计划和实现 Azure Front Door(包括内容分发网络 (CDN))
无论是传送内容和文件,还是构建全局应用和 API,Azure Front Door 都可以帮助你为用户提供更高的可用性、更低的延迟、更大的规模和更安全的体验,无论用户身在何处。
Azure Front Door 是 Microsoft 的新式云内容分发网络 (CDN),可以确保全球范围内的用户快速、可靠且安全地访问应用程序的静态和动态 Web 内容。 Azure Front Door 使用 Microsoft 的全球边缘网络来分发你的内容,该网络具有数百个分布在世界各地的全球和本地接入点 (POP),它们非常靠近你的企业和消费者最终用户。
注意
对于 Web 工作负载,强烈建议使用 Azure DDoS 防护和 Web 应用程序防护墙来抵御新兴的 DDoS 攻击。 另一种选择是将 Azure Front Door 与 Web 应用程序防火墙一起使用。 Azure Front Door 提供平台级保护来抵御网络级 DDoS 攻击。
Azure Front Door 使面向 Internet 的应用程序能够:
- 使用高度自动化、安全且可靠的平台构建并运营新式 Internet 优先体系结构,该体系结构可提供动态、高质量的数字体验。
- 在全球范围内大规模加速和分发你的应用和内容,无论你的用户位于何处,无论天气如何变化,都可以为你创造竞争机会,并快速适应新的需求和市场。
- 借助采用了零信任框架的智能安全,智能地保护你的数字财产免受已知的和新的威胁侵害。
关键优势
使用 Microsoft 的网络实现全球分发
使用 Microsoft 的全球云 CDN 和 WAN 横向扩展你的应用程序和内容并提高其性能。
- 使用专用企业级 WAN 利用连接到 Azure 的 100 多个大都市中的 118 个边缘地点,将应用的延迟时间降低 3 倍之多。
- 使用 Front Door 的任意广播网络和拆分 TCP 连接加速应用程序性能。
- 在边缘终止 SSL 卸载并使用集成的证书管理。
- 原生支持端到端 IPv6 连接和 HTTP/2 协议。
提供新式应用和体系结构
使用云原生体验在 Azure 上使你的 Internet 优先应用程序实现现代化
- 在不同语言 SDK、Bicep、Azure 资源管理器模板、CLI 和 PowerShell 中与 DevOps 友好命令行工具集成。
- 定义支持灵活域验证的 自定义域 。
- 跨各种源进行负载均衡并对流量进行路由,跨在 Azure 中或在任何位置托管的应用或内容使用智能运行状况探测监视。
- 与其他 Azure 服务(例如 DNS、Web 应用、存储,等等)进行集成,以执行域和源管理。
- 使用增强的规则引擎功能(包括正则表达式和服务器变量)将路由业务逻辑移动到边缘。
- 在一体式仪表板中分析 Front Door 和安全模式的内置报告。
- 实时监视 Front Door 流量,并配置与 Azure Monitor 集成的警报。
- 记录每个 Front Door 请求和失败的运行状况探测。
简单且经济高效
- 在单个层中提供统一的静态和动态分发,以通过缓存、SSL 卸载和第 3-4 层 DDoS 保护来加速和缩放应用程序。
- 托管的 SSL 证书免费且自动轮换,可节省时间并快速保护应用和内容。
- 入门费用低且成本模型简单,该模型减少了需要规划的计量表数量,从而降低了计费复杂性。
- 采用 Azure 到 Front Door 集成式流出量定价,节省了从 Azure 区域到 Azure Front Door 的单独流出量费用。
智能的安全 Internet 外围
- 使用内置的第 3-4 层 DDoS 保护、无缝连接的 Web 应用程序防火墙 (WAF) 保护应用程序,并使用 Azure DNS 来保护域。
- 使用 WAF 保护应用程序免受第 7 层 DDoS 攻击。
- 使用基于 Microsoft 自己的威胁情报的机器人管理器规则,保护你的应用程序免受恶意行为者的攻击。
- 使用专用链接以私密方式连接到位于 Azure Front Door 后面的后端,并采用零信任访问模型。
- 通过 Azure Policy 和 Azure 顾问为你的应用程序提供集中式安全体验,从而确保跨应用实现一致的安全功能。
Azure Front Door 与 Azure CDN 服务之间的比较
Azure Front Door 和 Azure CDN 都是 Azure 服务,在应用程序层提供具有智能路由和缓存功能的全局内容交付。 这两项服务都可用于优化和加速应用程序,方法是提供靠近用户的全球分布式接入点网络 (POP)。 这两项服务还提供各种功能,可帮助保护应用程序免受恶意攻击,并帮助监视应用程序的运行状况和性能。
注意
若要在层之间切换,需重新创建 Azure Front Door 配置文件。 可以使用迁移功能将现有的 Azure Front Door 配置文件移动到新层。 有关从标准升级到高级的详细信息,请参阅升级功能。
服务比较
下表提供了 Azure Front Door 与 Azure CDN 服务之间的比较。
| 功能和优化 | Front Door 标准 | Front Door 高级 | Front Door 经典 | Azure CDN 标准 Microsoft | Azure CDN 标准 Edgio | Azure CDN 高级 Edgio |
|---|---|---|---|---|---|---|
| 交付和加速 | ||||||
| 静态文件交付 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 动态站点交付 | ✓ | ✓ | ✓ | ✓ | ✓ | |
| 域和证书 | ||||||
| 自定义域 | ✓ - 基于 DNS TXT 记录的域验证 | ✓ - 基于 DNS TXT 记录的域验证 | ✓ - 基于 CNAME 的验证 | ✓ - 基于 CNAME 的验证 | ✓ - 基于 CNAME 的验证 | ✓ - 基于 CNAME 的验证 |
| 预先验证的域与 Azure PaaS 服务的集成 | ✓ | ✓ | ||||
| HTTPS 支持 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 自定义域 HTTPS | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 使用自己的证书 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 支持的 TLS 版本 | TLS1.3、TLS1.2、TLS1.0 | TLS1.3 TLS1.2、TLS1.0 | TLS1.3、TLS1.2、TLS1.0 | TLS1.3、TLS 1.2、TLS 1.0/1.1 | TLS 1.2、TLS 1.3 | TLS 1.2、TLS 1.3 |
| 缓存 | ||||||
| 查询字符串缓存 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 缓存管理(清除、规则和压缩) | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 快速清除 | ✓ | ✓ | ||||
| 资产预加载 | ✓ | ✓ | ||||
| 缓存行为设置 | ✓ - 使用标准规则引擎 | ✓ - 使用标准规则引擎 | ✓ - 使用标准规则引擎 | ✓ - 使用标准规则引擎 | ✓ | ✓ |
| 路由 | ||||||
| 原点负载均衡 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 基于路径的路由 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 规则引擎 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 服务器变量 | ✓ | ✓ | ||||
| 规则引擎中的正则表达式 | ✓ | ✓ | ✓ | |||
| URL 重定向/重写 | ✓ | ✓ | ✓ | ✓ | ✓ | |
| IPv4/IPv6 双协议栈 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| HTTP/2 支持 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 不按流量计费的路由首选项 | 不需要,因为从 Azure 源到 AFD 的数据传输免费,并且路径直接连接 | 不需要,因为从 Azure 源到 AFD 的数据传输免费,并且路径直接连接 | 不需要,因为从 Azure 源到 AFD 的数据传输免费,并且路径直接连接 | 不需要,因为从 Azure 源到 CDN 的数据传输免费,并且路径直接连接 | ✓ | ✓ |
| 原点端口 | 所有 TCP 端口 | 所有 TCP 端口 | 所有 TCP 端口 | 所有 TCP 端口 | 所有 TCP 端口 | 所有 TCP 端口 |
| 可自定义的、基于规则的内容分发引擎 | ✓ | ✓ | ✓ | ✓ 使用标准规则引擎 | ✓ 使用高级规则引擎 | |
| 移动设备规则 | ✓ | ✓ | ✓ | ✓ 使用标准规则引擎 | ✓ 使用高级规则引擎 | |
| 安全性 | ||||||
| 自定义 Web 应用程序防火墙 (WAF) 规则 | ✓ | ✓ | ✓ | |||
| Microsoft 托管规则集 | ✓ | ✓ - 仅默认规则集 1.1 或更低版本 | ||||
| 机器人防护 | ✓ | ✓ - 仅机器人管理器规则集 1.0 | ||||
| 到源的专用链接连接 | ✓ | |||||
| 地理筛选 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 令牌身份验证 | ✓ | |||||
| DDOS 保护 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| DDOS 保护 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 域前置阻止 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 分析和报告 | ||||||
| 监视 指标 | ✓(指标多于经典) | ✓(指标多于经典) | ✓ | ✓ | ✓ | ✓ |
| 高级分析/内置报表 | ✓ | ✓ - 包含 WAF 报告 | ✓ | |||
| 原始日志 - 访问日志和 WAF 日志 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 运行状况探测日志 | ✓ | ✓ | ||||
| 易于使用 | ||||||
| 轻松与 Azure 服务(例如存储和 Web 应用)集成 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 通过 REST API、.NET、Node.js 或 PowerShell 进行管理 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 压缩 MIME 类型 | 可配置性 | 可配置性 | 可配置性 | 可配置性 | 可配置性 | 可配置性 |
| 压缩编码 | gzip、brotli | gzip、brotli | gzip、brotli | gzip、brotli | gzip、deflate、bzip2 | gzip、deflate、bzip2、brotli |
| Azure Policy 集成 | ✓ | |||||
| Azure 咨询集成 | ✓ | ✓ | ✓ | ✓ | ✓ | |
| 使用 Azure Key Vault 的托管标识 | ✓ | ✓ | ||||
| 定价 | ||||||
| 简化的定价 | ✓ | ✓ | ✓ | ✓ | ✓ |