Bewährte Methoden für die Architektur für Azure Front Door
Azure Front Door ist ein globales Lastenausgleichs- und Content Delivery Network (CDN), das HTTP- und HTTPS-Datenverkehr leitet. Azure Front Door liefert und verteilt Datenverkehr, der den Anwendungsbenutzern am nächsten kommt.
Dieser Artikel geht davon aus, dass Sie als Architekt die Load Balancing-Optionen geprüft und Azure Front Door als Load Balancer für Ihren Workload gewählt haben. Außerdem wird davon ausgegangen, dass Ihre Anwendung in mehreren Regionen in einem aktiven oder passiven Modell bereitgestellt wird. Die Anleitung in diesem Artikel enthält Architekturempfehlungen, die den Prinzipien der Azure Well-Architected Framework-Säulenzugeordnet sind.
Wichtig
Verwenden dieses Handbuchs
Jeder Abschnitt verfügt über eine Entwurfsprüfliste, die architektonische Aspekte und Designstrategien darstellt, die auf den Technologiebereich lokalisiert sind.
Dieser Artikel enthält auch Empfehlungen zu den Technologiefunktionen, die bei der Materialisierung dieser Strategien helfen. Die Empfehlungen stellen keine vollständige Liste aller Konfigurationen dar, die für Azure Front Door und deren Abhängigkeiten verfügbar sind. Stattdessen werden die wichtigsten Empfehlungen aufgelistet, die den Entwurfsperspektiven zugeordnet sind. Verwenden Sie die Empfehlungen, um Ihre Machbarkeitsstudie zu erstellen oder Ihre vorhandenen Umgebungen zu optimieren.
Grundlegende Architektur, die die wichtigsten Empfehlungen veranschaulicht: Unternehmenskritische Basisarchitektur mit Netzwerksteuerelementen.
Technologieumfang
Diese Überprüfung konzentriert sich auf die miteinander verbundenen Entscheidungen für die folgenden Azure-Ressourcen:
- Azure Front Door
Zuverlässigkeit
Der Zweck der Säule „Zuverlässigkeit“ besteht darin, durch genügend Resilienz und schnelles Wiederherstellen nach Fehlern eine kontinuierliche Funktionalität zu gewährleisten.
Die Zuverlässigkeitsentwurfsprinzipien bieten eine allgemeine Designstrategie für einzelne Komponenten, Systemflüsse und das gesamte System.
Entwurfsprüfliste
Beginnen Sie Ihre Entwurfsstrategie auf der Grundlage der Checkliste für die Entwurfsprüfung von Reliability. Ermitteln Sie ihre Relevanz für Ihre Geschäftlichen Anforderungen, und berücksichtigen Sie dabei die Ebenen und CDN-Funktionen. Erweitern Sie die Strategie, um bei Bedarf weitere Ansätze einzuschließen.
Wählen Sie Ihre Bereitstellungsstrategieaus. Die grundlegenden Einsatzansätze sind aktiv-aktiv und aktiv-passiv. Aktiv-aktive Bereitstellung bedeutet, dass mehrere Umgebungen oder Stempel, die den Workload ausführen, den Datenverkehr bedienen. Die aktive passive Bereitstellung bedeutet, dass nur die primäre Region den gesamten Datenverkehr verarbeitet, aber bei Bedarf nicht in die sekundäre Region übergeht. Bei einer multiregionalen Bereitstellung werden Stempel oder Anwendungsinstanzen in verschiedenen Regionen ausgeführt, um eine höhere Verfügbarkeit mit einem globalen Load Balancer wie Azure Front Door zu erreichen, der den Datenverkehr verteilt. Daher ist es wichtig, den Lastenausgleich für den geeigneten Bereitstellungsansatz zu konfigurieren.
Azure Front Door unterstützt mehrere Routingmethoden, die Sie für die Verteilung von Datenverkehr in einem aktiven oder passiven Modell konfigurieren können.
Die vorhergehenden Modelle weisen viele Variationen auf. Sie können zum Beispiel das Aktiv-Passiv-Modell mit einem Warm Spare einsetzen. In diesem Fall wird der sekundäre gehostete Dienst mit der minimal möglichen Berechnungs- und Datengröße bereitgestellt und ohne Last ausgeführt. Beim Failover werden die Rechen- und Datenressourcen skaliert, um die Last aus der primären Region zu bewältigen. Weitere Informationen finden Sie unter Schlüsselentwurfsstrategien für multiregionsübergreifendes Design.
Einige Anwendungen benötigen die Benutzerverbindungen, um während der Benutzersitzung auf demselben Ursprungsserver zu bleiben. Aus Zuverlässigkeitsperspektive wird nicht empfohlen, Benutzerverbindungen auf demselben Ursprungsserver beizubehalten. Vermeiden Sie Sitzungsaffinität so weit wie möglich.
Verwenden Sie für jede Ebenedenselben Hostnamen. Um sicherzustellen, dass Cookies oder Umleitungs-URLs ordnungsgemäß funktionieren, behalten Sie den ursprünglichen HTTP-Hostnamen bei, wenn Sie einen Reverseproxy wie Azure Front Door vor einer Webanwendung verwenden.
