Die folgenden Architekturanleitungen tragen dazu bei, die Zuverlässigkeit Ihrer Azure Load Balancer-Bereitstellung sicherzustellen. Sie enthalten bewährte Methoden für die Bereitstellung mit Zonenredundanz, Redundanz in Ihrem Back-End-Pool und das Bereitstellen eines globalen Lastenausgleichs. Zusammen mit der Zuverlässigkeit des Gateway Load Balancer, die empfohlen wird, wenn NVAs anstelle eines dualen Lastenausgleichs eingerichtet werden.
Bewährte Methoden für Zuverlässigkeit
Die folgenden bewährten Methoden werden empfohlen, um die Zuverlässigkeit Ihrer Azure Load Balancer-Bereitstellung sicherzustellen.
Bereitstellen mit Zonenredundanz
Zonenredundanz bietet die beste Resilienz, indem der Datenpfad vor Zonenfehlern geschützt wird. Die Auswahl der Verfügbarkeitszone des Lastenausgleichs ist gleichbedeutend mit der Zonenauswahl der Front-End-IP. Wenn bei öffentlichen Lastenausgleichen die öffentliche IP-Adresse im Front-End des Lastenausgleichs zonenredundant ist, ist auch der Lastenausgleich zonenredundant.
- Stellen Sie das Lastenausgleichsmodul in einer Region bereit, die Verfügbarkeitszonen unterstützt und Zonenredundanz aktiviert, wenn Sie eine neue öffentliche IP-Adresse erstellen, die für die Front-End-IP-Konfiguration verwendet wird.
- Öffentlichen IP-Adressen können nicht in Zonenredundanz geändert werden, aber wir aktualisieren alle nicht zonal öffentlichen Standard-IPs standardmäßig so, dass sie zonenredundant sind. Weitere Informationen finden Sie im Microsoft Azure-Blog Öffentliche Azure-IPs sind jetzt standardmäßig zonenredundant | Microsoft Azure-Blog. Die aktuellste Liste der Regionen, die standardmäßig zonenredundante öffentliche Standard-IPs unterstützen, finden Sie unter Öffentliche IP-Adressen in Azure
- Wenn Sie die Bereitstellung nicht als zonenredundant durchführen können, besteht die nächste Option darin, eine Bereitstellung eines zonalen Lastenausgleichs zu haben.
- Ein zonales Front-End wird empfohlen, wenn das Back-End in einer bestimmten Zone konzentriert ist. Es wird jedoch empfohlen, Back-End-Poolmitglieder über mehrere Zonen hinweg bereitzustellen, um von Zonenredundanz zu profitieren.
- Weitere Informationen finden Sie im folgenden Dokument, wenn Sie vorhandene Bereitstellungen zu zonalen oder zonenredundanten migrieren möchten: Load Balancer zur Unterstützung der Verfügbarkeitszone migrieren.
Redundanz in Ihrem Back-End-Pool
Stellen Sie sicher, dass der Back-End-Pool mindestens zwei Instanzen enthält. Wenn Ihr Back-End-Pool nur über eine Instanz verfügt und sie fehlerhaft ist, schlägt der gesamte Datenverkehr, der an den Back-End-Pool gesendet wird, aufgrund fehlender Redundanz fehl. Die SLA des Standard Load Balancer wird auch nur unterstützt, wenn mindestens 2 fehlerfreie Instanzen des Back-End-Pool je Back-End-Pool vorhanden sind. Weitere Informationen finden Sie in der SLA-Dokumentation.
Bereitstellen eines globalen Lastenausgleichs
Standard Load Balancer unterstützt regionsübergreifende Lastenausgleichsfunktionen, die regionale Redundanz ermöglichen, indem ein globaler Lastenausgleich mit Ihren vorhandenen regionalen Lastenausgleichsmodulen verknüpft wird. Mit einem globalen Lastenausgleich, wird, wenn eine Region ausfällt, der Datenverkehr an den nächstgelegenen fehlerfreien Lastenausgleich weitergeleitet. Weitere Details finden Sie in der Global Load Balancer-Dokumentation.
Weitere Informationen finden Sie in der Dokumentation zur Zuverlässigkeit von Azure Load Balancer.
Zuverlässigkeit mit Gateway Load Balancer
Die folgenden bewährten Methoden werden empfohlen, um die Zuverlässigkeit Ihrer Gateway-Lastenausgleichsbereitstellung sicherzustellen.
Verketten des Gateway Load Balancer mit einem standardmäßigen öffentlichen Lastenausgleich
Das Verketten des Gateway Load Balancer mit einem Standard Public Load Balancer wird empfohlen. Diese Konfiguration bietet hohe Verfügbarkeit und Redundanz sowohl auf der NVA- als auch auf der Anwendungsebene. Weitere Informationen finden Sie im Tutorial: Erstellen eines Gatewaygeräts zum Lastenausgleich
Verwenden Sie ein Gateway-Lastenausgleichsmodul, wenn Sie NVAs anstelle eines dualen Lastenausgleichs-Setups verwenden.
Wir empfehlen die Verwendung eines Gateway-Lastenausgleichs in Nord-Süd-Datenverkehrsszenarien mit Partner-Network Virtual Appliances (NVAs). Die Bereitstellung ist einfacher, da Gatewaylastenausgleichsgeräte keine zusätzliche Konfiguration wie benutzerdefinierte Routen (User-Defined Routes, UDRs) erfordern, da die Flussknüppel und Flusssymmetrie beibehalten werden. Es ist auch einfacher zu verwalten, da NVAs einfach hinzugefügt und entfernt werden können. Weitere Informationen finden Sie in der Dokumentation zum Gateway Load Balancer.
Anleitung zur Konfiguration
Die folgenden Konfigurationsanleitungen sind bewährte Methoden zum Konfigurieren Ihrer Azure Load Balancer-Bereitstellungen.
Netzwerksicherheitsgruppen (NSGs) erstellen
Um den zulässigen eingehenden Datenverkehr explizit zuzulassen, sollten Sie Netzwerksicherheitsgruppen (Network Security Groups, NSGs) erstellen. NSGs müssen auf der Subnetz- oder Netzwerkschnittstellenkarte (Network Interface Card, NIC) Ihrer VM erstellt werden, andernfalls gibt es keine eingehende Verbindung zu Ihren externen Standardlastenausgleichsmodulen. Weitere Informationen finden Sie unter Erstellen, Ändern oder Löschen einer Azure Netzwerksicherheitsgruppe.
Aufheben der Blockierung der 168.63.129.16 IP-Adresse
Stellen Sie sicher, dass die IP-Adresse 168.63.129.16 von keiner Azure-Netzwerksicherheitsgruppen und lokaler Firewallrichtlinie blockiert wird. Diese IP-Adresse ermöglicht Integritätstests von Azure Load Balancer den Integritätsstatus der VM zu ermitteln. Wenn sie nicht zugelassen ist, schlägt die Integritätssonde fehl, da sie ihre Instanz nicht erreichen kann, und markiert Ihre Instanz als inaktiv. Weitere Informationen finden Sie unter Azure Load Balancer-Integritätssonde und Was ist IP-Adresse 168.63.129.16?s.
Verwenden von ausgehenden Regeln mit manueller Portzuweisung
Verwenden Sie ausgehende Regeln mit manueller Portzuweisung anstelle der Standardportzuweisung, um SNAT-Ausschöpfung oder Verbindungsfehler zu verhindern. Die standardmäßige Portzuordnung weist automatisch eine konservative Anzahl von Ports zu, was zu einem höheren Risiko für die SNAT-Portausschöpfung führen kann. Die manuelle Portzuweisung kann dazu beitragen, die Anzahl der SNAT-Ports zu maximieren, die für jede Instanz in Ihrem Back-End-Pool zur Verfügung gestellt wurden, wodurch verhindert werden kann, dass Ihre Verbindungen aufgrund der Neuzuweisung des Ports beeinträchtigt werden. Es gibt zwei Optionen für die manuelle Portzuweisung, „Ports pro Instanz“ oder „maximale Anzahl von Back-End-Instanzen“. Informationen zu den Überlegungen beider Seiten finden Sie unter Source Network Address Translation (SNAT) für ausgehende Verbindungen.
Überprüfen des Verteilungsmodus
Azure Load Balancer verwendet standardmäßig einen 5-Tupel-Hash-basierten Verteilungsmodus und bietet außerdem die Sitzungspersistenz mit einem 2-Tupel- oder 3-Tupel-Hash. Überlegen Sie, ob Ihre Bereitstellung von der Sitzungspersistenz (auch als Sitzungsaffinität bezeichnet) profitieren könnte, bei der Verbindungen von derselben Client-IP oder derselben Client-IP und demselben Client-IP-Protokoll zur gleichen Back-End-Instanz innerhalb des Back-End-Pools wechseln. Beachten Sie außerdem, dass die Aktivierung der Sitzungsaffinität zu einer ungleichmäßigen Lastverteilung führen kann, da die meisten Verbindungen von derselben Client-IP oder derselben Client-IP stammen und dasselbe Client-IP-Protokoll an dieselbe Back-End-VM gesendet wird. Weitere Informationen zu Verteilungsmodi für Azure Load Balancer finden Sie unter Azure Load Balancer-Verteilungsmodi.
