Påskynda och skydda din webbapp med Azure Front Door

Azure Front Door är ett globalt distribuerat nätverk för innehållsleverans (CDN) som ger kortare svarstid och snabbare leverans av webbprogram och innehåll. Dessutom gör Front Door att ditt innehåll kan vara tillgängligt med de högsta återhämtningsnivåerna och ger ett brett utbud av funktioner, inklusive en avancerad lastbalanserare för program, trafikacceleration och säkerhet.

Överväg att distribuera Front Door framför alla offentligt riktade webbappar.

Väldefinierade lösningar i Azure

Azure Well-Architected Framework beskriver fem grundpelare för arkitekturens kvalitet. Azure Front Door hjälper dig att hantera var och en av de fem grundpelarna med hjälp av dess inbyggda funktioner.

Prestandaeffektivitet

Front Door innehåller flera funktioner som hjälper dig att påskynda programmets prestanda.

• Cachelagring: Front Door tillhandahåller ett kraftfullt nätverk för innehållsleverans (CDN) för att cachelagra innehåll vid nätverksgränsen. Nästan alla webbprogram innehåller cachebart innehåll. Statiska tillgångar som bilder och JavaScript-filer kan cachelagrats. Dessutom returnerar många API:er svar som kan cachelagras, även under en kort tid. Cachelagring hjälper till att förbättra programmets prestanda och minska belastningen på programservrarna.
• Komprimering: Många svarstyper kan komprimeras, vilket kan förbättra programmets svarstid.
• Global trafikacceleration: Front Door globala funktioner för trafikacceleration bidrar till att förbättra prestandan för dynamiska webbprogram genom att dirigera begäranden via Microsofts stamnätverk med hög hastighet.
• TLS-avslutning: Anslutningar till Front Door avslutas vid den närmaste Front Door-närvaropunkten (PoP). TLS-dekryptering utförs av PoP. Den största prestandaträffen när du gör TLS-dekryptering är den första handskakningen. För att förbättra prestandan cachelagrar servern som utför dekrypteringen TLS-sessions-ID:t och hanterar TLS-sessionsbiljetter. Om TLS-anslutningar avslutas i Front Door PoP kan alla begäranden från samma klient använda de cachelagrade värdena. Om det görs på ursprungsservrarna måste klienten autentiseras igen varje gång klientens begäranden går till en annan server. Användningen av TLS-biljetter kan hjälpa till att åtgärda det här problemet, men de stöds inte av alla klienter och kan vara svåra att konfigurera och hantera.

Säkerhet

Front Door säkerhetsfunktioner hjälper till att skydda dina programservrar från flera olika typer av hot.

• TLS från slutpunkt till slutpunkt: Front Door stöder TLS-kryptering från slutpunkt till slutpunkt. Front Door TLS/SSL-avlastning avslutar TLS-anslutningen, dekrypterar trafiken vid Azure Front Door och krypterar trafiken igen innan den vidarebefordras till serverdelen.
• Hanterade TLS-certifikat: Front Door kan utfärda och hantera certifikat, vilket säkerställer att dina program skyddas av stark kryptering och förtroende.
• Anpassade TLS-certifikat: Om du behöver ta med dina egna TLS-certifikat kan du använda en hanterad identitet i Front Door för att få åtkomst till nyckelvalvet som innehåller certifikatet.
• Brandvägg för webbprogram: Front Door:s brandvägg för webbprogram (WAF) tillhandahåller en rad säkerhetsfunktioner för ditt program. Hanterade regeluppsättningar söker igenom inkommande begäranden efter misstänkt innehåll. Botskyddsregler identifierar och svarar på trafik från robotar. Geofiltrerings- och hastighetsbegränsningsfunktioner skyddar dina programservrar från oväntad trafik.
• Protokollblockering: Front Door accepterar endast trafik på HTTP- och HTTPS-protokollen och bearbetar endast giltiga begäranden med ett känt Host huvud. På grund av det här beteendet skyddas ditt program mot många typer av attacker över en rad olika protokoll.
• DDoS-skydd: På grund av Front Door-arkitekturen kan det också absorbera stora DDoS-attacker (Distributed Denial of Service) och förhindra att trafiken når ditt program.
• Private Link-ursprung: Private Link-integrering hjälper dig att skydda dina serverdelsprogram, vilket säkerställer att trafiken bara kan nå ditt program genom att skicka genom Front Door och dess säkerhetsskydd.

När du har strikta nätverkssäkerhetskrav kan du använda Azure Front Door för att hantera inkommande HTTP- och HTTPS-trafik till ditt program och använda Azure Firewall för att styra icke-HTTP- och utgående trafik.

Tillförlitlighet

Genom att använda Front Door kan du skapa motståndskraftiga lösningar med hög tillgänglighet.

• Belastningsutjämning och redundansväxling: Front Door är en global lastbalanserare. Front Door övervakar hälsotillståndet för dina ursprungsservrar och om ett ursprung blir otillgängligt kan Front Door dirigera begäranden till ett alternativt ursprung. Du kan också använda Front Door för att sprida trafik över dina ursprung för att minska belastningen på en ursprungsserver.
• Anycast-routning: Själva Front Door har ett stort antal ip-adresser, som var och en kan hantera trafik för alla begäranden. Anycast-routning styr trafiken till närmaste tillgängliga Front Door PoP, och om en poP inte är tillgänglig dirigeras klienter automatiskt till nästa närmaste PoP.
• Cachelagring: Genom att använda Front Door-cachen minskar du belastningen på programservrarna. Om dina servrar inte är tillgängliga kanske Front Door kan fortsätta att hantera cachelagrade svar tills programmet återställs.

Kostnadsoptimering

Front Door kan hjälpa dig att minska kostnaden för att köra din Azure-lösning.

• Cachelagring: Genom att aktivera cachelagring returneras innehåll från globala Front Door-kantnoder. Den här metoden minskar avgifterna för global bandbredd och förbättrar prestandan.
• Komprimering: När Front Door komprimerar dina svar kan det minska bandbreddsavgifterna för din lösning.
• Sprid trafik över ursprung: Använd Front Door för att minska behovet av att skala dina programservrar eller överetablera kapaciteten för dina servrar för trafiktoppar. Varje Front Door PoP kan returnera cachelagrat innehåll om det är tillgängligt, vilket minskar belastningen på dina programservrar. Du kan också sprida trafik över flera serverdelsservrar, vilket minskar belastningen på varje enskild server.
• Delad profil: Du kan använda en enda Front Door-profil för många olika program. När du konfigurerar flera program i Front Door delar du kostnaden för varje program och du kan minska den konfiguration du behöver utföra.

Driftsäkerhet

Front Door kan bidra till att minska driftbelastningen för att köra ett modernt Internetprogram och göra det möjligt för dig att göra vissa typer av ändringar i din lösning utan att ändra dina program.

• Hanterade TLS-certifikat: Front Door kan utfärda och hantera certifikat. Den här funktionen innebär att du inte behöver hantera certifikatförnyelser och du minskar sannolikheten för ett avbrott som orsakas av ett ogiltigt eller utgånget TLS-certifikat.
• TLS-certifikat med jokertecken: Front Door-stöd för jokerteckendomäner, inklusive DNS- och TLS-certifikat, gör att du kan använda flera värdnamn utan att konfigurera om Front Door för varje underdomän.
• HTTP/2: Front Door kan hjälpa dig att modernisera dina äldre program med HTTP/2-stöd utan att ändra dina programservrar.
• Regelmotor: Med Front Door-regelmotorn kan du ändra den interna arkitekturen för din lösning utan att påverka dina klienter.
• Infrastruktur som kod: Du kan också distribuera och konfigurera Front Door med hjälp av IaC-tekniker (infrastruktur som kod), inklusive Bicep, Terraform, ARM-mallar, Azure PowerShell och Azure CLI.

Lösningsarkitekturen

När du distribuerar en lösning som använder Azure Front Door bör du överväga hur trafiken flödar från klienten till Front Door och från Front Door till ditt ursprung.

Följande diagram illustrerar en allmän lösningsarkitektur med Front Door:

Klient till Front Door

Trafiken från klienten anländer först till en Front Door PoP. Front Door har ett stort antal pops distribuerade över hela världen, och Anycast dirigerar klienterna till sin närmaste PoP.

När begäran tas emot av Front Door PoP använder Front Door ditt anpassade domännamn för att hantera begäran. Front Door utför TLS-avlastning med hjälp av antingen ett Front Door-hanterat TLS-certifikat eller ett anpassat TLS-certifikat.

PoP utför många funktioner baserat på den konfiguration som du anger i Din Front Door-profil, inklusive:

• Skydda din lösning mot många typer av DDoS-attacker.
• Genomsöka begäran efter kända säkerhetsrisker med hjälp av Front Door WAF.
• Returnera cachelagrade svar för att förbättra prestanda, om de lagras i Front Door PoP och är giltiga för begäran.
• Komprimera svar för att förbättra prestanda.
• Returnerar HTTP-omdirigeringssvar direkt från Front Door.
• Välj det bästa ursprunget för att ta emot trafiken baserat på routningsarkitekturen.
• Ändra en begäran med hjälp av regelmotorn.

När Front Door har slutfört bearbetningen av den inkommande begäran svarar den antingen direkt på klienten (till exempel när den returnerar ett cachelagrat resultat) eller vidarebefordrar begäran till ursprunget.

Front Door till ursprung

Front Door kan skicka trafik till ditt ursprung på två olika sätt: genom att använda Private Link och med hjälp av offentliga IP-adresser.

Premium-SKU:n för Front Door stöder sändning av trafik till vissa ursprungstyper med hjälp av Private Link. När du konfigurerar Private Link för ditt ursprung använder trafiken privata IP-adresser. Den här metoden kan användas för att säkerställa att ditt ursprung endast accepterar trafik från din specifika Front Door-instans, och du kan blockera trafik som kommer från Internet.

När Front Door PoP skickar begäranden till ditt ursprung med hjälp av en offentlig IP-adress initieras en ny TCP-anslutning. På grund av det här beteendet ser ursprungsservern begäran från Front Door IP-adress i stället för klienten.

Oavsett vilken metod du använder för att skicka trafik till ditt ursprung är det vanligtvis en bra idé att konfigurera ditt ursprung för att förvänta dig trafik från din Front Door-profil och blockera trafik som inte flödar genom Front Door. Mer information finns i Skydda trafik till Azure Front Door-ursprung.

Svarsbearbetning

Front Door PoP bearbetar även utgående svar. Svarsbearbetning kan innehålla följande steg:

• Spara ett svar på poP-cachen för att påskynda senare begäranden.
• Ändra ett svarshuvud med hjälp av regelmotorn.

Analyser och rapportering

Eftersom Front Door bearbetar alla inkommande begäranden visas all trafik som flödar genom din lösning. Du kan använda Front Door-rapporter, mått och loggar för att förstå dina trafikmönster.

Dricks

När du använder Front Door kanske vissa begäranden inte bearbetas av ursprungsservern. Till exempel kan Front Door WAF blockera vissa begäranden och returnera cachelagrade svar för andra begäranden. Använd Front Door-telemetri för att förstå din lösnings trafikmönster.

Nästa steg

Lär dig hur du skapar en Front Door-profil.