Muster zur Überwachung der Endpunktintegrität implementieren. Ihre Anwendung sollte Zustandsendpunkte bereitstellen, die den Zustand der kritischen Dienste und Abhängigkeiten zusammenfassen, die Ihre Anwendung benötigt, um Anfragen zu bedienen. Azure Front Door Health Probes verwenden den Endpunkt, um den Zustand der Ursprungsserver zu erkennen. Weitere Informationen finden Sie unter Überwachungsmuster für den Integritätsendpunkt.
statischen Inhaltzwischenspeichern. Das Feature für die Inhaltsbereitstellung von Azure Front Door verfügt über Hunderte von Edge-Standorten und kann dabei helfen, Verkehrsspitzen und verteilten Dienstverweigerungsangriffen (DDoS) standzuhalten. Diese Funktionen tragen zur Verbesserung der Zuverlässigkeit bei.
Erwägen Sie eine redundante Verkehrsmanagement-Option. Azure Front Door ist ein global verteilter Dienst, der als Singleton in einer Umgebung ausgeführt wird. Azure Front Door ist ein potenzieller Fehlerpunkt im System. Wenn der Dienst fehlschlägt, können Clients während der Ausfallzeit nicht auf Ihre Anwendung zugreifen.
Redundante Implementierungen können komplex und kostspielig sein. Berücksichtigen Sie sie nur für unternehmenskritische Workloads, die eine sehr geringe Toleranz für den Ausfall aufweisen. Prüfen Sie sorgfältig die Kompromisse.
- Wenn Sie unbedingt ein redundantes Routing benötigen, lesen Sie Globale Routing-Redundanz.
- Wenn Sie Redundanz nur für zwischengespeicherte Inhalte benötigen, lesen Sie bitte unter Globale Inhaltsübermittlung.
Empfehlungen
| Empfehlung | Nutzen |
|---|---|
| Wählen Sie eine Routingmethode aus, die Ihre Bereitstellungsstrategie unterstützt. Die gewichtete Methode, die den Datenverkehr auf der Grundlage des konfigurierten Gewichtungskoeffizienten verteilt, unterstützt aktiv-aktive Modelle. Ein prioritätsbasierter Wert, der die primäre Region so konfiguriert, dass der gesamte Datenverkehr empfangen und Datenverkehr als Sicherung an die sekundäre Region gesendet wird, unterstützt aktiv-passive Modelle. Kombinieren Sie die vorherigen Methoden mit Latenzempfindlichkeitskonfigurationen, sodass der Ursprung mit der niedrigsten Latenz Datenverkehr empfängt. |
Sie können die beste Ursprungsressource auswählen, indem Sie eine Reihe von Entscheidungsschritten und Ihren Entwurf verwenden. Der ausgewählte Ursprung dient dem Datenverkehr innerhalb des zulässigen Latenzbereichs im angegebenen Verhältnis von Gewichtungen. |
| Unterstützen Sie Redundanz, indem Sie mehrere Ursprünge in einer oder mehreren Ursprungsgruppenhaben. Verfügen Sie immer über redundante Instanzen Ihrer Anwendung, und stellen Sie sicher, dass jede Instanz einen Ursprung verfügbar macht. Sie können diese Ursprünge in einer oder mehreren Ursprungsgruppen platzieren. |
Mehrere Ursprünge unterstützen Redundanz, indem Datenverkehr über mehrere Instanzen der Anwendung verteilt wird. Wenn eine Instanz nicht verfügbar ist, können andere Ursprünge weiterhin Datenverkehr empfangen. |
| Einrichtung von Tests zur Integrität. Konfigurieren Sie Azure Front Door, um Integritätsprüfungen durchzuführen, um zu ermitteln, ob die Ursprungsinstanz verfügbar ist und bereit ist, weiterhin Anforderungen zu empfangen. Weitere Informationen finden Sie unter Best practices on health probes. |
Aktivierte Gesundheitssonden sind Teil der Implementierung des Gesundheitsüberwachungsmusters. Health Probes sorgen dafür, dass Azure Front Door den Datenverkehr nur an Instanzen weiterleitet, die gesund genug sind, um Anfragen zu bearbeiten. |
| Legen Sie ein Timeout für Weiterleitungsanforderungen an den Ursprung fest, und vermeiden Sie lang andauernde Anforderungen. Passen Sie die Timeouteinstellung entsprechend den Anforderungen Ihrer Endpunkte an. Wenn Sie dies nicht tun, schließt Azure Front Door möglicherweise die Verbindung, bevor der Ursprungsserver die Antwort sendet. Sie können das Standardtimeout für Azure Front Door auch verringern, wenn alle Ihre Ursprungsserver eine kürzere Timeout-Einstellung haben. Weitere Informationen finden Sie unter Fehlerbehebung bei nicht beantworteten Anfragen. |
Lange laufende Anforderungen verbrauchen Systemressourcen. Timeouts helfen, Leistungsprobleme und Verfügbarkeitsprobleme zu verhindern, indem Anforderungen beendet werden, die länger als erwartet dauern. |
| Verwenden Sie denselben Hostnamen bei Azure Front Door und Ihrem Ursprungsserver. Azure Front Door kann den Hostheader eingehender Anforderungen neu schreiben, was nützlich ist, wenn Sie über mehrere benutzerdefinierte Domänennamen verfügen, die an einen Ursprung weitergeleitet werden. Das Umschreiben des Hostheaders kann jedoch zu Problemen mit Anforderungscookies und URL-Umleitung führen. Weitere Informationen finden Sie unter [Beibehalten des ursprünglichen HTTP-Hostnamens](/azure/architecture/best-practices/host-name-preservation zwischen einem Reverseproxy und seiner Ursprungswebanwendung). |
Legen Sie denselben Hostnamen fest, um Fehlfunktionen mit Sitzungsaffinität, Authentifizierung und Autorisierung zu verhindern. |
| Entscheiden Sie, ob Ihre Anwendung session affinitybenötigt. Wenn Sie hohe Zuverlässigkeitsanforderungen haben, empfehlen wir, die Sitzungsaffinität zu deaktivieren. | Bei der Sitzungsaffinität bleiben die Benutzerverbindungen während der Benutzersitzung auf demselben Ursprung. In einigen Situationen kann ein einzelner Origin-Server mit Anfragen überlastet werden, während andere Origin-Server im Leerlauf sind. Wenn dieser Ursprung nicht verfügbar ist, wird die Benutzererfahrung möglicherweise unterbrochen. |
| Nutzen Sie die Regeln zur Zinsbegrenzung, die in einer Webanwendungsfirewall (WAF) enthalten sind. | Beschränken Sie Anforderungen, um zu verhindern, dass Clients zu viel Datenverkehr an Ihre Anwendung senden. Die Ratenbegrenzung kann Ihnen helfen, Probleme wie einen Sturm der Wiederholungen zu vermeiden. |
Sicherheit
Der Zweck der Säule „Security“ besteht darin, Garantien für die Arbeitsauslastung für Vertraulichkeit, Integrität und Verfügbarkeit bereitzustellen.
Die Prinzipien des Sicherheitsdesigns bieten eine hochrangige Designstrategie zur Erreichung dieser Ziele, indem sie Ansätze auf das technische Design anwenden, um den Datenverkehr durch Azure Front Door einzuschränken.
Entwurfsprüfliste
Beginnen Sie Ihre Designstrategie auf der Grundlage der Checkliste für die Designüberprüfung für Sicherheit. Identifizieren Sie Sicherheitsrisiken und Kontrollen, um den Sicherheitsstatus zu verbessern. Erweitern Sie die Strategie, um bei Bedarf weitere Ansätze einzuschließen.
Überprüfen Sie die Sicherheitsgrundwerte für Azure Front Door.
Schützen sie die Ursprungsserver. Azure Front Door ist das Front-End und der einzige Punkt des Eingangs zur Anwendung.
Azure Front Door verwendet Azure Private Link, um auf den Ursprung einer Anwendung zuzugreifen. Private Link erstellt Segmentierung, sodass die Ursprünge keine öffentlichen IP-Adressen und Endpunkte verfügbar machen müssen. Weitere Informationen finden Sie unter Schützen des Ursprungs mit Private Link in Azure Front Door Premium.
Konfigurieren Sie Ihre Back-End-Dienste so, dass nur Anforderungen mit demselben Hostnamen akzeptiert werden, den Azure Front Door extern verwendet.
Nur autorisierten Zugriff auf die Steuerebenezulassen. Verwenden Sie azure Front Door rollenbasierte Zugriffssteuerung (RBAC),, um den Zugriff nur auf die Identitäten zu beschränken, die sie benötigen.
Abwehr gängiger Bedrohungen am Edge. WAF ist in Azure Front Door integriert. Aktivieren Sie WAF-Regeln auf den Front-Ends, um Anwendungen vor allgemeinen Exploits und Sicherheitsrisiken am Netzwerkrand zu schützen, näher an der Angriffsquelle. Erwägen Sie geofiltern, um den Zugriff auf Ihre Webanwendung nach Ländern oder Regionen einzuschränken.
Weitere Informationen finden Sie unter Azure Web Application Firewall auf Azure Front Door.
Schutz vor unerwartetem Datenverkehr. Die Architektur von Azure Front Door bietet integrierte DDoS-Schutz- zum Schutz von Anwendungsendpunkten vor DDoS-Angriffen. Wenn Sie andere öffentliche IP-Adressen aus Ihrer Anwendung verfügbar machen müssen, sollten Sie den Azure DDoS Protection-Standardplan für diese Adressen für erweiterte Schutz- und Erkennungsfunktionen hinzufügen.
Es gibt auch WAF-Regelsätze, die Bot-Datenverkehr oder unerwartet große Datenmengen erkennen, die potenziell böswillig sein könnten.
Daten während der Übertragung schützen. Aktivieren Sie end-to-end Transport Layer Security (TLS), HTTP zu HTTPS-Umleitung und verwaltete TLS-Zertifikate, falls zutreffend. Weitere Informationen finden Sie unter TLS Best Practices für Azure Front Door.
Überwachen einer anomalien Aktivität. Überprüfen Sie regelmäßig die Protokolle, um auf Angriffe und falsch positive Ergebnisse zu überprüfen. Senden Sie WAF-Protokolle von Azure Front Door an die zentralisierte Sicherheitsinformations- und Ereignisverwaltung (SIEM) Ihrer Organisation, z. B. Microsoft Sentinel, um Bedrohungsmuster zu erkennen und präventive Maßnahmen in das Workloaddesign zu integrieren.
Empfehlungen
| Empfehlung | Nutzen |
|---|---|
| Aktivieren Sie WAF-Regelsätze, die potenziell schädlichen Datenverkehr erkennen und blockieren. Dieses Feature ist auf der Premium-Stufe verfügbar. Es wird empfohlen, diese Regelsätze zu erstellen: - Standard - Bot-Schutz- - IP-Einschränkung - Geo-Filterung - Ratenbegrenzung |
Standardregelsätze werden häufig basierend auf OWASP Top-10-Angriffstypen und Informationen von Microsoft Threat Intelligence aktualisiert. Die speziellen Regelsätze erkennen bestimmte Anwendungsfälle. Botregeln klassifizieren z. B. Bots basierend auf den Client-IP-Adressen als gut, schlecht oder unbekannt. Außerdem blockieren sie fehlerhafte Bots und bekannte IP-Adressen und beschränken den Datenverkehr basierend auf dem geografischen Standort der Anrufer. Mithilfe einer Kombination von Regelsätzen können Sie Angriffe mit verschiedenen Absichten erkennen und blockieren. |
| Erstellen von Ausschlüssen für verwaltete Regelsätze. Testen Sie eine WAF-Richtlinie im Erkennungsmodus für einige Wochen, und passen Sie alle falsch positiven Ergebnisse an, bevor Sie sie bereitstellen. |
Reduzieren Sie Fehlalarme und lassen Sie legitime Anfragen für Ihre Anwendung zu. |
| Senden Sie den Host-Header an den Origin-Server. | Die Back-End-Dienste sollten den Hostnamen kennen, damit sie Regeln erstellen können, um Datenverkehr nur von diesem Host zu akzeptieren. |
Sichern der Verbindungen von Azure Front Door zu Ihren Ursprüngen. Aktivieren Sie Private Link-Verbindungen zu unterstützten Zielorten. Wenn Ihr Ursprung keine Private Link-Konnektivität unterstützt, verwenden Sie Diensttags und den X-Azure-FDID Header, um zu überprüfen, ob die Quelle der Anforderung Ihr Azure Front Door-Profil ist. |
Stellen Sie sicher, dass der gesamte Datenverkehr über Azure Front Door fließt, und erhalten Sie die Sicherheitsvorteile wie DDoS-Schutz und WAF-Inspektion. |
| Aktivieren Sie end-to-End TLS, HTTP zu HTTPS-Umleitung und verwaltete TLS-Zertifikate, falls zutreffend. Überprüfen Sie die TLS-Best Practices für Azure Front Door. Verwenden Sie TLS Version 1.2 als mindest zulässige Version mit Verschlüsselungen, die für Ihre Anwendung relevant sind. Verwaltete Azure Front Door-Zertifikate sollten Ihre Standardauswahl sein, um die Bedienung zu erleichtern. Wenn Sie jedoch den Lebenszyklus der Zertifikate verwalten möchten, verwenden Sie Ihre eigenen Zertifikate in Azure Front Door benutzerdefinierte Domäne Endpunkten und speichern sie in Key Vault. |
TLS stellt sicher, dass der Datenaustausch zwischen Browser, Azure Front Door und den Ursprüngen verschlüsselt ist, um Manipulationen zu verhindern. Key Vault bietet verwaltete Zertifikat-Unterstützung und einfache Zertifikaterneuerung und -rotation. |
Kostenoptimierung
Bei der Kostenoptimierung geht es darum, Ausgabenmuster zu erkennen, Investitionen in kritischen Bereichen zu priorisieren und in anderen Bereichen zu optimieren, um das Budget der Organisation einzuhalten und gleichzeitig die geschäftlichen Anforderungen zu erfüllen.
Die Designprinzipien zur Kostenoptimierung bieten eine allgemeine Designstrategie für die Erreichung dieser Ziele und die erforderlichen Kompromisse im technischen Design im Zusammenhang mit Azure Front Door und seiner Umgebung.
Entwurfsprüfliste
Erstellen Sie Ihre Entwurfsstrategie basierend auf der Checkliste zur Entwurfsüberprüfung in Bezug auf „Kostenoptimierung“ für Investitionen. Optimieren Sie das Design so, dass die Arbeitsbelastung mit dem Budget übereinstimmt, das dafür zugewiesen ist. Ihr Design sollte die richtigen Azure-Funktionen verwenden, Investitionen überwachen und Möglichkeiten zur Optimierung im Laufe der Zeit finden.
Überprüfen Sie die Dienstebenen und Preise. Verwenden Sie den Preisrechner, um die realistischen Kosten für jede Stufe von Azure Front Door zu schätzen. Vergleichen Sie die Merkmale und die Eignung der einzelnen Stufen für Ihr Szenario. Zum Beispiel unterstützt nur die Premium-Stufe die Verbindung zu Ihrem Ursprung über Private Link.
Die Standard-SKU ist kostengünstiger und eignet sich für moderate Verkehrsszenarien. In der Premium-SKU zahlen Sie einen höheren Einheitssatz, aber Sie erhalten Zugriff auf Sicherheitsvorteile und erweiterte Features wie verwaltete Regeln in WAF und privatem Link. Berücksichtigen Sie die Kompromisse bei Zuverlässigkeit und Sicherheit basierend auf Ihren Geschäftsanforderungen.
Berücksichtigen Sie Bandbreitenkosten. Die Bandbreitenkosten von Azure Front Door hängen von der von Ihnen gewählten Stufe und dem Typ der Datenübertragung ab. Informationen zur Abrechnung von Azure Front Door finden Sie unter Grundlegendes zur Abrechnung von Azure Front Door.
Azure Front Door bietet integrierte Berichte für abrechnende Metriken. Um Ihre Kosten im Zusammenhang mit der Bandbreite zu bewerten und wo Sie Ihre Optimierungsbemühungen konzentrieren können, lesen Sie Azure Front Door-Berichte.
Optimieren eingehender Anforderungen. Azure Front Door berechnet die eingehenden Anfragen. Sie können Einschränkungen in Ihrer Entwurfskonfiguration festlegen.
Reduzieren Sie die Anzahl der Anfragen, indem Sie Entwurfsmuster wie Backend für Frontends und Gateway Aggregationverwenden. Diese Muster können die Effizienz Ihrer Vorgänge verbessern.
WAF-Regeln beschränken eingehenden Datenverkehr, wodurch Kosten optimiert werden können. Verwenden Sie z. B. die Häufigkeitsbegrenzung, um einen ungewöhnlich hohen Datenverkehrsaufkommen zu verhindern, oder verwenden Sie geofiltern, um den Zugriff nur aus bestimmten Regionen oder Ländern zu ermöglichen.
Ressourcen effizientverwenden. Azure Front Door verwendet eine Routingmethode, die bei der Ressourcenoptimierung hilft. Es sei denn, die Workload ist äußerst latenzempfindlich, verteilen Sie Datenverkehr gleichmäßig über alle Umgebungen, um bereitgestellte Ressourcen effektiv zu verwenden.
Azure Front Door-Endpunkte können viele Dateien bedienen. Eine Möglichkeit zur Reduzierung der Bandbreitenkosten ist die Verwendung der Komprimierung.
Verwenden Sie zwischenspeichern in Azure Front Door für Inhalte, die sich nicht häufig ändern. Da Inhalte aus einem Cache bereitgestellt werden, sparen Sie Bandbreitenkosten, die anfallen, wenn die Anforderung an die Ursprünge weitergeleitet wird.
Erwägen Sie die Verwendung einer freigegebenen Instanz, die von der Organisationbereitgestellt wird. Kosten, die durch zentralisierte Dienste entstehen, werden zwischen den Workloads aufgeteilt. Bedenken Sie jedoch den Kompromiss mit Zuverlässigkeit. Für unternehmenskritische Anwendungen mit hohen Verfügbarkeitsanforderungen empfehlen wir eine autonome Instanz.
Achten Sie auf die Menge der protokollierten Daten. Kosten im Zusammenhang mit Bandbreite und Speicher können anfallen, wenn bestimmte Anforderungen nicht erforderlich sind oder wenn die Protokollierung von Daten für einen längeren Zeitraum aufbewahrt wird.
Empfehlungen
| Empfehlung | Nutzen |
|---|---|
| Zwischenspeicherung für Endpunkte verwenden, die sie unterstützen. | Das Zwischenspeichern optimiert die Datenübertragungskosten, da dadurch die Anzahl der Anrufe von Ihrer Azure Front Door-Instanz an den Ursprung reduziert wird. |
| Erwägen Sie, die Dateikomprimierungzu aktivieren. Für diese Konfiguration muss die Anwendung Komprimierung und Zwischenspeicherung unterstützen. |
Die Komprimierung reduziert den Bandbreitenverbrauch und verbessert die Leistung. |
| Deaktivieren Sie Gesundheitsprüfungen in Ursprungsgruppen mit einem einzigen Ursprung. Wenn Sie nur einen Ursprung in Ihrer Azure Front Door-Ursprungsgruppe konfiguriert haben, sind diese Anrufe nicht erforderlich. |
Sie können Bandbreitenkosten sparen, indem Sie Integritätsprüfungsanforderungen deaktivieren, die nicht erforderlich sind, um Routingentscheidungen zu treffen. |
Operative Exzellenz
Operational Excellence konzentriert sich in erster Linie auf Verfahren für Entwicklungspraktiken, Beobachtbarkeit und Release Management.
Die Operational Excellence Design-Prinzipien bieten eine übergeordnete Design-Strategie zur Erreichung dieser Ziele für die betrieblichen Anforderungen des Workloads.
Entwurfsprüfliste
Beginnen Sie Ihre Design-Strategie auf der Grundlage der Checkliste für die Design-Überprüfung für Operational Excellence , um Prozesse für die Beobachtbarkeit, das Testen und die Bereitstellung im Zusammenhang mit Azure Front Door zu definieren.
Infrastruktur als Code (IaC) Technologien verwenden. Verwenden Sie IaC-Technologien wie Bicep- und Azure Resource Manager-Vorlagen, um die Azure Front Door-Instanz bereitzustellen. Diese deklarativen Ansätze bieten Konsistenz und einfache Wartung. Beispielsweise können Sie mithilfe von IaC-Technologien ganz einfach neue Regelsatzversionen übernehmen. Verwenden Sie immer die neueste API-Version.
Vereinfachen von Konfigurationen. Verwenden Sie Azure Front Door, um Konfigurationen einfach zu verwalten. Angenommen, Ihre Architektur unterstützt Microservices. Azure Front Door unterstützt Umleitungsfunktionen, sodass Sie die pfadbasierte Umleitung für einzelne Dienste verwenden können. Ein weiterer Anwendungsfall ist die Konfiguration von Wildcarddomänen.
Progressive Risiken behandeln. Azure Front Door bietet mehrere Routingmethoden. Für einen gewichteten Lastausgleich können Sie einen Kanarienvogel einsetzen, der einen bestimmten Prozentsatz des Datenverkehrs an einen Ursprung sendet. Dieser Ansatz hilft Ihnen, neue Features und Versionen in einer kontrollierten Umgebung zu testen, bevor Sie sie bereitstellen.
Sammeln und analysieren Sie Betriebsdaten als Teil Ihrer Arbeitslastüberwachung. Erfassen Sie relevante Azure Front Door-Protokolle und Metriken mit Azure Monitor-Protokollen. Diese Daten helfen Ihnen bei der Problembehandlung, beim Verständnis von Benutzerverhalten und beim Optimieren von Vorgängen.
Zertifikatsverwaltung zu Azure auslagern. Erleichtern Sie die betriebliche Belastung, die mit Zertifizierungsaustausch und Erneuerungen verbunden ist.
Empfehlungen
| Empfehlung | Nutzen |
|---|---|
| HTTP-zu-HTTPS-Umleitung verwenden zur Unterstützung der Vorwärtskompatibilität. | Wenn die Umleitung aktiviert ist, leitet Azure Front Door Automatisch Clients um, die ein älteres Protokoll verwenden, um HTTPS für eine sichere Umgebung zu verwenden. |
| Erfassen von Protokollen und Metriken. Schließen Sie Ressourcenaktivitätsprotokolle, Zugriffsprotokolle, Gesundheitsüberwachungsprotokolle und WAF-Protokolle ein. Einrichten von Warnungen. |
Die Überwachung des Eingangsflusses ist ein wichtiger Bestandteil der Überwachung einer Anwendung. Sie möchten Anforderungen nachverfolgen und Leistungs- und Sicherheitsverbesserungen vornehmen. Sie benötigen Daten zum Debuggen Ihrer Azure Front Door-Konfiguration. Wenn Benachrichtigungen vorhanden sind, können Sie sofort Benachrichtigungen über kritische Betriebsprobleme erhalten. |
| Überprüfen Sie die eingebauten Analyseberichte. | Eine ganzheitliche Ansicht Ihres Azure Front Door-Profils trägt dazu bei, Verbesserungen basierend auf Datenverkehrs- und Sicherheitsberichten über WAF-Metriken voranzutreiben. |
| Verwenden von verwalteten TLS-Zertifikaten nach Möglichkeit. | Azure Front Door kann Zertifikate für Sie ausstellen und verwalten. Dieses Feature beseitigt die Notwendigkeit von Zertifikatverlängerungen und minimiert das Risiko eines Ausfalls aufgrund eines ungültigen oder abgelaufenen TLS-Zertifikats. |
| TLS-Zertifikate mit Platzhaltern verwenden. | Sie müssen die Konfiguration nicht ändern, um jede Unterdomäne separat hinzuzufügen oder anzugeben. |
Leistungseffizienz
Bei der Leistungseffizienz geht es um Aufrechterhaltung der Benutzererfahrung, auch wenn durch die Verwaltung der Kapazität eine Zunahme der Last erfolgt. Die Strategie umfasst die Skalierung von Ressourcen, das Identifizieren und Optimieren potenzieller Engpässe und die Optimierung der Spitzenleistung.
Die Designprinzipien der Leistungseffizienz bieten eine allgemeine Entwurfsstrategie zur Erreichung dieser Kapazitätsziele im Hinblick auf die erwartete Nutzung.
Entwurfsprüfliste
Erstellen Sie Ihre Entwurfsstrategie basierend auf der Checkliste zur Entwurfsüberprüfung in Bezug auf „Effiziente Leistung“. Definieren Sie einen Basisplan, der auf wichtigen Leistungsindikatoren für Azure Front Door basiert.
Plane die Kapazität, indem du die erwarteten Verkehrsmuster analysierst. Führen Sie gründliche Tests durch, um zu verstehen, wie Ihre Anwendung unter verschiedenen Lasten ausgeführt wird. Berücksichtigen Sie Faktoren wie gleichzeitige Transaktionen, Anforderungsraten und Datenübertragungen.
Stützen Sie Ihre SKU-Auswahl auf diese Planung. Die Standard-SKU ist kostengünstiger und eignet sich für moderate Verkehrsszenarien. Wenn Sie höhere Belastungen erwarten, empfehlen wir die Premium-SKU.
Analysieren Sie Leistungsdaten, indem Sie regelmäßig Leistungsmetrikenüberprüfen. Azure Front Door-Berichte Einblicke in verschiedene Metriken bieten, die auf Technologieebene als Leistungsindikatoren dienen.
Verwenden Sie Azure Front Door-Berichte, um realistische Leistungsziele für Ihre Workload festzulegen. Berücksichtigen Sie Faktoren wie Reaktionszeiten, Durchsatz und Fehlerraten. Richten Sie die Ziele an Ihre Geschäftlichen Anforderungen und Benutzererwartungen aus.
Optimieren von Datenübertragungen.
Verwenden Sie die Zwischenspeicherung, um die Latenz bei der Bereitstellung statischer Inhalte zu verringern, z. B. Bilder, Stylesheets und JavaScript-Dateien oder Inhalte, die sich häufig nicht ändern.
Optimieren Sie Ihre Anwendung für die Zwischenspeicherung. Verwenden Sie Cacheablaufheader in der Anwendung, die steuern, wie lange der Inhalt von Clients und Proxys zwischengespeichert werden soll. Längere Cachegültigkeit bedeutet weniger häufige Anforderungen an den Ursprungsserver, was zu reduziertem Datenverkehr und geringerer Latenz führt.
Verringern Sie die Größe von Dateien, die über das Netzwerk übertragen werden. Kleinere Dateien führen zu schnelleren Ladezeiten und verbesserter Benutzererfahrung.
Minimieren Sie die Anzahl der Back-End-Anforderungen in der Anwendung.
Auf einer Webseite werden beispielsweise Benutzerprofile, aktuelle Bestellungen, Saldos und andere verwandte Informationen angezeigt. Anstatt separate Anforderungen für jede Gruppe von Informationen zu erstellen, verwenden Sie Entwurfsmuster, um Ihre Anwendung so zu strukturieren, dass mehrere Anforderungen in einer einzigen Anforderung aggregiert werden.
Aktualisieren Sie Clients, um das HTTP/2-Protokollzu verwenden, das mehrere Anforderungen in einer einzelnen TCP-Verbindung kombinieren kann.
Verwenden Sie WebSockets, um die Echtzeit-Vollduplexkommunikation zu unterstützen, anstatt wiederholte HTTP-Anforderungen oder Abrufe vorzunehmen.
Durch das Aggregieren von Anforderungen senden Sie weniger Daten zwischen dem Front-End und dem Back-End und richten weniger Verbindungen zwischen dem Client und dem Back-End ein, wodurch der Aufwand reduziert wird. Darüber hinaus verarbeitet Azure Front Door weniger Anforderungen, was eine Überladung verhindert.
Optimieren Sie die Verwendung von Gesundheitssonden. Rufen Sie Gesundheitsinformationen von Gesundheitssonden nur dann ab, wenn sich der Zustand der Ursprünge ändert. Schaffen Sie ein Gleichgewicht zwischen der Überwachung der Genauigkeit und der Minimierung unnötigen Datenverkehrs.
Gesundheitssonden werden in der Regel verwendet, um die Gesundheit mehrerer Herkünfte innerhalb einer Gruppe zu beurteilen. Wenn Sie nur einen Ursprung in Ihrer Azure Front Door-Ursprungsgruppe konfiguriert haben, deaktivieren Sie Integritätssonden, um unnötigen Datenverkehr auf Ihrem Ursprungsserver zu reduzieren. Da es nur eine Instanz gibt, hat der Status der Gesundheitssonde keinen Einfluss auf das Routing.
Überprüfen Sie die Ursprungsroutingmethode. Azure Front Door bietet verschiedene Routingmethoden, darunter latenzbasiertes, prioritätsbasiertes, gewichtetes und sitzungsaffines Routing an den Ursprung. Diese Methoden wirken sich erheblich auf die Leistung Ihrer Anwendung aus. Um mehr über die beste Verkehrslenkungsoption für Ihr Szenario zu erfahren, lesen Sie Verkehrslenkungsmethoden zum Ursprung.
Überprüfen Sie den Speicherort der Ursprungsserver. Der Standort Ihrer Ursprungsserver wirkt sich auf die Reaktionsfähigkeit Ihrer Anwendung aus. Origin-Server sollten den Benutzern näher sein. Azure Front Door stellt sicher, dass Benutzer von einem bestimmten Standort aus auf den nächstgelegenen Azure Front Door-Einstiegspunkt zugreifen. Zu den Leistungsvorteilen gehören eine schnellere Benutzererfahrung, eine bessere Verwendung des latenzbasierten Routings durch Azure Front Door und minimierte Datenübertragungszeit durch Zwischenspeichern, wodurch Inhalte näher an Benutzer gespeichert werden.
Weitere Informationen finden Sie unter Verkehrsbericht nach Ort.
Empfehlungen
| Empfehlung | Nutzen |
|---|---|
| Zwischenspeicherungaktivieren. Sie können Abfrage-Strings für die Zwischenspeicherung optimieren. Ignorieren Sie bei rein statischen Inhalten Abfragezeichenfolgen, um die Verwendung des Caches zu maximieren. Wenn Ihre Anwendung Abfragezeichenfolgen verwendet, sollten Sie sie in den Cacheschlüssel einschließen. Durch das Einschließen der Abfragezeichenfolgen im Cacheschlüssel kann Azure Front Door basierend auf Ihrer Konfiguration zwischengespeicherte Antworten oder andere Antworten bereitstellen. |
Azure Front Door bietet eine robuste Netzwerklösung für die Inhaltsübermittlung, die Inhalte am Rand des Netzwerks zwischenspeichert. Die Zwischenspeicherung reduziert die Last auf den Ursprungsservern und reduziert die Datenverschiebung über das Netzwerk, wodurch die Bandbreitennutzung ausgelagert wird. |
| Verwenden Sie die Dateikomprimierung, wenn Sie auf herunterladbare Inhalte zugreifen. | Die Komprimierung in Azure Front Door hilft beim Bereitstellen von Inhalten im optimalen Format, hat eine kleinere Nutzlast und liefert Inhalte schneller an die Benutzer. |
Wenn Sie Integritätssonden in Azure Front Door konfigurieren, sollten Sie HEAD-Anfragen anstelle von GET-Anfragen verwenden. Die Health Probe liest nur den Statuscode, nicht den Inhalt. |
mit HEAD Anforderungen können Sie eine Zustandsänderung abfragen, ohne den gesamten Inhalt abzurufen. |
| Bewerten Sie, ob Sie die Sitzungsaffinität aktivieren sollten, wenn Anforderungen desselben Benutzers an denselben Herkunftsserver weitergeleitet werden sollen. Aus Zuverlässigkeitsperspektive empfehlen wir diesen Ansatz nicht. Wenn Sie diese Option verwenden, sollte die Anwendung ohne Unterbrechung der Benutzersitzungen wiederhergestellt werden können. Es gibt auch einen Kompromiss beim Lastenausgleich, da dadurch die Flexibilität der Verteilung von Datenverkehr über mehrere Ursprünge gleichmäßig eingeschränkt wird. |
Optimieren Sie die Leistung und verwalten Sie die Kontinuität für Benutzersitzungen, insbesondere dann, wenn Anwendungen auf die lokale Verwaltung von Zustandsinformationen angewiesen sind. |
Azure-Richtlinien
Azure bietet einen umfassenden Satz integrierter Richtlinien im Zusammenhang mit Azure Front Door und seinen Abhängigkeiten. Einige der vorstehenden Empfehlungen können über Azure-Richtlinien überwacht werden. Sie können beispielsweise überprüfen, ob:
- Sie benötigen die Premium-Stufe, um verwaltete WAF-Regeln und private Verknüpfungen in Azure Front Door-Profilen zu unterstützen.
- Sie müssen die mindeste TLS-Version verwenden, die Version 1.2 ist.
- Sie benötigen sichere, private Konnektivität zwischen Azure Front Door Premium und Azure PaaS-Diensten.
- Sie müssen Ressourcenprotokolle aktivieren. WAF sollte die Prüfung des Anfragekörpers aktiviert haben.
- Sie müssen Richtlinien verwenden, um den WAF-Regelsatz zu erzwingen. So sollten Sie z. B. bot-Schutz aktivieren und Regeln für die Ratenbegrenzung aktivieren.
Für eine umfassende Governance prüfen Sie die integrierten Definitionen für Azure Content Delivery Network und andere Azure Front Door-Richtlinien, die unter Azure Policy built-in policy definitionsaufgeführt sind.
Empfehlungen für Azure Advisor
Azure Advisor ist ein personalisierter Cloudberater, der Ihnen hilft, bewährte Methoden zur Optimierung Ihrer Azure-Bereitstellungen zu befolgen. Die Empfehlungen des Advisors sind auf die Elemente des Well-Architected Frameworks abgestimmt.
Weitere Informationen finden Sie in den Empfehlungen in Azure Advisor.
Nächste Schritte
Betrachten Sie die folgenden Artikel als Ressourcen, die die in diesem Artikel hervorgehobenen Empfehlungen veranschaulichen.
- Verwenden Sie die folgenden Referenzarchitekturen als Beispiele, wie Sie den Leitfaden dieses Artikels auf eine Workload anwenden können:
- Erstellen Sie das Know-how der Implementierung mithilfe der folgenden Produktdokumentation: