Metodtips för arkitektur för Azure Front Door
Azure Front Door är ett globalt nätverk för lastbalanserare och innehållsleverans (CDN) som dirigerar HTTP- och HTTPS-trafik. Azure Front Door levererar och distribuerar trafik som är närmast för applikationsanvändare.
Den här artikeln förutsätter att du som arkitekt har granskat alternativ för belastningsutjämning och valt Azure Front Door som lastbalanserare för din arbetsbelastning. Det förutsätter också att ditt program distribueras till flera regioner i en aktiv-aktiv eller aktiv-passiv modell. Vägledningen i den här artikeln innehåller arkitektoniska rekommendationer som mappas till principerna i Azure Well-Architected Framework-pelare.
Viktig
Använda den här guiden
Varje avsnitt har en checklista för design som presenterar arkitekturområden av betydelse och designstrategier som är lokaliserade till teknikomfånget.
Den här artikeln innehåller även rekommendationer om de teknikfunktioner som hjälper till att materialisera dessa strategier. Rekommendationerna representerar inte en fullständig lista över alla konfigurationer som är tillgängliga för Azure Front Door och dess beroenden. I stället listar de de viktigaste rekommendationerna som mappats till designperspektiven. Använd rekommendationerna för att skapa ditt konceptbevis eller optimera dina befintliga miljöer.
Grundläggande arkitektur som visar de viktigaste rekommendationerna: Verksamhetskritisk baslinjearkitektur med nätverkskontroller.
Teknikomfång
Den här granskningen fokuserar på de relaterade besluten för följande Azure-resurser:
- Azure Front Door
Tillförlitlighet
Syftet med grundpelarna för tillförlitlighet är att tillhandahålla fortsatt funktionalitet genom att bygga upp tillräckligt med motståndskraft och möjlighet att snabbt återhämta sig från fel.
Designprinciperna för tillförlitlighet tillhandahålla en övergripande designstrategi som tillämpas för enskilda komponenter, systemflöden och systemet som helhet.
Checklista för design
Starta din designstrategi baserat på checklistan för designgranskning för tillförlitlighet. Fastställ dess relevans för dina affärskrav samtidigt som du tänker på nivåerna och CDN-funktionerna. Utöka strategin till att omfatta fler metoder efter behov.
Välj din distributionsstrategi. De grundläggande distributionsmetoderna är aktiv-aktiv och aktiv-passiv. Aktiv-aktiv utplacering innebär att flera miljöer eller noder som körs av arbetsbelastningen hanterar trafiken. Aktiv-passiv distribution innebär att endast den primära regionen hanterar all trafik, men den växlar över till den sekundära regionen vid behov. I en distribution i flera regioner körs stämplar eller programinstanser i olika regioner för högre tillgänglighet med en global lastbalanserare, till exempel Azure Front Door, som distribuerar trafik. Därför är det viktigt att konfigurera lastbalanseraren för lämplig distributionsmetod.
Azure Front Door stöder flera routningsmetoder som du kan konfigurera för att distribuera trafik i en aktiv-aktiv eller aktiv-passiv modell.
Föregående modeller har många varianter. Du kan till exempel implementera den aktiva-passiva modellen med en varm reserv. I det här fallet distribueras den sekundära värdbaserade tjänsten med minsta möjliga beräkning och datastorlek och körs utan belastning. Vid failover skalas beräknings- och dataresurserna för att hantera arbetsbördan från den primära regionen. Mer information finns i Viktiga designstrategier för design i flera regioner.
Vissa program behöver användaranslutningarna för att stanna kvar på samma ursprungsserver under användarsessionen. Ur ett tillförlitlighetsperspektiv rekommenderar vi inte att du behåller användaranslutningar på samma ursprungsserver. Undvik sessionstillhörighet så mycket som möjligt.
