Freigeben über


Bewährte Methoden für Front Door

In diesem Artikel werden die bewährten Methoden für die Verwendung von Azure Front Door zusammengefasst.

Allgemeine bewährte Methoden

Grundlegendes zur Kombination von Traffic Manager und Front Door

Für die meisten Lösungen sollten Sie entweder Front Door oder Azure Traffic Manager, aber nicht beides verwenden. Azure Traffic Manager ist ein DNS-basierter Load Balancer. Er sendet den Datenverkehr direkt an die Endpunkte Ihres Ursprungs. Im Gegensatz dazu beendet Azure Front Door Verbindungen an Anwesenheitspunkten (Points of Presence, PoPs) in der Nähe des Clients und richtet separate langfristige Verbindungen mit den Ursprüngen ein. Die Produkte funktionieren unterschiedlich und sind für verschiedene Anwendungsfälle vorgesehen.

Wenn Sie CDN (Inhaltszwischenspeicherung und -bereitstellung), TLS-Beendigung, erweiterte Routingfunktionen oder Web Application Firewall (WAF) benötigen, ziehen Sie die Verwendung von Front Door in Betracht. Für einen einfachen globalen Lastenausgleich mit direkten Verbindungen von Ihrem Client zu Ihren Endpunkten sollten Sie den Traffic Manager verwenden. Weitere Informationen zum Auswählen einer Lastenausgleichsoption finden Sie unter Lastenausgleichsoptionen.

Im Rahmen einer komplexen Architektur, die hohe Verfügbarkeit erfordert, können Sie jedoch einen Azure Traffic Manager vor eine Azure Front Door-Instanz platzieren. In dem unwahrscheinlichen Fall, dass Azure Front Door nicht verfügbar ist, kann Azure Traffic Manager Datenverkehr dann an ein alternatives Ziel weiterleiten, z. B. Azure Application Gateway oder ein CDN (Content Delivery Network) eines Partners.

Wichtig

Platzieren Sie Azure Traffic Manager nicht hinter Azure Front Door. Azure Traffic Manager sollten immer vor Azure Front Door platziert werden.

Einschränken des Datenverkehrs auf Ihre Ursprünge

Die Features von Front Door funktionieren am besten, wenn der Datenverkehr nur durch Front Door fließt. Sie sollten Ihren Ursprung so konfigurieren, dass Datenverkehr blockiert wird, der nicht über front Door gesendet wurde. Weitere Informationen finden Sie unter Sicherer Datenverkehr zu Azure Front Door-Ursprüngen.

Verwenden der neuesten API- und SDK-Versionen

Wenn Sie mit Front Door arbeiten und dabei APIs, ARM-Vorlagen, Bicep oder Azure SDKs verwenden, ist es wichtig, stets die neuesten verfügbaren API- oder SDK-Versionen zu verwenden. API- und SDK-Updates erfolgen, wenn neue Funktionen verfügbar sind und enthalten zudem wichtige Sicherheitspatches und Fehlerkorrekturen.

Konfigurieren von Protokollen

Azure Front Door verfolgt umfangreiche Telemetriedaten zu jeder Anforderung nach. Wenn Sie das Zwischenspeichern aktivieren, erhalten Ihre Ursprungsserver möglicherweise nicht jede Anforderung. Daher ist es wichtig, dass Sie die Azure Front Door-Protokolle verwenden, um zu verstehen, wie Ihre Lösung ausgeführt wird und auf Ihre Clients reagiert. Weitere Informationen zu den Metriken und Protokollen, die Azure Front Door aufzeichnet, finden Sie unter Überwachen von Metriken und Protokollen in Azure Front Door- und WAF-Protokollen.

Informationen zum Konfigurieren der Protokollierung für Ihre eigene Anwendung finden Sie unter Konfigurieren von Azure Front Door-Protokollen

Bewährte Methoden für TLS

Verwenden von End-to-End-TLS

Front Door beendet TCP- und TLS-Verbindungen von Clients. Anschließend werden neue Verbindungen zwischen jedem Anwesenheitspunkt (PoP) und dem Ursprung eingerichtet. Es empfiehlt sich, jede dieser Verbindungen mit TLS zu sichern, auch für Ursprünge, die in Azure gehostet werden. Dieser Ansatz stellt sicher, dass Ihre Daten während der Übertragung immer verschlüsselt werden.

Weitere Informationen finden Sie unter End-to-End-TLS mit Azure Front Door.

Verwenden von HTTP-zu-HTTPS-Umleitung

Es empfiehlt sich, dass Clients die Verbindung mit Ihrem Dienst über HTTPS herstellen. Manchmal müssen Sie jedoch HTTP-Anforderungen akzeptieren, um ältere Clients oder Clients zuzulassen, die die bewährte Methode möglicherweise nicht unterstützen.

Sie können Front Door so konfigurieren, dass HTTP-Anforderungen automatisch umgeleitet werden, um das HTTPS-Protokoll zu verwenden. Sie sollten die Einstellung Gesamten Datenverkehr zur Verwendung von HTTPS umleiten für Ihre Route aktivieren.

Verwenden von verwalteten TLS-Zertifikaten

Wenn Front Door Ihre TLS-Zertifikate verwaltet, reduziert dies Ihre Betriebskosten und hilft Ihnen, kostspielige Ausfalle zu vermeiden, die durch vergessene Verlängerung eines Zertifikats verursacht werden. Azure Front Door übernimmt die automatische Ausstellung und Ritation verwalteter TLS-Zertifikate.

Weitere Informationen finden Sie unter Konfigurieren von HTTPS in einer benutzerdefinierten Azure Front Door-Domäne mithilfe des Azure-Portal.

Verwenden der „neuesten“ Version für vom Kunden verwaltete Zertifikate

Wenn Sie ihre eigenen TLS-Zertifikate verwenden möchten, sollten Sie die Key Vault-Zertifikatversion auf „Neueste“ festlegen. Durch die Verwendung von „Neueste“ vermeiden Sie, dass Front Door neu konfiguriert werden muss, um neue Versionen Ihres Zertifikats zu verwenden, und dass Sie darauf warten müssen, dass das Zertifikat in den Umgebungen von Front Door bereitgestellt wird.

Weitere Informationen finden Sie unter Auswählen des bereitzustellenden Zertifikats für Azure Front Door.

Bewährte Methoden für Domänennamen

Benutzerdefinierte Domänen übernehmen

Übernehmen Sie benutzerdefinierte Domänen für Ihre Front Door-Endpunkte, um eine bessere Verfügbarkeit und Flexibilität bei der Verwaltung Ihrer Domänen und Ihres Datenverkehrs sicherzustellen. Codieren Sie die von AFD bereitgestellten Domänen (z. B. *.azurefd.z01.net) nicht hart in Ihren Clients/Codebases/Firewalls. Verwenden Sie benutzerdefinierte Domänen für solche Szenarien.

Verwenden desselben Domänennamens auf Front Door und auf Ihrem Ursprung

Front Door kann den Host-Header eingehender Anforderungen neu schreiben. Dieses Feature kann hilfreich sein, wenn Sie eine Reihe von für Kunden sichtbare benutzerdefinierte Domänennamen verwalten, die an einen einzigen Ursprung weitergeleitet werden. Dieses Feature kann auch hilfreich sein, wenn Sie die Konfiguration von benutzerdefinierten Domänennamen in Front Door und an Ihrem Ursprung vermeiden möchten. Wenn Sie den Host-Header jedoch neu schreiben, kann es vorkommen, dass Anforderungscookies und URL-Umleitungen nicht mehr funktionieren. Insbesondere, wenn Sie Plattformen wie Azure App Service verwenden, funktionieren Features wie Sitzungsaffinität und Authentifizierung und Autorisierung möglicherweise nicht ordnungsgemäß.

Bevor Sie den Host-Header Ihrer Anforderungen neu schreiben, sollten Sie sorgfältig prüfen, ob Ihre Anwendung danach ordnungsgemäß funktioniert.

Weitere Informationen finden Sie unter Beibehalten des ursprünglichen HTTP-Hostnamens zwischen einem Reverseproxy und seiner Back-End-Webanwendung.

Web Application Firewall (WAF)

Aktivieren der WAF

Für Anwendungen mit Internetzugriff empfehlen wir, die Front Door-Web Application Firewall (WAF) zu aktivieren und für die Verwendung verwalteter Regeln zu konfigurieren. Wenn Sie eine WAF und von Microsoft verwaltete Regeln verwenden, ist Ihre Anwendung vor einer großen Vielzahl von Angriffen geschützt.

Weitere Informationen finden Sie unter Web Application Firewall (WAF) in Azure Front Door.

Befolgen der bewährten Methoden für WAF

WAF für Front Door verfügt über einen eigenen Satz bewährter Methoden für Konfiguration und Verwendung. Weitere Informationen finden Sie unter Bewährte Methoden für Web Application Firewall in Azure Front Door.

Bewährte Methoden für Integritätstests

Deaktivieren von Integritätstests, wenn nur ein Ursprung in einer Ursprungsgruppe vorhanden ist

Die Integritätstests von Front Door sind so konzipiert, dass Situationen erkannt werden, in denen ein Ursprung nicht verfügbar oder fehlerhaft ist. Front Door kann so konfiguriert werden, dass Datenverkehr an einen anderen Ursprung in der Ursprungsgruppe gesendet wird, wenn ein Integritätstest ein Problem mit einem Ursprung erkennt.

Wenn nur ein einziger Ursprung verwendet wird, leitet Front Door den Datenverkehr immer zu diesem Ursprung weiter, auch wenn sein Integritätstest einen fehlerhaften Status meldet. Der Status des Integritätstests nimmt keinerlei Änderungen am Verhalten von Front Door vor. In diesem Szenario bieten Integritätstests keinen Vorteil und sollten deaktiviert werden, um den Datenverkehr auf Ihrem Ursprung zu verringern.

Weitere Informationen finden Sie unter Integritätstests.

Auswählen guter Endpunkte für Integritätstests

Überlegen Sie, welcher Speicherort vom Front Door-Integritätstest überwacht werden soll. Normalerweise empfiehlt es sich, eine Webseite oder einen Speicherort zu überwachen, den Sie speziell für die Integritätsüberwachung entwerfen. Ihre Anwendungslogik kann den Status aller wichtigen Komponenten berücksichtigen, die für den Produktionsdatenverkehr erforderlich sind, einschließlich Anwendungsservern, Datenbanken und Caches. Wenn eine Komponente fehlschlägt, kann Front Door Ihren Datenverkehr an eine andere Instanz Ihres Diensts weiterleiten.

Weitere Informationen finden Sie unter Muster für Überwachung der Integrität von Endpunkten.

Verwenden von HEAD-Integritätstests

Integritätstests können entweder die GET- oder HEAD HTTP-Methode verwenden. Es empfiehlt sich, die HEAD-Methode für Integritätstests zu verwenden, wodurch die Anzahl der Datenverkehrslasten für Ihre Ursprünge reduziert wird.

Weitere Informationen finden Sie unter Unterstützte HTTP-Methoden für Integritätstests.

Nächste Schritte

Informationen zum Erstellen eines Front Door-Profils.