Udostępnij za pośrednictwem


Perspektywa platformy Azure Well-Architected Framework w usłudze Azure Front Door

Usługa Azure Front Door to globalna sieć równoważenia obciążenia i dostarczania zawartości, która kieruje ruch HTTP i HTTPS. Usługa Azure Front Door dostarcza i dystrybuuje ruch najbliższy użytkownikom aplikacji.

W tym artykule przyjęto założenie, że jako architekt przejrzeliśmy opcje równoważenia obciążenia i wybraliśmy usługę Azure Front Door jako moduł równoważenia obciążenia. Przyjęto również założenie, że aplikacja jest wdrażana w wielu regionach w modelu aktywne-aktywne lub aktywne-pasywne. Wskazówki zawarte w tym artykule zawierają zalecenia dotyczące architektury mapowane na zasady filarów platformy Azure Well-Architected Framework.

Ważne

Jak korzystać z tego przewodnika

Każda sekcja zawiera listę kontrolną projektu , która przedstawia obszary architektury dotyczące zagadnień i strategii projektowania zlokalizowanych w zakresie technologii.

Ten artykuł zawiera również zalecenia dotyczące możliwości technologii, które pomagają zmaterializować te strategie. Zalecenia nie reprezentują wyczerpującej listy wszystkich konfiguracji dostępnych dla usługi Azure Front Door i jej zależności. Zamiast tego wyświetlają listę kluczowych zaleceń mapowanych na perspektywy projektu. Skorzystaj z zaleceń, aby utworzyć weryfikację koncepcji lub zoptymalizować istniejące środowiska.

Podstawowa architektura, która demonstruje kluczowe zalecenia: architektura punktu odniesienia o krytycznym znaczeniu z kontrolkami sieci.

Zakres technologii

Ten przegląd koncentruje się na powiązanych decyzjach dotyczących następujących zasobów platformy Azure:

  • Azure Front Door

Niezawodność

Celem filaru niezawodności jest zapewnienie ciągłej funkcjonalności przez utworzenie wystarczającej odporności i możliwość szybkiego odzyskiwania po awariach.

Zasady projektowania niezawodności zapewniają strategię projektowania wysokiego poziomu stosowaną dla poszczególnych składników, przepływów systemowych i całego systemu.

Lista kontrolna projektu

Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem niezawodności. Określ jego znaczenie dla wymagań biznesowych, pamiętając o warstwach i możliwościach usługi Azure Content Delivery Network. Rozszerz strategię, aby uwzględnić więcej podejść zgodnie z potrzebami.

  • Szacowanie wzorca ruchu i woluminu. Liczba żądań od klienta do krawędzi usługi Azure Front Door może mieć wpływ na wybór warstwy. Jeśli potrzebujesz obsługi dużej liczby żądań, rozważ warstwę Azure Front Door Premium, ponieważ wydajność ostatecznie wpływa na dostępność. Istnieje jednak kompromis kosztów. Te warstwy opisano w temacie Wydajność.

  • Wybierz strategię wdrażania. Podstawowe podejścia wdrażania to aktywne iaktywne-pasywne. Wdrożenie aktywne-aktywne oznacza, że wiele środowisk lub sygnatur, które uruchamiają obciążenie obsługują ruch. Wdrożenie aktywne-pasywne oznacza, że tylko region podstawowy obsługuje cały ruch, ale w razie potrzeby przełączy się w tryb failover do regionu pomocniczego. W przypadku wdrożenia wieloregionowego sygnatury są uruchamiane w różnych regionach, aby zapewnić wyższą dostępność za pomocą globalnego modułu równoważenia obciążenia, takiego jak usługa Azure Front Door, która dystrybuuje ruch. Dlatego ważne jest skonfigurowanie modułu równoważenia obciążenia pod kątem odpowiedniego podejścia wdrażania.

    Usługa Azure Front Door obsługuje kilka metod routingu, które można skonfigurować do dystrybucji ruchu w modelu aktywny-aktywny lub aktywny-pasywny.

    Poprzednie modele mają wiele odmian. Można na przykład wdrożyć model aktywny-pasywny z ciepłym zapasowym. W takim przypadku pomocnicza hostowana usługa jest wdrażana z minimalnym możliwym rozmiarem i rozmiarem danych oraz uruchamianiem bez obciążenia. Po przejściu w tryb failover zasoby obliczeniowe i zasoby danych są skalowane w celu obsługi obciążenia z regionu podstawowego. Aby uzyskać więcej informacji, zobacz Kluczowe strategie projektowania dla projektu w wielu regionach.

    Niektóre aplikacje wymagają, aby połączenia użytkownika pozostawały na tym samym serwerze pochodzenia podczas sesji użytkownika. Z perspektywy niezawodności nie zalecamy utrzymywania połączeń użytkowników na tym samym serwerze pochodzenia. Unikaj koligacji sesji, jak najwięcej.

  • Użyj tej samej nazwy hosta na serwerach usługi Azure Front Door i serwerach pochodzenia. Aby upewnić się, że pliki cookie lub adresy URL przekierowania działają prawidłowo, zachowaj oryginalną nazwę hosta HTTP podczas korzystania z zwrotnego serwera proxy, takiego jak moduł równoważenia obciążenia, przed aplikacją internetową.

  • Zaimplementuj wzorzec monitorowania punktu końcowego kondycji. Aplikacja powinna uwidocznić punkty końcowe kondycji, które agregują stan krytycznych usług i zależności, które aplikacja musi obsługiwać żądania. Sondy kondycji usługi Azure Front Door używają punktu końcowego do wykrywania kondycji serwerów pochodzenia. Aby uzyskać więcej informacji, zobacz Wzorzec monitorowania punktu końcowego kondycji.

  • Korzystaj z wbudowanych funkcji sieci dostarczania zawartości w usłudze Azure Front Door. Funkcja sieci dostarczania zawartości w usłudze Azure Front Door ma setki lokalizacji brzegowych i może pomóc w wytrzymaniu ataków typu "rozproszona odmowa usługi" (DDoS). Te możliwości pomagają zwiększyć niezawodność.

  • Rozważmy opcję nadmiarowego zarządzania ruchem. Azure Front Door to globalnie rozproszona usługa działająca jako pojedyncza usługa w środowisku. Usługa Azure Front Door to potencjalny pojedynczy punkt awarii w systemie. Jeśli usługa zakończy się niepowodzeniem, klienci nie będą mogli uzyskać dostępu do aplikacji podczas przestoju.

    Nadmiarowe implementacje mogą być złożone i kosztowne. Należy je wziąć pod uwagę tylko w przypadku obciążeń o znaczeniu krytycznym, które mają bardzo niską tolerancję na awarię. Uważnie zastanów się nad kompromisami.

Zalecenia

Zalecenie Korzyść
Wybierz metodę routingu , która obsługuje strategię wdrażania.

Metoda ważona, która dystrybuuje ruch na podstawie skonfigurowanego współczynnika wagi, obsługuje modele aktywne-aktywne.

Wartość oparta na priorytcie, która konfiguruje region podstawowy do odbierania całego ruchu i wysyłania ruchu do regionu pomocniczego jako kopia zapasowa obsługuje modele aktywne-pasywne.

Połącz powyższe metody z opóźnieniem, aby źródło z najniższym opóźnieniem odbierało ruch.
Możesz wybrać najlepszy zasób pochodzenia, korzystając z serii kroków decyzyjnych i projektu. Wybrane źródło obsługuje ruch w zakresie dozwolonych opóźnień w określonym stosunku wagi.
Obsługa nadmiarowości przez posiadanie wielu źródeł w co najmniej jednej puli zaplecza.

Zawsze mają nadmiarowe wystąpienia aplikacji i upewnij się, że każde wystąpienie uwidacznia punkt końcowy lub źródło. Te źródła można umieścić w co najmniej jednej puli zaplecza.
Wiele źródeł obsługuje nadmiarowość przez dystrybucję ruchu między wiele wystąpień aplikacji. Jeśli jedno wystąpienie jest niedostępne, inne źródła zaplecza nadal mogą odbierać ruch.
Skonfiguruj sondy kondycji w lokalizacji początkowej.

Skonfiguruj usługę Azure Front Door w celu przeprowadzenia kontroli kondycji w celu określenia, czy wystąpienie zaplecza jest dostępne i gotowe do kontynuowania odbierania żądań.
Włączone sondy kondycji są częścią implementacji wzorca monitorowania kondycji. Sondy kondycji zapewniają, że usługa Azure Front Door kieruje ruch tylko do wystąpień, które są wystarczająco zdrowe, aby obsługiwać żądania.
Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące sond kondycji.
Ustaw limit czasu przekazywania żądań do zaplecza.

Dostosuj ustawienie limitu czasu zgodnie z potrzebami punktów końcowych. Jeśli tego nie zrobisz, usługa Azure Front Door może zamknąć połączenie, zanim źródło wyśle odpowiedź.
Możesz również obniżyć domyślny limit czasu dla usługi Azure Front Door, jeśli wszystkie źródła mają krótszy limit czasu.
Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z żądaniami nieodpowiadania.
Przekroczenia limitu czasu pomagają zapobiegać problemom z wydajnością i problemom z dostępnością przez kończenie żądań, które potrwają dłużej niż oczekiwano.
Użyj tej samej nazwy hosta w usłudze Azure Front Door i Twoich źródłach.

Usługa Azure Front Door może ponownie napisać nagłówek hosta żądań przychodzących, co jest przydatne, gdy masz wiele niestandardowych nazw domen, które kierują do jednego źródła. Jednak ponowne zapisywanie nagłówka hosta może powodować problemy z żądaniami cookie i przekierowaniem adresu URL.
Ustaw tę samą nazwę hosta, aby zapobiec awarii z koligacją sesji, uwierzytelnianiem i autoryzacją. Aby uzyskać więcej informacji, zobacz Zachowywanie oryginalnej nazwy hosta HTTP między zwrotnym serwerem proxy i jego aplikacją internetową zaplecza.
Zdecyduj, czy aplikacja wymaga koligacji sesji. Jeśli masz wymagania dotyczące wysokiej niezawodności, zalecamy wyłączenie koligacji sesji. W przypadku koligacji sesji połączenia użytkowników pozostają na tym samym początku podczas sesji użytkownika. Jeśli to źródło stanie się niedostępne, środowisko użytkownika może zostać zakłócone.
Korzystaj z reguł ograniczania szybkości , które są dołączone do zapory aplikacji internetowej (WAF). Ogranicz żądania, aby uniemożliwić klientom wysyłanie zbyt dużej ilości ruchu do aplikacji. Ograniczanie szybkości może pomóc uniknąć problemów, takich jak burza ponawiania prób.

Zabezpieczenia

Celem filaru Zabezpieczenia jest zapewnienie gwarancji poufności, integralności i dostępności dla obciążenia.

Zasady projektowania zabezpieczeń zapewniają ogólną strategię projektowania na potrzeby osiągnięcia tych celów, stosując podejścia do projektu technicznego w ograniczaniu ruchu przechodzącego przez usługę Azure Front Door.

Lista kontrolna projektu

Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu dotyczącej zabezpieczeń. Identyfikowanie luk w zabezpieczeniach i mechanizmów kontroli w celu poprawy stanu zabezpieczeń. Rozszerz strategię w celu uwzględnienia większej liczby podejść zgodnie z potrzebami.

  • Zapoznaj się z punktem odniesienia zabezpieczeń dla usługi Azure Front Door.

  • Ochrona serwerów zaplecza. Fronton działa jako pojedynczy punkt ruchu przychodzącego do aplikacji.

    Usługa Azure Front Door używa Azure Private Link w celu uzyskania dostępu do źródła aplikacji. Private Link tworzy segmentację, aby zaplecza nie musiały uwidaczniać publicznych adresów IP i punktów końcowych. Aby uzyskać więcej informacji, zobacz Zabezpieczanie źródła za pomocą Private Link w usłudze Azure Front Door Premium.

    Skonfiguruj usługi zaplecza tak, aby akceptowały tylko żądania o tej samej nazwie hosta, których usługa Azure Front Door używa zewnętrznie.

  • Zezwalaj tylko na autoryzowany dostęp do płaszczyzny sterowania. Użyj kontroli dostępu opartej na rolach (RBAC) usługi Azure Front Door, aby ograniczyć dostęp tylko do tożsamości, które jej potrzebują.

  • Blokuj typowe zagrożenia na urządzeniach brzegowych. Zapora aplikacji internetowej jest zintegrowana z usługą Azure Front Door. Włącz reguły zapory aplikacji internetowych na frontonie, aby chronić aplikacje przed typowymi lukami w zabezpieczeniach i lukami w zabezpieczeniach na brzegu sieci, bliżej źródła ataku. Rozważ filtrowanie geograficzne, aby ograniczyć dostęp do aplikacji internetowej według krajów lub regionów.

    Aby uzyskać więcej informacji, zobacz Azure Web Application Firewall w usłudze Azure Front Door.

  • Ochrona usługi Azure Front Door przed nieoczekiwanym ruchem. Usługa Azure Front Door używa podstawowego planu ochrony przed atakami DDoS na platformie Azure w celu ochrony punktów końcowych aplikacji przed atakami DDoS. Jeśli musisz uwidocznić inne publiczne adresy IP z aplikacji, rozważ dodanie planu standardowego usługi DDoS Protection dla tych adresów w celu zapewnienia zaawansowanej ochrony i możliwości wykrywania.

    Istnieją również zestawy reguł zapory aplikacji internetowej, które wykrywają ruch bota lub nieoczekiwanie duże ilości ruchu, które mogą być potencjalnie złośliwe.

  • Ochrona przesyłanych danych. Włącz kompleksowe zabezpieczenia protokołu Transport Layer Security (TLS), przekierowywanie PROTOKOŁU HTTP do HTTPS i zarządzane certyfikaty TLS, jeśli ma to zastosowanie. Aby uzyskać więcej informacji, zobacz Tls best practices for Azure Front Door (Najlepsze rozwiązania dotyczące protokołu TLS dla usługi Azure Front Door).

  • Monitorowanie nietypowych działań. Regularnie przeglądaj dzienniki, aby sprawdzić ataki i wyniki fałszywie dodatnie. Wysyłanie dzienników zapory aplikacji internetowej z usługi Azure Front Door do scentralizowanego zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takimi jak Microsoft Sentinel, w celu wykrywania wzorców zagrożeń i uwzględnienia środków zapobiegawczych w projekcie obciążenia.

Zalecenia

Zalecenie Korzyść
Włącz zestawy reguł zapory aplikacji internetowej, które wykrywają i blokują potencjalnie złośliwy ruch. Ta funkcja jest dostępna w warstwie Premium. Zalecamy następujące zestawy reguł:
- Domyślny
- Ochrona botów
- Ograniczenie adresu IP
- Filtrowanie geograficzne
- Ograniczanie szybkości
Domyślne zestawy reguł są często aktualizowane na podstawie typów ataków OWASP top-10 i informacji z analizy zagrożeń firmy Microsoft.
Wyspecjalizowane zestawy reguł wykrywają niektóre przypadki użycia. Na przykład reguły botów klasyfikują boty jako dobre, złe lub nieznane na podstawie adresów IP klienta. Blokują również złe boty i znane adresy IP oraz ograniczają ruch na podstawie lokalizacji geograficznej obiektów wywołujących.

Używając kombinacji zestawów reguł, można wykrywać i blokować ataki z różnymi intencjami.
Tworzenie wykluczeń dla zarządzanych zestawów reguł.

Przetestuj zasady zapory aplikacji internetowej w trybie wykrywania przez kilka tygodni i dostosuj wszelkie wyniki fałszywie dodatnie przed jego wdrożeniem.
Zmniejsz liczbę wyników fałszywie dodatnich i zezwól na uzasadnione żądania dla aplikacji.
Wyślij nagłówek hosta do zaplecza. Usługi zaplecza powinny mieć świadomość nazwy hosta, aby umożliwić tworzenie reguł akceptowania ruchu tylko z tego hosta.
Włącz kompleksowe przekierowywanie protokołów TLS, HTTP i HTTPS oraz zarządzane certyfikaty TLS, jeśli ma to zastosowanie.

Zapoznaj się z najlepszymi rozwiązaniami dotyczącymi protokołu TLS dla usługi Azure Front Door.

Użyj protokołu TLS w wersji 1.2 jako minimalnej dozwolonej wersji z szyframi, które są istotne dla aplikacji.

Certyfikaty zarządzane usługi Azure Front Door powinny być twoim domyślnym wyborem w celu ułatwienia operacji. Jeśli jednak chcesz zarządzać cyklem życia certyfikatów, użyj własnych certyfikatów w punktach końcowych domeny niestandardowej usługi Azure Front Door i zapisz je w Key Vault.
Protokół TLS zapewnia, że wymiana danych między przeglądarką, usługą Azure Front Door i źródłami zaplecza jest szyfrowana, aby zapobiec naruszeniom.

Key Vault oferuje obsługę certyfikatów zarządzanych oraz proste odnawianie i rotację certyfikatów.

Optymalizacja kosztów

Optymalizacja kosztów koncentruje się na wykrywaniu wzorców wydatków, określaniu priorytetów inwestycji w krytycznych obszarach i optymalizowaniu w innych w celu spełnienia budżetu organizacji przy jednoczesnym spełnieniu wymagań biznesowych.

Zasady projektowania optymalizacji kosztów zapewniają ogólną strategię projektowania umożliwiającą osiągnięcie tych celów i osiągnięcie kompromisów zgodnie z potrzebami w projekcie technicznym związanym z usługą Azure Front Door i jej środowiskiem.

Lista kontrolna projektu

Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu optymalizacji kosztów dla inwestycji. Dostosuj projekt tak, aby obciążenie było dostosowane do budżetu przydzielonego dla obciążenia. Projekt powinien korzystać z odpowiednich funkcji platformy Azure, monitorować inwestycje i znajdować możliwości optymalizacji w czasie.

  • Zapoznaj się z warstwami i cenami usługi Azure Front Door. Skorzystaj z kalkulatora cen , aby oszacować realistyczne koszty dla każdej warstwy. Porównaj funkcje i przydatność każdej warstwy dla danego scenariusza. Na przykład tylko warstwa Premium obsługuje nawiązywanie połączenia z źródłem za pośrednictwem Private Link.

    Jednostka SKU w warstwie Standardowa jest bardziej ekonomiczna i odpowiednia dla umiarkowanych scenariuszy ruchu. W jednostce SKU Premium płacisz wyższą stawkę jednostkową, ale uzyskujesz dostęp do korzyści zabezpieczeń i zaawansowanych funkcji, takich jak reguły zarządzane w zaporze aplikacji internetowej i Private Link. Należy wziąć pod uwagę kompromisy w zakresie niezawodności i zabezpieczeń w zależności od wymagań biznesowych.

  • Rozważ koszty przepustowości. Koszty przepustowości usługi Azure Front Door zależą od wybranej warstwy i typu transferu danych. Usługa Azure Front Door udostępnia wbudowane raporty dotyczące metryk podlegających rozliczaniu. Aby ocenić koszty związane z przepustowością i miejscem, w którym można skupić się na wysiłkach związanych z optymalizacją, zobacz Raporty usługi Azure Front Door.

  • Optymalizowanie żądań przychodzących. Usługa Azure Front Door rozlicza żądania przychodzące. Ograniczenia można ustawić w konfiguracji projektu.

    Zmniejsz liczbę żądań przy użyciu wzorców projektowych, takich jak zaplecze dla frontonów i agregacji bramy. Te wzorce mogą zwiększyć wydajność operacji.

    Reguły zapory aplikacji internetowej ograniczają ruch przychodzący, który może zoptymalizować koszty. Możesz na przykład użyć ograniczania szybkości, aby zapobiec nietypowo wysokim poziomom ruchu, lub użyć filtrowania geograficznego, aby zezwolić na dostęp tylko z określonych regionów lub krajów.

  • Efektywne korzystanie z zasobów. Usługa Azure Front Door używa metody routingu, która pomaga w optymalizacji zasobów. O ile obciążenie nie jest bardzo wrażliwe na opóźnienia, równomiernie dystrybuuj ruch we wszystkich środowiskach, aby efektywnie korzystać z wdrożonych zasobów.

    Punkty końcowe usługi Azure Front Door mogą obsługiwać wiele plików. Jednym ze sposobów zmniejszenia kosztów przepustowości jest użycie kompresji.

    Buforowanie w usłudze Azure Front Door umożliwia używanie zawartości, która nie zmienia się często. Ponieważ zawartość jest obsługiwana z pamięci podręcznej, można zaoszczędzić na kosztach przepustowości, które są naliczane po przesłaniu żądania do zaplecza.

  • Rozważ użycie udostępnionego wystąpienia udostępnianego przez organizację. Koszty ponoszone z usług scentralizowanych są współdzielone między obciążeniami. Należy jednak wziąć pod uwagę kompromis z niezawodnością. W przypadku aplikacji o znaczeniu krytycznym, które mają wymagania dotyczące wysokiej dostępności, zalecamy wystąpienie autonomiczne.

  • Zwróć uwagę na ilość zarejestrowanych danych. Koszty związane zarówno z przepustowością, jak i magazynem mogą być naliczane, jeśli niektóre żądania nie są konieczne lub jeśli dane rejestrowania są przechowywane przez długi czas.

Zalecenia

Zalecenie Korzyść
Użyj buforowania dla punktów końcowych, które je obsługują. Buforowanie optymalizuje koszty transferu danych, ponieważ zmniejsza liczbę wywołań z wystąpienia usługi Azure Front Door do źródła.
Rozważ włączenie kompresji pliku.
W przypadku tej konfiguracji aplikacja musi obsługiwać kompresję i buforowanie musi być włączone.
Kompresja zmniejsza zużycie przepustowości i zwiększa wydajność.
Wyłącz kontrole kondycji w pojedynczych pulach zaplecza.
Jeśli w grupie źródła usługi Azure Front Door skonfigurowano tylko jedno źródło, te wywołania są niepotrzebne.
Możesz zaoszczędzić na kosztach przepustowości, wyłączając żądania, które nie są wymagane do podejmowania decyzji dotyczących routingu.

Doskonałość operacyjna

Doskonałość operacyjna koncentruje się przede wszystkim na procedurach dotyczących praktyk programistycznych, możliwości obserwacji i zarządzania wydaniami.

Zasady projektowania doskonałości operacyjnej stanowią strategię projektowania wysokiego poziomu, która umożliwia osiągnięcie tych celów dla wymagań operacyjnych obciążenia.

Lista kontrolna projektu

Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem doskonałości operacyjnej w celu zdefiniowania procesów do obserwowania, testowania i wdrażania związanego z usługą Azure Front Door.

  • Używaj technologii infrastruktury jako kodu (IaC). Użyj technologii IaC, takich jak Bicep i szablony usługi Azure Resource Manager, aby aprowizować wystąpienie usługi Azure Front Door. Te metody deklaratywne zapewniają spójność i prostą konserwację. Na przykład przy użyciu technologii IaC można łatwo przyjąć nowe wersje zestawu reguł. Zawsze używaj najnowszej wersji interfejsu API.

  • Upraszczanie konfiguracji. Używanie usługi Azure Front Door do łatwego zarządzania konfiguracjami. Załóżmy na przykład, że twoja architektura obsługuje mikrousługi. Usługa Azure Front Door obsługuje możliwości przekierowania, dzięki czemu można użyć przekierowania opartego na ścieżkach do docelowych poszczególnych usług. Innym przypadkiem użycia jest konfiguracja domen wieloznacznych.

  • Obsługa progresywnej ekspozycji przy użyciu metod routingu usługi Azure Front Door. W przypadku podejścia do równoważenia obciążenia ważonego można użyć wdrożenia kanarowego, aby wysłać określony procent ruchu do zaplecza. Takie podejście pomaga przetestować nowe funkcje i wydania w kontrolowanym środowisku przed ich wdrożeniem.

  • Zbieranie i analizowanie danych operacyjnych usługi Azure Front Door w ramach monitorowania obciążenia. Przechwytywanie odpowiednich dzienników i metryk usługi Azure Front Door za pomocą dzienników usługi Azure Monitor. Te dane ułatwiają rozwiązywanie problemów, zrozumienie zachowań użytkowników i optymalizowanie operacji.

  • Odciąż zarządzanie certyfikatami na platformie Azure. Zmniejszyć obciążenie operacyjne związane z rotacją i odnawianiem certyfikatów.

Zalecenia

Zalecenie Korzyść
Użyj protokołu HTTP do przekierowania HTTPS, aby obsługiwać zgodność z przekazywaniem dalej. Po włączeniu przekierowania usługa Azure Front Door automatycznie przekierowuje klientów korzystających ze starszego protokołu do korzystania z protokołu HTTPS w celu zapewnienia bezpieczeństwa.
Przechwytywanie dzienników i metryk.

Uwzględnij dzienniki aktywności zasobów, dzienniki dostępu, dzienniki sondy kondycji i dzienniki zapory aplikacji internetowej.

Konfigurowanie alertów.
Monitorowanie przepływu ruchu przychodzącego jest kluczową częścią monitorowania aplikacji. Chcesz śledzić żądania i wprowadzać ulepszenia wydajności i zabezpieczeń. Potrzebujesz danych do debugowania konfiguracji usługi Azure Front Door.

Dzięki alertom można otrzymywać natychmiastowe powiadomienia o wszelkich krytycznych problemach operacyjnych.
Przejrzyj wbudowane raporty analityczne. Całościowy widok profilu usługi Azure Front Door ułatwia wprowadzanie ulepszeń na podstawie raportów ruchu i zabezpieczeń za pośrednictwem metryk zapory aplikacji internetowej.
Jeśli to możliwe, użyj zarządzanych certyfikatów TLS. Usługa Azure Front Door może wystawiać certyfikaty i zarządzać nimi. Ta funkcja eliminuje konieczność odnawiania certyfikatów i minimalizuje ryzyko awarii z powodu nieprawidłowego lub wygasłego certyfikatu TLS.
Użyj certyfikatów TLS z symbolami wieloznacznymi. Nie musisz modyfikować konfiguracji, aby dodać lub określić każdą poddomenę oddzielnie.

Efektywność wydajności

Wydajność polega na zachowaniu środowiska użytkownika nawet wtedy, gdy występuje wzrost obciążenia dzięki zarządzaniu pojemnością. Strategia obejmuje skalowanie zasobów, identyfikowanie i optymalizowanie potencjalnych wąskich gardeł oraz optymalizowanie pod kątem szczytowej wydajności.

Zasady projektowania wydajności zapewniają strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów pojemności w stosunku do oczekiwanego użycia.

Lista kontrolna projektu

Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem wydajności. Zdefiniuj punkt odniesienia oparty na kluczowych wskaźnikach wydajności dla usługi Azure Front Door.

  • Planowanie pojemności przez analizowanie oczekiwanych wzorców ruchu. Przeprowadź dokładne testy, aby zrozumieć, jak aplikacja działa pod różnymi obciążeniami. Rozważ czynniki, takie jak jednoczesne transakcje, stawki żądań i transfer danych.

    Na podstawie opcji jednostki SKU należy opierać się na tym planowaniu. Jednostka SKU w warstwie Standardowa jest bardziej opłacalna i odpowiednia dla scenariuszy umiarkowanego ruchu. Jeśli przewidujesz wyższe obciążenia, zalecamy użycie jednostki SKU w warstwie Premium.

  • Analizowanie danych wydajności przez regularne przeglądanie raportów usługi Azure Front Door. Te raporty zapewniają wgląd w różne metryki, które służą jako wskaźniki wydajności na poziomie technologii.

    Użyj raportów usługi Azure Front Door, aby ustawić realistyczne cele wydajności dla obciążenia. Rozważ czynniki, takie jak czasy odpowiedzi, przepływność i współczynniki błędów. Dopasuj cele do wymagań biznesowych i oczekiwań użytkowników.

  • Optymalizowanie transferów danych.

    • Buforowanie umożliwia zmniejszenie opóźnienia obsługi zawartości statycznej, takich jak obrazy, arkusze stylów i pliki JavaScript lub zawartość, która nie zmienia się często.

      Zoptymalizuj aplikację pod kątem buforowania. Użyj nagłówków wygasania pamięci podręcznej w aplikacji, które kontrolują, jak długo zawartość powinna być buforowana przez klientów i serwery proxy. Dłuższa ważność pamięci podręcznej oznacza mniej częste żądania do serwera pochodzenia, co powoduje zmniejszenie ruchu i mniejsze opóźnienie.

    • Zmniejsz rozmiar plików przesyłanych przez sieć. Mniejsze pliki prowadzą do szybszego ładowania i ulepszonego środowiska użytkownika.

    • Zminimalizuj liczbę żądań zaplecza w aplikacji.

      Na przykład strona internetowa wyświetla profile użytkowników, ostatnie zamówienia, salda i inne powiązane informacje. Zamiast wykonywać oddzielne żądania dla każdego zestawu informacji, użyj wzorców projektowych do struktury aplikacji, aby wiele żądań było agregowanych w jednym żądaniu.

      Agregując żądania, wysyłasz mniej danych między frontonem a zapleczem i ustanawiasz mniej połączeń między klientem a zapleczem, co zmniejsza obciążenie. Ponadto usługa Azure Front Door obsługuje mniej żądań, co uniemożliwia przeciążenie.

  • Zoptymalizuj użycie sond kondycji. Uzyskaj informacje o kondycji z sond kondycji tylko wtedy, gdy stan źródeł ulegnie zmianie. Zachowaj równowagę między dokładnością monitorowania a zminimalizowaniem niepotrzebnego ruchu.

    Sondy kondycji są zwykle używane do oceny kondycji wielu źródeł w grupie. Jeśli masz tylko jedno źródło skonfigurowane w grupie źródła usługi Azure Front Door, wyłącz sondy kondycji, aby zmniejszyć niepotrzebny ruch na serwerze pochodzenia. Ponieważ istnieje tylko jedno wystąpienie, stan sondy kondycji nie będzie mieć wpływu na routing.

  • Przejrzyj metodę routingu pochodzenia. Usługa Azure Front Door udostępnia różne metody routingu, w tym oparte na opóźnieniach, oparte na priorytetach, ważone i oparte na koligacji sesji, do źródła. Te metody znacząco wpływają na wydajność aplikacji. Aby dowiedzieć się więcej na temat najlepszej opcji routingu ruchu dla danego scenariusza, zobacz Metody routingu ruchu do źródła.

  • Przejrzyj lokalizację serwerów pochodzenia. Lokalizacja serwerów pochodzenia ma wpływ na czas odpowiedzi aplikacji. Serwery pochodzenia powinny być bliżej użytkowników. Usługa Azure Front Door zapewnia, że użytkownicy z określonej lokalizacji uzyskują dostęp do najbliższego punktu wejścia usługi Azure Front Door. Korzyści z wydajności obejmują szybsze środowisko użytkownika, lepsze wykorzystanie routingu opartego na opóźnieniach przez usługę Azure Front Door i zminimalizowanie czasu transferu danych przy użyciu buforowania, które przechowuje zawartość bliżej użytkowników.

    Aby uzyskać więcej informacji, zobacz Raport dotyczący ruchu według lokalizacji.

Zalecenia

Zalecenie Korzyść
Włącz buforowanie.

Ciągi zapytań można zoptymalizować pod kątem buforowania. W przypadku wyłącznie zawartości statycznej zignoruj ciągi zapytań, aby zmaksymalizować użycie pamięci podręcznej.

Jeśli aplikacja używa ciągów zapytania, rozważ uwzględnienie ich w kluczu pamięci podręcznej. Uwzględnienie ciągów zapytania w kluczu pamięci podręcznej umożliwia usłudze Azure Front Door obsługę buforowanych odpowiedzi lub innych odpowiedzi na podstawie konfiguracji.
Usługa Azure Front Door oferuje niezawodne rozwiązanie sieciowe dostarczania zawartości, które buforuje zawartość na brzegu sieci. Buforowanie zmniejsza obciążenie serwerów zaplecza i zmniejsza przenoszenie danych przez sieć, co pomaga odciążać użycie przepustowości.
Kompresja plików jest używana podczas uzyskiwania dostępu do zawartości możliwej do pobrania. Kompresja w usłudze Azure Front Door pomaga dostarczać zawartość w optymalnym formacie, ma mniejszy ładunek i dostarcza zawartość użytkownikom szybciej.
Podczas konfigurowania sond kondycji w usłudze Azure Front Door rozważ użycie HEAD żądań zamiast żądań GET .
Sonda kondycji odczytuje tylko kod stanu, a nie zawartość.
HEAD żądania umożliwiają wykonywanie zapytań o zmianę stanu bez pobierania całej zawartości.
Oceń, czy należy włączyć koligację sesji , gdy żądania od tego samego użytkownika powinny być kierowane do tego samego serwera zaplecza.

Z perspektywy niezawodności nie zalecamy tego podejścia. Jeśli używasz tej opcji, aplikacja powinna bezpiecznie odzyskać bez zakłócania sesji użytkownika.

Istnieje również kompromis w zakresie równoważenia obciążenia, ponieważ ogranicza elastyczność dystrybucji ruchu między wieloma zapleczami równomiernie.
Optymalizowanie wydajności i utrzymywanie ciągłości sesji użytkowników, zwłaszcza gdy aplikacje korzystają z lokalnego przechowywania informacji o stanie.

Zasady platformy Azure

Platforma Azure udostępnia obszerny zestaw wbudowanych zasad związanych z usługą Azure Front Door i jej zależnościami. Niektóre z powyższych zaleceń można przeprowadzić inspekcję za pomocą zasad platformy Azure. Możesz na przykład sprawdzić, czy:

  • Potrzebujesz warstwy Premium do obsługi zarządzanych reguł zapory aplikacji internetowej i Private Link w profilach usługi Azure Front Door.
  • Musisz użyć minimalnej wersji protokołu TLS, która jest w wersji 1.2.
  • Potrzebujesz bezpiecznej, prywatnej łączności między usługami Azure Front Door Premium i Azure PaaS.
  • Należy włączyć dzienniki zasobów. Zapora aplikacji internetowej powinna mieć włączoną kontrolę treść.
  • Aby wymusić zestaw reguł zapory aplikacji internetowej, musisz użyć zasad. Na przykład należy włączyć ochronę bota i włączyć reguły ograniczania szybkości.

Aby uzyskać kompleksowy ład, zapoznaj się z wbudowanymi definicjami usługi Azure Content Delivery Network i innymi zasadami usługi Azure Front Door wymienionymi w Azure Policy wbudowanych definicji zasad.

Zalecenia dotyczące usługi Azure Advisor

Azure Advisor to spersonalizowany konsultant ds. chmury, który ułatwia przestrzeganie najlepszych rozwiązań w celu zoptymalizowania wdrożeń platformy Azure. Poniżej przedstawiono kilka zaleceń, które mogą pomóc w zwiększeniu niezawodności, bezpieczeństwa, efektywności kosztów, wydajności i doskonałości operacyjnej usługi Azure Front Door.

Następne kroki

Rozważ następujące artykuły jako zasoby, które przedstawiają zalecenia wyróżnione w tym artykule.