Använd samma värdnamn på varje lager. För att säkerställa att cookies eller omdirigerings-URL:er fungerar korrekt, bevara det ursprungliga HTTP-värdnamnet när du använder en omvänd proxy, till exempel Azure Front Door, framför en webbapplikation.
Implementera hälsoslutpunktsövervakningsmönstret. Ditt program bör exponera hälsoslutpunkter som aggregerar tillståndet för de kritiska tjänster och beroenden som programmet behöver för att hantera begäranden. Azure Front Door-hälsoavsökningar använder slutpunkten för att identifiera ursprungsservrarnas hälsa. Mer information finns i hälsoslutpunktsövervakningsmönster.
Cachelagrat statiskt innehåll. Innehållsleveransfunktionen i Azure Front Door har hundratals gränsplatser och kan hjälpa dig att hantera trafiktoppar och distribuerade överbelastningsattacker (DDoS). Dessa funktioner bidrar till att förbättra tillförlitligheten.
Överväg ett alternativ för redundant trafikhantering. Azure Front Door är en globalt distribuerad tjänst som körs som en enskild enhet i ett system. Azure Front Door är en potentiell felpunkt i systemet. Om tjänsten misslyckas kan klienterna inte komma åt ditt program under driftstoppet.
Redundanta implementeringar kan vara komplexa och kostsamma. Tänk bara på dem för verksamhetskritiska arbetsbelastningar som har mycket låg tolerans för avbrott. Överväg noggrant kompromisser.
- Om du absolut behöver redundant routning kan du läsa Global routningsredundans.
- Om du bara behöver redundans för att hantera cachelagrat innehåll kan du läsa Global innehållsleverans.
Rekommendationer
| Rekommendation | Fördel |
|---|---|
| Välj en routningsmetod som stöder distributionsstrategin. Den viktade metoden, som distribuerar trafik baserat på den konfigurerade viktkoefficienten, stöder aktiva-aktiva modeller. Ett prioritetsbaserat värde som konfigurerar den primära regionen för att ta emot all trafik och skicka trafik till den sekundära regionen som en säkerhetskopia stöder aktiva-passiva modeller. Kombinera föregående metoder med känslighetskonfigurationer för svarstid så att ursprunget med den lägsta svarstiden tar emot trafik. |
Du kan välja den bästa ursprungsresursen med hjälp av en serie beslutssteg och din design. Det valda ursprunget hanterar trafik inom det tillåtna svarstidsintervallet i det angivna förhållandet mellan vikter. |
| Stöd för redundans genom att ha flera ursprung i en eller flera ursprungsgrupper. Ha alltid redundanta instanser av ditt program och se till att varje instans exponerar ett ursprung. Du kan placera dessa ursprung i en eller flera ursprungsgrupper. |
Flera ursprung stöder redundans genom att distribuera trafik över flera instanser av programmet. Om en instans inte är tillgänglig kan andra ursprung fortfarande ta emot trafik. |
|
Ställ in hälsoprobingar på ursprung. Konfigurera Azure Front Door för att utföra hälsokontroller för att avgöra om ursprungsinstansen är tillgänglig och redo att fortsätta ta emot begäranden. Mer information finns i Bästa praxis för hälsoövervakning. |
Aktiverade hälsoavsökningar är en del av implementeringen av hälsoövervakningsmönstret. Hälsokontroller ser till att Azure Front Door endast dirigerar trafik till instanser som är tillräckligt friska för att hantera förfrågningar. |
| Ange en tidsgräns för vidarebefordran av begäranden till ursprunget och undvik tidskrävande begäranden. Justera tidsgränsinställningen efter dina slutpunkters behov. Om du inte gör det kan Azure Front Door stänga anslutningen innan ursprunget skickar svaret. Du kan också sänka standardtimeouten för Azure Front Door om alla dina ursprung har en kortare tidsgräns. För mer information, se Felsökning av begäranden som inte svarar. |
Tidskrävande begäranden förbrukar systemresurser. Tidsgränser hjälper till att förhindra prestandaproblem och tillgänglighetsproblem genom att avsluta begäranden som tar längre tid än förväntat att slutföras. |
| Använd samma värdnamn på Azure Front Door och ditt ursprung. Azure Front Door kan skriva om värdhuvudet för inkommande begäranden, vilket är användbart när du har flera anpassade domännamn som dirigeras till ett ursprung. Om du skriver om värdhuvudet kan det dock orsaka problem med begärandecookies och URL-omdirigering. Mer information finns i [Bevara det ursprungliga HTTP-värdnamnet](/azure/architecture/best-practices/host-name-preservation mellan en omvänd proxy och dess ursprungswebbprogram). |
Ange samma värdnamn för att förhindra fel med sessionstillhörighet, autentisering och auktorisering. |
| Bestäm om programmet kräver sessionstillhörighet. Om du har höga tillförlitlighetskrav rekommenderar vi att du inaktiverar sessionstillhörighet. | Med sessionstillhörighet förblir användaranslutningarna på samma ursprungspunkt under hela användarsessionen. I vissa situationer kan ett enda ursprung bli överbelastat med begäranden medan andra ursprung är inaktiva. Om det ursprunget blir otillgängligt kan användarupplevelsen störas. |
| Dra nytta av hastighetsbegränsningsregler som ingår i en brandvägg för webbprogram (WAF). | Begränsa begäranden för att förhindra att klienter skickar för mycket trafik till ditt program. Hastighetsbegränsning kan hjälpa dig att undvika problem som en storm av omförsök. |
Säkerhet
Syftet med säkerhetspelare är att tillhandahålla konfidentialitet, integritet och tillgänglighet garantier för arbetsbelastningen.
Designprinciperna för Security tillhandahålla en övergripande designstrategi för att uppnå dessa mål genom att tillämpa metoder för teknisk design för att begränsa trafik som kommer via Azure Front Door.
Checklista för design
Starta din designstrategi baserat på checklistan för designgranskning för Säkerhet. Identifiera säkerhetsrisker och kontroller för att förbättra säkerhetsstatusen. Utöka strategin till att omfatta fler metoder efter behov.
Granska säkerhetsbaslinjen för Azure Front Door.
Skydda ursprungsservrarna. Azure Front Door är klientdelen och är den enda ingresspunkten till programmet.
Azure Front Door använder Azure Private Link för att komma åt ett programs ursprung. Private Link skapar segmentering så att ursprungen inte behöver exponera offentliga IP-adresser och slutpunkter. Mer information finns i Skydda ditt ursprung med Private Link i Azure Front Door Premium.
Konfigurera serverdelstjänsterna så att de endast accepterar begäranden med samma värdnamn som Azure Front Door använder externt.
Tillåt endast auktoriserad åtkomst till kontrollplanet. Använd Azure Front Door rollbaserad åtkomstkontroll (RBAC) för att begränsa åtkomsten till endast de identiteter som behöver den.
Blockera vanliga hot vid gränsen. WAF är integrerat med Azure Front Door. Aktivera WAF-regler på klientdelen för att skydda program från vanliga sårbarheter och sårbarheter vid nätverksgränsen, närmare attackkällan. Överväg geofiltrering för att begränsa åtkomsten till webbappen efter länder eller regioner.
Mer information finns i Azure Web Application Firewall på Azure Front Door.
Skydda mot oväntad trafik. Arkitekturen i Azure Front Door ger inbyggt DDoS-skydd för att skydda programslutpunkter från DDoS-attacker. Om du behöver exponera andra offentliga IP-adresser från ditt program kan du överväga att lägga till Standardplanen för Azure DDoS Protection för dessa adresser för avancerade skydds- och identifieringsfunktioner.
Det finns också WAF-regeluppsättningar som identifierar robottrafik eller oväntat stora trafikvolymer som potentiellt kan vara skadliga.
Skydda data under överföring. Aktivera TLS (End-to-End Transport Layer Security), HTTP till HTTPS-omdirigering och hanterade TLS-certifikat när det är tillämpligt. Mer information finns i metodtips för TLS för Azure Front Door.
Övervaka avvikande aktivitet. Granska regelbundet loggarna för att söka efter attacker och falska positiva identifieringar. Skicka WAF-loggar från Azure Front Door till organisationens centraliserade säkerhetsinformation och händelsehantering (SIEM), till exempel Microsoft Sentinel, för att identifiera hotmönster och införliva förebyggande åtgärder i arbetsbelastningsdesignen.
Rekommendationer
| Rekommendation | Fördel |
|---|---|
| Aktivera WAF-regeluppsättningar som identifierar och blockerar potentiellt skadlig trafik. Den här funktionen är tillgänglig på Premium-nivån. Vi rekommenderar följande regeluppsättningar: - standard - Botskydd - IP-begränsning - Geofiltrering - Hastighetsbegränsning |
Standardregeluppsättningar uppdateras ofta baserat på OWASP top-10 attacktyper och information från Microsoft Threat Intelligence. De specialiserade regeluppsättningarna identifierar vissa användningsfall. Robotregler klassificerar till exempel robotar som bra, dåliga eller okända baserat på klientens IP-adresser. De blockerar också dåliga robotar och kända IP-adresser och begränsar trafiken baserat på anroparnas geografiska plats. Genom att använda en kombination av regeluppsättningar kan du identifiera och blockera attacker med olika avsikter. |
|
Skapa undantag för hanterade regeluppsättningar. Testa en WAF-policy i detektionsläge i några veckor och justera eventuella falska positiva identifieringar innan den distribueras. |
Minska falska positiva resultat och tillåt legitima begäranden i ditt program. |
| Skicka -värdrubriken till ursprungsservern. | Serverdelstjänsterna bör vara medvetna om värdnamnet så att de kan skapa regler för att endast acceptera trafik från den värden. |
Skydda anslutningarna från Azure Front Door till ditt ursprung.
Aktivera Privatlänkanslutning till stödda ursprung. Om ditt ursprung inte stöder Private Link-anslutning använder du tjänsttaggar och X-Azure-FDID-huvudet för att kontrollera att källan till begäran är din Azure Front Door-profil. |
Se till att all trafik flödar via Azure Front Door och får säkerhetsfördelar som DDoS-skydd och WAF-inspektion. |
| Aktivera TLS från slutpunkt till slutpunkt, HTTP till HTTPS-omdirigering och hanterade TLS-certifikat när det är tillämpligt. Granska bästa praxis för TLS för Azure Front Door. Använd TLS version 1.2 som lägsta tillåtna version med chiffer som är relevanta för ditt program. Azure Front Door-hanterade certifikat bör vara ditt standardval för smidig förvaltning. Men om du vill hantera livscykeln för certifikaten använder du dina egna certifikat i anpassad Azure Front Door-domän slutpunkter och lagrar dem i Key Vault. |
TLS säkerställer att datautbyten mellan webbläsaren, Azure Front Door och ursprunget krypteras för att förhindra manipulering. Key Vault erbjuder hanterat certifikatstöd och enkel certifikatförnyelse och rotation. |
Kostnadsoptimering
Kostnadsoptimering fokuserar på identifiera utgiftsmönster, prioritera investeringar inom kritiska områden och optimera i andra för att uppfylla organisationens budget samtidigt som affärskraven uppfylls.
Designprinciperna för kostnadsoptimering tillhandahåller en övergripande designstrategi för att uppnå dessa mål och göra avvägningar vid behov i en teknisk design som rör Azure Front Door och dess miljö.
Checklista för design
Starta din designstrategi utifrån checklistan för designgranskning av kostnadsoptimering för investeringar. Finjustera designen så att arbetsbelastningen är i linje med den budget som allokeras för arbetsbelastningen. Din design bör använda rätt Azure-funktioner, övervaka investeringar och hitta möjligheter att optimera över tid.
