Korzystanie z usługi Azure Front Door w rozwiązaniu wielodostępnym

Usługa Azure Front Door to nowoczesna sieć dostarczania zawartości w chmurze (CDN), która zapewnia szybki, niezawodny dostęp między statyczną i dynamiczną zawartością internetową użytkowników i aplikacji na całym świecie. W tym artykule opisano niektóre funkcje usługi Azure Front Door, które są przydatne podczas pracy w systemach wielodostępnych. Zawiera również linki do dodatkowych wskazówek i przykładów.

W przypadku korzystania z usługi Azure Front Door jako części rozwiązania wielodostępnego należy podjąć pewne decyzje na podstawie projektu i wymagań rozwiązania. Należy wziąć pod uwagę następujące czynniki:

• Ile dzierżaw masz i ile oczekujesz w przyszłości?
• Czy udostępniasz warstwę aplikacji między wieloma dzierżawami, wdrażasz wiele wystąpień aplikacji z jedną dzierżawą lub wdrażasz oddzielne sygnatury wdrożenia współużytkowane przez wiele dzierżaw?
• Czy dzierżawcy chcą korzystać z własnych nazw domen?
• Czy będziesz używać domen wieloznacznych?
• Czy musisz użyć własnych certyfikatów TLS, czy firma Microsoft będzie zarządzać certyfikatami TLS?
• Czy rozważasz limity przydziału i limity dotyczące usługi Azure Front Door? Czy wiesz, które limity będziesz zbliżać w miarę wzrostu? Jeśli podejrzewasz, że zbliżysz się do tych limitów, rozważ użycie wielu profilów usługi Azure Front Door. Możesz też rozważyć, czy możesz zmienić sposób korzystania z usługi Azure Front Door, aby uniknąć limitów. Należy pamiętać, że jednostka SKU w warstwie Premium ma wyższe limity niż jednostka SKU w warstwie Standardowa.
• Czy ty lub dzierżawcy masz wymagania dotyczące filtrowania adresów IP, blokowania geograficznego lub dostosowywania reguł zapory aplikacji internetowej?
• Czy wszystkie serwery aplikacji twojej dzierżawy są dostępne z Internetu?

Funkcje usługi Azure Front Door, które obsługują wielodostępność

W tej sekcji opisano kilka kluczowych funkcji usługi Azure Front Door, które są przydatne w przypadku rozwiązań wielodostępnych. Opisano w nim, jak usługa Azure Front Door może pomóc w konfigurowaniu domen niestandardowych, w tym informacji o domenach wieloznacznych i certyfikatach TLS. Zawiera również podsumowanie sposobu używania funkcji routingu usługi Azure Front Door do obsługi wielodostępności.

Niestandardowe domeny

Usługa Azure Front Door udostępnia domyślną nazwę hosta dla każdego utworzonego punktu końcowego, na przykład contoso.z01.azurefd.net. W przypadku większości rozwiązań zamiast tego należy skojarzyć własną nazwę domeny z punktem końcowym usługi Azure Front Door. Niestandardowe nazwy domen umożliwiają używanie własnego znakowania i konfigurowanie routingu na podstawie nazwy hosta podanej w żądaniu klienta.

W rozwiązaniu wielodostępnym można użyć nazw domen lub domen podrzędnych specyficznych dla dzierżawy i skonfigurować usługę Azure Front Door do kierowania ruchu dzierżawy do odpowiedniej grupy pochodzenia dla obciążenia tej dzierżawy. Można na przykład skonfigurować niestandardową nazwę domeny, taką jak tenant1.app.contoso.com. Za pomocą usługi Azure Front Door można skonfigurować wiele domen niestandardowych w jednym profilu usługi Azure Front Door.

Aby uzyskać więcej informacji, zobacz Dodawanie do usługi Front Door domeny niestandardowej.

