Sdílet prostřednictvím

Zrychlení a zabezpečení webové aplikace pomocí služby Azure Front Door

  • Článek

Azure Front Door je globálně distribuovaná síť pro doručování obsahu (CDN), která poskytuje nižší latenci a rychlejší doručování webové aplikace a obsahu. Služba Front Door navíc umožňuje, aby byl váš obsah dostupný s nejvyšší úrovní odolnosti a poskytuje širokou škálu funkcí, včetně pokročilého nástroje pro vyrovnávání zatížení aplikací, zrychlení provozu a zabezpečení.

Zvažte nasazení služby Front Door před jakoukoli veřejně přístupnou webovou aplikaci.

Dobře navržená řešení v Azure

Architektura Azure Well-Architected Framework popisuje pět pilířů špičkové architektury. Azure Front Door vám pomůže řešit každý z pěti pilířů pomocí integrovaných funkcí a možností.

Efektivita výkonu

Front Door nabízí několik funkcí, které vám pomůžou zrychlit výkon vaší aplikace.

  • Ukládání do mezipaměti: Front Door poskytuje výkonnou síť pro doručování obsahu (CDN) pro ukládání obsahu do mezipaměti na hraničních zařízeních sítě. Téměř všechny webové aplikace obsahují obsah s možností ukládání do mezipaměti. Statické prostředky, jako jsou obrázky a soubory JavaScriptu, se dají ukládat do mezipaměti. Mnoho rozhraní API také vrací odpovědi, které je možné ukládat do mezipaměti i po krátkou dobu. Ukládání do mezipaměti pomáhá zlepšit výkon aplikace a snížit zatížení aplikačních serverů.
  • Komprese: Mnoho typů odpovědí lze komprimovat, což může zlepšit dobu odezvy vaší aplikace.
  • Globální akcelerace provozu: Možnosti globálního zrychlení provozu služby Front Door pomáhají zlepšit výkon dynamických webových aplikací směrováním požadavků prostřednictvím vysokorychlostní páteřní sítě Microsoftu.
  • Ukončení protokolu TLS: Připojení ke službě Front Door se ukončí v nejbližším bodu přítomnosti služby Front Door (PoP). Dešifrování protokolu TLS provádí protokol PoP. Největší dopad na výkon při dešifrování protokolu TLS je počáteční metodou handshake. Aby se zlepšil výkon, server, který dešifruje, ukládá ID relací TLS do mezipaměti a spravuje lístky relací TLS. Pokud se připojení TLS ukončí ve službě Front Door PoP, můžou všechny požadavky ze stejného klienta používat hodnoty uložené v mezipaměti. Pokud je to hotové na původních serverech, pak pokaždé, když požadavky klienta přejdou na jiný server, musí se klient znovu autorizovat. Použití lístků TLS může pomoct tento problém zmírnit, ale nejsou podporovány všemi klienty a můžou být obtížné nakonfigurovat a spravovat.

Zabezpečení

Možnosti zabezpečení služby Front Door pomáhají chránit aplikační servery před několika různými typy hrozeb.

  • Kompletní tls: Služba Front Door podporuje kompletní šifrování TLS. Přesměrování zpracování TLS/SSL služby Front Door ukončí připojení TLS, dešifruje provoz ve službě Azure Front Door a před předáním do back-endu ho znovu zašifruje.
  • Spravované certifikáty TLS: Služba Front Door může vydávat a spravovat certifikáty a zajistit, aby vaše aplikace byly chráněné silným šifrováním a důvěryhodností.
  • Vlastní certifikáty TLS: Pokud potřebujete používat vlastní certifikáty TLS, služba Front Door umožňuje používat spravovanou identitu pro přístup k trezoru klíčů, který tento certifikát obsahuje.
  • Firewall webových aplikací: Firewall webových aplikací služby Front Door (WAF) poskytuje vaší aplikaci řadu možností zabezpečení. Spravované sady pravidel kontrolou příchozích požadavků na podezřelý obsah. Pravidla ochrany robotů identifikují provoz z robotů a reagují na ně. Funkce geografického filtrování a omezování rychlosti chrání aplikační servery před neočekávaným provozem.
  • Blokování protokolu: Front Door přijímá pouze provoz na protokolech HTTP a HTTPS a bude zpracovávat pouze platné požadavky se známou Host hlavičkou. Vzhledem k tomuto chování je vaše aplikace chráněná proti mnoha typům útoků napříč celou řadou protokolů.
  • Ochrana před útoky DDoS: Vzhledem k architektuře služby Front Door může také absorbovat rozsáhlé útoky DDoS (Denial of Service) a zabránit tomu, aby se provoz dostal do vaší aplikace.
  • Původy služby Private Link: Integrace služby Private Link pomáhá chránit vaše back-endové aplikace a zajistit, aby se provoz dostal jenom do vaší aplikace průchodem službou Front Door a jeho ochranou zabezpečení.

Pokud máte přísné požadavky na zabezpečení sítě, můžete pomocí služby Azure Front Door spravovat příchozí provoz HTTP a HTTPS do vaší aplikace a pomocí služby Azure Firewall řídit provoz mimo PROTOKOL HTTP a výchozí přenos dat.

Spolehlivost

Pomocí služby Front Door můžete vytvářet odolná a vysoce dostupná řešení.

  • Vyrovnávání zatížení a převzetí služeb při selhání: Front Door je globální nástroj pro vyrovnávání zatížení. Služba Front Door monitoruje stav serverů původu a pokud je zdroj nedostupný, může služba Front Door směrovat požadavky na alternativní zdroj. Front Door můžete také použít k rozložení provozu napříč zdroji, abyste snížili zatížení na libovolném serveru původu.
  • Směrování libovolného vysílání: Front Door má velký počet bodů pops, z nichž každý může obsluhovat provoz pro jakoukoli žádost. Směrování libovolného vysílání směruje provoz do nejbližšího dostupného poP služby Front Door a pokud není poP k dispozici, klienti se automaticky směrují na nejbližší poP.
  • Ukládání do mezipaměti: Pomocí mezipaměti služby Front Door snížíte zatížení aplikačních serverů. Pokud vaše servery nejsou dostupné, může služba Front Door dál obsluhovat odpovědi uložené v mezipaměti, dokud se aplikace neobnoví.

Optimalizace nákladů

Front Door vám může pomoct snížit náklady na provoz řešení Azure.

  • Ukládání do mezipaměti: Povolením ukládání do mezipaměti se obsah vrátí z globálních hraničních uzlů služby Front Door. Tento přístup snižuje poplatky za globální šířku pásma a zlepšuje výkon.
  • Komprese: Když Služba Front Door komprimuje odpovědi, může snížit poplatky za šířku pásma vašeho řešení.
  • Rozprostřete provoz mezi zdroji: Pomocí služby Front Door snižte potřebu škálování aplikačních serverů nebo přeskupte kapacitu serverů pro špičky provozu. Každý nástroj Front Door PoP může vrátit obsah uložený v mezipaměti, pokud je k dispozici, což snižuje zatížení aplikačních serverů. Provoz můžete také rozprostřet mezi několik back-endových serverů a snížit tak zatížení jednotlivých serverů.
  • Sdílený profil: Jeden profil služby Front Door můžete použít pro mnoho různých aplikací. Při konfiguraci více aplikací ve službě Front Door sdílíte náklady napříč jednotlivými aplikacemi a můžete snížit konfiguraci, kterou potřebujete provést.

Provozní dokonalost

Služba Front Door vám může pomoct snížit provozní zátěž provozování moderní internetové aplikace a umožnit vám provádět v řešení určité druhy změn, aniž byste museli upravovat aplikace.

  • Spravované certifikáty TLS: Služba Front Door může vydávat a spravovat certifikáty. Tato funkce znamená, že nemusíte spravovat obnovení certifikátů a snižujete pravděpodobnost výpadku způsobeného použitím neplatného nebo vypršení platnosti certifikátu TLS.
  • Certifikáty TLSsechm znakům( TLS): Podpora služby Front Door pro zástupné domény, včetně certifikátů DNS a TLS, umožňuje používat více názvů hostitelů bez nutnosti překonfigurovat službu Front Door pro každou subdoménu.
  • HTTP/2: Front Door vám může pomoct modernizovat starší aplikace s podporou HTTP/2, aniž byste museli upravovat aplikační servery.
  • Modul pravidel: Modul pravidel služby Front Door umožňuje změnit interní architekturu vašeho řešení, aniž by to ovlivnilo vaše klienty.
  • Infrastruktura jako kód: Front Door můžete také nasadit a nakonfigurovat pomocí technologií infrastruktury jako kódu (IaC), včetně Bicep, Terraformu, šablon ARM, Azure PowerShellu a Azure CLI.

Architektura řešení

Když nasadíte řešení, které používá Azure Front Door, měli byste zvážit tok provozu z klienta do služby Front Door a ze služby Front Door do vašeho původu.

Následující diagram znázorňuje obecnou architekturu řešení pomocí služby Front Door:

Diagram směrování uživatelského provozu do koncových bodů ve službě Azure Front Door

Klient do služby Front Door

Provoz z klienta nejprve dorazí do front Door PoP. Front Door má velký počet distribuovaných pops po celém světě a Anycast směruje klienty na nejbližší PoP.

Když žádost obdrží poP služby Front Door, front Door použije k zadání požadavku váš vlastní název domény. Služba Front Door provádí přesměrování zpracování TLS pomocí certifikátu TLS spravovaného službou Front Door nebo vlastního certifikátu TLS.

PoP provádí mnoho funkcí na základě konfigurace, kterou zadáte v profilu služby Front Door, včetně:

  • Ochrana řešení před mnoha typy útoků DDoS.
  • Skenování žádosti o známá ohrožení zabezpečení pomocí front Door WAF.
  • Vrácení odpovědí uložených v mezipaměti za účelem zvýšení výkonu, pokud jsou uložené ve službě Front Door PoP a jsou platné pro požadavek.
  • Komprimace odpovědí za účelem zlepšení výkonu
  • Vrácení odpovědí http redirect přímo ze služby Front Door
  • Výběr nejlepšího zdroje pro příjem provozu na základě architektury směrování
  • Úprava požadavku pomocí modulu pravidel.

Jakmile služba Front Door dokončí zpracování příchozího požadavku, buď odpoví přímo klientovi (například když vrátí výsledek v mezipaměti), nebo požadavek předá do zdroje.

Front Door k původu

Služba Front Door může posílat provoz do vašeho původu dvěma různými způsoby: pomocí služby Private Link a pomocí veřejných IP adres.

Skladová položka Služby Front Door úrovně Premium podporuje odesílání provozu do některých typů původu pomocí služby Private Link. Když nakonfigurujete službu Private Link pro váš původ, provoz používá privátní IP adresy. Tento přístup se dá použít k zajištění, že váš původ přijímá provoz jenom z konkrétní instance služby Front Door, a můžete blokovat provoz pocházející z internetu.

Když front Door PoP odešle požadavky na váš původ pomocí veřejné IP adresy, zahájí nové připojení TCP. Kvůli tomuto chování server původu místo klienta uvidí požadavek pocházející z IP adresy služby Front Door.

Bez ohledu na to, jaký přístup používáte k odesílání provozu do vašeho původu, je obvykle vhodné nakonfigurovat původ tak, aby očekával provoz z vašeho profilu služby Front Door, a blokovat provoz, který neprochází přes Službu Front Door. Další informace najdete v tématu Zabezpečení provozu do zdrojů služby Azure Front Door.

Zpracování odpovědí

PoP služby Front Door zpracovává také odchozí odpověď. Zpracování odpovědí může zahrnovat následující kroky:

  • Uložení odpovědi na mezipaměť PoP za účelem zrychlení pozdějších požadavků
  • Úprava hlavičky odpovědi pomocí modulu pravidel.

Analýzy a vykazování

Protože služba Front Door zpracovává všechny příchozí požadavky, má přehled o veškerém provozu procházejícího vaším řešením. K pochopení vzorů provozu můžete použít sestavy, metriky a protokoly služby Front Door.

Tip

Při použití služby Front Door nemusí být některé požadavky zpracovány serverem původu. WaF služby Front Door může například blokovat některé požadavky a může vracet odpovědi uložené v mezipaměti pro jiné požadavky. Využijte telemetrii služby Front Door k pochopení vzorů provozu vašeho řešení.

Další kroky

Zjistěte, jak vytvořit profil služby Front Door.