Nejčastější dotazy ke službě Azure Front Door

Azure Front Door je cloudová služba, která poskytuje aplikace rychleji a spolehlivěji. Používá vyrovnávání zatížení vrstvy 7 k distribuci provozu napříč několika oblastmi a koncovými body. Nabízí také akceleraci webu (DSA) pro optimalizaci výkonu webu a převzetí služeb při selhání téměř v reálném čase, aby se zajistila vysoká dostupnost. Azure Front Door je plně spravovaná služba, takže se nemusíte starat o škálování nebo údržbu.

Azure Front Door je služba, která nabízí mnoho výhod pro vaše webové aplikace, jako je akcelerace dynamického webu (DSA), která zlepšuje výkon a uživatelské prostředí vašich webů. Azure Front Door také zpracovává přesměrování zpracování TLS/SSL a koncové šifrování TLS, což zlepšuje zabezpečení a šifrování webového provozu. Kromě toho azure Front Door poskytuje firewall webových aplikací, spřažení relací na základě souborů cookie, směrování založené na cestě URL, bezplatné certifikáty a více správy domén a další. Další informace o funkcích a možnostech služby Azure Front Door najdete v porovnání vrstev.

Azure Front Door a Aplikace Azure Gateway jsou oba nástroje pro vyrovnávání zatížení pro provoz HTTP/HTTPS, ale mají různé obory. Front Door je globální služba, která může distribuovat požadavky napříč oblastmi, zatímco Application Gateway je regionální služba, která může vyrovnávat požadavky v rámci oblasti. Azure Front Door pracuje s jednotkami škálování, clustery nebo jednotkami kolku, zatímco služba Aplikace Azure Gateway pracuje s virtuálními počítači, kontejnery nebo jinými prostředky ve stejné jednotce škálování.

Application Gateway za službou Front Door je užitečná v těchto situacích:

• Přenosy chcete vyrovnávat nejen globálně, ale také ve vaší virtuální síti. Služba Front Door dokáže vyrovnávání zatížení založeného na cestě pouze na globální úrovni, ale služba Application Gateway ji může provádět ve vaší virtuální síti.
• Potřebujete Připojení vyprazdňování, které služba Front Door nepodporuje. Application Gateway může pro virtuální počítače nebo kontejnery povolit Připojení vyprazdňování.
• Chcete přesměrovat veškeré zpracování TLS/SSL a ve virtuální síti používat pouze požadavky HTTP. Tuto instalaci může dosáhnout služba Application Gateway za službou Front Door.
• Chcete použít spřažení relací na úrovni oblasti i serveru. Služba Front Door může odesílat provoz z uživatelské relace do stejného back-endu v oblasti, ale Služba Application Gateway ji může odeslat na stejný server v back-endu.

Pokud chcete používat Azure Front Door, musíte mít veřejnou VIRTUÁLNÍ IP adresu nebo název DNS, který je veřejně přístupný. Azure Front Door používá veřejnou IP adresu ke směrování provozu do vašeho původu. Běžným scénářem je nasazení služby Azure Load Balancer za front Door. K připojení k internímu nástroji pro vyrovnávání zatížení můžete také použít Private Link se službou Azure Front Door Premium. Další informace najdete v tématu Povolení služby Private Link s interním nástrojem pro vyrovnávání zatížení.

Azure Front Door podporuje PROTOKOL HTTP, HTTPS a HTTP/2.

Azure Front Door podporuje protokol HTTP/2 pro připojení klientů. Komunikace back-endového fondu ale používá protokol HTTP/1.1. Podpora HTTP/2 je ve výchozím nastavení zapnutá.

Pro Azure Front Door můžete použít různé typy původu, například:

• Storage (Azure Blob, Classic, Statické weby)
• Cloudová služba
• App Service
• Static Web App
• API Management
• Application Gateway
• Veřejná IP adresa
• Traffic Manager
• Azure Spring Apps
• Container Instances
• Container Apps
• Libovolný vlastní název hostitele s veřejným přístupem.

Původ musí mít veřejnou IP adresu nebo název hostitele DNS, který lze veřejně přeložit. Back-endy můžete kombinovat a shodovat s různými zónami, oblastmi nebo i mimo Azure, pokud jsou veřejně přístupné.

Azure Front Door není omezen na žádnou oblast Azure, ale funguje globálně. Jediné umístění, které musíte zvolit při vytváření služby Front Door, je umístění skupiny prostředků, která určuje, kde se ukládají metadata skupiny prostředků. Profil služby Front Door je globální prostředek a jeho konfigurace se distribuuje do všech hraničních umístění po celém světě.

Úplný seznam bodů přítomnosti (POPs), které poskytují globální vyrovnávání zatížení a doručování obsahu pro Azure Front Door, najdete v umístěních POP služby Azure Front Door. Tento seznam se pravidelně aktualizuje, protože se přidají nebo odeberou nové ip adresy. Rozhraní API Azure Resource Manageru můžete také použít k dotazování aktuálního seznamu BODŮ přístupu prostřednictvím kódu programu.

Azure Front Door je služba, která distribuuje vaši aplikaci globálně napříč několika oblastmi. Používá společnou infrastrukturu, kterou sdílí všichni její zákazníci, ale můžete přizpůsobit svůj vlastní profil služby Front Door tak, aby konfigurovala specifické požadavky vaší aplikace. Konfigurace jiných zákazníků nemají vliv na konfiguraci služby Front Door, která je izolovaná od jejich.

Komponenty řetězce hostitele, cesty a dotazu adresy URL můžete přesměrovat pomocí služby Azure Front Door. Informace o konfiguraci přesměrování adresy URL najdete v tématu Přesměrování adresy URL.

Front Door neřadí trasy pro vaši webovou aplikaci. Místo toho zvolí trasu, která nejlépe vyhovuje požadavku. Pokud chcete zjistit, jak služba Front Door odpovídá žádostem na trasy, přečtěte si, jak služba Front Door odpovídá požadavkům na pravidlo směrování.

Pokud chcete zajistit optimální výkon funkcí služby Front Door, měli byste povolit pouze provoz, který pochází z Azure Front Dooru, aby se dostal do vašeho původu. V důsledku toho neautorizované nebo škodlivé požadavky narazí na zásady zabezpečení a směrování služby Front Door a odepření přístupu. Informace o zabezpečení původu najdete v tématu Zabezpečení provozu do zdrojů služby Azure Front Door.

IP adresa front-endu front-endu vašeho front-endu je pevná a nemusí se měnit, pokud používáte Front Door. Pevná IP adresa front-endu vašeho front-endu služby Front Door ale není zárukou. Vyhněte se přímému spoléhání na IP adresu.

Azure Front Door je dynamická služba, která směruje provoz do nejlepšího dostupného back-endu. V tuto chvíli nenabízí statické ani vyhrazené IP adresy front-endového vysílání.

Ano. V části Protokoly přístupu se podívejte na vlastnost MatchedRulesSetName.

Ano. Další informace najdete v odpovědi společnosti Microsoft na útoky DDoS na http/2.

Azure Front Door podporuje hlavičky X-Forwarded-For, X-Forwarded-Host a X-Forwarded-Proto. Tyto hlavičky pomáhají službě Front Door identifikovat původní IP adresu a protokol klienta. Pokud už je X-Forwarded-For, front Door přidá IP adresu klientského soketu na konec seznamu. V opačném případě vytvoří hlavičku s IP adresou klientského soketu jako hodnotou. Pro X-Forwarded-Host a X-Forwarded-Proto služba Front Door nahradí existující hodnoty vlastním.

Další informace najdete v tématu Podporované hlavičky HTTP služby Front Door.

Čas nasazení nových konfigurací služby Front Door se liší v závislosti na typu změny. Obvykle trvá 3 až 20 minut, než se změny rozšíří do všech našich hraničních umístění po celém světě.

Aktualizace do tras nebo skupin původu nebo back-endových fondů jsou bezproblémové a nezpůsobí žádný výpadek (za předpokladu, že je nová konfigurace správná). Aktualizace certifikátů se také provádějí atomicky, takže nedochází k žádnému riziku výpadku.

Pokud chcete použít úroveň Azure Front Door Standard, Premium nebo (Classic), potřebujete veřejnou IP adresu nebo název DNS, který se dá veřejně přeložit. Tento požadavek veřejné IP adresy nebo názvu DNS, který je možné přeložit veřejně, umožňuje službě Azure Front Door směrovat provoz do vašich back-endových prostředků. Prostředky Azure, jako jsou Application Gateway nebo Azure Load Balancers, můžete použít ke směrování provozu do prostředků ve virtuální síti. Pokud používáte úroveň Front Door Premium, můžete se pomocí služby Private Link připojit k původu za interním nástrojem pro vyrovnávání zatížení s privátním koncovým bodem. Další informace najdete v tématu Zabezpečení zdrojů pomocí služby Private Link.

Skupina původu je kolekce původů, která dokáže zpracovávat podobné typy požadavků. Pro každou aplikaci nebo úlohu, která se liší, potřebujete jinou skupinu původu.

Ve skupině původu vytvoříte zdroj pro každý server nebo službu, která může obsluhovat požadavky. Pokud má váš původ nástroj pro vyrovnávání zatížení, jako je Aplikace Azure Gateway, nebo je hostovaný v PaaS, který má nástroj pro vyrovnávání zatížení, má skupina původu pouze jeden původ. Váš původ se postará o převzetí služeb při selhání a vyrovnávání zatížení mezi zdroji, které služba Front Door nevidí.

Pokud například hostujete aplikaci ve službě Aplikace Azure Service, způsob nastavení služby Front Door závisí na tom, kolik instancí aplikace máte:

• Nasazení v jedné oblasti: Vytvořte jednu skupinu původu. V této skupině původu vytvořte jeden zdroj pro aplikaci App Service. Aplikace App Service se může škálovat napříč pracovními procesy, ale Front Door vidí jeden původ.
• Aktivní/pasivní nasazení s více oblastmi: Vytvořte jednu skupinu původu. V této skupině původu vytvořte zdroj pro každou aplikaci App Service. Nastavte prioritu každého zdroje tak, aby hlavní aplikace má vyšší prioritu než zálohovací aplikace.
• Nasazení s více oblastmi aktivní/aktivní: Vytvořte jednu skupinu původu. V této skupině původu vytvořte zdroj pro každou aplikaci App Service. Nastavte prioritu každého zdroje tak, aby byla stejná. Nastavte váhu každého původu, abyste mohli řídit, kolik požadavků přejde do daného původu.

Další informace najdete v tématu Zdroje a skupiny původu ve službě Azure Front Door.

Azure Front Door je služba, která poskytuje rychlé a spolehlivé doručování webů pro vaše aplikace. Nabízí funkce, jako je ukládání do mezipaměti, vyrovnávání zatížení, zabezpečení a směrování. Musíte ale vědět o některých časových limitech a omezeních, které platí pro Azure Front Door. Mezi tyto časové limity a limity patří maximální velikost požadavku, maximální velikost odpovědi, maximální velikost záhlaví, maximální počet hlaviček, maximální počet pravidel a maximální počet skupin původu. Podrobné informace o těchto časových limitech a omezeních najdete v dokumentaci ke službě Azure Front Door.

Aktualizace konfigurace většiny sad pravidel se provádějí za méně než 20 minut. Pravidlo se použije hned po dokončení aktualizace.

Azure Front Door a Azure CDN jsou dvě služby, které poskytují rychlé a spolehlivé doručování webů pro vaše aplikace. Nejsou ale kompatibilní s ostatními, protože sdílejí stejnou síť hraničních webů Azure, aby doručily obsah uživatelům. Tato sdílená síť způsobuje konflikty mezi jejich zásadami směrování a ukládání do mezipaměti. Proto musíte pro svou aplikaci zvolit Azure Front Door nebo Azure CDN v závislosti na vašich požadavcích na výkon a zabezpečení.

Skutečnost, že oba profily používají stejné hraniční weby Azure ke zpracování příchozích požadavků, způsobuje toto omezení, které vám brání vnořit jeden profil služby Azure Front Door za druhým. Toto nastavení by způsobilo konflikty směrování a problémy s výkonem. Proto byste měli zajistit, aby profily služby Azure Front Door byly nezávislé a nebyly zřetězený, pokud potřebujete pro své aplikace použít více profilů.

Azure Front Door používá ke správě provozu mezi vašimi klienty a vašimi zdroji tři značky služeb:

• Značka služby AzureFrontDoor.Backend obsahuje IP adresy, které služba Front Door používá pro přístup k vašim zdrojům. Tuto značku služby můžete použít při konfiguraci zabezpečení pro vaše původy.
• Značka služby AzureFrontDoor.Frontend obsahuje IP adresy, které klienti používají pro přístup ke službě Front Door. Značku služby můžete použít AzureFrontDoor.Frontend , když chcete řídit odchozí provoz, který se může připojit ke službám za službou Azure Front Door.
• Značka služby AzureFrontDoor.FirstParty je vyhrazená pro výběrovou skupinu služby Microsoft hostovaných ve službě Azure Front Door.

Další informace o scénářích značek služeb Azure Front Door najdete v dostupných značkách služeb.

Azure Front Door má 5sekundový časový limit pro příjem hlaviček z klienta. Připojení se ukončí, pokud klient po navázání připojení TCP/TLS neodesílá hlavičky do služby Azure Front Door během 5 sekund. Tuto hodnotu časového limitu nemůžete nakonfigurovat.

Azure Front Door má 90sekundový časový limit udržování protokolu HTTP. Připojení se ukončí, pokud klient neodesílá data po dobu 90 sekund, což je časový limit udržování protokolu HTTP pro Azure Front Door. Tuto hodnotu časového limitu nemůžete nakonfigurovat.

Nemůžete použít stejné domény pro více než jeden koncový bod služby Front Door, protože služba Front Door potřebuje pro každý požadavek rozlišit trasu (protokol + kombinace hostitele + cesta). Pokud máte duplicitní trasy napříč různými koncovými body, Azure Front Door nemůže správně zpracovat požadavky.

V tuto chvíli nenabízíme možnost přesunu domén z jednoho koncového bodu do druhého bez přerušení služby. Pokud chcete migrovat domény do jiného koncového bodu, musíte naplánovat výpadek.

Azure Front Door je platforma, která distribuuje provoz po celém světě a dokáže vertikálně navýšit kapacitu tak, aby splňovala požadavky vaší aplikace. Využívá globální síťovou hranici Microsoftu k poskytování globální funkce vyrovnávání zatížení, která umožňuje přepnout celou aplikaci nebo konkrétní mikroslužby do různých oblastí nebo cloudů, pokud došlo k selhání.

Abyste se vyhnuli chybám při doručování velkých souborů, ujistěte se, že původní server obsahuje hlavičku Content-Range v odpovědi a že hodnota hlavičky odpovídá skutečné velikosti textu odpovědi.

Další podrobnosti o konfiguraci původu a služby Front Door pro doručování velkých souborů najdete v části Doručování velkých souborů.

Fronting domény je síťová technika, která útočníkovi umožňuje skrýt skutečný cíl škodlivého požadavku pomocí jiného názvu domény v metodě handshake protokolu TLS a hlavičky hostitele HTTP.

Služba Azure Front Door (úroveň Standard, Premium a Classic) nebo Azure CDN Standard z prostředků Microsoftu (Classic) vytvořených po 8. listopadu 2022 mají povolené blokování frontingu domény. Místo blokování požadavku s neshodou hlavního názvu služby (SNI) a hlaviček hostitelů povolujeme nesrovnalosti v případě, že tyto dvě domény patří do stejného předplatného a jsou zahrnuté v pravidlech směrování/tras. Vynucení blokování frontingu domény začne 22. ledna 2024 pro všechny existující domény. Vynucení může vyžadovat až dva týdny, aby se rozšířily do všech oblastí.

Když služba Front Door zablokuje požadavek kvůli neshodě:

• Klient obdrží odpověď s kódem chyby HTTP 421 Misdirected Request .
• Azure Front Door zaznamenává blok v diagnostických protokolech ve vlastnosti Informace o chybě s hodnotou SSLMismatchedSNI.

Další informace o frontingu domény najdete v tématu Zabezpečení přístupu k frontingu domény v Rámci Azure a zákaz frontingu domény ve službě Azure Front Door a Azure CDN Standard od Microsoftu (classic).

Front Door používá protokol TLS 1.2 jako minimální verzi pro všechny profily vytvořené po září 2019.

S Azure Front Doorem můžete použít protokol TLS 1.0, 1.1, 1.2 nebo 1.3. Další informace najdete v článku o koncovém protokolu TLS služby Azure Front Door.

Azure Front Door je služba, která poskytuje rychlé a zabezpečené doručování webů. Umožňuje definovat způsob směrování a optimalizace webového provozu napříč několika oblastmi a koncovými body. Prostředky Služby Azure Front Door, jako jsou profily služby Front Door a pravidla směrování, se účtují jenom v případě, že jsou povolené. Zásady a pravidla firewallu webových aplikací (WAF) se ale účtují bez ohledu na jejich stav. I když zásadu nebo pravidlo WAF zakážete, budou vám za vás stále účtovány náklady.

Informace o protokolech a dalších diagnostických možnostech najdete v tématu Monitorování metrik a protokolů pro službu Front Door.

Diagnostické protokoly můžete ukládat do svého vlastního účtu úložiště a zvolit, jak dlouho je chcete zachovat. Případně je možné diagnostické protokoly posílat do služby Event Hubs nebo do protokolů služby Azure Monitor. Další informace najdete v tématu Diagnostika služby Azure Front Door.

Pokud chcete získat přístup k protokolům auditu služby Azure Front Door, musíte navštívit portál. Na stránce nabídky vyberte svou front doorovou bránu a vyberte v protokolu aktivit. Protokol aktivit poskytuje záznamy operací služby Azure Front Door.

Upozornění pro Službu Azure Front Door můžete nastavit na základě metrik nebo protokolů. Tímto způsobem můžete monitorovat výkon a stav hostitelů front-endu.

Informace o vytváření upozornění pro Azure Front Door Standard a Premium najdete v tématu Konfigurace upozornění.

Další kroky

• Zjistěte, jak vytvořit profil služby Azure Front Door .
• Seznamte se s architekturou služby Azure Front Door.