Upravit

Sdílet prostřednictvím


Nejčastější dotazy ke službě Azure Front Door

Tento článek odpovídá na běžné otázky týkající se funkcí a funkcí služby Azure Front Door. Pokud odpověď na vaši otázku nevidíte, můžete nás kontaktovat prostřednictvím následujících kanálů (v eskalačním pořadí):

  1. Část s komentáři tohoto článku

  2. Zpětná vazba ke službě Azure Front Door

  3. podpora Microsoftu: Pokud chcete vytvořit novou žádost o podporu, na webu Azure Portal na kartě Nápověda vyberte tlačítko Nápověda a podpora a pak vyberte Nová žádost o podporu.

OBECNÉ

Co je Azure Front Door?

Azure Front Door je cloudová služba, která poskytuje aplikace rychleji a spolehlivěji. Používá vyrovnávání zatížení vrstvy 7 k distribuci provozu napříč několika oblastmi a koncovými body. Nabízí také akceleraci webu (DSA) pro optimalizaci výkonu webu a převzetí služeb při selhání téměř v reálném čase, aby se zajistila vysoká dostupnost. Azure Front Door je plně spravovaná služba, takže se nemusíte starat o škálování nebo údržbu.

Jaké funkce Azure Front Door podporuje?

Azure Front Door je služba, která nabízí mnoho výhod pro vaše webové aplikace, jako je akcelerace dynamického webu (DSA), která zlepšuje výkon a uživatelské prostředí vašich webů. Azure Front Door také zpracovává přesměrování zpracování TLS/SSL a koncové šifrování TLS, což zlepšuje zabezpečení a šifrování webového provozu. Kromě toho azure Front Door poskytuje firewall webových aplikací, spřažení relací na základě souborů cookie, směrování založené na cestě URL, bezplatné certifikáty a více správy domén a další. Další informace o funkcích a možnostech služby Azure Front Door najdete v porovnání vrstev.

Jaký je rozdíl mezi službou Azure Front Door a bránou Aplikace Azure lication Gateway?

Azure Front Door a Aplikace Azure lication Gateway jsou oba nástroje pro vyrovnávání zatížení pro provoz HTTP/HTTPS, ale mají různé obory. Front Door je globální služba, která může distribuovat požadavky napříč oblastmi, zatímco Application Gateway je regionální služba, která může vyrovnávat požadavky v rámci oblasti. Azure Front Door pracuje s jednotkami škálování, clustery nebo jednotkami kolku, zatímco služba Aplikace Azure lication Gateway pracuje s virtuálními počítači, kontejnery nebo jinými prostředky ve stejné jednotce škálování.

Kdy mám nasadit službu Application Gateway za službou Front Door?

Application Gateway za službou Front Door je užitečná v těchto situacích:

  • Přenosy chcete vyrovnávat nejen globálně, ale také ve vaší virtuální síti. Služba Front Door dokáže vyrovnávání zatížení založeného na cestě pouze na globální úrovni, ale služba Application Gateway ji může provádět ve vaší virtuální síti.
  • Potřebujete vyprazdňování připojení, které Front Door nepodporuje. Application Gateway může povolit vyprazdňování připojení pro virtuální počítače nebo kontejnery.
  • Chcete přesměrovat veškeré zpracování TLS/SSL a ve virtuální síti používat pouze požadavky HTTP. Tuto instalaci může dosáhnout služba Application Gateway za službou Front Door.
  • Chcete použít spřažení relací na úrovni oblasti i serveru. Služba Front Door může odesílat provoz z uživatelské relace do stejného back-endu v oblasti, ale Služba Application Gateway ji může odeslat na stejný server v back-endu.

Můžu nasadit Azure Load Balancer za Front Door?

Pokud chcete používat Azure Front Door, musíte mít veřejnou VIRTUÁLNÍ IP adresu nebo název DNS, který je veřejně přístupný. Azure Front Door používá veřejnou IP adresu ke směrování provozu do vašeho původu. Běžným scénářem je nasazení služby Azure Load Balancer za front Door. K připojení k internímu nástroji pro vyrovnávání zatížení můžete také použít Private Link se službou Azure Front Door Premium. Další informace najdete v tématu Povolení služby Private Link s interním nástrojem pro vyrovnávání zatížení.

Jaké protokoly Azure Front Door podporuje?

Azure Front Door podporuje PROTOKOL HTTP, HTTPS a HTTP/2.

Jak Azure Front Door podporuje HTTP/2?

Azure Front Door podporuje protokol HTTP/2 pro připojení klientů. Komunikace back-endového fondu ale používá protokol HTTP/1.1. Podpora HTTP/2 je ve výchozím nastavení zapnutá.

Jaký typ prostředků je aktuálně kompatibilní jako zdroj?

Pro Azure Front Door můžete použít různé typy původu, například:

  • Storage (Azure Blob, Classic, Statické weby)
  • Cloudová služba
  • App Service
  • Static Web App
  • API Management
  • Application Gateway
  • Veřejná IP adresa
  • Azure Spring Apps
  • Container Instances
  • Container Apps
  • Libovolný vlastní název hostitele s veřejným přístupem.

Původ musí mít veřejnou IP adresu nebo název hostitele DNS, který lze veřejně přeložit. Back-endy můžete kombinovat a shodovat s různými zónami, oblastmi nebo i mimo Azure, pokud jsou veřejně přístupné.

Ve kterých oblastech můžu nasadit služby Azure Front Door?

Azure Front Door není omezen na žádnou oblast Azure, ale funguje globálně. Jediné umístění, které musíte zvolit při vytváření služby Front Door, je umístění skupiny prostředků, která určuje, kde se ukládají metadata skupiny prostředků. Profil služby Front Door je globální prostředek a jeho konfigurace se distribuuje do všech hraničních umístění po celém světě.

Jaká jsou umístění bodů dostupnosti služby Azure Front Door (point-of-presence)?

Úplný seznam bodů přítomnosti (POPs), které poskytují globální vyrovnávání zatížení a doručování obsahu pro Azure Front Door, najdete v umístěních POP služby Azure Front Door. Tento seznam se pravidelně aktualizuje, protože se přidají nebo odeberou nové ip adresy. Rozhraní API Azure Resource Manageru můžete také použít k dotazování aktuálního seznamu BODŮ přístupu prostřednictvím kódu programu.

Jak Azure Front Door přiděluje své prostředky různým zákazníkům?

Azure Front Door je služba, která distribuuje vaši aplikaci globálně napříč několika oblastmi. Používá společnou infrastrukturu, kterou sdílí všichni její zákazníci, ale můžete přizpůsobit svůj vlastní profil služby Front Door tak, aby konfigurovala specifické požadavky vaší aplikace. Konfigurace jiných zákazníků nemají vliv na konfiguraci služby Front Door, která je izolovaná od jejich.

Podporuje Azure Front Door přesměrování HTTP na HTTPS?

Komponenty řetězce hostitele, cesty a dotazu adresy URL můžete přesměrovat pomocí služby Azure Front Door. Informace o konfiguraci přesměrování adresy URL najdete v tématu Přesměrování adresy URL.

Jak Azure Front Door určuje pořadí pravidel směrování?

Front Door neřadí trasy pro vaši webovou aplikaci. Místo toho zvolí trasu, která nejlépe vyhovuje požadavku. Pokud chcete zjistit, jak služba Front Door odpovídá žádostem na trasy, přečtěte si, jak služba Front Door odpovídá požadavkům na pravidlo směrování.

Jaké jsou kroky k omezení přístupu k back-endu jenom na Službu Azure Front Door?

Pokud chcete zajistit optimální výkon funkcí služby Front Door, měli byste povolit pouze provoz, který pochází z Azure Front Dooru, aby se dostal do vašeho původu. V důsledku toho neautorizované nebo škodlivé požadavky narazí na zásady zabezpečení a směrování služby Front Door a odepření přístupu. Informace o zabezpečení původu najdete v tématu Zabezpečení provozu do zdrojů služby Azure Front Door.

Zůstává IP adresa jakéhokoli vysílání služby Front Door po celou dobu jeho života stejná?

IP adresa front-endu front-endu vašeho front-endu je pevná a nemusí se měnit, pokud používáte Front Door. Pevná IP adresa front-endu vašeho front-endu služby Front Door ale není zárukou. Vyhněte se přímému spoléhání na IP adresu.

Nabízí Azure Front Door statické nebo vyhrazené IP adresy?

Azure Front Door je dynamická služba, která směruje provoz do nejlepšího dostupného back-endu. V tuto chvíli nenabízí statické ani vyhrazené IP adresy front-endového vysílání.

Poskytuje AFD telemetrii, která ukazuje procesy AFD pravidel pravidel pro jednotlivé požadavky?

Ano. V části Protokoly přístupu se podívejte na vlastnost MatchedRulesSetName.

Může AFD poskytovat ochranu před útoky DDoS s rychlým resetováním HTTP/2?

Ano. Další informace najdete v odpovědi společnosti Microsoft na útoky DDoS na http/2.

Zachovává Azure Front Door hlavičky x-forwarded-for?

