Freigeben über


Azure Well-Architected Framework-Perspektive auf Azure Front Door

Azure Front Door ist ein globales Lastenausgleichs- und Inhaltsübermittlungsnetzwerk, das HTTP- und HTTPS-Datenverkehr weitergibt. Azure Front Door liefert und verteilt Datenverkehr, der den Anwendungsbenutzern am nächsten liegt.

In diesem Artikel wird davon ausgegangen, dass Sie als Architekt die Optionen für den Lastenausgleich überprüft und Azure Front Door als Lastenausgleich für Ihre Workload ausgewählt haben. Außerdem wird davon ausgegangen, dass Ihre Anwendung in einem Aktiv-Aktiv- oder Aktiv-Passiv-Modell in mehreren Regionen bereitgestellt wird. Die Anleitung in diesem Artikel enthält Architekturempfehlungen, die den Prinzipien der Säulen von Azure Well-Architected Framework zugeordnet sind.

Wichtig

Verwendung dieses Leitfadens

Jeder Abschnitt enthält eine Entwurfscheckliste , die architektonische Bereiche von Bedeutung und Entwurfsstrategien vorstellt, die für den Technologiebereich lokalisiert sind.

Dieser Artikel enthält auch Empfehlungen zu den Technologiefunktionen, die bei der Materialisierung dieser Strategien helfen. Die Empfehlungen stellen keine vollständige Liste aller konfigurationen dar, die für Azure Front Door und die zugehörigen Abhängigkeiten verfügbar sind. Stattdessen werden die wichtigsten Empfehlungen aufgelistet, die den Entwurfsperspektiven zugeordnet sind. Verwenden Sie die Empfehlungen, um Ihren Proof of Concept zu erstellen oder Ihre vorhandenen Umgebungen zu optimieren.

Grundlegende Architektur, die die wichtigsten Empfehlungen veranschaulicht: Unternehmenskritische Basisarchitektur mit Netzwerksteuerungen.

Technologieumfang

Diese Überprüfung konzentriert sich auf die zusammenhängenden Entscheidungen für die folgenden Azure-Ressourcen:

  • Azure Front Door

Zuverlässigkeit

Der Zweck der Säule Zuverlässigkeit besteht darin, fortlaufende Funktionen bereitzustellen, indem genügend Resilienz und die Fähigkeit zur schnellen Wiederherstellung nach Fehlern aufgebaut werden.

Die Prinzipien des Zuverlässigkeitsentwurfs bieten eine allgemeine Entwurfsstrategie, die für einzelne Komponenten, Systemflüsse und das System als Ganzes angewendet wird.

Prüfliste für den Entwurf

Starten Sie Ihre Entwurfsstrategie basierend auf der Prüfliste für die Entwurfsüberprüfung für Zuverlässigkeit. Bestimmen Sie die Relevanz für Ihre Geschäftsanforderungen, und berücksichtigen Sie dabei die Tarife und Azure Content Delivery Network-Funktionen. Erweitern Sie die Strategie, um bei Bedarf weitere Ansätze einzuschließen.

  • Schätzen Sie das Datenverkehrsmuster und das Volumen. Die Anzahl der Anforderungen vom Client an den Azure Front Door-Edge kann Ihre Tarifauswahl beeinflussen. Wenn Sie eine große Anzahl von Anforderungen unterstützen müssen, sollten Sie den Azure Front Door Premium-Tarif in Betracht ziehen, da sich die Leistung letztendlich auf die Verfügbarkeit auswirkt. Es gibt jedoch einen Kompromiss zwischen den Kosten. Diese Ebenen werden unter Leistungseffizienz beschrieben.

  • Wählen Sie Ihre Bereitstellungsstrategie aus. Die grundlegenden Bereitstellungsansätze sind Aktiv-Aktiv und Aktiv-Passiv. Aktiv/Aktiv-Bereitstellung bedeutet, dass mehrere Umgebungen oder Stempel, die die Workload ausführen, Datenverkehr verarbeiten. Aktiv/Passiv-Bereitstellung bedeutet, dass nur die primäre Region den gesamten Datenverkehr verarbeitet, aber bei Bedarf ein Failover in die sekundäre Region erfolgt. In einer Bereitstellung mit mehreren Regionen werden Stempel in verschiedenen Regionen ausgeführt, um eine höhere Verfügbarkeit mit einem globalen Lastenausgleich wie Azure Front Door zu erzielen, der Datenverkehr verteilt. Daher ist es wichtig, den Lastenausgleich für den entsprechenden Bereitstellungsansatz zu konfigurieren.

    Azure Front Door unterstützt mehrere Routingmethoden, die Sie konfigurieren können, um Datenverkehr in einem Aktiv-Aktiv- oder Aktiv-Passiv-Modell zu verteilen.

    Die vorherigen Modelle weisen viele Variationen auf. Beispielsweise können Sie das Aktiv-Passiv-Modell mit einem Warm Spare bereitstellen. In diesem Fall wird der sekundäre gehostete Dienst mit der minimal möglichen Compute- und Datengröße bereitgestellt und ohne Last ausgeführt. Beim Failover werden die Compute- und Datenressourcen skaliert, um die Last aus der primären Region zu verarbeiten. Weitere Informationen finden Sie unter Wichtige Entwurfsstrategien für das Entwerfen mehrerer Regionen.

    Einige Anwendungen benötigen die Benutzerverbindungen, um während der Benutzersitzung auf demselben Ursprungsserver zu bleiben. Aus Zuverlässigkeitssicht wird davon abgeraten, Benutzerverbindungen auf demselben Ursprungsserver beizubehalten. Vermeiden Sie Sitzungsaffinität so weit wie möglich.

  • Verwenden Sie denselben Hostnamen auf Azure Front Door- und Ursprungsservern. Um sicherzustellen, dass Cookies oder Umleitungs-URLs ordnungsgemäß funktionieren, behalten Sie den ursprünglichen HTTP-Hostnamen bei, wenn Sie einen Reverseproxy wie einen Lastenausgleich vor einer Webanwendung verwenden.

  • Implementieren Sie das Überwachungsmuster für Integritätsendpunkte. Ihre Anwendung sollte Integritätsendpunkte verfügbar machen, die den Zustand der kritischen Dienste und Abhängigkeiten aggregieren, die Ihre Anwendung zum Verarbeiten von Anforderungen benötigt. Azure Front Door-Integritätstests verwenden den Endpunkt, um die Integrität der Ursprungsserver zu erkennen. Weitere Informationen finden Sie unter Überwachungsmuster für den Integritätsendpunkt.

  • Profitieren Sie von der integrierten Netzwerkfunktionalität für die Inhaltsübermittlung in Azure Front Door. Das Feature des Inhaltsbereitstellungsnetzwerks von Azure Front Door verfügt über Hunderte von Edgestandorten und kann dazu beitragen, verteilten Denial-of-Service-Angriffen (DDoS) standzuhalten. Diese Funktionen tragen zur Verbesserung der Zuverlässigkeit bei.

  • Erwägen Sie eine redundante Datenverkehrsverwaltungsoption. Azure Front Door ist ein global verteilter Dienst, der als Singleton in einer Umgebung ausgeführt wird. Azure Front Door ist ein potenzieller Single Point of Failure im System. Wenn der Dienst fehlschlägt, können Clients während der Ausfallzeit nicht auf Ihre Anwendung zugreifen.

    Redundante Implementierungen können komplex und kostspielig sein. Betrachten Sie sie nur für unternehmenskritische Workloads, die eine sehr geringe Ausfalltoleranz aufweisen. Berücksichtigen Sie sorgfältig die Kompromisse.

Empfehlungen

Empfehlung Vorteil
Wählen Sie eine Routingmethode aus, die Ihre Bereitstellungsstrategie unterstützt.

Die gewichtete Methode, die Datenverkehr basierend auf dem konfigurierten Gewichtungskoeffizienten verteilt, unterstützt Aktiv/Aktiv-Modelle.

Ein prioritätsbasierter Wert, der die primäre Region so konfiguriert, dass der gesamte Datenverkehr empfangen und Datenverkehr als Sicherung an die sekundäre Region gesendet wird, unterstützt Aktiv/Passiv-Modelle.

Kombinieren Sie die oben genannten Methoden mit latenz, sodass der Ursprung mit der niedrigsten Latenz Datenverkehr empfängt.
Sie können die beste Ursprungsressource auswählen, indem Sie eine Reihe von Entscheidungsschritten und Ihren Entwurf verwenden. Der ausgewählte Ursprung bedient Datenverkehr innerhalb des zulässigen Latenzbereichs im angegebenen Verhältnis von Gewichtungen.
Unterstützung von Redundanz durch mehrere Ursprünge in einem oder mehreren Back-End-Pools.

Verwenden Sie immer redundante Instanzen Ihrer Anwendung, und stellen Sie sicher, dass jede instance einen Endpunkt oder Ursprung verfügbar macht. Sie können diese Ursprünge in einem oder mehreren Back-End-Pools platzieren.
Mehrere Ursprünge unterstützen Redundanz, indem Datenverkehr auf mehrere Instanzen der Anwendung verteilt wird. Wenn ein instance nicht verfügbar ist, können andere Back-End-Ursprünge weiterhin Datenverkehr empfangen.
Richten Sie Integritätstests für den Ursprung ein.

Konfigurieren Sie Azure Front Door, um Integritätsprüfungen durchzuführen, um zu ermitteln, ob die Back-End-instance verfügbar ist und bereit ist, weiterhin Anforderungen zu empfangen.
Aktivierte Integritätstests sind Teil der Implementierung des Integritätsüberwachungsmusters. Integritätstests stellen sicher, dass Azure Front Door datenverkehr nur an Instanzen weiter leitet, die fehlerfrei genug sind, um Anforderungen zu verarbeiten.
Weitere Informationen finden Sie unter Bewährte Methoden für Integritätstests.
Legen Sie ein Timeout für die Weiterleitung von Anforderungen an das Back-End fest.

Passen Sie die Timeouteinstellung entsprechend den Anforderungen Ihrer Endpunkte an. Andernfalls wird die Verbindung von Azure Front Door möglicherweise geschlossen, bevor der Ursprung die Antwort sendet.
Sie können auch das Standardtimeout für Azure Front Door verringern, wenn alle Ihre Ursprünge ein kürzeres Timeout aufweisen.
Weitere Informationen finden Sie unter Problembehandlung bei nicht reagierenden Anforderungen.
Timeouts helfen, Leistungs- und Verfügbarkeitsprobleme zu vermeiden, indem Anforderungen beendet werden, deren Abschluss länger als erwartet dauert.
Verwenden Sie denselben Hostnamen für Azure Front Door und Ihren Ursprung.

Azure Front Door kann den Hostheader eingehender Anforderungen umschreiben, was nützlich ist, wenn Sie über mehrere benutzerdefinierte Domänennamen verfügen, die zu einem Ursprung weitergeleitet werden. Das Umschreiben des Hostheaders kann jedoch Zu Problemen mit Anforderungscookies und URL-Umleitung führen.
Legen Sie denselben Hostnamen fest, um Fehlfunktionen bei Sitzungsaffinität, Authentifizierung und Autorisierung zu verhindern. Weitere Informationen finden Sie unter Beibehalten des ursprünglichen HTTP-Hostnamens zwischen einem Reverseproxy und seiner Back-End-Webanwendung.
Entscheiden Sie, ob Ihre Anwendung Sitzungsaffinität erfordert. Wenn Sie hohe Zuverlässigkeitsanforderungen haben, wird empfohlen, die Sitzungsaffinität zu deaktivieren. Bei Sitzungsaffinität bleiben Benutzerverbindungen während der Benutzersitzung am gleichen Ursprung. Wenn dieser Ursprung nicht mehr verfügbar ist, kann die Benutzererfahrung unterbrochen werden.
Nutzen Sie die Ratenbegrenzungsregeln , die in einer Web Application Firewall (WAF) enthalten sind. Beschränken Sie Anforderungen, um zu verhindern, dass Clients zu viel Datenverkehr an Ihre Anwendung senden. Die Ratenbegrenzung kann Ihnen helfen, Probleme wie einen Wiederholungssturm zu vermeiden.

Sicherheit

Der Zweck der Säule Sicherheit besteht darin , Vertraulichkeits-, Integritäts- und Verfügbarkeitsgarantien für die Workload bereitzustellen.

Die Prinzipien des Sicherheitsentwurfs bieten eine allgemeine Entwurfsstrategie zum Erreichen dieser Ziele, indem Ansätze auf den technischen Entwurf angewendet werden, um den datenverkehrsbasierten Datenverkehr über Azure Front Door einzuschränken.

Prüfliste für den Entwurf

Starten Sie Ihre Entwurfsstrategie basierend auf der Prüfliste für die Entwurfsüberprüfung für Die Sicherheit. Identifizieren sie Sicherheitsrisiken und Kontrollen, um den Sicherheitsstatus zu verbessern. Erweitern Sie die Strategie, um bei Bedarf weitere Ansätze einzuschließen.

  • Überprüfen Sie die Sicherheitsbaseline für Azure Front Door.

  • Schützen Sie die Back-End-Server. Das Front-End fungiert als single point of ingress an die Anwendung.

    Azure Front Door verwendet Azure Private Link, um auf den Ursprung einer Anwendung zuzugreifen. Private Link erstellt eine Segmentierung, sodass die Back-Ends keine öffentlichen IP-Adressen und Endpunkte verfügbar machen müssen. Weitere Informationen finden Sie unter Schützen Ihres Ursprungs mit Private Link in Azure Front Door Premium.

    Konfigurieren Sie Ihre Back-End-Dienste so, dass nur Anforderungen mit demselben Hostnamen akzeptiert werden, den Azure Front Door extern verwendet.

  • Lassen Sie nur autorisierten Zugriff auf die Steuerungsebene zu. Verwenden Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure Front Door, um den Zugriff nur auf die Identitäten zu beschränken, die sie benötigen.

  • Blockieren sie häufige Bedrohungen am Edge. WAF ist in Azure Front Door integriert. Aktivieren Sie WAF-Regeln auf den Front-Ends, um Anwendungen vor allgemeinen Exploits und Sicherheitsrisiken am Netzwerkrand zu schützen, näher an der Angriffsquelle. Erwägen Sie geofiltern, um den Zugriff auf Ihre Webanwendung nach Ländern oder Regionen einzuschränken.

    Weitere Informationen finden Sie unter Azure Web Application Firewall in Azure Front Door.

  • Schützen Sie Azure Front Door vor unerwartetem Datenverkehr. Azure Front Door verwendet den grundlegenden Plan von Azure DDoS Protection , um Anwendungsendpunkte vor DDoS-Angriffen zu schützen. Wenn Sie andere öffentliche IP-Adressen aus Ihrer Anwendung verfügbar machen müssen, sollten Sie den DDoS Protection-Standardplan für diese Adressen für erweiterte Schutz- und Erkennungsfunktionen hinzufügen.

    Es gibt auch WAF-Regelsätze, die Botdatenverkehr oder unerwartet große Mengen von Datenverkehr erkennen, der möglicherweise böswillig sein kann.

  • Schützen von Daten während der Übertragung. Aktivieren Sie end-to-End Transport Layer Security (TLS), HTTP-zu-HTTPS-Umleitung und ggf. verwaltete TLS-Zertifikate. Weitere Informationen finden Sie unter Bewährte Methoden für TLS für Azure Front Door.

  • Überwachen sie anomale Aktivitäten. Überprüfen Sie regelmäßig die Protokolle, um auf Angriffe und falsch positive Ergebnisse zu überprüfen. Senden Sie WAF-Protokolle von Azure Front Door an die zentrale Sicherheitsinformations- und Ereignisverwaltung (SIEM) Ihres organization, z. B. Microsoft Sentinel, um Bedrohungsmuster zu erkennen und vorbeugende Maßnahmen in den Workloadentwurf zu integrieren.

Empfehlungen

Empfehlung Vorteil
Aktivieren Sie WAF-Regelsätze, die potenziell schädlichen Datenverkehr erkennen und blockieren. Dieses Feature ist im Premium-Tarif verfügbar. Es wird empfohlen, die folgenden Regelsätze zu erstellen:
- Standard
- Botschutz
- IP-Einschränkung
- Geofilterung
- Ratenbegrenzung
Standardregelsätze werden häufig basierend auf OWASP Top-10-Angriffstypen und Informationen von Microsoft Threat Intelligence aktualisiert.
Die spezialisierten Regelsätze erkennen bestimmte Anwendungsfälle. Botregeln klassifizieren Bots beispielsweise basierend auf den Client-IP-Adressen als gut, schlecht oder unbekannt. Außerdem blockieren sie fehlerhafte Bots und bekannte IP-Adressen und schränken den Datenverkehr basierend auf dem geografischen Standort der Aufrufer ein.

Mithilfe einer Kombination aus Regelsätzen können Sie Angriffe mit verschiedenen Absichten erkennen und blockieren.
Erstellen Sie Ausschlüsse für verwaltete Regelsätze.

Testen Sie eine WAF-Richtlinie im Erkennungsmodus für einige Wochen, und passen Sie alle falsch positiven Ergebnisse an, bevor Sie sie bereitstellen.
Reduzieren Sie falsch positive Ergebnisse, und lassen Sie legitime Anforderungen für Ihre Anwendung zu.
Senden Sie den Hostheader an das Back-End. Die Back-End-Dienste sollten den Hostnamen kennen, damit sie Regeln erstellen können, die nur Datenverkehr von diesem Host akzeptieren.
Aktivieren Sie end-to-End-TLS, HTTP-zu-HTTPS-Umleitung und verwaltete TLS-Zertifikate, falls zutreffend.

Überprüfen Sie die bewährten TLS-Methoden für Azure Front Door.

Verwenden Sie TLS-Version 1.2 als mindestens zulässige Version mit Verschlüsselungen, die für Ihre Anwendung relevant sind.

Verwaltete Azure Front Door-Zertifikate sollten ihre Standardeinstellung sein, um den Betrieb zu vereinfachen. Wenn Sie jedoch den Lebenszyklus der Zertifikate verwalten möchten, verwenden Sie Ihre eigenen Zertifikate in Azure Front Door-Endpunkten für benutzerdefinierte Domänen, und speichern Sie sie in Key Vault.
TLS stellt sicher, dass der Datenaustausch zwischen dem Browser, Azure Front Door und den Back-End-Ursprüngen verschlüsselt wird, um Manipulationen zu verhindern.

Key Vault bietet Unterstützung für verwaltete Zertifikate sowie eine einfache Zertifikatverlängerung und -rotation.

Kostenoptimierung

Die Kostenoptimierung konzentriert sich auf das Erkennen von Ausgabenmustern, die Priorisierung von Investitionen in kritische Bereiche und die Optimierung in anderen Bereichen, um das Budget der organization zu erfüllen und gleichzeitig die Geschäftsanforderungen zu erfüllen.

Die Entwurfsprinzipien für die Kostenoptimierung bieten eine allgemeine Entwurfsstrategie, um diese Ziele zu erreichen und bei Bedarf Kompromisse beim technischen Entwurf im Zusammenhang mit Azure Front Door und seiner Umgebung zu treffen.

Prüfliste für den Entwurf

Starten Sie Ihre Entwurfsstrategie basierend auf der Prüfliste für die Entwurfsüberprüfung für die Kostenoptimierung für Investitionen. Optimieren Sie den Entwurf so, dass die Workload dem Budget entspricht, das für die Workload zugewiesen ist. Ihr Entwurf sollte die richtigen Azure-Funktionen verwenden, Investitionen überwachen und Möglichkeiten zur Optimierung im Laufe der Zeit finden.

  • Sehen Sie sich die Azure Front Door-Tarife und -Preise an. Verwenden Sie den Preisrechner , um die realistischen Kosten für jeden Tarif zu schätzen. Vergleichen Sie die Features und die Eignung der einzelnen Ebenen für Ihr Szenario. Für instance unterstützt nur der Premium-Tarif das Herstellen einer Verbindung mit Ihrem Ursprung über Private Link.

    Die Standard-SKU ist kostengünstiger und eignet sich für Szenarien mit moderatem Datenverkehr. In der Premium-SKU zahlen Sie einen höheren Einheitssatz, aber Sie erhalten Zugriff auf Sicherheitsvorteile und erweiterte Features wie verwaltete Regeln in WAF und Private Link. Berücksichtigen Sie die Kompromisse in Bezug auf Zuverlässigkeit und Sicherheit basierend auf Ihren Geschäftsanforderungen.

  • Berücksichtigen Sie die Bandbreitenkosten. Die Bandbreitenkosten von Azure Front Door hängen vom gewählten Tarif und der Art der Datenübertragung ab. Azure Front Door bietet integrierte Berichte für abrechenbare Metriken. Informationen zur Bewertung Ihrer Kosten im Zusammenhang mit der Bandbreite und zu den Schwerpunkten Ihrer Optimierungsbemühungen finden Sie unter Azure Front Door-Berichte.

  • Optimieren Sie eingehende Anforderungen. Azure Front Door berechnet die eingehenden Anforderungen. Sie können Einschränkungen in Ihrer Entwurfskonfiguration festlegen.

    Reduzieren Sie die Anzahl von Anforderungen, indem Sie Entwurfsmuster wie Back-End für Front-Ends und Gatewayaggregation verwenden. Diese Muster können die Effizienz Ihrer Vorgänge verbessern.

    WAF-Regeln beschränken eingehenden Datenverkehr, wodurch Kosten optimiert werden können. Verwenden Sie beispielsweise die Ratenbegrenzung, um ungewöhnlich hohe Datenverkehrsmengen zu verhindern, oder verwenden Sie Geofilterung, um den Zugriff nur aus bestimmten Regionen oder Ländern zuzulassen.

  • Ressourcen effizient verwenden. Azure Front Door verwendet eine Routingmethode, die bei der Ressourcenoptimierung hilft. Wenn die Workload nicht äußerst latenzempfindlich ist, verteilen Sie den Datenverkehr gleichmäßig auf alle Umgebungen, um bereitgestellte Ressourcen effektiv zu nutzen.

    Azure Front Door-Endpunkte können viele Dateien bereitstellen. Eine Möglichkeit, die Bandbreitenkosten zu senken, ist die Verwendung der Komprimierung.

    Verwenden Sie die Zwischenspeicherung in Azure Front Door für Inhalte, die sich nicht häufig ändern. Da Inhalte aus einem Cache bereitgestellt werden, sparen Sie Bandbreitenkosten, die anfallen, wenn die Anforderung an die Back-Ends weitergeleitet wird.

  • Erwägen Sie die Verwendung einer freigegebenen instance, die vom organization bereitgestellt wird. Kosten, die durch zentralisierte Dienste entstehen, werden von den Workloads gemeinsam genutzt. Berücksichtigen Sie jedoch den Kompromiss mit Zuverlässigkeit. Für unternehmenskritische Anwendungen mit Hochverfügbarkeitsanforderungen empfehlen wir eine autonome instance.

  • Achten Sie auf die Menge der protokollierten Daten. Kosten im Zusammenhang mit Bandbreite und Speicher können anfallen, wenn bestimmte Anforderungen nicht erforderlich sind oder wenn Protokollierungsdaten über einen längeren Zeitraum aufbewahrt werden.

Empfehlungen

Empfehlung Vorteil
Verwenden Sie die Zwischenspeicherung für Endpunkte, die dies unterstützen. Zwischenspeichern optimiert die Datenübertragungskosten, da die Anzahl der Anrufe von Ihrer Azure Front Door-instance an den Ursprung reduziert wird.
Erwägen Sie die Aktivierung der Dateikomprimierung.
Für diese Konfiguration muss die Anwendung die Komprimierung unterstützen, und das Zwischenspeichern muss aktiviert sein.
Die Komprimierung reduziert den Bandbreitenverbrauch und verbessert die Leistung.
Deaktivieren sie Integritätsprüfungen in einzelnen Back-End-Pools.
Wenn in Ihrer Azure Front Door-Ursprungsgruppe nur ein Ursprung konfiguriert ist, sind diese Aufrufe unnötig.
Sie können Bandbreitenkosten sparen, indem Sie Anforderungen deaktivieren, die für Routingentscheidungen nicht erforderlich sind.

Optimaler Betrieb

Operational Excellence konzentriert sich in erster Linie auf Verfahren für Entwicklungsmethoden, Beobachtbarkeit und Releaseverwaltung.

Die Entwurfsprinzipien für operationale Exzellenz bieten eine allgemeine Entwurfsstrategie zum Erreichen dieser Ziele für die operativen Anforderungen der Workload.

Prüfliste für den Entwurf

Starten Sie Ihre Entwurfsstrategie auf der Grundlage der Prüfliste für die Entwurfsüberprüfung für Operational Excellence , um Prozesse für Die Sichtbarkeit, Tests und Bereitstellung im Zusammenhang mit Azure Front Door zu definieren.

  • Verwenden Sie IaC-Technologien (Infrastructure-as-Code). Verwenden Sie IaC-Technologien wie Bicep und Azure Resource Manager-Vorlagen, um die Azure Front Door-instance bereitzustellen. Diese deklarativen Ansätze bieten Konsistenz und einfache Wartung. Durch die Verwendung von IaC-Technologien können Sie beispielsweise problemlos neue Regelsatzversionen übernehmen. Verwenden Sie immer die neueste API-Version.

  • Vereinfachen sie Konfigurationen. Verwenden Sie Azure Front Door, um Konfigurationen einfach zu verwalten. Angenommen, Ihre Architektur unterstützt Microservices. Azure Front Door unterstützt Umleitungsfunktionen, sodass Sie die pfadbasierte Umleitung für einzelne Dienste verwenden können. Ein weiterer Anwendungsfall ist die Konfiguration von Wildcarddomänen.

  • Behandeln Sie die progressive Offenlegung mithilfe von Azure Front Door-Routingmethoden. Für einen gewichteten Lastenausgleichsansatz können Sie eine Canary-Bereitstellung verwenden, um einen bestimmten Prozentsatz des Datenverkehrs an ein Back-End zu senden. Dieser Ansatz hilft Ihnen, neue Features und Releases in einer kontrollierten Umgebung zu testen, bevor Sie sie bereitstellen.

  • Sammeln und analysieren Sie Azure Front Door-Betriebsdaten im Rahmen Ihrer Workloadüberwachung. Erfassen Sie relevante Azure Front Door-Protokolle und -Metriken mit Azure Monitor-Protokollen. Diese Daten helfen Ihnen bei der Problembehandlung, beim Verständnis von Benutzerverhalten und beim Optimieren von Vorgängen.

  • Auslagern der Zertifikatverwaltung in Azure. Erleichtern Sie den betriebsbedingten Aufwand im Zusammenhang mit der Rotation und Erneuerung von Zertifizierungen.

Empfehlungen

Empfehlung Vorteil
Verwenden Sie die HTTP-zu-HTTPS-Umleitung , um die Vorwärtskompatibilität zu unterstützen. Wenn die Umleitung aktiviert ist, leitet Azure Front Door Automatisch Clients um, die ein älteres Protokoll verwenden, um HTTPS für eine sichere Umgebung zu verwenden.
Erfassen sie Protokolle und Metriken.

Schließen Sie Ressourcenaktivitätsprotokolle, Zugriffsprotokolle, Integritätstestprotokolle und WAF-Protokolle ein.

Richten Sie Warnungen ein.
Die Überwachung des Eingangsflusses ist ein wichtiger Bestandteil der Überwachung einer Anwendung. Sie möchten Anforderungen nachverfolgen und Leistungs- und Sicherheitsverbesserungen vornehmen. Sie benötigen Daten, um Ihre Azure Front Door-Konfiguration zu debuggen.

Wenn Warnungen vorhanden sind, können Sie sofort Benachrichtigungen über kritische Betriebsprobleme erhalten.
Überprüfen Sie die integrierten Analyseberichte. Eine ganzheitliche Ansicht Ihres Azure Front Door-Profils trägt dazu bei, Verbesserungen basierend auf Datenverkehrs- und Sicherheitsberichten über WAF-Metriken voranzutreiben.
Verwenden Sie nach Möglichkeit verwaltete TLS-Zertifikate . Azure Front Door kann Zertifikate für Sie ausstellen und verwalten. Mit diesem Feature werden Zertifikatverlängerungen überflüssig und das Risiko eines Ausfalls aufgrund eines ungültigen oder abgelaufenen TLS-Zertifikats minimiert.
Verwenden von TLS-Zertifikaten mit Wildcards. Sie müssen die Konfiguration nicht ändern, um die einzelnen Unterdomänen separat hinzuzufügen und/oder anzugeben.

Effiziente Leistung

Bei der Leistungseffizienz geht es darum, die Benutzererfahrung auch dann aufrechtzuerhalten, wenn die Auslastung durch die Verwaltung der Kapazität erhöht wird. Die Strategie umfasst das Skalieren von Ressourcen, das Identifizieren und Optimieren potenzieller Engpässe sowie die Optimierung der Spitzenleistung.

Die Entwurfsprinzipien der Leistungseffizienz bieten eine allgemeine Entwurfsstrategie, um diese Kapazitätsziele im Vergleich zur erwarteten Nutzung zu erreichen.

Prüfliste für den Entwurf

Beginnen Sie Ihre Entwurfsstrategie basierend auf der Prüfliste für die Entwurfsüberprüfung für die Leistungseffizienz. Definieren Sie eine Baseline, die auf Schlüsselleistungsindikatoren für Azure Front Door basiert.

  • Planen Sie die Kapazität, indem Sie Ihre erwarteten Datenverkehrsmuster analysieren. Führen Sie gründliche Tests durch, um zu verstehen, wie Ihre Anwendung unter verschiedenen Lasten funktioniert. Berücksichtigen Sie Faktoren wie gleichzeitige Transaktionen, Anforderungsraten und Datenübertragungen.

    Legen Sie Ihre SKU-Auswahl auf dieser Planung fest. Die Standard-SKU ist kostengünstiger und eignet sich für Szenarien mit moderatem Datenverkehr. Wenn Sie mit höheren Auslastungen rechnen, empfehlen wir die Premium-SKU.

  • Analysieren Sie Leistungsdaten, indem Sie azure Front Door-Berichte regelmäßig überprüfen. Diese Berichte bieten Einblicke in verschiedene Metriken, die als Leistungsindikatoren auf Technologieebene dienen.

    Verwenden Sie Azure Front Door-Berichte, um realistische Leistungsziele für Ihre Workload festzulegen. Berücksichtigen Sie Faktoren wie Antwortzeiten, Durchsatz und Fehlerraten. Richten Sie die Ziele an Ihren Geschäftsanforderungen und Benutzererwartungen aus.

  • Optimieren von Datenübertragungen.

    • Verwenden Sie die Zwischenspeicherung, um die Latenz bei der Bereitstellung statischer Inhalte zu reduzieren, z. B. Bilder, Stylesheets und JavaScript-Dateien oder Inhalte, die sich nicht häufig ändern.

      Optimieren Sie Ihre Anwendung für die Zwischenspeicherung. Verwenden Sie Cacheablaufheader in der Anwendung, die steuern, wie lange der Inhalt von Clients und Proxys zwischengespeichert werden soll. Eine längere Cachegültigkeit bedeutet weniger häufige Anforderungen an den Ursprungsserver, was zu weniger Datenverkehr und geringerer Latenz führt.

    • Verringern Sie die Größe von Dateien, die über das Netzwerk übertragen werden. Kleinere Dateien führen zu schnelleren Ladezeiten und einer verbesserten Benutzererfahrung.

    • Minimieren Sie die Anzahl der Back-End-Anforderungen in der Anwendung.

      Auf einer Webseite werden beispielsweise Benutzerprofile, aktuelle Bestellungen, Salden und andere zugehörige Informationen angezeigt. Anstatt separate Anforderungen für jeden Satz von Informationen zu stellen, verwenden Sie Entwurfsmuster, um Ihre Anwendung so zu strukturieren, dass mehrere Anforderungen in einer einzelnen Anforderung aggregiert werden.

      Durch das Aggregieren von Anforderungen senden Sie weniger Daten zwischen dem Front-End und dem Back-End und stellen weniger Verbindungen zwischen dem Client und dem Back-End her, wodurch der Aufwand reduziert wird. Außerdem verarbeitet Azure Front Door weniger Anforderungen, wodurch Überlastungen verhindert werden.

  • Optimieren Sie die Verwendung von Integritätstests. Rufen Sie Nur dann Integritätsinformationen aus Integritätstests ab, wenn sich der Zustand der Ursprünge ändert. Ein Gleichgewicht zwischen der Überwachungsgenauigkeit und der Minimierung von unnötigem Datenverkehr finden.

    Integritätstests werden in der Regel verwendet, um die Integrität mehrerer Ursprünge innerhalb einer Gruppe zu bewerten. Wenn in Ihrer Azure Front Door-Ursprungsgruppe nur ein Ursprung konfiguriert ist, deaktivieren Sie Integritätstests, um unnötigen Datenverkehr auf Ihrem Ursprungsserver zu reduzieren. Da es nur eine instance gibt, wirkt sich der Integritätstest status nicht auf das Routing aus.

  • Überprüfen Sie die Ursprungsroutingmethode. Azure Front Door stellt verschiedene Routingmethoden bereit, darunter latenzbasiertes, prioritätsbasiertes, gewichtetes und Sitzungsaffinitätsbasiertes Routing für den Ursprung. Diese Methoden wirken sich erheblich auf die Leistung Ihrer Anwendung aus. Weitere Informationen zur besten Routingoption für Datenverkehr für Ihr Szenario finden Sie unter Datenverkehrsroutingmethoden zum Ursprung.

  • Überprüfen Sie den Speicherort der Ursprungsserver. Der Standort Ihrer Ursprungsserver wirkt sich auf die Reaktionsfähigkeit Ihrer Anwendung aus. Ursprungsserver sollten näher bei den Benutzern sein. Azure Front Door stellt sicher, dass Benutzer von einem bestimmten Standort auf den nächstgelegenen Azure Front Door-Einstiegspunkt zugreifen. Zu den Leistungsvorteilen gehören eine schnellere Benutzererfahrung, eine bessere Verwendung des latenzbasierten Routings durch Azure Front Door und eine minimierte Datenübertragungszeit durch die Zwischenspeicherung, die Inhalte näher bei den Benutzern speichert.

    Weitere Informationen finden Sie unter Bericht "Datenverkehr nach Standort".

Empfehlungen

Empfehlung Vorteil
Aktivieren Sie die Zwischenspeicherung.

Sie können Abfragezeichenfolgen für die Zwischenspeicherung optimieren. Ignorieren Sie bei rein statischen Inhalten Abfragezeichenfolgen, um die Verwendung des Caches zu maximieren.

Wenn Ihre Anwendung Abfragezeichenfolgen verwendet, sollten Sie diese in den Cacheschlüssel einschließen. Wenn Sie die Abfragezeichenfolgen in den Cacheschlüssel einschließen, kann Azure Front Door basierend auf Ihrer Konfiguration zwischengespeicherte Antworten oder andere Antworten bereitstellen.
Azure Front Door bietet eine robuste Netzwerklösung für die Inhaltsbereitstellung, die Inhalte am Rand des Netzwerks zwischenspeichert. Das Zwischenspeichern reduziert die Last auf den Back-End-Servern und verringert die Datenverschiebung im Netzwerk, wodurch die Bandbreitennutzung ausgelagert wird.
Verwenden Sie die Dateikomprimierung , wenn Sie auf herunterladbare Inhalte zugreifen. Die Komprimierung in Azure Front Door trägt dazu bei, Inhalte im optimalen Format bereitzustellen, hat eine geringere Nutzlast und liefert Inhalte schneller an die Benutzer.
Wenn Sie Integritätstests in Azure Front Door konfigurieren, sollten Sie anforderungen anstelle von GET Anforderungen verwendenHEAD.
Der Integritätstest liest nur den status Code, nicht den Inhalt.
HEAD mit Anforderungen können Sie eine Zustandsänderung abfragen, ohne den gesamten Inhalt abzurufen.
Bewerten Sie, ob Sie die Sitzungsaffinität aktivieren sollten, wenn Anforderungen desselben Benutzers an denselben Back-End-Server weitergeleitet werden sollen.

Aus Zuverlässigkeitssicht empfehlen wir diesen Ansatz nicht. Wenn Sie diese Option verwenden, sollte die Anwendung ordnungsgemäß wiederhergestellt werden, ohne die Benutzersitzungen zu unterbrechen.

Es gibt auch einen Kompromiss beim Lastenausgleich, da er die Flexibilität der gleichmäßigen Verteilung von Datenverkehr auf mehrere Back-Ends einschränkt.
Optimieren Sie die Leistung und Kontinuität für Benutzersitzungen, insbesondere wenn Anwendungen auf die lokale Verwaltung von Zustandsinformationen angewiesen sind.

Azure-Richtlinien

Azure bietet einen umfangreichen Satz integrierter Richtlinien im Zusammenhang mit Azure Front Door und den zugehörigen Abhängigkeiten. Einige der oben genannten Empfehlungen können über Azure Policies überwacht werden. Sie können beispielsweise überprüfen, ob:

  • Sie benötigen den Premium-Tarif, um verwaltete WAF-Regeln und Private Link in Azure Front Door-Profilen zu unterstützen.
  • Sie müssen die TLS-Mindestversion verwenden, die Version 1.2 ist.
  • Sie benötigen eine sichere, private Konnektivität zwischen Azure Front Door Premium- und Azure PaaS-Diensten.
  • Sie müssen Ressourcenprotokolle aktivieren. Für WAF sollte die Überprüfung der Anforderungsstellen aktiviert sein.
  • Sie müssen Richtlinien verwenden, um den WAF-Regelsatz zu erzwingen. Sie sollten beispielsweise den Botschutz aktivieren und Ratenbegrenzungsregeln aktivieren.

Eine umfassende Governance finden Sie in den integrierten Definitionen für Azure Content Delivery Network und andere Azure Front Door-Richtlinien, die in Azure Policy integrierten Richtliniendefinitionen aufgeführt sind.

Azure Advisor-Empfehlungen

Bei Azure Advisor handelt es sich um einen personalisierten Cloudberater, der Sie mit bewährten Methoden zum Optimieren von Azure-Bereitstellungen unterstützt. Hier finden Sie einige Empfehlungen, die Ihnen helfen können, die Zuverlässigkeit, Sicherheit, Kosteneffizienz, Leistung und operative Exzellenz von Azure Front Door zu verbessern.

Nächste Schritte

Betrachten Sie die folgenden Artikel als Ressourcen, die die in diesem Artikel hervorgehobenen Empfehlungen veranschaulichen.