Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die bewährten Methoden für die Verwendung von Azure Front Door zusammengefasst.
Allgemeine bewährte Methoden
Verstehen, wann Traffic Manager und Azure Front Door kombiniert werden sollen
Für die meisten Lösungen empfehlen wir die Verwendung von Azure Front Door oderAzure Traffic Manager, aber nicht beides. Traffic Manager ist ein DNS-basierter Lastenausgleich. Er sendet den Datenverkehr direkt an die Endpunkte Ihres Ursprungs. Im Gegensatz dazu schließt Azure Front Door Verbindungen an Anwesenheitspunkten (Points of Presence, PoPs) in der Nähe des Clients ab und etabliert separate dauerhafte Verbindungen zu den Ursprüngen. Die Produkte funktionieren unterschiedlich und sind für verschiedene Anwendungsfälle vorgesehen.
Wenn Sie Inhaltszwischenspeicherung und -übermittlung, TLS-Beendigung, erweiterte Routingfunktionen oder eine Webanwendungsfirewall (WAF) benötigen, sollten Sie Azure Front Door verwenden. Für einen einfachen globalen Lastenausgleich mit direkten Verbindungen von Ihrem Client zu Ihren Endpunkten sollten Sie den Traffic Manager verwenden. Weitere Informationen zum Auswählen einer Lastenausgleichsoption finden Sie unter Lastenausgleichsoptionen.
Als Teil einer komplexen Architektur, die hohe Verfügbarkeit erfordert, können Sie Traffic Manager vor Azure Front Door platzieren. Im unwahrscheinlichen Fall, dass Azure Front Door nicht verfügbar ist, kann Traffic Manager dann Datenverkehr an ein alternatives Ziel weiterleiten, z. B. Azure-Anwendungsgateway oder ein Partnerinhaltsübermittlungsnetzwerk (CDN).
Wichtig
Setzen Sie Den Traffic Manager nicht hinter Azure Front Door. Der Traffic Manager sollte immer vor Azure Front Door positioniert sein.
Beschränken des Datenverkehrs auf Ihre Ursprungsserver
Die Features von Azure Front Door funktionieren am besten, wenn der Datenverkehr nur über Azure Front Door fließt. Sie sollten Ihren Ursprung so konfigurieren, dass Datenverkehr blockiert wird, der nicht über Azure Front Door gesendet wird. Weitere Informationen finden Sie unter Sicherer Datenverkehr zu Azure Front Door-Quellen.
Verwenden der neuesten API- und SDK-Versionen
Wenn Sie mit Azure Front Door mithilfe von APIs, Azure Resource Manager-Vorlagen, Bicep oder Azure SDKs arbeiten, ist es wichtig, die neueste verfügbare API- oder SDK-Version zu verwenden. API- und SDK-Updates treten auf, wenn neue Funktionen verfügbar sind, und sie enthalten wichtige Sicherheitspatches und Fehlerbehebungen.
Konfigurieren von Protokollen
Azure Front Door verfolgt umfangreiche Leistungsdaten für jede Anforderung. Wenn Sie die Zwischenspeicherung aktivieren, erhalten Ihre Ursprungsserver möglicherweise nicht jede Anforderung. Es ist wichtig, dass Sie die Azure Front Door-Protokolle verwenden, um zu verstehen, wie Ihre Lösung ausgeführt wird und auf Ihre Clients reagiert. Weitere Informationen zu den Metriken und Protokollen, die Azure Front Door aufzeichnet, finden Sie unter Überwachen von Metriken und Protokollen in Azure Front Door- und WAF-Protokollen.
Informationen zum Konfigurieren der Protokollierung für Ihre eigene Anwendung finden Sie unter Konfigurieren von Azure Front Door-Protokollen.
Bewährte Methoden für TLS
Verwenden von End-to-End-TLS
Azure Front Door beendet TCP- und TLS-Verbindungen von Clients. Anschließend werden neue Verbindungen von jedem PoP zum Ursprungsserver eingerichtet. Es empfiehlt sich, jede dieser Verbindungen mit TLS zu sichern, auch für Ursprünge, die in Azure gehostet werden. Durch diesen Ansatz werden Ihre Daten während der Übertragung verschlüsselt.
Weitere Informationen finden Sie unter End-to-End-TLS mit Azure Front Door.
Verwenden Sie die HTTP-zu-HTTPS-Umleitung
Es empfiehlt sich, dass Clients die Verbindung mit Ihrem Dienst über HTTPS herstellen. Manchmal müssen Sie jedoch HTTP-Anforderungen akzeptieren, um ältere Clients oder Clients zuzulassen, die möglicherweise nicht den bewährten Methoden entsprechen.
Sie können Azure Front Door so konfigurieren, dass HTTP-Anforderungen automatisch umgeleitet werden, um das HTTPS-Protokoll zu verwenden. Sie sollten die Einstellung Gesamten Datenverkehr zur Verwendung von HTTPS umleiten für Ihre Route aktivieren.
Verwenden von verwalteten TLS-Zertifikaten
Wenn Azure Front Door Ihre TLS-Zertifikate verwaltet, reduziert es Ihre Betriebskosten und hilft Ihnen, kostspielige Ausfälle zu vermeiden, die durch vergessene Verlängerung eines Zertifikats verursacht werden. Azure Front Door stellt automatisch die gemanagten TLS-Zertifikate aus und rotiert sie regelmäßig.
Weitere Informationen finden Sie unter Konfigurieren von HTTPS in einer benutzerdefinierten Azure Front Door-Domäne mithilfe des Azure-Portal.
Verwenden der neuesten Version für vom Kunden verwaltete Zertifikate
Wenn Sie ihre eigenen TLS-Zertifikate verwenden möchten, sollten Sie die Azure Key Vault-Zertifikatversion auf "Neueste" festlegen. Wenn Sie "Neueste" verwenden, müssen Sie nicht azure Front Door neu konfigurieren, um neue Versionen Ihres Zertifikats zu verwenden und darauf zu warten, dass das Zertifikat in allen Azure Front Door-Umgebungen bereitgestellt wird.
Weitere Informationen finden Sie unter Auswählen des bereitzustellenden Zertifikats für Azure Front Door.
Bewährte Methoden für Domänen
Benutzerdefinierte Domänen übernehmen
Übernehmen Sie benutzerdefinierte Domänen für Ihre Azure Front Door-Endpunkte, um eine bessere Verfügbarkeit und Flexibilität bei der Verwaltung Ihrer Domänen und des Datenverkehrs sicherzustellen. Hartcodieren Sie keine von Azure Front Door bereitgestellten Domänen (wie *.azurefd.z01.net) in Ihren Clients, Code-Basen oder Firewalls. Verwenden Sie benutzerdefinierte Domänen für solche Szenarien.
Verwenden Sie den gleichen Domänennamen in Azure Front Door und Ihrer Herkunft.
Azure Front Door kann den Host Header eingehender Anforderungen neu schreiben. Dieses Feature kann hilfreich sein, wenn Sie eine Reihe von für Kunden sichtbare benutzerdefinierte Domänennamen verwalten, die an einen einzigen Ursprung weitergeleitet werden. Dieses Feature kann auch hilfreich sein, wenn Sie das Konfigurieren von benutzerdefinierten Domänennamen in Azure Front Door und ihrem Ursprung vermeiden möchten.
Wenn Sie den Host-Header jedoch neu schreiben, kann es vorkommen, dass Anforderungscookies und URL-Umleitungen nicht mehr funktionieren. Insbesondere, wenn Sie Plattformen wie Azure App Service verwenden, funktionieren Features wie Sitzungsaffinität und Authentifizierung und Autorisierung möglicherweise nicht ordnungsgemäß.
Bevor Sie den Host Header Ihrer Anforderungen neu schreiben, sollten Sie sorgfältig prüfen, ob Ihre Anwendung ordnungsgemäß funktioniert. Weitere Informationen finden Sie unter Beibehalten des ursprünglichen HTTP-Hostnamens zwischen einem Reverseproxy und seiner Back-End-Webanwendung.
Bewährte Methoden für Web Application Firewalls (WAF)
Für in das Internet zugängliche Anwendungen empfehlen wir, den Azure Front Door WAF zu aktivieren und für die Verwendung verwalteter Regeln zu konfigurieren. Die Verwendung von WAF- und von Microsoft verwalteten Regeln trägt dazu bei, Ihre Anwendung vor einer Vielzahl von Angriffen zu schützen. Weitere Informationen finden Sie unter Web Application Firewall (WAF) in Azure Front Door.
Das WAF für Azure Front Door verfügt über einen eigenen Satz bewährter Methoden für die Konfiguration und Verwendung. Weitere Informationen finden Sie unter Bewährte Methoden für die Webanwendungsfirewall in Azure Front Door.
Bewährte Methoden für Gesundheitsprüfungen
Deaktivieren von Integritätstests, wenn nur ein Ursprung in einer Ursprungsgruppe vorhanden ist
Integritätsprüfungen in Azure Front Door können Situationen erkennen, in denen eine Quelle nicht verfügbar oder nicht funktionsfähig ist. Sie können Azure Front Door so konfigurieren, dass Datenverkehr an einen anderen Ursprung in der Ursprungsgruppe gesendet wird, wenn eine Integritätssonde ein Problem mit einem Ursprung erkennt.
Wenn Sie nur einen einzigen Ursprungsserver haben, leitet Azure Front Door den Datenverkehr immer an diesen Ursprungsserver weiter; auch wenn die Integritätssonde einen fehlerhaften Status meldet. Der Status der Gesundheitsprüfung hat keinen Einfluss auf das Verhalten von Azure Front Door. In diesem Szenario bieten Integritätsprüfungen keinen Vorteil und Sie sollten diese deaktivieren, um den Datenverkehr von Ihrer Quelle zu reduzieren.
Weitere Informationen finden Sie unter Health Probes.
Auswählen guter Endpunkte
Berücksichtigen Sie den Ort, an dem Sie eine Azure Front Door Health-Probe überwachen lassen möchten. Normalerweise empfiehlt es sich, eine Webseite oder einen Standort zu überwachen, den Sie speziell für die Gesundheitsüberwachung konzipieren. Ihre Anwendungslogik kann den Status aller wichtigen Komponenten berücksichtigen, die für den Produktionsdatenverkehr erforderlich sind, einschließlich Anwendungsserver, Datenbanken und Caches. Auf diese Weise kann Azure Front Door Ihren Datenverkehr auf eine andere Instanz Ihres Diensts weiterleiten, wenn eine Komponente fehlschlägt.
Weitere Informationen finden Sie im Health Endpoint Monitoring Pattern.
Verwenden Sie HEAD-Gesundheitsprüfungen
Überwachungsproben können entweder die GET- oder die HEAD-HTTP-Methode verwenden. Es empfiehlt sich, die HEAD Methode für Gesundheits-Prüfungen zu verwenden, da dadurch die Verkehrslast für Ihre Herkunftssysteme reduziert wird.
Weitere Informationen finden Sie unter Unterstützte HTTP-Methoden für Gesundheitsprüfungen.