Azure Front Door podporuje hlavičky X-Forwarded-For, X-Forwarded-Host a X-Forwarded-Proto. Tyto hlavičky pomáhají službě Front Door identifikovat původní IP adresu a protokol klienta. Pokud už je X-Forwarded-For, front Door přidá IP adresu klientského soketu na konec seznamu. V opačném případě vytvoří hlavičku s IP adresou klientského soketu jako hodnotou. Pro X-Forwarded-Host a X-Forwarded-Proto služba Front Door nahradí existující hodnoty vlastním.

Další informace najdete v tématu Podporované hlavičky HTTP služby Front Door.

Jaký je odhadovaný čas nasazení služby Azure Front Door? Zůstává služba Front Door během procesu aktualizace funkční?

Čas nasazení nových konfigurací služby Front Door se liší v závislosti na typu změny. Obvykle trvá 3 až 20 minut, než se změny rozšíří do všech našich hraničních umístění po celém světě.

Poznámka:

Globální nasazení vlastních aktualizací certifikátů TLS/SSL může trvat několik minut až hodinu.

Aktualizace tras nebo skupin původu nebo back-endových fondů jsou bezproblémové a nezpůsobují žádné výpadky (za předpokladu, že je nová konfigurace správná). Aktualizace certifikátů se také provádějí atomicky, takže nedochází k žádnému riziku výpadku.

Podporuje Azure Front Door gRPC?

Ne. Azure Front Door v současné době podporuje pouze HTTP/1.1 z hraničního zařízení do zdroje. Aby gRPC fungovalo, vyžaduje se HTTP/2.

Konfigurace

Má služba Azure Front Door možnost vyrovnávat zatížení nebo směrovat provoz ve virtuální síti?

Pokud chcete použít úroveň Azure Front Door Standard, Premium nebo (Classic), potřebujete veřejnou IP adresu nebo název DNS, který se dá veřejně přeložit. Tento požadavek veřejné IP adresy nebo názvu DNS, který je možné přeložit veřejně, umožňuje službě Azure Front Door směrovat provoz do vašich back-endových prostředků. Prostředky Azure, jako jsou Application Gateway nebo Azure Load Balancers, můžete použít ke směrování provozu do prostředků ve virtuální síti. Pokud používáte úroveň Front Door Premium, můžete se pomocí služby Private Link připojit k původu za interním nástrojem pro vyrovnávání zatížení s privátním koncovým bodem. Další informace najdete v tématu Zabezpečení zdrojů pomocí služby Private Link.

Jaké jsou osvědčené postupy pro vytváření původů a skupin původu pro Azure Front Door?

Skupina původu je kolekce původů, která dokáže zpracovávat podobné typy požadavků. Pro každou aplikaci nebo úlohu, která se liší, potřebujete jinou skupinu původu.

Ve skupině původu vytvoříte zdroj pro každý server nebo službu, která může obsluhovat požadavky. Pokud má váš původ nástroj pro vyrovnávání zatížení, například Aplikace Azure lication Gateway, nebo je hostovaný v PaaS, který má nástroj pro vyrovnávání zatížení, má skupina původu pouze jeden původ. Váš původ se postará o převzetí služeb při selhání a vyrovnávání zatížení mezi zdroji, které služba Front Door nevidí.

Pokud například hostujete aplikaci ve službě Aplikace Azure Service, způsob nastavení služby Front Door závisí na tom, kolik instancí aplikace máte:

  • Nasazení v jedné oblasti: Vytvořte jednu skupinu původu. V této skupině původu vytvořte jeden zdroj pro aplikaci App Service. Aplikace App Service se může škálovat napříč pracovními procesy, ale Front Door vidí jeden původ.
  • Aktivní/pasivní nasazení s více oblastmi: Vytvořte jednu skupinu původu. V této skupině původu vytvořte zdroj pro každou aplikaci App Service. Nastavte prioritu každého zdroje tak, aby hlavní aplikace má vyšší prioritu než zálohovací aplikace.
  • Nasazení s více oblastmi aktivní/aktivní: Vytvořte jednu skupinu původu. V této skupině původu vytvořte zdroj pro každou aplikaci App Service. Nastavte prioritu každého zdroje tak, aby byla stejná. Nastavte váhu každého původu, abyste mohli řídit, kolik požadavků přejde do daného původu.

Další informace najdete v tématu Zdroje a skupiny původu ve službě Azure Front Door.

Jaké jsou výchozí a maximální hodnoty časových limitů a limitů služby Azure Front Door?

Azure Front Door je služba, která poskytuje rychlé a spolehlivé doručování webů pro vaše aplikace. Nabízí funkce, jako je ukládání do mezipaměti, vyrovnávání zatížení, zabezpečení a směrování. Musíte ale vědět o některých časových limitech a omezeních, které platí pro Azure Front Door. Mezi tyto časové limity a limity patří maximální velikost požadavku, maximální velikost odpovědi, maximální velikost záhlaví, maximální počet hlaviček, maximální počet pravidel a maximální počet skupin původu. Podrobné informace o těchto časových limitech a omezeních najdete v dokumentaci ke službě Azure Front Door.

Kolik času vyžaduje Azure Front Door k použití nového pravidla přidaného do stroje pravidel služby Front Door?

Aktualizace konfigurace většiny sad pravidel se provádějí za méně než 20 minut. Pravidlo se použije hned po dokončení aktualizace.

Je možné nakonfigurovat Azure CDN za mým profilem služby Front Door nebo naopak?

Azure Front Door a Azure CDN jsou dvě služby, které poskytují rychlé a spolehlivé doručování webů pro vaše aplikace. Nejsou ale kompatibilní s ostatními, protože sdílejí stejnou síť hraničních webů Azure, aby doručily obsah uživatelům. Tato sdílená síť způsobuje konflikty mezi jejich zásadami směrování a ukládání do mezipaměti. Proto musíte pro svou aplikaci zvolit Azure Front Door nebo Azure CDN v závislosti na vašich požadavcích na výkon a zabezpečení.

Je možné nakonfigurovat Službu Azure Front Door za jiným profilem služby Front Door nebo jinou cestou?

Skutečnost, že oba profily používají stejné hraniční weby Azure ke zpracování příchozích požadavků, způsobuje toto omezení, které vám brání vnořit jeden profil služby Azure Front Door za druhým. Toto nastavení by způsobilo konflikty směrování a problémy s výkonem. Proto byste měli zajistit, aby profily služby Azure Front Door byly nezávislé a nebyly zřetězený, pokud potřebujete pro své aplikace použít více profilů.

Jaké jsou značky síťových služeb, které služba Front Door podporuje?

Azure Front Door používá ke správě provozu mezi vašimi klienty a vašimi zdroji tři značky služeb:

  • Značka služby AzureFrontDoor.Backend obsahuje IP adresy, které služba Front Door používá pro přístup k vašim zdrojům. Tuto značku služby můžete použít při konfiguraci zabezpečení pro vaše původy.
  • Značka služby AzureFrontDoor.Frontend obsahuje IP adresy, které klienti používají pro přístup ke službě Front Door. Značku služby můžete použít AzureFrontDoor.Frontend , když chcete řídit odchozí provoz, který se může připojit ke službám za službou Azure Front Door.
  • Značka služby AzureFrontDoor.FirstParty je vyhrazená pro výběrovou skupinu služby Microsoft hostovaných ve službě Azure Front Door.

Další informace o scénářích značek služeb Azure Front Door najdete v dostupných značkách služeb.

Jaká je hodnota časového limitu záhlaví z klienta do služby Azure Front Door?

Azure Front Door má 5sekundový časový limit pro příjem hlaviček z klienta. Připojení se ukončí, pokud klient po navázání připojení TCP/TLS neodesílá hlavičky do služby Azure Front Door během 5 sekund. Tuto hodnotu časového limitu nemůžete nakonfigurovat.

Jaká je hodnota časového limitu udržování protokolu HTTP pro Azure Front Door?

Azure Front Door má 90sekundový časový limit udržování protokolu HTTP. Připojení se ukončí, pokud klient neodesílá data po dobu 90 sekund, což je časový limit udržování protokolu HTTP pro Azure Front Door. Tuto hodnotu časového limitu nemůžete nakonfigurovat.

Je možné použít stejnou doménu pro dva různé koncové body služby Front Door?

Nemůžete použít stejné domény pro více než jeden koncový bod služby Front Door, protože služba Front Door potřebuje pro každý požadavek rozlišit trasu (protokol + kombinace hostitele + cesta). Pokud máte duplicitní trasy napříč různými koncovými body, Azure Front Door nemůže správně zpracovat požadavky.

Je možné migrovat doménu z jednoho koncového bodu služby Front Door do jiného koncového bodu služby Front Door bez jakýchkoli výpadků?

V tuto chvíli nenabízíme možnost přesunu domén z jednoho koncového bodu do druhého bez přerušení služby. Pokud chcete migrovat domény do jiného koncového bodu, musíte naplánovat výpadek.

Výkon

Jak Azure Front Door zajišťuje vysokou dostupnost a škálovatelnost svých služeb?

Azure Front Door je platforma, která distribuuje provoz po celém světě a dokáže vertikálně navýšit kapacitu tak, aby splňovala požadavky vaší aplikace. Využívá globální síťovou hranici Microsoftu k poskytování globální funkce vyrovnávání zatížení, která umožňuje přepnout celou aplikaci nebo konkrétní mikroslužby do různých oblastí nebo cloudů, pokud došlo k selhání.

Jaké jsou podmínky pro ukládání odpovědí do mezipaměti od mého původu?

Abyste se vyhnuli chybám při doručování velkých souborů, ujistěte se, že původní server obsahuje hlavičku Content-Range v odpovědi a že hodnota hlavičky odpovídá skutečné velikosti textu odpovědi.

Další podrobnosti o konfiguraci původu a služby Front Door pro doručování velkých souborů najdete v části Doručování velkých souborů.

Konfigurace protokolu TLS

Jak Azure Front Door blokuje fronting domény?

Fronting domény je síťová technika, která útočníkovi umožňuje skrýt skutečný cíl škodlivého požadavku pomocí jiného názvu domény v metodě handshake protokolu TLS a hlavičky hostitele HTTP.

Služba Azure Front Door (úroveň Standard, Premium a Classic) nebo Azure CDN Standard z prostředků Microsoftu (Classic) vytvořených po 8. listopadu 2022 mají povolené blokování frontingu domény. Místo blokování požadavku s neshodou hlavního názvu služby (SNI) a hlaviček hostitelů povolujeme nesrovnalosti v případě, že tyto dvě domény patří do stejného předplatného a jsou zahrnuté v pravidlech směrování/tras. Vynucení blokování frontingu domény začne 22. ledna 2024 pro všechny existující domény. Vynucení může vyžadovat až dva týdny, aby se rozšířily do všech oblastí.

Když služba Front Door zablokuje požadavek kvůli neshodě:

  • Klient obdrží odpověď s kódem chyby HTTP 421 Misdirected Request .
  • Azure Front Door zaznamenává blok v diagnostických protokolech ve vlastnosti Informace o chybě s hodnotou SSLMismatchedSNI.

Další informace o frontingu domény najdete v tématu Zabezpečení přístupu k frontingu domény v Rámci Azure a zákaz frontingu domény ve službě Azure Front Door a Azure CDN Standard od Microsoftu (classic).

Jaké verze protokolu TLS jsou podporovány ve službě Azure Front Door?

Front Door používá protokol TLS 1.2 jako minimální verzi pro všechny profily vytvořené po září 2019.

S Azure Front Doorem můžete použít protokol TLS 1.0, 1.1, 1.2 nebo 1.3. Další informace najdete v článku o koncovém protokolu TLS služby Azure Front Door.

Fakturace

Účtují se mi zakázané prostředky služby Azure Front Door?

Azure Front Door je služba, která poskytuje rychlé a zabezpečené doručování webů. Umožňuje definovat způsob směrování a optimalizace webového provozu napříč několika oblastmi a koncovými body. Prostředky Služby Azure Front Door, jako jsou profily služby Front Door a pravidla směrování, se účtují jenom v případě, že jsou povolené. Zásady a pravidla firewallu webových aplikací (WAF) se ale účtují bez ohledu na jejich stav. I když zásadu nebo pravidlo WAF zakážete, budou vám za vás stále účtovány náklady.

Diagnostika a protokolování

Jaké metriky a protokoly azure Front Door poskytuje?

Informace o protokolech a dalších diagnostických možnostech najdete v tématu Monitorování metrik a protokolů pro službu Front Door.

Jaká je doba uchovávání diagnostických protokolů?

Diagnostické protokoly můžete ukládat do svého vlastního účtu úložiště a zvolit, jak dlouho je chcete zachovat. Případně je možné diagnostické protokoly posílat do služby Event Hubs nebo do protokolů služby Azure Monitor. Další informace najdete v tématu Diagnostika služby Azure Front Door.

Jaké jsou kroky pro přístup k protokolům auditu pro Azure Front Door?

Pokud chcete získat přístup k protokolům auditu služby Azure Front Door, musíte navštívit portál. Na stránce nabídky vyberte svou front doorovou bránu a vyberte v protokolu aktivit. Protokol aktivit poskytuje záznamy operací služby Azure Front Door.

Jak můžu nakonfigurovat upozornění pro Službu Azure Front Door?

Upozornění pro Službu Azure Front Door můžete nastavit na základě metrik nebo protokolů. Tímto způsobem můžete monitorovat výkon a stav hostitelů front-endu.

Informace o vytváření upozornění pro Azure Front Door Standard a Premium najdete v tématu Konfigurace upozornění.

Další kroky