Delen via


Best practices voor architectuur voor Azure Front Door

Azure Front Door is een wereldwijd load balancing en content delivery network (CDN) waarmee HTTP- en HTTPS-verkeer wordt geleid. Azure Front Door levert en distribueert verkeer dat zich het dichtst bij de toepassingsgebruikers bevindt.

In dit artikel wordt ervan uitgegaan dat u als architect de opties voor taakverdeling en Azure Front Door hebt gekozen als de load balancer voor uw workload. Er wordt ook van uitgegaan dat uw toepassing wordt geïmplementeerd in meerdere regio's in een actief-actief- of actief-passiefmodel. De richtlijnen in dit artikel bevatten aanbevelingen voor architectuur die zijn afgestemd op de principes van de Azure Well-Architected Framework-pilaren.

Belangrijk

Deze handleiding gebruiken

Elke sectie heeft een ontwerpcontrolelijst die architectuurgerelateerde aandachtspunten en ontwerpstrategieën bevat die zijn afgestemd op het technologiedomein.

Dit artikel bevat ook aanbevelingen over de technologiemogelijkheden waarmee deze strategieën kunnen worden gerealiseerd. De aanbevelingen vertegenwoordigen geen volledige lijst met alle configuraties die beschikbaar zijn voor Azure Front Door en de bijbehorende afhankelijkheden. In plaats daarvan worden de belangrijkste aanbevelingen opgesomd die aansluiten op de ontwerpperspectieven. Gebruik de aanbevelingen om uw proof-of-concept te bouwen of uw bestaande omgevingen te optimaliseren.

Basisarchitectuur die de belangrijkste aanbevelingen demonstreert: Bedrijfskritieke basislijnarchitectuur met netwerkcontroles.

Technologiebereik

Deze beoordeling is gericht op de onderling gerelateerde beslissingen voor de volgende Azure-resources:

  • Azure Front Door

Diagram van Azure Front Door die verkeer distribueert en beschermt naar bronnen in Azure, on-premises en andere cloudservices.

Betrouwbaarheid

Het doel van de pijler Betrouwbaarheid is om doorlopende functionaliteit te bieden door voldoende tolerantie te ontwikkelen en de mogelijkheid om snel te herstellen van storingen.

De ontwerpprincipes voor betrouwbaarheid bieden een ontwerpstrategie op hoog niveau die wordt toegepast op afzonderlijke onderdelen, systeemstromen en het systeem als geheel.

Controlelijst voor ontwerpen

Begin uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor betrouwbaarheid. Bepaal de relevantie ervan voor uw bedrijfsvereisten, terwijl u rekening houdt met de lagen en CDN-mogelijkheden. Breid de strategie uit om zo nodig meer benaderingen op te nemen.

  • kies uw implementatiestrategie. De fundamentele implementatiemethoden zijn actief-actief- en actief-passief-. Actief-actieve implementatie betekent dat meerdere omgevingen of instellingen die de workload uitvoeren, verkeer afhandelen. Actief-passieve implementatie betekent dat alleen de primaire regio al het verkeer verwerkt, maar indien nodig een failover naar de secundaire regio uitvoert. In een implementatie met meerdere regio's worden stempels of toepassingsexemplaren uitgevoerd in verschillende regio's voor hogere beschikbaarheid met een wereldwijde load balancer, zoals Azure Front Door, waarmee verkeer wordt gedistribueerd. Daarom is het belangrijk om de load balancer te configureren voor de juiste implementatiebenadering.

    Azure Front Door ondersteunt verschillende routeringsmethoden, die u kunt configureren om verkeer te distribueren in een actief-actief- of actief-passiefmodel.

    De voorgaande modellen hebben veel variaties. U kunt bijvoorbeeld het actief-passieve model implementeren met een warme reserve. In dit geval wordt de secundaire gehoste service geïmplementeerd met de minimale mogelijke reken- en gegevensgrootte en wordt uitgevoerd zonder belasting. Bij failover worden de reken- en gegevensresources geschaald om de belasting van de primaire regio te verwerken. Zie Belangrijke ontwerpstrategieën voor ontwerp voor meerdere regio'svoor meer informatie.

    Voor sommige toepassingen moeten de gebruikersverbindingen op dezelfde oorspronkelijke server blijven tijdens de gebruikerssessie. Vanuit het oogpunt van betrouwbaarheid raden we u niet aan om gebruikersverbindingen op dezelfde oorspronkelijke server te bewaren. Vermijd sessieaffiniteit zoveel mogelijk.

  • gebruik dezelfde hostnaam op elke laag. Om ervoor te zorgen dat cookies of omleidings-URL's goed werken, behoudt u de oorspronkelijke HTTP-hostnaam wanneer u een omgekeerde proxy gebruikt, zoals Azure Front Door, vóór een webtoepassing.

  • implementeer het gezondheidseindpuntbewakingspatroon. Uw toepassing moet statuseindpunten beschikbaar maken, die de status van de kritieke services en afhankelijkheden aggregeren die uw toepassing nodig heeft om aanvragen te verwerken. Azure Front Door-statustests gebruiken het eindpunt om de status van de oorspronkelijke servers te detecteren. Zie Health Endpoint Monitoring-patroonvoor meer informatie.

  • statische inhoud cachen. De functie voor contentlevering van Azure Front Door heeft honderden edge-locaties en kan bestand zijn tegen verkeerspieken en DDoS-aanvallen (Gedistribueerde Denial of Service). Deze mogelijkheden helpen de betrouwbaarheid te verbeteren.

  • Overweeg een optie voor redundant verkeerbeheer. Azure Front Door is een wereldwijd gedistribueerde dienst die als enige in een IT-omgeving draait. Azure Front Door is een potentieel single point of failure in het systeem. Als de service mislukt, hebben clients tijdens de downtime geen toegang tot uw toepassing.

    Redundante implementaties kunnen complex en kostbaar zijn. Overweeg ze alleen voor bedrijfskritieke workloads met een zeer lage tolerantie voor storingen. Houd zorgvuldig rekening met de compromissen.

Aanbevelingen

Aanbeveling Voordeel
Kies een routeringsmethode die ondersteuning biedt voor uw implementatiestrategie.

De gewogen methode, die verkeer distribueert op basis van de geconfigureerde gewichtscoëfficiënt, ondersteunt actief-actieve modellen.

Een op prioriteit gebaseerde waarde die de primaire regio configureert om al het verkeer te ontvangen en verkeer naar de secundaire regio te verzenden als back-up ondersteunt actief-passieve modellen.

Combineer de voorgaande methoden met configuraties voor latentiegevoeligheid, zodat de oorsprong met de laagste latentie verkeer ontvangt.
U kunt de beste origin-resource selecteren met behulp van een reeks beslissingsstappen en uw ontwerp. De geselecteerde bron verzorgt het verkeer binnen het toegestane latentiebereik volgens de opgegeven gewichtsverhouding.
Redundantie ondersteunen door meerdere bronnen in een of meer oorsprongsgroepen.

Altijd redundante exemplaren van uw toepassing hebben en ervoor zorgen dat elk exemplaar een oorsprong beschikbaar maakt. U kunt deze oorsprongen plaatsen in een of meer oorsprongsgroepen.
Meerdere origins ondersteunen redundantie door verkeer over meerdere exemplaren van de toepassing te distribueren. Als één exemplaar niet beschikbaar is, kunnen andere origins nog steeds verkeer ontvangen.
gezondheidscontroles instellen op de oorsprong.

Configureer Azure Front Door om statuscontroles uit te voeren om te bepalen of het oorspronkelijke exemplaar beschikbaar is en klaar is om aanvragen te blijven ontvangen. Voor meer informatie, zie Aanbevolen procedures voor gezondheidsonderzoeken.
Ingeschakelde statustests maken deel uit van de implementatie van het statuscontrolepatroon. Gezondheidstests zorgen ervoor dat Azure Front Door alleen verkeer routeert naar instanties die gezond genoeg zijn om aanvragen te verwerken.
Stel een time-out in voor het doorsturen van aanvragen naar de oorsprong en vermijd langlopende aanvragen.

Pas de time-outinstelling aan op basis van de behoeften van uw eindpunten. Als u dit niet doet, kan Azure Front Door de verbinding sluiten voordat de oorsprong het antwoord verzendt.
U kunt ook de standaardtime-out voor Azure Front Door verlagen als al uw origins een kortere time-out hebben.
Zie Problemen met niet-reagerende aanvragen oplossenvoor meer informatie.
Langlopende aanvragen verbruiken systeembronnen. Time-outs helpen prestatieproblemen en beschikbaarheidsproblemen te voorkomen door aanvragen te beëindigen die langer duren dan verwacht.
Gebruik dezelfde hostnaam in Azure Front Door en uw oorsprong.

Azure Front Door kan de hostheader van binnenkomende aanvragen herschrijven. Dit is handig wanneer u meerdere aangepaste domeinnamen hebt die naar één oorsprong worden gerouteerd. Het herschrijven van de hostheader kan echter problemen veroorzaken met aanvraagcookies en URL-omleiding. Zie [Behoud de oorspronkelijke HTTP-hostnaam](/azure/architecture/best-practices/host-name-preservation tussen een reverse proxy en de oorspronkelijke webtoepassing) voor meer informatie.
Stel dezelfde hostnaam in om storingen met sessieaffiniteit, verificatie en autorisatie te voorkomen.
Bepaal of sessieaffiniteit nodig is voor uw toepassing. Als u hoge betrouwbaarheidsvereisten hebt, raden we u aan sessieaffiniteit uit te schakelen. Met sessieaffiniteit blijven gebruikersverbindingen op dezelfde oorsprong tijdens de gebruikerssessie. In sommige situaties kan één oorsprong overbelast raken met aanvragen, terwijl andere oorsprongen niet actief zijn.
Als die oorsprong niet meer beschikbaar is, kan de gebruikerservaring worden verstoord.
Profiteer van de regels voor snelheidsbeperking die zijn opgenomen in een Web Application Firewall (WAF). Beperk aanvragen om te voorkomen dat clients te veel verkeer naar uw toepassing verzenden. Rate limiting kan u helpen problemen te voorkomen, zoals een opnieuw probeer-storm.

Veiligheid

Het doel van de pijler Beveiliging is het bieden van vertrouwelijkheid, integriteit en beschikbaarheid garanties voor de workload.

De beveiligingsontwerpprincipes een ontwerpstrategie op hoog niveau bieden om deze doelen te bereiken door benaderingen toe te passen op het technische ontwerp om verkeer dat via Azure Front Door binnenkomt, te beperken.

Controlelijst voor ontwerpen

Start uw ontwerpstrategie op basis van de ontwerpbeoordelingscontrolelijst voor Beveiliging. Identificeer beveiligingsproblemen en besturingselementen om het beveiligingspostuur te verbeteren. Breid de strategie uit om zo nodig meer benaderingen op te nemen.

  • Controleer de beveiligingsbasislijn voor Azure Front Door-.

  • de oorspronkelijke serversbeveiligen. Azure Front Door is de voorzijde en het enige toegangspunt tot de toepassing.

    Azure Front Door maakt gebruik van Azure Private Link om toegang te krijgen tot de oorsprong van een toepassing. Private Link maakt segmentering zodat de oorsprongen geen openbare IP-adressen en eindpunten beschikbaar hoeven te maken. Zie Uw oorsprong beveiligen met Private Link in Azure Front Door Premiumvoor meer informatie.

    Configureer uw back-endservices om alleen aanvragen met dezelfde hostnaam te accepteren die Azure Front Door extern gebruikt.

  • Alleen geautoriseerde toegang tot het besturingsvlak toestaan. Gebruik azure Front Door op rollen gebaseerd toegangsbeheer (RBAC) om de toegang te beperken tot alleen de identiteiten die deze nodig hebben.

  • Blokkeer algemene bedreigingen aan de rand. WAF is geïntegreerd met Azure Front Door. Schakel WAF-regels op de front-ends in om toepassingen te beschermen tegen veelvoorkomende aanvallen en beveiligingsproblemen aan de netwerkrand, dichter bij de aanvalsbron. Overweeg geofiltering om de toegang tot uw webtoepassing te beperken per landen of regio's.

    Zie Azure Web Application Firewall op Azure Front Doorvoor meer informatie.

  • Beschermen tegen onverwacht verkeer. De architectuur van Azure Front Door biedt ingebouwde DDoS-beveiliging om toepassingseindpunten te beschermen tegen DDoS-aanvallen. Als u andere openbare IP-adressen uit uw toepassing beschikbaar wilt maken, kunt u overwegen om het Standaardplan van Azure DDoS Protection toe te voegen voor deze adressen voor geavanceerde beveiligings- en detectiemogelijkheden.

    Er zijn ook WAF-regelsets die botverkeer detecteren of onverwacht grote hoeveelheden verkeer dat mogelijk schadelijk kan zijn.

  • Gegevens tijdens overdracht beveiligen. Schakel end-to-end TLS (Transport Layer Security), HTTP naar HTTPS-omleiding en beheerde TLS-certificaten in, indien van toepassing. Zie best practices voor TLS voor Azure Front Doorvoor meer informatie.

  • Afwijkende activiteit bewaken. Controleer regelmatig de logbestanden om te controleren op aanvallen en vals-positieven. Verzend WAF-logboeken van Azure Front Door naar het gecentraliseerde SIEM (Security Information and Event Management) van uw organisatie, zoals Microsoft Sentinel, om bedreigingspatronen te detecteren en preventieve maatregelen in het workloadontwerp op te nemen.

Aanbevelingen

Aanbeveling Voordeel
Schakel WAF-regelsets in waarmee mogelijk schadelijk verkeer wordt gedetecteerd en geblokkeerd. Deze functie is beschikbaar in de Premium-laag. We raden deze regelsets aan:
- standaard
- botbeveiliging
- IP-beperking
- Geo-filtering
- snelheidsbeperking
Standaardregelsets worden regelmatig bijgewerkt op basis van OWASP top-10-aanvalstypen en informatie van Microsoft Threat Intelligence.
De gespecialiseerde regelsets detecteren bepaalde use cases. Botregels classificeren bots bijvoorbeeld als goed, slecht of onbekend op basis van de IP-adressen van de client. Ze blokkeren ook slechte bots en bekende IP-adressen en beperken verkeer op basis van de geografische locatie van de bellers.

Met behulp van een combinatie van regelsets kunt u aanvallen met verschillende intenties detecteren en blokkeren.
Uitsluitingen maken voor beheerde regelsets.

Test een WAF-beleid gedurende een paar weken in de detectiemodus en pas eventuele fout-positieven aan voordat u het implementeert.
Verminder vals-positieven en sta legitieme verzoeken voor uw applicatie toe.
Verzend de host header naar de oorsprong. De back-endservices moeten zich bewust zijn van de hostnaam, zodat ze regels kunnen maken om alleen verkeer van die host te accepteren.
Beveilig de verbindingen van Azure Front Door naar uw origin-servers. Private Link-connectiviteit inschakelen naar ondersteunde herkomsten. Als uw oorsprong geen ondersteuning biedt voor Private Link-connectiviteit, gebruikt u servicetags en de X-Azure-FDID header om te controleren of de bron van de aanvraag uw Azure Front Door-profiel is. Zorg ervoor dat al het verkeer via Azure Front Door stroomt en profiteert van de beveiligingsvoordelen, zoals DDoS-beveiliging en WAF-inspectie.
Schakel end-to-end TLS-, HTTP-naar-HTTPS-omleidings- en beheerde TLS-certificaten in, indien van toepassing.

Bekijk de best practices voor TLS voor Azure Front Door.

Gebruik TLS-versie 1.2 als minimaal toegestane versie met coderingen die relevant zijn voor uw toepassing.

Beheerde Azure Front Door-certificaten moeten uw standaardkeuze zijn voor eenvoudige bewerkingen. Als u echter de levenscyclus van de certificaten wilt beheren, gebruikt u uw eigen certificaten in aangepaste Azure Front Door-domein eindpunten en slaat u deze op in Key Vault.
TLS zorgt ervoor dat gegevensuitwisseling tussen de browser, Azure Front Door en de oorsprongen worden versleuteld om manipulatie te voorkomen.

Key Vault biedt ondersteuning voor beheerde certificaten en eenvoudige certificaatvernieuwing en rotatie.

Kostenoptimalisatie

Kostenoptimalisatie richt zich op het detecteren van uitgavenpatronen, het prioriteren van investeringen in kritieke gebieden en het optimaliseren van andere gebieden. Dit alles om te voldoen aan het budget van de organisatie terwijl aan de bedrijfsvereisten wordt voldaan.

De ontwerpprincipes voor Cost Optimization een ontwerpstrategie op hoog niveau bieden voor het bereiken van deze doelstellingen en het waar nodig maken van compromissen in het technische ontwerp met betrekking tot Azure Front Door en de bijbehorende omgeving.

Controlelijst voor ontwerpen

Begin uw ontwerpstrategie op basis van de ontwerpevaluatie checklist voor kostenoptimalisatie voor investeringen. Verfijn het ontwerp zodat de werklast is afgestemd op het budget dat daarvoor is toegewezen. Uw ontwerp moet gebruikmaken van de juiste Azure-mogelijkheden, investeringen bewaken en mogelijkheden vinden om in de loop van de tijd te optimaliseren.

  • Servicelagen en prijzen controleren. Gebruik de prijscalculator om de realistische kosten voor elke laag van Azure Front Door te schatten. Vergelijk de functies en geschiktheid van elke laag voor uw scenario. Alleen de Premium-laag ondersteunt bijvoorbeeld het maken van verbinding met uw origin via Private Link.

    De Standard-SKU is rendabeler en geschikter voor gemiddelde verkeersscenario's. In de Premium-SKU betaalt u een hoger eenheidstarief, maar krijgt u toegang tot beveiligingsvoordelen en geavanceerde functies, zoals beheerde regels in WAF en Private Link. Houd rekening met de afwegingen voor betrouwbaarheid en beveiliging op basis van uw bedrijfsvereisten.

  • Overweeg bandbreedtekosten. De bandbreedtekosten van Azure Front Door zijn afhankelijk van de laag die u kiest en het type gegevensoverdracht. Om te leren over Azure Front Door-facturering, zie Begrijp Azure Front Door-facturering.

    Azure Front Door biedt ingebouwde rapporten voor factureerbare metrische gegevens. Zie Azure Front Door-rapportenom uw kosten met betrekking tot bandbreedte te beoordelen en waar u uw optimalisatie-inspanningen kunt richten.

  • Binnenkomende aanvragen optimaliseren. Azure Front Door factureert de binnenkomende aanvragen. U kunt beperkingen instellen in uw ontwerpconfiguratie.

    Verminder het aantal verzoeken met behulp van ontwerppatronen zoals backend voor frontends en gateway-aggregatie. Deze patronen kunnen de efficiëntie van uw activiteiten verbeteren.

    WAF-regels beperken inkomend verkeer, waardoor de kosten kunnen worden geoptimaliseerd. Gebruik bijvoorbeeld snelheidsbeperking om abnormaal hoge verkeersniveaus te voorkomen of gebruik geofiltering om alleen toegang vanuit specifieke regio's of landen toe te staan.

  • Gebruik middelen efficiënt. Azure Front Door maakt gebruik van een routeringsmethode die helpt bij het optimaliseren van resources. Tenzij de workload uiterst latentiegevoelig is, distribueert u verkeer gelijkmatig over alle omgevingen om geïmplementeerde resources effectief te gebruiken.

    Azure Front Door-eindpunten kunnen veel bestanden verwerken. Een manier om de bandbreedtekosten te verlagen, is door compressie te gebruiken.

    Gebruik caching in Azure Front Door voor inhoud die niet vaak verandert. Omdat inhoud wordt geleverd vanuit een cache, bespaart u op bandbreedtekosten die worden gemaakt wanneer de aanvraag wordt doorgestuurd naar de origins.

  • Overweeg het gebruik van een gedeeld exemplaar dat wordt geleverd door de organisatie. De kosten van gecentraliseerde services worden gedeeld tussen de workloads. Houd echter rekening met het compromis met betrouwbaarheid. Voor bedrijfskritieke toepassingen met hoge beschikbaarheidsvereisten raden we een autonome instantie aan.

  • Let op de hoeveelheid geregistreerde gegevens. Kosten met betrekking tot zowel bandbreedte als opslag kunnen oplopen als bepaalde aanvragen niet nodig zijn of als logboekgegevens gedurende een lange periode worden bewaard.

Aanbevelingen

Aanbeveling Voordeel
Cache- gebruiken voor eindpunten die dit ondersteunen. Caching optimaliseert de kosten voor gegevensoverdracht omdat het aantal aanroepen van uw Azure Front Door-exemplaar naar de oorsprong vermindert.
Overweeg bestandscompressie in te schakelen.
Voor deze configuratie moet de toepassing ondersteuning bieden voor compressie en caching.
Compressie vermindert het bandbreedteverbruik en verbetert de prestaties.
Schakel statuscontroles uit in oorsprongsgroepen die slechts één oorsprong hebben.
Als u slechts één origin hebt geconfigureerd in uw Azure Front Door-origin-groep, zijn deze aanroepen overbodig.
U kunt besparen op bandbreedtekosten door statuscontroleaanvragen uit te schakelen die niet nodig zijn om routeringsbeslissingen te nemen.

Operationele uitmuntendheid

Operational Excellence richt zich voornamelijk op procedures voor ontwikkelprocedures, waarneembaarheid en releasebeheer.

De ontwerpprincipes voor Operational Excellence bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze doelstellingen voor de operationele vereisten van de workload.

Controlelijst voor ontwerpen

Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Operational Excellence voor het definiëren van processen voor waarneembaarheid, testen en implementatie met betrekking tot Azure Front Door.

  • IaC-technologieën (Infrastructure as Code) gebruiken. Gebruik IaC-technologieën zoals Bicep- en Azure Resource Manager-sjablonen om het Azure Front Door-exemplaar in te richten. Deze declaratieve benaderingen bieden consistentie en eenvoudig onderhoud. Met behulp van IaC-technologieën kunt u bijvoorbeeld eenvoudig nieuwe regelsetversies gebruiken. Gebruik altijd de nieuwste API-versie.

  • configuraties vereenvoudigen. Gebruik Azure Front Door om eenvoudig configuraties te beheren. Stel dat uw architectuur microservices ondersteunt. Azure Front Door ondersteunt omleidingsmogelijkheden, zodat u padgebaseerde omleiding kunt gebruiken om afzonderlijke services te targeten. Een ander toepassingsvoorbeeld is de configuratie van wildcarddomeinen.

  • Afhandelen van progressieve blootstelling. Azure Front Door biedt meerdere routeringsmethoden. Voor een gewogen taakverdelingsbenadering kunt u een canary-implementatie gebruiken om een specifiek percentage verkeer naar een bron te sturen. Deze aanpak helpt u bij het testen van nieuwe functies en releases in een gecontroleerde omgeving voordat u ze uitrolt.

  • Verzamel en analyseer operationele gegevens als onderdeel van het monitoren van uw werkbelasting. Leg relevante Azure Front Door-logboeken en metrische gegevens vast met Azure Monitor-logboeken. Deze gegevens helpen u bij het oplossen van problemen, het begrijpen van gebruikersgedrag en het optimaliseren van bewerkingen.

  • Certificaatbeheer offloaden naar Azure. Vereenvoudig de operationele last die gepaard gaat met het rouleren en vernieuwen van certificeringen.

Aanbevelingen

Aanbeveling Voordeel
HTTP-naar-HTTPS-omleiding gebruiken ter ondersteuning van doorstuurcompatibiliteit. Wanneer omleiding is ingeschakeld, stuurt Azure Front Door clients die gebruikmaken van een ouder protocol automatisch om https te gebruiken voor een veilige ervaring.
Logboeken en metrische gegevens vastleggen.

Neem logboeken van resourceactiviteiten, toegangslogboeken, logboeken van gezondheidstests en WAF-logboeken op.

Waarschuwingen instellen.
Het monitoren van de instroom is een cruciaal onderdeel van het monitoren van een toepassing. U wilt aanvragen bijhouden en prestatie- en beveiligingsverbeteringen aanbrengen. U hebt gegevens nodig om fouten op te sporen in uw Azure Front Door-configuratie.

Met waarschuwingen kunt u direct meldingen ontvangen over kritieke operationele problemen.
Bekijk de ingebouwde analyserapporten. Een holistische weergave van uw Azure Front Door-profiel helpt verbeteringen te stimuleren op basis van verkeers- en beveiligingsrapporten via metrische WAF-gegevens.
beheerde TLS-certificaten gebruiken indien mogelijk. Azure Front Door kan certificaten voor u uitgeven en beheren. Deze functie elimineert de noodzaak van certificaatvernieuwingen en minimaliseert het risico van een storing vanwege een ongeldig of verlopen TLS-certificaat.
TLS-certificaten met jokertekens gebruiken. U hoeft de configuratie niet te wijzigen om elk subdomein afzonderlijk toe te voegen of op te geven.

Prestatie-efficiëntie

Prestatie-efficiëntie gaat over het onderhouden van de gebruikerservaring, zelfs wanneer er een toename van de belasting is door de capaciteit te beheren. De strategie omvat het schalen van resources, het identificeren en optimaliseren van potentiële knelpunten en het optimaliseren van piekprestaties.

De ontwerpprincipes voor Prestatie-efficiëntie een ontwerpstrategie op hoog niveau bieden voor het bereiken van deze capaciteitsdoelen ten opzichte van het verwachte gebruik.

Controlelijst voor ontwerpen

Start uw ontwerpstrategie op basis van de controlelijst voor prestatie-efficiëntiebeoordeling. Definieer een basislijn die is gebaseerd op key performance indicators voor Azure Front Door.

  • capaciteit plannen door uw verwachte verkeerspatronente analyseren. Voer grondige tests uit om te begrijpen hoe uw toepassing presteert onder verschillende belastingen. Houd rekening met factoren zoals gelijktijdige transacties, aanvraagsnelheden en gegevensoverdracht.

    Baseer uw SKU-keuzes op die planning. De Standard-SKU is rendabeler en geschikter voor gemiddelde verkeersscenario's. Als u een hogere belasting verwacht, raden we de Premium-SKU aan.

  • Prestatiegegevens analyseren door regelmatig prestatiegegevens te controleren. Azure Front Door-rapporten inzicht bieden in verschillende metrische gegevens die fungeren als prestatie-indicatoren op technologieniveau.

    Gebruik Azure Front Door-rapporten om realistische prestatiedoelen voor uw workload in te stellen. Denk aan factoren zoals reactietijden, doorvoer en foutpercentages. Stem de doelen af op de vereisten van uw bedrijf en de verwachtingen van gebruikers.

  • Gegevensoverdracht optimaliseren.

    • Gebruik caching om de latentie te verminderen bij het leveren van statische inhoud, zoals afbeeldingen, opmaakmodellen en JavaScript-bestanden of inhoud die niet regelmatig wordt gewijzigd.

      Optimaliseer uw toepassing voor caching. Gebruik verloopheaders voor cache in de toepassing die bepalen hoe lang de inhoud in de cache moet worden opgeslagen door clients en proxy's. Langere geldigheid van de cache betekent minder frequente aanvragen voor de oorspronkelijke server, wat leidt tot minder verkeer en lagere latentie.

    • Verklein de grootte van bestanden die via het netwerk worden verzonden. Kleinere bestanden leiden tot snellere laadtijden en verbeterde gebruikerservaring.

    • Minimaliseer het aantal back-endaanvragen in de toepassing.

      Op een webpagina worden bijvoorbeeld gebruikersprofielen, recente orders, saldo's en andere gerelateerde informatie weergegeven. In plaats van afzonderlijke aanvragen te maken voor elke set gegevens, gebruikt u ontwerppatronen om uw toepassing te structuren, zodat meerdere aanvragen worden samengevoegd in één aanvraag.

      Werk clients bij voor het gebruik van het HTTP/2-protocol, waarmee meerdere aanvragen kunnen worden gecombineerd tot één TCP-verbinding.

      Gebruik WebSockets om realtime full-duplex communicatie te ondersteunen in plaats van herhaalde HTTP-aanvragen of polling te maken.

      Door aanvragen samen te aggregateren, verzendt u minder gegevens tussen de front-end en de back-end en brengt u minder verbindingen tot stand tussen de client en de back-end, wat de overhead vermindert. Azure Front Door verwerkt ook minder aanvragen, waardoor overbelasting wordt voorkomen.

  • Het gebruik van gezondheidsonderzoekenoptimaliseren. Haal gezondheidsinformatie alleen op uit gezondheidsonderzoeken wanneer de status van de bronnen verandert. Een balans vinden tussen de nauwkeurigheid van de bewaking en het minimaliseren van onnodig verkeer.

    Gezondheidstests worden typisch gebruikt om de gezondheid van meerdere bronnen binnen een groep te beoordelen. Als u slechts één bron hebt geconfigureerd in uw Azure Front Door-brongroep, schakelt u gezondheidscontroles uit om onnodig verkeer op uw bronserver te verminderen. Omdat er slechts één exemplaar is, heeft de status van de gezondheidscontrole geen invloed op het routeren.

  • Controleer de oorsprongsrouteringsmethode. Azure Front Door biedt verschillende routeringsmethoden, waaronder routering op basis van latentie, prioriteit, gewogen en sessieaffiniteit, naar de oorsprong. Deze methoden zijn aanzienlijk van invloed op de prestaties van uw toepassing. Zie Verkeersrouteringsmethoden voor oorsprongvoor meer informatie over de beste verkeersrouteringsoptie voor uw scenario.

  • Controleer de locatie van de oorspronkelijke servers. De locatie van uw oorspronkelijke servers heeft invloed op de reactiesnelheid van uw toepassing. Oorspronkelijke servers moeten dichter bij de gebruikers zijn. Azure Front Door zorgt ervoor dat gebruikers vanaf een specifieke locatie toegang hebben tot het dichtstbijzijnde Azure Front Door-toegangspunt. De prestatievoordelen zijn snellere gebruikerservaring, beter gebruik van routering op basis van latentie door Azure Front Door en geminimaliseerde tijd voor gegevensoverdracht met behulp van caching, waarmee inhoud dichter bij gebruikers wordt opgeslagen.

    Zie Verkeer per locatierapportvoor meer informatie.

Aanbevelingen

Aanbeveling Voordeel
Cache-inschakelen.

U kunt queryreeksen optimaliseren voor caching. Voor puur statische inhoud negeert u queryreeksen om het gebruik van de cache te maximaliseren.

Als uw toepassing queryreeksen gebruikt, kunt u overwegen deze op te nemen in de cachesleutel. Door de queryreeksen in de cachesleutel op te slaan, kan Azure Front Door antwoorden in de cache of andere antwoorden verwerken op basis van uw configuratie.
Azure Front Door biedt een robuuste netwerkoplossing voor contentlevering waarmee inhoud aan de rand van het netwerk in de cache wordt opgeslagen. Caching vermindert de belasting van de oorspronkelijke servers en vermindert de verplaatsing van gegevens in het netwerk, wat helpt bij het offloaden van het bandbreedtegebruik.
Bestandscompressie gebruiken wanneer u downloadbare inhoud opent. Compressie in Azure Front Door helpt bij het leveren van inhoud in de optimale indeling, heeft een kleinere nettolading en levert sneller inhoud aan de gebruikers.
Wanneer u gezondheidsonderzoeken in Azure Front Door configureert, kunt u overwegen HEAD-aanvragen te gebruiken in plaats van GET-aanvragen.
De statustest leest alleen de statuscode, niet de inhoud.
Met HEAD-verzoeken kunt u een statuswijziging opvragen zonder de volledige inhoud op te halen.
Evalueer of u sessieaffiniteit moet inschakelen wanneer aanvragen van dezelfde gebruiker moeten worden omgeleid naar dezelfde oorspronkelijke server.

Vanuit het oogpunt van betrouwbaarheid raden we deze aanpak niet aan. Als u deze optie gebruikt, moet de toepassing probleemloos worden hersteld zonder gebruikerssessies te verstoren.

Er is ook een compromis tussen taakverdelingen, omdat hiermee de flexibiliteit van het gelijkmatig verdelen van verkeer over meerdere oorsprongen wordt beperkt.
Optimaliseer de prestaties en behoud de continuïteit voor gebruikerssessies, met name wanneer toepassingen afhankelijk zijn van het lokaal onderhouden van statusinformatie.

Azure-beleid

Azure biedt een uitgebreide set ingebouwde beleidsregels met betrekking tot Azure Front Door en de bijbehorende afhankelijkheden. Sommige van de voorgaande aanbevelingen kunnen worden gecontroleerd via Azure-beleid. U kunt bijvoorbeeld controleren of:

  • U hebt de Premium-laag nodig om beheerde WAF-regels en Private Link te ondersteunen in Azure Front Door-profielen.
  • U moet de minimale TLS-versie gebruiken, versie 1.2.
  • U hebt beveiligde, privéconnectiviteit nodig tussen Azure Front Door Premium en Azure PaaS-services.
  • U moet resourcelogboeken inschakelen. WAF moet controle van de inhoud van de aanvraag ingeschakeld hebben.
  • U moet beleidsregels gebruiken om de WAF-regelset af te dwingen. U moet bijvoorbeeld botbeveiliging inschakelen en regels voor snelheidsbeperking inschakelen.

Raadpleeg voor uitgebreide governance de ingebouwde definities voor Azure Content Delivery Network en andere Azure Front Door-beleidsregels die worden vermeld in ingebouwde Azure Policy-beleidsdefinities.

Aanbevelingen voor Azure Advisor

Azure Advisor is een gepersonaliseerde cloudconsultant waarmee u de aanbevolen procedures kunt volgen om uw Azure-implementaties te optimaliseren. Advisor-aanbevelingen zijn afgestemd op Well-Architected-raamwerkpijlers.

Zie de aanbevelingen in Azure Advisorvoor meer informatie.

Volgende stappen

Bekijk de volgende artikelen als bronnen die de aanbevelingen demonstreren die in dit artikel zijn aangehaald.