Granska tjänstnivåer och priser. Använd priskalkylatorn för för att beräkna de realistiska kostnaderna för varje nivå i Azure Front Door. Jämför funktionerna och lämpligheten för varje nivå för ditt scenario. Till exempel stöder endast Premium-nivån anslutning till ditt ursprung via Private Link.
Standard-SKU:n är mer kostnadseffektiv och lämplig för måttliga trafikscenarier. I Premium SKU betalar du ett högre enhetspris, men du får tillgång till säkerhetsförmåner och avancerade funktioner som hanterade regler i WAF och Private Link. Överväg kompromisserna om tillförlitlighet och säkerhet baserat på dina affärskrav.
Överväg bandbreddskostnader. Bandbreddskostnaderna för Azure Front Door beror på vilken nivå du väljer och vilken typ av dataöverföring du har. Mer information om Azure Front Door-fakturering finns i Förstå Azure Front Door-fakturering.
Azure Front Door tillhandahåller inbyggda rapporter för fakturerbara mått. Information om hur du utvärderar kostnaderna för bandbredd och var du kan fokusera optimeringsarbetet finns i Azure Front Door-rapporter.
Optimera inkommande begäranden. Azure Front Door fakturerar inkommande begäranden. Du kan ange begränsningar i designkonfigurationen.
Minska antalet begäranden med hjälp av designmönster som Serverdel för frontendenheter och Gateway-aggregation. Dessa mönster kan förbättra effektiviteten i dina åtgärder.
WAF-regler begränsar inkommande trafik, vilket kan optimera kostnaderna. Använd till exempel hastighetsbegränsning för att förhindra onormalt höga trafiknivåer eller använda geofiltrering för att endast tillåta åtkomst från specifika regioner eller länder.
Använd resurser effektivt. Azure Front Door använder en routningsmetod som hjälper till med resursoptimering. Om inte arbetsbelastningen är extremt svarstidskänslig distribuerar du trafiken jämnt över alla miljöer för att effektivt använda distribuerade resurser.
Azure Front Door-slutpunkter kan hantera många filer. Ett sätt att minska bandbreddskostnaderna är att använda komprimering.
Använd cachelagring i Azure Front Door för innehåll som inte ändras ofta. Eftersom innehållet hanteras från en cache sparar du på bandbreddskostnader som uppstår när begäran vidarebefordras till ursprunget.
Överväg att använda en delad instans som tillhandahålls av organisationen. Kostnader som uppstår från centraliserade tjänster delas mellan arbetsbelastningarna. Tänk dock på kompromissen som påverkar :s tillförlitlighet. För verksamhetskritiska program som har höga tillgänglighetskrav rekommenderar vi en autonom instans.
Var uppmärksam på mängden data som loggas. Kostnader relaterade till både bandbredd och lagring kan ackumuleras om vissa begäranden inte behövs eller om loggningsdata behålls under en längre tid.
Rekommendationer
| Rekommendation | Fördel |
|---|---|
| Använd cachelagring för slutpunkter som stöder det. | Cachelagring optimerar kostnaderna för dataöverföring eftersom det minskar antalet anrop från din Azure Front Door-instans till ursprunget. |
|
Överväg att aktivera filkomprimering. För den här konfigurationen måste programmet ha stöd för komprimering och cachelagring måste vara aktiverat. |
Komprimering minskar bandbreddsförbrukningen och förbättrar prestandan. |
| Inaktivera hälsokontroller i ursprungsgrupper med ett enda ursprung. Om du bara har ett ursprung som konfigurerats i din Azure Front Door-ursprungsgrupp är dessa anrop onödiga. |
Du kan spara på bandbreddskostnader genom att inaktivera hälsokontrollbegäranden som inte krävs för att fatta routningsbeslut. |
Operational Excellence
Operational Excellence fokuserar främst på procedurer för utvecklingsmetoder, observerbarhet och versionshantering.
Designprinciperna för Operational Excellence tillhandahåller en övergripande designstrategi för att uppnå dessa mål för driftskraven av arbetsbelastningen.
Checklista för design
Starta din designstrategi baserat på checklistan för designgranskning för Operational Excellence för att definiera processer för observerbarhet, testning och distribution som är relaterade till Azure Front Door.
Använd IaC-tekniker (infrastruktur som kod). Använd IaC-tekniker som Bicep- och Azure Resource Manager-mallar för att etablera Azure Front Door-instansen. Dessa deklarativa metoder ger konsekvens och enkelt underhåll. Genom att till exempel använda IaC-tekniker kan du enkelt använda nya regeluppsättningsversioner. Använd alltid den senaste API-versionen.
Förenkla konfigurationer. Använd Azure Front Door för att enkelt hantera konfigurationer. Anta till exempel att din arkitektur stöder mikrotjänster. Azure Front Door stöder omdirigeringsfunktionerså att du kan använda sökvägsbaserad omdirigering för att rikta in dig på enskilda tjänster. Ett annat användningsfall är konfigurationen av jokerteckendomäner.
Hantera progressiv exponering. Azure Front Door tillhandahåller flera routningsmetoder. För en vägd belastningsutjämningsmetod kan du använda en kanarieförsättning för att dirigera en viss procentandel av trafiken till ett ursprung. Den här metoden hjälper dig att testa nya funktioner och versioner i en kontrollerad miljö innan du distribuerar dem.
Samla in och analysera driftdata som en del av arbetsbelastningsövervakningen. Samla in relevanta Azure Front Door-loggar och mått med loggar från Azure Monitor. Dessa data hjälper dig att felsöka, förstå användarbeteenden och optimera åtgärder.
Avlasta certifikathantering till Azure. Underlätta driftbelastningen i samband med certifieringsrotation och förnyelser.
Rekommendationer
| Rekommendation | Fördel |
|---|---|
| Använd HTTP till HTTPS-omdirigering för att stödja vidarebefordran av kompatibilitet. | När omdirigering är aktiverat omdirigerar Azure Front Door automatiskt klienter som använder äldre protokoll för att använda HTTPS för en säker upplevelse. |
|
Samla in loggar och mätvärden. Inkludera resursaktivitetsloggar, åtkomstloggar, hälsoavsökningsloggar och WAF-loggar. Konfigurera aviseringar. |
Övervakning av inkommande flöde är en viktig del av övervakningen av ett program. Du vill spåra begäranden och göra prestanda- och säkerhetsförbättringar. Du behöver data för att felsöka din Azure Front Door-konfiguration. Med aviseringar på plats kan du få omedelbara meddelanden om eventuella kritiska driftsproblem. |
| Granska inbyggda analysrapporterna. | En holistisk vy över din Azure Front Door-profil hjälper till att förbättra trafik- och säkerhetsrapporter via WAF-mått. |
| Använd hanterade TLS-certifikat när det är möjligt. | Azure Front Door kan utfärda och hantera certifikat åt dig. Den här funktionen eliminerar behovet av certifikatförnyelser och minimerar risken för avbrott på grund av ett ogiltigt eller utgånget TLS-certifikat. |
| Använd wildcard-TLS-certifikat. | Du behöver inte ändra konfigurationen för att lägga till eller ange varje underdomän separat. |
Prestandaeffektivitet
Prestandaeffektivitet handlar om att upprätthålla användarupplevelsen även när det är en ökning av belastningen genom att hantera kapaciteten. Strategin omfattar skalning av resurser, identifiering och optimering av potentiella flaskhalsar och optimering för högsta prestanda.
Designprinciperna för prestandaeffektivitet tillhandahåller en designstrategi på hög nivå för att uppnå dessa kapacitetsmål mot förväntade användning.
Checklista för design
Börja din designstrategi utifrån checklistan för designgranskning för prestandaeffektivitet. Definiera en baslinje som baseras på viktiga prestandaindikatorer för Azure Front Door.
Planera kapacitet genom att analysera dina förväntade trafikmönster. Utför noggranna tester för att förstå hur ditt program presterar under olika belastningar. Tänk på faktorer som samtidiga transaktioner, begärandefrekvenser och dataöverföring.
Basera dina SKU-val på den planeringen. Standard-SKU:n är mer kostnadseffektiv och lämplig för måttliga trafikscenarier. Om du förväntar dig högre belastningar rekommenderar vi Premium SKU.
Analysera prestandadata genom att regelbundet granska prestandamått. Azure Front Door-rapporter ge insikter om olika mått som fungerar som prestandaindikatorer på tekniknivå.
Använd Azure Front Door-rapporter för att ange realistiska prestandamål för din arbetsbelastning. Tänk på faktorer som svarstider, dataflöde och felfrekvenser. Anpassa målen efter dina affärskrav och användarnas förväntningar.
Optimera dataöverföringar.
Använd cachelagring för att minska svarstiden för att hantera statiskt innehåll, till exempel bilder, formatmallar och JavaScript-filer eller innehåll som inte ändras ofta.
Optimera ditt program för cachelagring. Använd cachens förfallohuvuden i programmet som styr hur länge innehållet ska cachelagras av klienter och proxyservrar. Längre cache giltighet innebär mindre frekventa begäranden till ursprungsservern, vilket resulterar i minskad trafik och lägre svarstid.
Minska storleken på filer som överförs via nätverket. Mindre filer leder till snabbare inläsningstider och förbättrad användarupplevelse.
Minimera antalet serverdelsbegäranden i programmet.
En webbsida visar till exempel användarprofiler, aktuella beställningar, saldon och annan relaterad information. I stället för att göra separata begäranden för varje uppsättning information använder du designmönster för att strukturera ditt program så att flera begäranden aggregeras till en enda begäran.
Uppdatera klienterna så att de använder HTTP/2-protokollet, som kan kombinera flera begäranden till en enda TCP-anslutning.
Använd WebSockets för att stödja realtidskommunikation med full duplex i stället för att göra upprepade HTTP-begäranden eller avsökningar.
Genom att aggregera begäranden skickar du mindre data mellan klientdelen och serverdelen och upprättar färre anslutningar mellan klienten och serverdelen, vilket minskar kostnaderna. Dessutom hanterar Azure Front Door färre begäranden, vilket förhindrar överbelastning.
Optimera användningen av hälsoövervakning. Hämta hälsoinformation från hälsoavsökningar endast när ursprungsstatusen ändras. Hitta en balans mellan övervakningsnoggrannhet och minimera onödig trafik.
Hälsoavsökningar används vanligtvis för att utvärdera hälsotillståndet för flera ursprung i en grupp. Om du bara har ett ursprung konfigurerat i din Azure Front Door-ursprungsgrupp inaktiverar du hälsoavsökningar för att minska onödig trafik på ursprungsservern. Eftersom det bara finns en instans påverkar hälsoavsökningens status inte routningen.
Granska ursprungsroutningsmetoden. Azure Front Door tillhandahåller olika routningsmetoder, inklusive svarstidsbaserad, prioritetsbaserad, viktad och sessionstillhörighetsbaserad routning, till ursprunget. Dessa metoder påverkar programmets prestanda avsevärt. Mer information om det bästa trafikstyrningsalternativet för ditt scenario finns i Trafikstyrningsmetoder för källa.
Granska platsen för ursprungsservrar. Ursprungsservrarnas plats påverkar programmets svarstider. Ursprungsservrar bör vara närmare användarna. Azure Front Door ser till att användare från en specifik plats får åtkomst till närmaste Startpunkt för Azure Front Door. Prestandafördelarna omfattar snabbare användarupplevelse, bättre användning av svarstidsbaserad routning av Azure Front Door och minimerad dataöverföringstid med hjälp av cachelagring, vilket lagrar innehåll närmare användarna.
Mer information finns i rapporten Trafik efter plats.
Rekommendationer
| Rekommendation | Fördel |
|---|---|
|
Aktivera cachelagring. Du kan optimera frågesträngar för cachelagring. För rent statiskt innehåll ignorerar du frågesträngar för att maximera din användning av cacheminnet. Om ditt program använder frågesträngar bör du överväga att inkludera dem i cachenyckeln. Genom att inkludera frågesträngarna i cachenyckeln kan Azure Front Door hantera cachelagrade svar eller andra svar baserat på din konfiguration. |
Azure Front Door erbjuder en robust nätverkslösning för innehållsleverans som cachelagrar innehåll i utkanten av nätverket. Cachelagring minskar belastningen på ursprungsservrarna och minskar dataflytten i nätverket, vilket hjälper till att avlasta bandbreddsanvändningen. |
| Använd filkomprimering när du kommer åt nedladdningsbart innehåll. | Komprimering i Azure Front Door hjälper till att leverera innehåll i optimalt format, har en mindre nyttolast och levererar innehåll till användarna snabbare. |
När du konfigurerar hälsoavsökningar i Azure Front Door bör du överväga att använda HEAD-förfrågningar istället för GET. Hälsoavsökningen läser endast statuskoden, inte innehållet. |
Med HEAD-begäranden kan du utföra frågor gällande en tillståndsändring utan att hämta hela innehållet. |
| Utvärdera om du ska aktivera sessionstillhörighet när begäranden från samma användare ska dirigeras till samma ursprungsserver. Ur ett tillförlitlighetsperspektiv rekommenderar vi inte den här metoden. Om du använder det här alternativet bör programmet återställas korrekt utan att störa användarsessioner. Det finns också en kompromiss när det gäller belastningsutjämning eftersom det begränsar flexibiliteten att distribuera trafik över flera ursprung jämnt. |
Optimera prestanda och upprätthålla kontinuitet för användarsessioner, särskilt när program förlitar sig på att underhålla tillståndsinformation lokalt. |
Azure-principer
Azure tillhandahåller en omfattande uppsättning inbyggda principer som rör Azure Front Door och dess beroenden. Några av föregående rekommendationer kan granskas via Azure-principer. Du kan till exempel kontrollera om:
- Du behöver Premium-nivån för att stödja hanterade WAF-regler och Private Link i Azure Front Door-profiler.
- Du måste använda den lägsta TLS-versionen, som är version 1.2.
- Du behöver säker, privat anslutning mellan Azure Front Door Premium- och Azure PaaS-tjänster.
- Du måste aktivera resursloggar. WAF bör ha aktiverat kontroll av begärandetext.
- Du måste använda policyer för att genomdriva WAF-regeluppsättningen. Du bör till exempel aktivera robotskydd och aktivera regler för hastighetsbegränsning.
Omfattande styrning uppnås genom att granska inbyggda definitioner för Azure Content Delivery Network och andra Azure Front Door-policyer som listas i Azure Policys inbyggda policydefinitioner.
Azure Advisor-rekommendationer
Azure Advisor är en anpassad molnkonsult som hjälper dig att följa metodtipsen för att optimera dina Azure-distributioner. Advisor-rekommendationerna är anpassade till Well-Architected Framework-pelare.
Mer information finns i rekommendationerna i Azure Advisor.
Nästa steg
Tänk på följande artiklar som resurser som visar de rekommendationer som markeras i den här artikeln.
- Använd följande referensarkitekturer som exempel på hur du kan använda den här artikelns vägledning för en arbetsbelastning:
- Skapa implementeringsexpertis med hjälp av följande produktdokumentation: