Perspektiva architektury Azure Well-Architected ve službě Azure Front Door
Azure Front Door je globální nástroj pro vyrovnávání zatížení a síť pro doručování obsahu, která směruje provoz HTTP a HTTPS. Azure Front Door zajišťuje a distribuuje provoz, který je nejblíže uživatelům aplikace.
Tento článek předpokládá, že jste si jako architekt prostudovali možnosti vyrovnávání zatížení a jako nástroj pro vyrovnávání zatížení pro vaši úlohu jste zvolili Azure Front Door. Předpokládá také, že je vaše aplikace nasazená do více oblastí v modelu aktivní-aktivní nebo aktivní-pasivní. Pokyny v tomto článku poskytují doporučení architektury, která jsou namapovaná na principy pilířů architektury Azure Well-Architected Framework.
Důležité
Jak používat tohoto průvodce
Každá část obsahuje kontrolní seznam návrhu , který představuje architektonické oblasti zájmu a strategie návrhu, které jsou lokalizovány do oboru technologie.
Tento článek obsahuje také doporučení týkající se technologických možností, které pomáhají tyto strategie materializovat. Doporučení nepředstavují vyčerpávající seznam všech konfigurací dostupných pro Službu Front Door a její závislosti. Místo toho vypisují klíčová doporučení mapovaná na perspektivy návrhu. Doporučení využijte k vytvoření testování konceptu nebo optimalizaci stávajících prostředí.
Základní architektura, která demonstruje klíčová doporučení: Kritická základní architektura s ovládacími prvky sítě.
Rozsah technologie
Tato kontrola se zaměřuje na vzájemně související rozhodnutí týkající se následujících prostředků Azure:
- Azure Front Door
Spolehlivost
Účelem pilíře spolehlivosti je poskytovat nepřetržité funkce tím, že se vytváří dostatečná odolnost a schopnost rychle se zotavit z selhání.
Principy návrhu spolehlivosti poskytují strategii návrhu na vysoké úrovni pro jednotlivé komponenty, systémové toky a systém jako celek.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro spolehlivost. Určete jeho význam pro vaše obchodní požadavky a mějte na paměti úrovně a funkce Azure Content Delivery Network. Rozšiřte strategii tak, aby zahrnovala další přístupy podle potřeby.
Odhad způsobu provozu a objemu. Výběr vrstvy může ovlivnit počet požadavků z klienta na hraniční zařízení Azure Front Door. Pokud potřebujete podporovat velký objem požadavků, zvažte úroveň Azure Front Door Premium, protože výkon má v konečném důsledku vliv na dostupnost. Existuje však kompromis s náklady. Tyto úrovně jsou popsané v tématu Efektivita výkonu.
Zvolte strategii nasazení. Základní přístupy k nasazení jsou aktivní-aktivní a aktivní-pasivní. Nasazení aktivní-aktivní znamená, že provoz obsluhuje několik prostředí nebo razítek, na kterých se úloha spouští. Nasazení typu aktivní-pasivní znamená, že veškerý provoz zpracovává pouze primární oblast, ale v případě potřeby převezme služby při selhání do sekundární oblasti. V nasazení ve více oblastech se razítka spouští v různých oblastech pro zajištění vyšší dostupnosti pomocí globálního nástroje pro vyrovnávání zatížení, jako je Azure Front Door, který distribuuje provoz. Proto je důležité nakonfigurovat nástroj pro vyrovnávání zatížení pro odpovídající přístup k nasazení.
Azure Front Door podporuje několik metod směrování, které můžete nakonfigurovat pro distribuci provozu v modelu aktivní-aktivní nebo aktivní-pasivní.
Předchozí modely mají mnoho variant. Můžete například nasadit model aktivní-pasivní s teplým náhradním dílem. V tomto případě se sekundární hostovaná služba nasadí s minimální možnou velikostí výpočetních prostředků a dat a spustí se bez zatížení. Po převzetí služeb při selhání se výpočetní a datové prostředky škálovat tak, aby zvládly zatížení z primární oblasti. Další informace najdete v tématu Klíčové strategie návrhu pro návrh ve více oblastech.
Některé aplikace potřebují, aby během relace uživatele zůstala připojení uživatelů na stejném serveru původu. Z hlediska spolehlivosti nedoporučujeme udržovat připojení uživatelů na stejném serveru původu. Co nejvíce se vyhněte spřažení relací.
Na serverech Azure Front Door a na serverech původu použijte stejný název hostitele. Pokud chcete zajistit, aby soubory cookie nebo adresy URL přesměrování správně fungovaly, při použití reverzního proxy serveru, jako je nástroj pro vyrovnávání zatížení, před webovou aplikací zachovejte původní název hostitele HTTP.
Implementujte model monitorování koncového bodu stavu. Vaše aplikace by měla zveřejnit koncové body stavu, které agregují stav důležitých služeb a závislostí, které vaše aplikace potřebuje k poskytování požadavků. Sondy stavu služby Azure Front Door používají koncový bod ke zjištění stavu serverů původu. Další informace najdete v tématu Model monitorování koncového bodu stavu.
Využijte integrované funkce sítě pro doručování obsahu ve službě Azure Front Door. Funkce sítě pro doručování obsahu služby Azure Front Door má stovky hraničních umístění a může pomoct odolat útokům DDoS (Distributed Denial of Service). Tyto funkce pomáhají zvýšit spolehlivost.
Zvažte možnost redundantní správy provozu. Azure Front Door je globálně distribuovaná služba, která běží jako jednoúčelová služba v prostředí. Azure Front Door je potenciální kritický bod selhání systému. Pokud služba selže, klienti nebudou mít během výpadku přístup k vaší aplikaci.
Redundantní implementace můžou být složité a nákladné. Zvažte je pouze u kritických úloh, které mají velmi nízkou toleranci k výpadku. Pečlivě zvažte kompromisy.
- Pokud nezbytně potřebujete redundantní směrování, přečtěte si téma Globální redundance směrování.
- Pokud potřebujete redundanci jenom k poskytování obsahu v mezipaměti, přečtěte si téma Globální doručování obsahu.
Doporučení
| Doporučení | Výhoda |
|---|---|
| Zvolte metodu směrování , která podporuje vaši strategii nasazení. Vážená metoda, která distribuuje provoz na základě nakonfigurovaného koeficientu hmotnosti, podporuje modely aktivní-aktivní. Hodnota založená na prioritě, která konfiguruje primární oblast tak, aby přijímala veškerý provoz a odesílala provoz do sekundární oblasti jako zálohu, podporuje modely aktivní-pasivní. Zkombinujte předchozí metody s latencí tak, aby zdroj s nejnižší latencí přijímal provoz. |
Nejlepší zdroj zdrojů můžete vybrat pomocí řady rozhodovacích kroků a návrhu. Vybraný zdroj obsluhuje provoz v povoleném rozsahu latence v zadaném poměru hmotností. |
| Podpora redundance tím, že v jednom nebo více back-endových fondech máte více zdrojů. Vždy mějte redundantní instance aplikace a ujistěte se, že každá instance zveřejňuje koncový bod nebo zdroj. Tyto zdroje můžete umístit do jednoho nebo více back-endových fondů. |
Více zdrojů podporuje redundanci tím, že distribuuje provoz mezi více instancí aplikace. Pokud je jedna instance nedostupná, provoz můžou přijímat i jiné back-endové zdroje. |
| Nastavte sondy stavu na zdroji. Nakonfigurujte Službu Azure Front Door tak, aby prováděla kontroly stavu, abyste zjistili, jestli je back-endová instance dostupná a připravená k dalšímu přijímání požadavků. |
Povolené sondy stavu jsou součástí implementace modelu monitorování stavu. Sondy stavu zajišťují, že Služba Azure Front Door směruje provoz jenom do instancí, které jsou dostatečně v pořádku, aby zvládly požadavky. Další informace najdete v tématu Osvědčené postupy pro sondy stavu. |
| Nastavte časový limit pro přeposílání žádostí do back-endu. Upravte nastavení časového limitu podle potřeb koncových bodů. Pokud to neuděláte, služba Azure Front Door může připojení ukončit dřív, než zdroj odešle odpověď. Výchozí časový limit služby Azure Front Door můžete také snížit, pokud mají všechny vaše původní zdroje kratší časový limit. Další informace najdete v tématu Řešení potíží s nereagujícími požadavky. |
Vypršení časových limitů pomáhá předcházet problémům s výkonem a dostupností tím, že ukončuje požadavky, které trvá déle, než se čekalo. |
| Ve službě Azure Front Door použijte stejný název hostitele a svůj původ. Azure Front Door může přepsat hlavičku hostitele příchozích požadavků, což je užitečné, pokud máte více vlastních názvů domén, které směrují na jeden zdroj. Přepsání hlavičky hostitele ale může způsobit problémy se soubory cookie požadavků a přesměrováním adresy URL. |
Nastavte stejný název hostitele, abyste zabránili selhání při spřažení relace, ověřování a autorizaci. Další informace najdete v tématu Zachování původního názvu hostitele HTTP mezi reverzním proxy serverem a jeho back-endovou webovou aplikací. |
| Rozhodněte, jestli vaše aplikace vyžaduje spřažení relací. Pokud máte vysoké požadavky na spolehlivost, doporučujeme zakázat spřažení relací. | Při spřažení relací zůstávají připojení uživatelů během relace uživatele na stejném původu. Pokud se tento zdroj stane nedostupným, může dojít k narušení uživatelského prostředí. |
| Využijte pravidla omezení rychlosti , která jsou součástí firewallu webových aplikací (WAF). | Omezte požadavky, abyste zabránili klientům v odesílání příliš velkého provozu do vaší aplikace. Omezení rychlosti vám může pomoct vyhnout se problémům, jako je opakovaná bouře. |
Zabezpečení
Účelem pilíře Zabezpečení je poskytnout sadě funkcí záruky důvěrnosti, integrity a dostupnosti .
Principy návrhu zabezpečení poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů tím, že uplatňují přístupy k technickému návrhu při omezování provozu přicházejícího přes Azure Front Door.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro zabezpečení. Identifikujte ohrožení zabezpečení a ovládací prvky pro zlepšení stavu zabezpečení. Rozšiřte strategii tak, aby zahrnovala další přístupy podle potřeby.
Projděte si standardní hodnoty zabezpečení pro Službu Azure Front Door.
Ochrana back-endových serverů Front-end funguje jako jediný bod příchozího přenosu dat do aplikace.
Azure Front Door používá pro přístup k původu aplikace Azure Private Link. Private Link vytvoří segmentaci, aby back-endy nemusely zveřejňovat veřejné IP adresy a koncové body. Další informace najdete v tématu Zabezpečení původu pomocí Private Link ve službě Azure Front Door Premium.
Nakonfigurujte back-endové služby tak, aby přijímaly jenom požadavky se stejným názvem hostitele, který používá služba Azure Front Door externě.
Povolte pouze autorizovaný přístup k řídicí rovině. Pomocí řízení přístupu na základě role (RBAC) služby Azure Front Door omezte přístup jenom na identity, které ho potřebují.
Blokování běžných hrozeb na hraničních zařízeních WAF je integrovaný se službou Azure Front Door. Povolte pravidla WAF na front-endech, abyste chránili aplikace před běžným zneužitím a ohrožením zabezpečení na okraji sítě, blíže ke zdroji útoku. Zvažte geografické filtrování, abyste omezili přístup k webové aplikaci podle zemí nebo oblastí.
Další informace najdete v tématu Azure Web Application Firewall ve službě Azure Front Door.
Ochrana služby Azure Front Door před neočekávaným provozem Azure Front Door používá k ochraně koncových bodů aplikace před útoky DDoS základní plán služby Azure DDoS Protection. Pokud potřebujete zveřejnit další veřejné IP adresy ze své aplikace, zvažte přidání standardního plánu DDoS Protection pro tyto adresy pro pokročilé možnosti ochrany a detekce.
Existují také sady pravidel WAF, které detekují provoz robota nebo neočekávaně velké objemy provozu, které by mohly být škodlivé.
Ochrana přenášených dat Povolte kompletní protokol TLS (Transport Layer Security), přesměrování z HTTP na HTTPS a spravované certifikáty TLS, pokud je to možné. Další informace najdete v tématu Osvědčené postupy protokolu TLS pro Službu Front Door.
Monitorujte neobvyklou aktivitu. Pravidelně kontrolujte protokoly a kontrolujte útoky a falešně pozitivní výsledky. Odesílat protokoly WAF ze služby Azure Front Door do centralizované správy informací o zabezpečení a událostí (SIEM) vaší organizace, jako je Microsoft Sentinel, za účelem detekce vzorů hrozeb a začlenění preventivních opatření do návrhu úloh.
Doporučení
| Doporučení | Výhoda |
|---|---|
| Povolte sady pravidel WAF, které detekují a blokují potenciálně škodlivý provoz. Tato funkce je k dispozici na úrovni Premium. Doporučujeme tyto sady pravidel: - Výchozí - Ochrana robota - Omezení IP adres - Geografické filtrování - Omezování rychlosti |
Výchozí sady pravidel se často aktualizují na základě OWASP top-10 typů útoků a informací z Microsoft Threat Intelligence. Specializované sady pravidel detekují určité případy použití. Pravidla robota například klasifikují roboty jako dobré, špatné nebo neznámé na základě IP adres klienta. Blokují také chybné roboty a známé IP adresy a omezují provoz na základě zeměpisné polohy volajících. Pomocí kombinace sad pravidel můžete detekovat a blokovat útoky s různými záměry. |
| Vytvořte vyloučení pro spravované sady pravidel. Otestujte zásady WAF v režimu detekce několik týdnů a před nasazením upravte všechny falešně pozitivní výsledky. |
Snižte počet falešně pozitivních výsledků a povolte legitimní žádosti o vaši aplikaci. |
| Odešlete hlavičku hostitele do back-endu. | Back-endové služby by měly znát název hostitele, aby mohly vytvářet pravidla pro příjem provozu pouze z tohoto hostitele. |
| Povolte kompletní protokol TLS, přesměrování HTTP na HTTPS a spravované certifikáty TLS, pokud je to možné. Projděte si osvědčené postupy tls pro Službu Azure Front Door. Jako minimální povolenou verzi použijte protokol TLS verze 1.2 se šiframi, které jsou relevantní pro vaši aplikaci. Spravované certifikáty Služby Azure Front Door by měly být vaší výchozí volbou pro usnadnění provozu. Pokud ale chcete spravovat životní cyklus certifikátů, použijte vlastní certifikáty v koncových bodech vlastní domény služby Azure Front Door a uložte je do Key Vault. |
Protokol TLS zajišťuje šifrování výměn dat mezi prohlížečem, službou Azure Front Door a back-endovými zdroji, aby se zabránilo manipulaci. Key Vault nabízí podporu spravovaných certifikátů a jednoduché obnovení a obměně certifikátů. |
Optimalizace nákladů
Optimalizace nákladů se zaměřuje na zjišťování vzorců útraty, stanovení priorit investic v důležitých oblastech a optimalizaci v ostatních oblastech tak, aby splňovaly rozpočet organizace a současně splňovaly obchodní požadavky.
Principy návrhu optimalizace nákladů poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů a dosažení kompromisů podle potřeby v technickém návrhu souvisejícím se službou Azure Front Door a jejím prostředím.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro optimalizaci nákladů pro investice. Vylaďte návrh tak, aby úloha odpovídala rozpočtu přidělenému pro danou úlohu. Váš návrh by měl využívat správné možnosti Azure, monitorovat investice a hledat příležitosti k optimalizaci v průběhu času.
Projděte si úrovně a ceny služby Azure Front Door. Pomocí cenové kalkulačky můžete odhadnout reálné náklady na každou úroveň. Porovnejte funkce a vhodnost jednotlivých úrovní pro váš scénář. Například pouze úroveň Premium podporuje připojení k vašemu zdroji prostřednictvím Private Link.
Skladová položka Standard je nákladově efektivnější a vhodná pro scénáře s mírným provozem. V SKU Premium platíte vyšší jednotkovou sazbu, ale získáte přístup k výhodám zabezpečení a pokročilým funkcím, jako jsou spravovaná pravidla ve WAF a Private Link. Zvažte kompromisy v oblasti spolehlivosti a zabezpečení na základě vašich obchodních požadavků.
Zvažte náklady na šířku pásma. Náklady na šířku pásma služby Azure Front Door závisí na zvolené vrstvě a typu přenosu dat. Azure Front Door poskytuje integrované sestavy pro fakturovatelné metriky. Informace o posouzení nákladů souvisejících s šířkou pásma a umístěním, na které se můžete zaměřit při optimalizaci, najdete v tématu Sestavy služby Azure Front Door.
Optimalizujte příchozí požadavky. Služba Azure Front Door účtuje příchozí žádosti. V konfiguraci návrhu můžete nastavit omezení.
Snižte počet požadavků pomocí vzorů návrhu, jako je back-end pro front-endy a agregace brány. Tyto vzory můžou zlepšit efektivitu vašich operací.
Pravidla WAF omezují příchozí provoz, což může optimalizovat náklady. Můžete například použít omezení rychlosti, abyste zabránili neobvykle vysoké úrovni provozu, nebo geografické filtrování, abyste povolili přístup jenom z konkrétních oblastí nebo zemí.
Efektivně používejte prostředky. Azure Front Door používá metodu směrování, která pomáhá s optimalizací prostředků. Pokud úloha není extrémně citlivá na latenci, distribuujte provoz rovnoměrně napříč všemi prostředími, aby bylo možné efektivně využívat nasazené prostředky.
Koncové body Služby Azure Front Door můžou obsluhovat mnoho souborů. Jedním ze způsobů, jak snížit náklady na šířku pásma, je použít kompresi.
Ukládání do mezipaměti ve službě Azure Front Door použijte pro obsah, který se často nemění. Vzhledem k tomu, že se obsah obsluhuje z mezipaměti, ušetříte náklady na šířku pásma, které vzniknou při předávání požadavku na back-endy.
Zvažte použití sdílené instance, kterou poskytuje organizace. Náklady vzniklé z centralizovaných služeb se sdílejí mezi úlohami. Zvažte ale kompromis se spolehlivostí. Pro klíčové aplikace, které mají požadavky na vysokou dostupnost, doporučujeme autonomní instanci.
Věnujte pozornost množství zaprotokolovaných dat. Náklady související s šířkou pásma a úložištěm můžou narůstat, pokud nejsou nutné určité požadavky nebo pokud se data protokolování uchovávají po dlouhou dobu.
Doporučení
| Doporučení | Výhoda |
|---|---|
| Ukládání do mezipaměti použijte pro koncové body, které ho podporují. | Ukládání do mezipaměti optimalizuje náklady na přenos dat, protože snižuje počet volání z instance služby Azure Front Door do původního zdroje. |
| Zvažte povolení komprese souborů. Pro tuto konfiguraci musí aplikace podporovat kompresi a ukládání do mezipaměti musí být povolené. |
Komprese snižuje spotřebu šířky pásma a zlepšuje výkon. |
| Zakažte kontroly stavu v jednotlivých back-endových fondech. Pokud máte ve skupině původů služby Azure Front Door nakonfigurovaný jenom jeden zdroj, jsou tato volání zbytečná. |
Můžete ušetřit náklady na šířku pásma zakázáním požadavků, které nejsou potřeba k rozhodování o směrování. |
Efektivita provozu
Efektivita provozu se primárně zaměřuje na postupy pro vývojové postupy, pozorovatelnost a správu verzí.
Principy návrhu efektivity provozu poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů provozních požadavků úlohy.
Kontrolní seznam návrhu
Začněte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro efektivitu provozu , který umožňuje definovat procesy pozorovatelnosti, testování a nasazení související se službou Azure Front Door.
Použití technologií infrastruktury jako kódu (IaC). Ke zřízení instance služby Azure Front Door použijte technologie IaC, jako jsou šablony Bicep a Azure Resource Manager. Tyto deklarativní přístupy poskytují konzistenci a přímou údržbu. Například pomocí technologií IaC můžete snadno přijmout nové verze sady pravidel. Vždy používejte nejnovější verzi rozhraní API.
Zjednodušte konfiguraci. Azure Front Door umožňuje snadnou správu konfigurací. Předpokládejme například, že vaše architektura podporuje mikroslužby. Azure Front Door podporuje funkce přesměrování, takže můžete použít přesměrování založené na cestě k cílení na jednotlivé služby. Dalším případem použití je konfigurace zástupných domén.
Zvládnou progresivní vystavení pomocí metod směrování služby Azure Front Door. Pro přístup s váženým vyrovnáváním zatížení můžete použít kanárové nasazení, které odešle určité procento provozu do back-endu. Tento přístup vám pomůže otestovat nové funkce a verze v řízeném prostředí před jejich uvedením.
V rámci monitorování úloh můžete shromažďovat a analyzovat provozní data služby Azure Front Door. Zachytávejte relevantní protokoly a metriky služby Azure Front Door pomocí protokolů služby Azure Monitor. Tato data pomáhají řešit potíže, pochopit chování uživatelů a optimalizovat operace.
Přesměrování správy certifikátů do Azure Zjednodušte provozní zátěž spojenou s obměnou certifikace a prodloužením platnosti.
Doporučení
| Doporučení | Výhoda |
|---|---|
| Pro podporu dopředné kompatibility použijte přesměrování HTTP na HTTPS. | Pokud je přesměrování povolené, Azure Front Door automaticky přesměruje klienty, kteří používají starší protokol, aby používali protokol HTTPS, aby se zajistilo bezpečné prostředí. |
| Zachytávání protokolů a metrik Zahrňte protokoly aktivit prostředků, protokoly přístupu, protokoly sond stavu a protokoly WAF. Nastavte upozornění. |
Monitorování toku příchozího přenosu dat je klíčovou součástí monitorování aplikace. Chcete sledovat požadavky a vylepšovat výkon a zabezpečení. K ladění konfigurace služby Azure Front Door potřebujete data. Díky zavedeným upozorněním můžete dostávat okamžitá oznámení o případných kritických provozních problémech. |
| Projděte si integrované analytické sestavy. | Holistické zobrazení profilu služby Azure Front Door vám pomůže zlepšit provoz a sestavy zabezpečení prostřednictvím metrik WAF. |
| Pokud je to možné, používejte spravované certifikáty TLS. | Azure Front Door za vás může vydávat a spravovat certifikáty. Tato funkce eliminuje nutnost prodlužování platnosti certifikátů a minimalizuje riziko výpadku kvůli neplatnému nebo prošlým certifikátům TLS. |
| Použijte certifikáty TLS se zástupnými znakůmi sadou. | Pokud chcete přidat nebo zadat každou subdoménu zvlášť, nemusíte konfiguraci upravovat. |
Efektivita výkonu
Efektivita výkonu spočívá v zachování uživatelského prostředí, i když se zvýší zatížení , a to díky správě kapacity. Tato strategie zahrnuje škálování prostředků, identifikaci a optimalizaci potenciálních kritických bodů a optimalizaci výkonu ve špičce.
Principy návrhu efektivity výkonu poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů kapacity oproti očekávanému využití.
Kontrolní seznam návrhu
Začněte strategii návrhu na základě kontrolního seznamu kontroly návrhu pro efektivitu výkonu. Definujte standardní hodnoty založené na klíčových ukazatelích výkonu služby Azure Front Door.
Naplánujte kapacitu analýzou očekávaných vzorců provozu. Proveďte důkladné testování, abyste pochopili, jak vaše aplikace funguje při různých zatíženích. Vezměte v úvahu faktory, jako jsou souběžné transakce, frekvence požadavků a přenos dat.
Na základě toho založte výběr skladové položky. Skladová položka Standard je cenově výhodnější a je vhodná pro scénáře s mírným provozem. Pokud očekáváte vyšší zatížení, doporučujeme skladovou položku Premium.
Pravidelně si projděte sestavy služby Azure Front Door a analyzujte data o výkonu. Tyto sestavy poskytují přehledy o různých metrikách, které slouží jako ukazatele výkonu na úrovni technologie.
K nastavení realistických výkonnostních cílů pro vaši úlohu použijte sestavy služby Azure Front Door. Vezměte v úvahu faktory, jako jsou doby odezvy, propustnost a míra chyb. Srovnejte cíle s vašimi obchodními požadavky a očekáváními uživatelů.
Optimalizujte přenosy dat.
Ukládáním do mezipaměti můžete snížit latenci při obsluhování statického obsahu, jako jsou obrázky, šablony stylů a soubory JavaScriptu nebo obsah, který se často nemění.
Optimalizujte aplikaci pro ukládání do mezipaměti. V aplikaci použijte hlavičky vypršení platnosti mezipaměti, které určují, jak dlouho se má obsah ukládat do mezipaměti klienty a proxy servery. Delší platnost mezipaměti znamená méně časté požadavky na server původu, což vede ke snížení provozu a nižší latenci.
Zmenšete velikost souborů přenášených přes síť. Menší soubory vedou k rychlejšímu načítání a lepšímu uživatelskému prostředí.
Minimalizujte počet back-endových požadavků v aplikaci.
Webová stránka například zobrazuje profily uživatelů, poslední objednávky, zůstatky a další související informace. Místo vytváření samostatných požadavků na každou sadu informací použijte vzory návrhu ke strukturování aplikace tak, aby se několik požadavků agregovala do jednoho požadavku.
Agregací požadavků odesíláte méně dat mezi front-endem a back-endem a vytvoříte méně připojení mezi klientem a back-endem, což snižuje režii. Azure Front Door také zpracovává méně požadavků, což brání přetížení.
Optimalizujte používání sond stavu. Získání informací o stavu ze sond stavu pouze v případech, kdy se změní stav původu. Dosažení rovnováhy mezi přesností monitorování a minimalizací zbytečného provozu.
Sondy stavu se obvykle používají k posouzení stavu více původů v rámci skupiny. Pokud máte ve skupině původů služby Azure Front Door nakonfigurovaný jenom jeden zdroj, zakažte sondy stavu, abyste snížili zbytečný provoz na serveru původu. Vzhledem k tomu, že existuje pouze jedna instance, nebude stav sondy stavu mít vliv na směrování.
Zkontrolujte metodu směrování původu. Azure Front Door poskytuje různé metody směrování, včetně směrování na základě latence, na základě priority, váženého a na základě spřažení relací, ke zdroji. Tyto metody výrazně ovlivňují výkon vaší aplikace. Další informace o nejlepší možnosti směrování provozu pro váš scénář najdete v tématu Metody směrování provozu do zdroje.
Zkontrolujte umístění serverů původu. Umístění serverů původu má vliv na rychlost odezvy vaší aplikace. Servery původu by měly být blíže uživatelům. Azure Front Door zajišťuje, aby uživatelé z konkrétního umístění přistupovali k nejbližšímu vstupnímu bodu služby Azure Front Door. Mezi výhody z hlediska výkonu patří rychlejší uživatelské prostředí, lepší využití směrování na základě latence službou Azure Front Door a minimalizace doby přenosu dat pomocí ukládání obsahu do mezipaměti, které ukládá obsah blíže uživatelům.
Další informace najdete v tématu Sestava přenosů podle umístění.
Doporučení
| Doporučení | Výhoda |
|---|---|
| Povolte ukládání do mezipaměti. Řetězce dotazů můžete optimalizovat pro ukládání do mezipaměti. U čistě statického obsahu ignorujte řetězce dotazů, abyste maximalizovali využití mezipaměti. Pokud vaše aplikace používá řetězce dotazů, zvažte jejich zahrnutí do klíče mezipaměti. Zahrnutí řetězců dotazu do klíče mezipaměti umožňuje službě Azure Front Door poskytovat odpovědi z mezipaměti nebo jiné odpovědi na základě vaší konfigurace. |
Azure Front Door nabízí robustní síťové řešení pro doručování obsahu, které ukládá obsah do mezipaměti na okraji sítě. Ukládání do mezipaměti snižuje zatížení back-endových serverů a přesouvání dat po síti, což pomáhá snížit zatížení šířky pásma. |
| Při přístupu k obsahu ke stažení používejte kompresi souborů. | Komprese ve službě Azure Front Door pomáhá dodávat obsah v optimálním formátu, má menší datovou část a poskytuje obsah uživatelům rychleji. |
Při konfiguraci sond stavu ve službě Azure Front Door zvažte použití HEAD požadavků místo GET požadavků. Sonda stavu čte jenom stavový kód, ne obsah. |
HEAD požadavky umožňují dotazovat se na změnu stavu bez načtení celého obsahu. |
| Vyhodnoťte, jestli byste měli povolit spřažení relací , když by se požadavky od stejného uživatele měly směrovat na stejný back-endový server. Z hlediska spolehlivosti tento přístup nedoporučujeme. Pokud použijete tuto možnost, měla by se aplikace řádně obnovit bez přerušení uživatelských relací. Existuje také kompromis při vyrovnávání zatížení, protože omezuje flexibilitu rovnoměrné distribuce provozu mezi více back-endů. |
Optimalizujte výkon a udržujte kontinuitu uživatelských relací, zejména pokud aplikace spoléhají na místní správu informací o stavu. |
Zásady Azure
Azure poskytuje rozsáhlou sadu předdefinovaných zásad souvisejících se službou Azure Front Door a jejími závislostmi. Některá z předchozích doporučení je možné auditovat prostřednictvím zásad Azure. Můžete například zkontrolovat, jestli:
- Úroveň Premium potřebujete k podpoře spravovaných pravidel WAF a Private Link v profilech Služby Azure Front Door.
- Musíte použít minimální verzi protokolu TLS, což je verze 1.2.
- Potřebujete zabezpečené privátní připojení mezi službami Azure Front Door Premium a Azure PaaS.
- Musíte povolit protokoly prostředků. WAF by měl mít povolenou kontrolu textu požadavku.
- K vynucení sady pravidel WAF je potřeba použít zásady. Měli byste například povolit ochranu robota a zapnout pravidla omezování rychlosti.
Pokud chcete zajistit komplexní zásady správného řízení, projděte si předdefinované definice služby Azure Content Delivery Network a další zásady Služby Azure Front Door uvedené v Azure Policy předdefinovaných definicích zásad.
Doporučení Azure Advisoru
Azure Advisor je individuální cloudový konzultant, který vám pomůže dodržovat osvědčené postupy při optimalizaci nasazení Azure. Tady je několik doporučení, která vám můžou pomoct zlepšit spolehlivost, zabezpečení, nákladovou efektivitu, výkon a efektivitu provozu služby Azure Front Door.
Další kroky
Následující články zvažte jako zdroje informací, které ukazují doporučení zvýrazněná v tomto článku.
- Jako příklady použití pokynů v tomto článku pro úlohu použijte následující referenční architektury:
- Využijte následující dokumentaci k produktu a získejte zkušenosti s implementací:
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro