Sdílet prostřednictvím


Osvědčené postupy pro službu Front Door

Tento článek shrnuje osvědčené postupy pro používání služby Azure Front Door.

Obecné osvědčené postupy

Vysvětlení, kdy zkombinovat Traffic Manager a Front Door

Pro většinu řešení doporučujeme použít službu Front Door nebo Azure Traffic Manager, ale ne obojí. Azure Traffic Manager je nástroj pro vyrovnávání zatížení založený na DNS. Odesílá provoz přímo do koncových bodů vašeho původu. Naproti tomu Azure Front Door ukončí připojení v bodech přítomnosti (PoPs) blízko klienta a vytvoří samostatná dlouhodobá připojení k původu. Produkty fungují odlišně a jsou určeny pro různé případy použití.

Pokud potřebujete ukládání obsahu do mezipaměti a doručování (CDN), ukončení protokolu TLS, pokročilé možnosti směrování nebo firewall webových aplikací (WAF), zvažte použití služby Front Door. Pro jednoduché globální vyrovnávání zatížení s přímými připojeními z vašeho klienta ke koncovým bodům zvažte použití Traffic Manageru. Další informace o výběru možnosti vyrovnávání zatížení najdete v tématu Možnosti vyrovnávání zatížení.

V rámci komplexní architektury, která vyžaduje vysokou dostupnost, ale můžete azure Traffic Manager umístit před Službu Azure Front Door. V nepravděpodobném případě, že azure Front Door není k dispozici, pak může Azure Traffic Manager směrovat provoz do alternativního cíle, jako je Aplikace Azure lication Gateway nebo partnerská síť pro doručování obsahu (CDN).

Důležité

Nezadávejte Azure Traffic Manager za Azure Front Door. Správci provozu Azure by měli být vždy před službou Azure Front Door.

Omezení provozu na vaše původy

Funkce služby Front Door fungují nejlépe, když provoz prochází jenom přes Službu Front Door. Měli byste nakonfigurovat zdroj tak, aby blokoval provoz, který nebyl odeslán prostřednictvím služby Front Door. Další informace najdete v tématu Zabezpečení provozu do zdrojů služby Azure Front Door.

Použití nejnovější verze rozhraní API a verze sady SDK

Při práci se službou Front Door pomocí rozhraní API, šablon ARM, bicep nebo sad Azure SDK je důležité použít nejnovější dostupnou verzi rozhraní API nebo sady SDK. Aktualizace rozhraní API a sady SDK probíhají, když jsou k dispozici nové funkce a obsahují také důležité opravy zabezpečení a opravy chyb.

Konfigurace protokolů

Front Door sleduje rozsáhlou telemetrii o každém požadavku. Když povolíte ukládání do mezipaměti, nemusí vaše původní servery přijímat všechny požadavky, takže je důležité, abyste pomocí protokolů služby Front Door pochopili, jak vaše řešení běží a reaguje na vaše klienty. Další informace o metrikách a protokolech, které azure Front Door zaznamenává, najdete v tématu Monitorování metrik a protokolů v protokolech Služby Azure Front Door a WAF.

Informace o konfiguraci protokolování pro vlastní aplikaci najdete v tématu Konfigurace protokolů služby Azure Front Door.

Osvědčené postupy protokolu TLS

Použití koncového šifrování TLS

Služba Front Door ukončí připojení TCP a TLS od klientů. Potom vytvoří nová připojení z každého bodu přítomnosti (PoP) k počátku. Je vhodné zabezpečit každou z těchto připojení pomocí protokolu TLS, a to i pro původy hostované v Azure. Tento přístup zajišťuje, že se vaše data během přenosu vždy šifrují.

Další informace najdete v tématu Kompletní tls se službou Azure Front Door.

Použití přesměrování HTTP na HTTPS

Je vhodné, aby klienti používali protokol HTTPS pro připojení k vaší službě. Někdy ale potřebujete přijmout požadavky HTTP, které umožňují starším klientům nebo klientům, kteří nemusí rozumět osvědčeným postupům.

Front Door můžete nakonfigurovat tak, aby automaticky přesměrovává požadavky HTTP na používání protokolu HTTPS. Měli byste povolit přesměrování veškerého provozu tak, aby ve vaší trase používal nastavení HTTPS .

Použití spravovaných certifikátů TLS

Když služba Front Door spravuje vaše certifikáty TLS, snižuje provozní náklady a pomáhá vyhnout se nákladným výpadkům způsobeným tím, že zapomenete obnovit certifikát. Služba Front Door automaticky vydává a obměňuje spravované certifikáty TLS.

Další informace najdete v tématu Konfigurace HTTPS pro vlastní doménu služby Azure Front Door pomocí webu Azure Portal.

Použití nejnovější verze pro certifikáty spravované zákazníkem

Pokud se rozhodnete používat vlastní certifikáty TLS, zvažte nastavení verze certifikátu služby Key Vault na Nejnovější. Použitím příkazu Latest se nemusíte překonfigurovat službu Front Door tak, aby používala nové verze vašeho certifikátu a čekala na nasazení certifikátu v prostředích služby Front Door.

Další informace najdete v tématu Výběr certifikátu pro službu Azure Front Door k nasazení.

Osvědčené postupy pro název domény

Přijetí vlastních domén

Využijte vlastní domény pro koncové body služby Front Door, abyste zajistili lepší dostupnost a flexibilitu při správě domén a provozu. Nezadávejte pevně zadanou doménu AFD (například *.azurefd.z01.net) v klientech, základech kódu nebo bráně firewall. Pro takové scénáře použijte vlastní domény.

Použití stejného názvu domény ve službě Front Door a ve vašem původu

Front Door může přepsat hlavičku Host příchozích požadavků. Tato funkce může být užitečná při správě sady vlastních názvů domén směrovaných zákazníkem, které se směrují do jednoho původu. Tato funkce vám může pomoct také v případě, že chcete zabránit konfiguraci vlastních názvů domén ve službě Front Door a ve vašem původu. Při přepsání hlavičky Host ale může dojít k přerušení souborů cookie požadavku a přesměrování adresy URL. Konkrétně platí, že když používáte platformy jako Aplikace Azure Service, nemusí funkce, jako je spřažení relací a ověřování a autorizace, fungovat správně.

Než přepíšete hlavičku Host požadavků, pečlivě zvažte, jestli vaše aplikace bude fungovat správně.

Další informace najdete v tématu Zachování původního názvu hostitele HTTP mezi reverzním proxy serverem a back-endovou webovou aplikací.

Firewall webových aplikací (WAF)

Povolení WAF

Pro internetové aplikace doporučujeme povolit firewall webových aplikací (WAF) služby Front Door a nakonfigurovat ho tak, aby používala spravovaná pravidla. Pokud používáte pravidla WAF a spravovaná Microsoftem, vaše aplikace je chráněná před širokou škálou útoků.

Další informace najdete v tématu Firewall webových aplikací (WAF) ve službě Azure Front Door.

Dodržování osvědčených postupů WAF

WaF for Front Door má vlastní sadu osvědčených postupů pro konfiguraci a použití. Další informace najdete v tématu Osvědčené postupy pro firewall webových aplikací ve službě Azure Front Door.

Osvědčené postupy sondy stavu

Zakázání sond stavu, pokud existuje pouze jeden zdroj ve skupině původu

Sondy stavu služby Front Door jsou navržené tak, aby zjistily situace, kdy je původ nedostupný nebo není v pořádku. Když sonda stavu zjistí problém s původem, může být služba Front Door nakonfigurovaná tak, aby odesílala provoz do jiného původu ve skupině původu.

Pokud máte pouze jeden původ, Front Door vždy směruje provoz do daného původu, i když test stavu hlásí stav, který není v pořádku. Stav testu stavu nijak nemění chování služby Front Door. V tomto scénáři sondy stavu neposkytují výhodu a měli byste je zakázat, abyste snížili provoz ve vašem původu.

Další informace najdete v tématu Sondy stavu.

Výběr vhodných koncových bodů sondy stavu

Zvažte umístění, ve kterém sdělíte sondě stavu služby Front Door, aby monitoruje. Obvykle je vhodné monitorovat webovou stránku nebo umístění, které speciálně navrhujete pro monitorování stavu. Logika vaší aplikace může zvážit stav všech důležitých komponent potřebných k poskytování produkčního provozu, včetně aplikačních serverů, databází a mezipamětí. Pokud nějaká komponenta selže, může Front Door směrovat provoz do jiné instance vaší služby.

Další informace najdete v modelu monitorování koncových bodů stavu.

Použití sond stavu HEAD

Sondy stavu můžou používat metodu GET nebo HEAD HTTP. Je vhodné použít metodu HEAD pro sondy stavu, což snižuje zatížení provozu ve vašem původu.

Další informace naleznete v tématu Podporované metody HTTP pro sondy stavu.

Další kroky

Zjistěte, jak vytvořit profil služby Front Door.