Domeny z symbolami wieloznacznymi

Domeny z symbolami wieloznacznymi upraszczają konfigurację rekordów DNS i konfiguracji routingu ruchu usługi Azure Front Door w przypadku używania współużytkowanej domeny macierzystej i domen podrzędnych specyficznych dla dzierżawy. Załóżmy na przykład, że dzierżawcy uzyskują dostęp do swoich aplikacji przy użyciu poddomeny, takich jak tenant1.app.contoso.com i tenant2.app.contoso.com. Domenę z symbolami wieloznacznymi *.app.contoso.commożna skonfigurować zamiast konfigurować pojedynczo każdą domenę specyficzną dla dzierżawy.

Usługa Azure Front Door obsługuje tworzenie domen niestandardowych korzystających z symboli wieloznacznych. Następnie można skonfigurować trasę dla żądań, które docierają do domeny z symbolami wieloznacznymi. Po dołączeniu nowej dzierżawy nie trzeba ponownie konfigurować serwerów DNS, wystawiać nowych certyfikatów TLS ani aktualizować konfiguracji profilu usługi Azure Front Door.

Domeny z symbolami wieloznacznymi działają prawidłowo, jeśli cały ruch jest wysyłany do pojedynczej grupy źródeł. Jeśli jednak masz oddzielne sygnatury rozwiązania, domena wieloznaczny pojedynczego poziomu nie jest wystarczająca. Musisz użyć domen macierzystych na wielu poziomach lub podać dodatkową konfigurację, na przykład przesłaniając trasy do użycia dla poddomeny każdej dzierżawy. Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące używania nazw domen w rozwiązaniu wielodostępnym.

Usługa Azure Front Door nie wystawia zarządzanych certyfikatów TLS dla domen wieloznacznych, dlatego należy kupić i dostarczyć własny certyfikat.

Aby uzyskać więcej informacji, zobacz Domeny z symbolami wieloznacznymi.

Zarządzane certyfikaty TLS

Uzyskiwanie i instalowanie certyfikatów TLS może być skomplikowane i podatne na błędy. Certyfikaty TLS wygasają po upływie określonego czasu, zwykle jednego roku i muszą zostać ponownie wystawione i ponownie zainstalowane, aby uniknąć zakłóceń w ruchu aplikacji. W przypadku korzystania z certyfikatów TLS zarządzanych przez usługę Azure Front Door firma Microsoft jest odpowiedzialna za wystawianie, instalowanie i odnawianie certyfikatów dla domeny niestandardowej.

Aplikacja pochodzenia może być hostowana w innej usłudze platformy Azure, która udostępnia również zarządzane certyfikaty TLS, takie jak usługa aplikacja systemu Azure. Usługa Azure Front Door w sposób niewidoczny współdziała z inną usługą w celu zsynchronizowania certyfikatów TLS.

Jeśli zezwolisz dzierżawcom na udostępnianie własnych domen niestandardowych i chcesz, aby usługa Azure Front Door wystawiała certyfikaty dla tych nazw domen, dzierżawcy nie powinni konfigurować rekordów CAA na serwerach DNS, które mogą uniemożliwić usłudze Azure Front Door wystawianie certyfikatów w ich imieniu. Aby uzyskać więcej informacji, zobacz Certyfikaty TLS/SSL.

Aby uzyskać więcej informacji na temat certyfikatów TLS, zobacz Kompleksowe protokoły TLS z usługą Azure Front Door.

Routing

Aplikacja wielodostępna może mieć co najmniej jedną sygnaturę aplikacji, która obsługuje dzierżawy. Sygnatury są często używane do włączania wdrożeń w wielu regionach i obsługi skalowania rozwiązania do dużej liczby dzierżaw.

Usługa Azure Front Door ma zaawansowany zestaw funkcji routingu, które mogą obsługiwać wiele architektur wielodostępnych. Za pomocą routingu można dystrybuować ruch między źródłami w sygnaturze lub wysyłać ruch do właściwej sygnatury dla określonej dzierżawy. Routing można skonfigurować na podstawie poszczególnych nazw domen, nazw domen wieloznacznych i ścieżek adresów URL. Aparat reguł umożliwia dalsze dostosowywanie zachowania routingu.

Aby uzyskać więcej informacji, zobacz Omówienie architektury routingu.

Aparat reguł

Aparat reguł usługi Azure Front Door umożliwia dostosowanie sposobu przetwarzania żądań przez usługę Azure Front Door na brzegu sieci. Aparat reguł umożliwia uruchamianie małych bloków logiki w potoku przetwarzania żądań usługi Azure Front Door. Aparat reguł można używać do wykonywania różnych zadań, w tym następujących:

• Pobierz informacje o żądaniu HTTP, w tym segmenty adresu URL i ścieżki, i propaguj informacje do innej części żądania.
• Zmodyfikuj elementy żądania HTTP przed wysłaniem go do źródła.
• Zmodyfikuj niektóre części odpowiedzi HTTP przed zwróceniem jej do klienta.
• Zastąpi konfigurację routingu dla żądania, na przykład zmieniając grupę pochodzenia, do którego powinno zostać wysłane żądanie.

Poniżej przedstawiono kilka przykładowych metod używania aparatu reguł usługi Azure Front Door w rozwiązaniu wielodostępnym:

• Załóżmy, że wdrażasz wielodostępną warstwę aplikacji, w której używasz również poddomen wieloznacznych specyficznych dla dzierżawy, zgodnie z opisem w poniższych przykładowych scenariuszach. Aparat reguł może użyć aparatu reguł, aby wyodrębnić identyfikator dzierżawy z poddomeny żądania i dodać go do nagłówka żądania. Ta reguła może pomóc warstwie aplikacji określić dzierżawę, z której pochodzi żądanie.
• Załóżmy, https://application.contoso.com/tenant1/welcome że wdrażasz wielodostępną warstwę aplikacji i używasz routingu opartego na ścieżkach (na przykład dla https://application.contoso.com/tenant2/welcome dzierżaw 1 i 2). Aparat reguł może użyć aparatu reguł do wyodrębnienia segmentu identyfikatora dzierżawy z segmentu ścieżki adresu URL i ponownego zapisania adresu URL w celu uwzględnienia identyfikatora dzierżawy w parametrze ciągu zapytania lub nagłówku żądania dla aplikacji do użycia.

Aby uzyskać więcej informacji, zobacz Co to jest aparat reguł usługi Azure Front Door?.

Przykładowe scenariusze

W poniższych przykładowych scenariuszach pokazano, jak można skonfigurować różne architektury wielodostępne w usłudze Azure Front Door oraz jak decyzje, które należy podjąć, mogą mieć wpływ na konfigurację dns i TLS.

Wiele rozwiązań wielodostępnych implementuje wzorzec Sygnatury wdrożenia. W przypadku korzystania z tej metody wdrażania zazwyczaj wdrażasz jeden udostępniony profil usługi Azure Front Door i używasz usługi Azure Front Door do kierowania ruchu przychodzącego do odpowiedniej sygnatury. Ten model wdrażania jest najbardziej typowy, a scenariusze od 1 do 4 w tym artykule pokazują, jak można go użyć do spełnienia różnych wymagań.

W niektórych sytuacjach można jednak wdrożyć profil usługi Azure Front Door w każdej sygnaturze rozwiązania. Scenariusz 5 opisuje ten model wdrażania.

Scenariusz 1. Domena wieloznaczny zarządzana przez dostawcę, pojedyncza sygnatura

Firma Contoso tworzy małe rozwiązanie wielodostępne. Firma wdraża pojedynczą sygnaturę w jednym regionie i ta sygnatura obsługuje wszystkie jej dzierżawy. Wszystkie żądania są kierowane do tego samego serwera aplikacji. Firma Contoso zdecydowała się używać domen wieloznacznych dla wszystkich dzierżaw, takich jak tenant1.contoso.com i tenant2.contoso.com.

Firma Contoso wdraża usługę Azure Front Door przy użyciu tej konfiguracji:

Konfiguracja DNS

Konfiguracja jednorazowa: Firma Contoso konfiguruje dwa wpisy DNS:

• Wieloznaczny rekord TXT dla elementu *.contoso.com. Jest ona ustawiona na wartość określoną przez usługę Azure Front Door podczas procesu dołączania domeny niestandardowej.
• Rekord CNAME z symbolami wieloznacznymi , *.contoso.comczyli alias dla punktu końcowego usługi Azure Front Door firmy Contoso: contoso.z01.azurefd.net.

Po dołączeniu nowej dzierżawy: nie jest wymagana żadna dodatkowa konfiguracja.

Konfiguracja protokołu TLS

Jednorazowa konfiguracja: firma Contoso kupuje wieloznaczny certyfikat TLS, dodaje go do magazynu kluczy i przyznaje usłudze Azure Front Door dostęp do magazynu.

Po dołączeniu nowej dzierżawy: nie jest wymagana żadna dodatkowa konfiguracja.

Konfiguracja usługi Azure Front Door

Konfiguracja jednorazowa: firma Contoso tworzy profil usługi Azure Front Door i pojedynczy punkt końcowy. Dodają jedną domenę niestandardową o nazwie *.contoso.com i skojarzą swój wieloznaczny certyfikat TLS z zasobem domeny niestandardowej. Następnie konfigurują pojedynczą grupę pochodzenia zawierającą pojedyncze źródło dla serwera aplikacji. Na koniec konfigurują trasę, aby połączyć domenę niestandardową z grupą pochodzenia.

Po dołączeniu nowej dzierżawy: nie jest wymagana żadna dodatkowa konfiguracja.

Świadczenia

• Ta konfiguracja jest stosunkowo łatwa do skonfigurowania i zapewnia klientom adresy URL oznaczone marką Contoso.
• Takie podejście obsługuje dużą liczbę dzierżaw.
• Po dołączeniu nowej dzierżawy firma Contoso nie musi wprowadzać zmian w certyfikatach usługi Azure Front Door, DNS ani TLS.

Wady

• Takie podejście nie umożliwia łatwego skalowania poza pojedynczą sygnaturę lub region aplikacji.
• Firma Contoso musi kupić certyfikat TLS z symbolami wieloznacznymi i odnowić i zainstalować certyfikat po wygaśnięciu.

Scenariusz 2. Domena wieloznaczny zarządzana przez dostawcę, wiele sygnatur

Proseware tworzy wielodostępne rozwiązanie w wielu sygnaturach wdrożonych zarówno w Australii, jak i Europie. Wszystkie żądania w jednym regionie są obsługiwane przez sygnaturę w tym regionie. Podobnie jak firma Contoso, firma Proseware zdecydowała się używać domen wieloznacznych dla wszystkich dzierżaw, takich jak tenant1.proseware.com i tenant2.proseware.com.

Oprogramowanie Proseware wdraża usługę Azure Front Door przy użyciu tej konfiguracji:

Konfiguracja DNS

Konfiguracja jednorazowa: Oprogramowanie Proseware konfiguruje dwa wpisy DNS:

• Wieloznaczny rekord TXT dla elementu *.proseware.com. Jest ona ustawiona na wartość określoną przez usługę Azure Front Door podczas procesu dołączania domeny niestandardowej.
• Rekord CNAME z symbolami wieloznacznymi , *.proseware.comczyli alias dla punktu końcowego usługi Azure Front Door firmy Proseware: proseware.z01.azurefd.net.

Po dołączeniu nowej dzierżawy: nie jest wymagana żadna dodatkowa konfiguracja.

Konfiguracja protokołu TLS

Jednorazowa konfiguracja: Proseware kupuje wieloznaczny certyfikat TLS, dodaje go do magazynu kluczy i przyznaje usłudze Azure Front Door dostęp do magazynu.

Po dołączeniu nowej dzierżawy: nie jest wymagana żadna dodatkowa konfiguracja.

Konfiguracja usługi Azure Front Door

Konfiguracja jednorazowa: oprogramowanie Proseware tworzy profil usługi Azure Front Door i pojedynczy punkt końcowy. Firma konfiguruje wiele grup pochodzenia, po jednym na sygnaturę aplikacji/serwer w każdym regionie.

Po dołączeniu nowej dzierżawy: oprogramowanie Proseware dodaje zasób domeny niestandardowej do usługi Azure Front Door. Używają nazwy *.proseware.com i kojarzą swój wieloznaczny certyfikat TLS z zasobem domeny niestandardowej. Następnie tworzą trasę, aby określić, do której grupy pochodzenia (sygnatury) powinny być kierowane żądania dzierżawy. Na powyższym diagramie tenant1.proseware.com trasy do grupy pochodzenia w regionie Australia i tenant2.proseware.com trasy do grupy pochodzenia w regionie Europa.

Świadczenia

• Po dołączeniu nowych dzierżaw nie są wymagane żadne zmiany konfiguracji DNS ani TLS.
• Usługa Proseware obsługuje pojedyncze wystąpienie usługi Azure Front Door w celu kierowania ruchu do wielu sygnatur w wielu regionach.

Wady

• Usługa Proseware musi ponownie skonfigurować usługę Azure Front Door przy każdym dołączeniu nowej dzierżawy.
• Firma Proseware musi zwrócić uwagę na limity przydziału i limity usługi Azure Front Door, zwłaszcza w przypadku liczby tras i domen niestandardowych oraz limitu routingu złożonego.
• Oprogramowanie Proseware musi kupić wieloznaczny certyfikat TLS.
• Oprogramowanie Proseware jest odpowiedzialne za odnawianie i instalowanie certyfikatu po wygaśnięciu.

Scenariusz 3. Poddomeny wieloznaczne oparte na sygnaturach zarządzanych przez dostawcę

Fabrikam tworzy rozwiązanie wielodostępne. Firma wdraża sygnatury w Australii i Stany Zjednoczone. Wszystkie żądania w jednym regionie będą obsługiwane przez sygnaturę w tym regionie. Fabrikam będzie używać domen macierzystych opartych na sygnaturach, takich jak tenant1.australia.fabrikam.com, tenant2.australia.fabrikam.comi tenant3.us.fabrikam.com.

Firma wdraża usługę Azure Front Door przy użyciu tej konfiguracji:

Konfiguracja DNS

Jednorazowa konfiguracja: Fabrikam konfiguruje następujące dwa wieloznaczne wpisy DNS dla każdej sygnatury.

• Rekord TXT z symbolami wieloznacznymi dla każdej sygnatury: *.australia.fabrikam.com i *.us.fabrikam.com. Są one ustawione na wartości określone przez usługę Azure Front Door podczas procesu dołączania domeny niestandardowej.
• Wieloznaczny rekord CNAME dla każdej sygnatury *.australia.fabrikam.com i *.us.fabrikam.com, które są aliasami dla punktu końcowego usługi Azure Front Door: fabrikam.z01.azurefd.net.

Po dołączeniu nowej dzierżawy: nie jest wymagana żadna dodatkowa konfiguracja.

Konfiguracja protokołu TLS

Jednorazowa konfiguracja: firma Fabrikam kupuje wieloznaczny certyfikat TLS dla każdej sygnatury, dodaje je do magazynu kluczy i przyznaje usłudze Azure Front Door dostęp do magazynu.

Po dołączeniu nowej dzierżawy: nie jest wymagana żadna dodatkowa konfiguracja.

Konfiguracja usługi Azure Front Door

Konfiguracja jednorazowa: Fabrikam tworzy profil usługi Azure Front Door i pojedynczy punkt końcowy. Konfigurują grupę pochodzenia dla każdej sygnatury. Tworzą domeny niestandardowe przy użyciu symbolu wieloznakowego dla każdej poddomeny opartej na sygnaturach: *.australia.fabrikam.com i *.us.fabrikam.com. Tworzą one trasę dla domeny niestandardowej każdej sygnatury w celu wysyłania ruchu do odpowiedniej grupy pochodzenia.

Po dołączeniu nowej dzierżawy: nie jest wymagana żadna dodatkowa konfiguracja.

Świadczenia

• Takie podejście umożliwia firmie Fabrikam skalowanie do dużej liczby dzierżaw w wielu sygnaturach.
• Po dołączeniu nowych dzierżaw nie są wymagane żadne zmiany konfiguracji DNS ani TLS.
• Fabrikam utrzymuje pojedyncze wystąpienie usługi Azure Front Door w celu kierowania ruchu do wielu sygnatur w wielu regionach.

Wady

• Ponieważ adresy URL używają wieloczęściowej struktury domeny macierzystej, adresy URL mogą być bardziej złożone, aby użytkownicy mogli pracować z.
• Fabrikam musi kupić wiele wieloznacznych certyfikatów TLS.
• Firma Fabrikam jest odpowiedzialna za odnawianie i instalowanie certyfikatów TLS po wygaśnięciu.

Scenariusz 4. Domeny vanity

Adventure Works Cycles tworzy wielodostępne rozwiązanie. Firma wdraża sygnatury w wielu regionach, takich jak Australia i Stany Zjednoczone. Wszystkie żądania w jednym regionie będą obsługiwane przez sygnaturę w tym regionie. Firma Adventure Works umożliwi dzierżawcom korzystanie z własnych nazw domen. Na przykład dzierżawa 1 może skonfigurować niestandardową nazwę domeny, taką jak tenant1app.tenant1.com.

Firma wdraża usługę Azure Front Door przy użyciu tej konfiguracji:

Konfiguracja DNS

Konfiguracja jednorazowa: Brak.

Po dołączeniu nowej dzierżawy: dzierżawa musi utworzyć dwa rekordy na własnym serwerze DNS:

• Rekord TXT na potrzeby walidacji domeny. Na przykład dzierżawa 1 musi skonfigurować rekord TXT o nazwie tenant1app.tenant1.com i ustawić go na wartość określoną przez usługę Azure Front Door podczas procesu dołączania domeny niestandardowej.
• Rekord CNAME, który jest aliasem punktu końcowego usługi Azure Front Door firmy Adventure Works. Na przykład dzierżawa 1 musi skonfigurować rekord CNAME o nazwie tenant1app.tenant1.com i zamapować go na adventureworks.z01.azurefd.net.

Konfiguracja protokołu TLS

Firma Adventure Works i jej dzierżawcy muszą zdecydować, kto wystawia certyfikaty TLS:

• Najprostszą opcją jest użycie usługi Azure Front Door do wystawiania certyfikatów i zarządzania nimi, ale dzierżawcy nie powinni konfigurować rekordów CCA na serwerach DNS. Jeśli tak, rekordy mogą uniemożliwić urzędowi certyfikacji usługi Azure Front Door wystawianie certyfikatów.
• Alternatywnie dzierżawcy mogą udostępniać własne certyfikaty. Muszą współpracować z usługą Adventure Works, aby przekazać certyfikat do magazynu kluczy i zapewnić dostęp do usługi Azure Front Door.

Konfiguracja usługi Azure Front Door

Konfiguracja jednorazowa: firma Adventure Works tworzy profil usługi Azure Front Door i pojedynczy punkt końcowy. Konfigurują grupę pochodzenia dla każdej sygnatury. Nie tworzą zasobów domeny niestandardowej ani tras.

Po dołączeniu nowej dzierżawy: firma Adventure Works dodaje do usługi Azure Front Door zasób domeny niestandardowej. Używają nazwy domeny dostarczonej przez dzierżawę i kojarzą odpowiedni certyfikat TLS z zasobem domeny niestandardowej. Następnie tworzą trasę, aby określić, do której grupy pochodzenia (sygnatury) powinny być kierowane żądania dzierżawy. Na powyższym diagramie tenant1app.tenant1.com jest kierowany do grupy pochodzenia w regionie Australia i tenant2app.tenant3.com jest kierowany do grupy pochodzenia w regionie USA.

Świadczenia

• Klienci mogą podać własne nazwy domen. Usługa Azure Front Door w sposób niewidoczny kieruje żądania do rozwiązania wielodostępnego.
• Firma Adventure Works obsługuje pojedyncze wystąpienie usługi Azure Front Door w celu kierowania ruchu do wielu sygnatur w wielu regionach.

Wady

• Firma Adventure Works musi ponownie skonfigurować usługę Azure Front Door przy każdym dołączeniu nowej dzierżawy.
• Dzierżawcy muszą być zaangażowani w proces dołączania. Muszą oni wprowadzić zmiany DNS i ewentualnie wystawiać certyfikaty TLS.
• Dzierżawcy kontrolują swoje rekordy DNS. Zmiany rekordów DNS mogą mieć wpływ na możliwość uzyskania dostępu do rozwiązania Adventure Works.
• Firma Adventure Works musi zwrócić uwagę na limity przydziału i limity usługi Azure Front Door, zwłaszcza w przypadku liczby tras i domen niestandardowych oraz złożonego limitu routingu.

Scenariusz 5. Profil usługi Azure Front Door na sygnaturę

Dla każdej sygnatury można wdrożyć profil usługi Azure Front Door. Jeśli masz 10 sygnatur, wdrożysz 10 wystąpień usługi Azure Front Door. Takie podejście może być przydatne, jeśli musisz ograniczyć dostęp do zarządzania konfiguracji usługi Azure Front Door każdej sygnatury. Może to być również przydatne, jeśli musisz użyć wielu profilów usługi Azure Front Door, aby uniknąć przekroczenia limitów przydziału zasobów lub limitów.

Napiwek

Usługa Azure Front Door to zasób globalny. Nawet jeśli wdrażasz sygnatury o określonym zakresie regionalnym, każdy profil usługi Azure Front Door jest globalnie dystrybuowany. Należy rozważyć, czy naprawdę musisz wdrożyć wiele profilów usługi Azure Front Door i jakie korzyści zyskujesz.

Jeśli masz sygnaturę, która obsługuje wiele dzierżaw, musisz rozważyć sposób kierowania ruchu do każdej dzierżawy. Zapoznaj się z metodami opisanymi w poprzednich scenariuszach i rozważ połączenie metod odpowiadających Twoim wymaganiom.

Świadczenia

• W przypadku rozszerzenia konfiguracji między wieloma profilami mniej prawdopodobne jest osiągnięcie limitów zasobów usługi Azure Front Door. Jeśli na przykład potrzebujesz obsługi dużej liczby domen niestandardowych, możesz podzielić domeny między wiele profilów usługi Azure Front Door i pozostać w granicach każdego profilu.
• Takie podejście umożliwia określanie zakresu uprawnień do zarządzania zasobami usługi Azure Front Door. Możesz użyć kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby udzielić administratorom dostępu do profilu pojedynczej sygnatury.

Wady

• Takie podejście zwykle wiąże się z wysokim kosztem, ponieważ wdraża się więcej profilów. Aby uzyskać więcej informacji, zobacz Omówienie rozliczeń usługi Front Door.
• Istnieje ograniczenie liczby profilów usługi Azure Front Door, które można wdrożyć w jednej subskrypcji platformy Azure. Aby uzyskać więcej informacji, zobacz Limity przydziału i limity usługi Front Door.
• Musisz oddzielnie skonfigurować profil usługi Azure Front Door dla każdej sygnatury i musisz zarządzać konfiguracją DNS, certyfikatami TLS i konfiguracją protokołu TLS dla każdej sygnatury.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Autorzy zabezpieczeń:

• Raj Nemani | Dyrektor, Partner TechnologyStrateg
• John Downs | Główny inżynier oprogramowania

Inni współautorzy:

• Mick Alberts | Składnik zapisywania technicznego
• Fernando Antivero | Fullstack Developer & Cloud Platform Engineer
• Duong Au | Starszy deweloper zawartości, C+E Skilling Content R&D
• Harikrishnan M B (HARI) | Product Manager 2, Azure Networking
• Arsen Vladimirskiy | Główny inżynier klienta, fasttrack dla platformy Azure

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

• Szkolenie: wprowadzenie do usługi Azure Front Door
• Wprowadzenie do usługi Azure Front Door
• Co to jest usługa Azure Front Door?

Powiązane zasoby

• Tworzenie architektury rozwiązań wielodostępnych na platformie Azure
• Lista kontrolna dotycząca tworzenia architektury i tworzenia rozwiązań wielodostępnych na platformie Azure
• Modele dzierżawy do rozważenia w przypadku rozwiązania wielodostępnego