Aktivieren der TCP-Zurücksetzungen
Durch aktivieren von TCP-Resets auf Ihrem Load Balancer werden bidirektionale TCP-Pakete sowohl an Client- als auch Serverendpunkte im Leerlauf zurückgesetzt, um Ihre Anwendungsendpunkte darüber zu informieren, dass die Verbindung ein Timeout hat und nicht mehr verwendet werden kann. Ohne das TCP-Reset zu aktivieren, sinkt das Lastenausgleichsmodul im Hintergrund, wenn das Leerlauftimeout eines Flusses erreicht ist. Es kann auch vorteilhaft sein, das Leerlauftimeout zu erhöhen und/oder einen TCP-Keep-Alive zu verwenden, wenn Verbindungen ein Timeout anzeigen. Weitere Informationen zu TCP-Resets, Leerlauftimeouts und TCP-Keepalive finden Sie unter Load Balancer TCP Reset und Leerlauftimeout in Azure.
Konfigurieren der Loop-Back-Schnittstelle beim Einrichten einer Floating IP
Wenn Sie Floating IP-Adressen aktivieren, stellen Sie sicher, dass Sie über eine Loop-Back-Schnittstelle im Gastbetriebssystem verfügen, die mit der Front-End-IP-Adresse des Lastenausgleichs konfiguriert ist. Floating IP-Adressen müssen aktiviert werden, damit sie den Back-End-Port über mehrere Regeln hinweg wiederverwenden möchten. Beispiele für die Wiederverwendung von Ports sind Clustering für hohe Verfügbarkeit und virtuelle Netzwerkgeräte. Weitere Informationen finden Sie unter Konfigurieren der Floating IP von Azure Load Balancer.
Implementieren bewährter Methoden für die Konfiguration des Gateway Load Balancer
Trennen Sie Ihren vertrauenswürdigen und nicht vertrauenswürdigen Datenverkehr auf zwei verschiedenen Tunnelschnittstellen. Verwenden Sie den externen Tunnelschnittstellentyp für nicht vertrauenswürdigen/noch nicht überprüften oder verwalteten Datenverkehr und verwenden Sie den internen Tunnelschnittstellentyp für vertrauenswürdigen/überprüften Datenverkehr. Als bewährte Methode für Sicherheit wird dadurch die Isolation von vertrauenswürdigem und nicht vertrauenswürdigem Datenverkehr sichergestellt und ermöglicht eine genauere Datenverkehrskontrolle und Problembehandlung.
Stellen Sie sicher, dass der MTU-Grenzwert Ihres NVAs auf mindestens 1550 erhöht wird, oder bis zu dem empfohlenen Grenzwert von 4000 für Szenarien, in denen Jumboframes verwendet werden. Ohne die MTU-Grenze zu erhöhen, können aufgrund der größeren Paketgröße von anderen Paketen, die von den VXLAN-Headern generiert werden, Pakete fallen gelassen werden.
Ankündigungen zur Einstellung
Neben neuen Verbesserungen und Updates für Azure Load Balancer gibt es auch veraltete Funktionen. Es ist wichtig, auf dem neuesten Stand zu bleiben und sicherzustellen, dass Sie die erforderlichen Änderungen vornehmen, um mögliche Dienstunterbrechungen zu vermeiden. Eine vollständige Liste der Einstellungsankündigungen finden Sie auf der Seite Azure Updates und filtern Sie nach „Load Balancer“ unter „Produkte“ und „Einstellungen“ unter „Update-Art“.
Verwenden oder Aktualisieren auf Standard Load Balancer
Basic Load Balancer wird am 30. September 2025 eingestellt, und Kunden sollten bis dahin von Basic Load Balancer auf Standard Load Balancer upgraden. Standard Load Balancer bietet erhebliche Verbesserungen, darunter hohe Leistung, Ultra-Low-Latenz, standardmäßige Sicherheit und SLA von 99,99 %-Verfügbarkeit.
Verwenden Sie nicht standardmäßig ausgehenden Zugriff
Verwenden Sie nicht standardmäßig ausgehenden Zugriff und stellen Sie sicher, dass alle virtuellen Computer über eine definierte explizite ausgehende Methode verfügen. Dies wird empfohlen, um eine bessere Sicherheit und eine bessere Kontrolle darüber zu gewährleisten, wie Ihre virtuellen Computer mit dem Internet verbunden sind. Standardmäßig ausgehender Zugriff wird am 30. September 2025 eingestellt und VMs, die nach diesem Datum erstellt wurden, müssen eine der folgenden ausgehenden Lösungen verwenden, um mit dem Internet zu kommunizieren:
- Zuordnen eines NAT GW zum Subnetz
- Verwenden eine oder mehrere Front-End-IPs eines Load Balancer für ausgehenden Verkehr über ausgehende Regeln
- Zuweisen einer öffentlichen IP-Adresse auf Instanzebene zur VM