Beschleunigen und Schützen Ihrer Webanwendung mit Azure Front Door

Azure Front Door ist ein global verteiltes Content Delivery Network (CDN), das eine geringere Latenz und eine schnellere Übermittlung Ihrer Webanwendung und Inhalte ermöglicht. Darüber hinaus ermöglicht Front Door, dass Ihre Inhalte mit der höchsten Resilienz verfügbar sind, und bietet eine breite Palette von Funktionen, z. B. ein erweiterter Load Balancer für die Anwendung, Datenverkehrsbeschleunigung und Sicherheit.

Erwägen Sie die Bereitstellung von Front Door vor einer öffentlich zugänglichen Webanwendung.

Gut konstruierte Lösungen in Azure

Das Azure Well-Architected Framework beschreibt fünf Säulen erstklassiger Architektur. Azure Front Door hilft Ihnen mithilfe integrierter Features und Funktionen bei der Umsetzung jeder der fünf Säulen.

Effiziente Leistung

Front Door bietet mehrere Features, mit denen Sie die Leistung Ihrer Anwendung beschleunigen können.

• Zwischenspeichern: Front Door stellt ein leistungsfähiges Content Delivery Network (CDN) zum Zwischenspeichern von Inhalten am Netzwerkrand bereit. Fast alle Webanwendungen enthalten zwischenspeicherbare Inhalte. Statische Ressourcen wie Bilder und JavaScript-Dateien können zwischengespeichert werden. Außerdem geben viele APIs Antworten zurück, die auch für kurze Zeit zwischengespeichert werden können. Das Zwischenspeichern trägt dazu bei, die Leistung Ihrer Anwendung zu verbessern und die Auslastung Ihrer Anwendungsserver zu verringern.
• Komprimierung:Viele Antworttypen können komprimiert werden, was die Antwortzeit Ihrer Anwendung verbessern kann.
• Globale Datenverkehrsbeschleunigung: Die globalen Funktionen von Front Door zur Beschleunigung des Datenverkehrs helfen, die Leistung dynamischer Webanwendungen zu verbessern, indem Anforderungen über das Hochgeschwindigkeits-Backbone-Netzwerk von Microsoft weitergeleitet werden.
• TLS-Abschluss: Verbindungen mit Front Door enden am nächstgelegenen Front Door-PoP ( Point of Presence). Die TLS-Entschlüsselung wird vom PoP ausgeführt. Der größte Leistungsabfall bei der TLS-Entschlüsselung entsteht beim anfänglichen Handshake. Der Entschlüsselungsserver verbessert die Leistung durch das Zwischenspeichern von TLS-Sitzungs-IDs und das Verwalten von TLS-Sitzungstickets. Wenn TLS-Verbindungen am Front Door-PoP enden, können alle Anforderungen desselben Clients die zwischengespeicherten Werte verwenden. Wenn der Vorgang auf den Ursprungsservern erfolgt, muss der Client jedes Mal eine neue Authentifizierung vornehmen, wenn die Clientanforderungen an einen anderen Server gerichtet werden. Sie können dieses Problem durch die Verwendung von TLS-Tickets beheben, diese werden jedoch nicht von allen Clients unterstützt und können das Konfigurieren und Verwalten erschweren.

Sicherheit

Die Sicherheitsfunktionen von Front Door helfen Ihnen, Ihre Anwendungsserver vor verschiedenen Arten von Bedrohungen zu schützen.

• End-to-End-TLS: Front Door unterstützt die End-to-End-TLS-Verschlüsselung. Die Front Door-TLS/SSL-Auslagerung beendet die TLS-Verbindung, entschlüsselt den Datenverkehr in Azure Front Door und verschlüsselt den Datenverkehr erneut, bevor er an das Back-End weitergeleitet wird.
• Verwaltete TLS-Zertifikate: Front Door kann Zertifikate ausstellen und verwalten, um sicherzustellen, dass Ihre Anwendungen durch eine starke Verschlüsselung und Vertrauensstellung geschützt sind.
• Benutzerdefinierte TLS-Zertifikate: Wenn Sie Ihre eigenen TLS-Zertifikate bereitstellen müssen, können Sie mit Front Door eine verwaltete Identität für den Zugriff auf den Schlüsseltresor verwenden, der das Zertifikat enthält.
• Webanwendungsfirewall: Die Web Application Firewall (WAF) von Front Door bietet eine Reihe von Sicherheitsfunktionen für Ihre Anwendung. Verwaltete Regelsätze überprüfen eingehende Anforderungen auf verdächtige Inhalte. Bot-Schutzregeln identifizieren den Datenverkehr von Bots und reagieren darauf. Features für Geofilterung und Ratenbegrenzung schützen Ihre Anwendungsserver vor unerwartetem Datenverkehr.
• Protokollblockierung: Front Door akzeptiert nur Datenverkehr über die HTTP- und HTTPS-Protokolle und verarbeitet nur gültige Anforderungen mit einem bekannten Header vom Typ Host. Aufgrund dieses Verhaltens ist Ihre Anwendung vor vielen Arten von Angriffen geschützt, die über ein breites Spektrum von Protokollen durchgeführt werden können.
• DDoS-Schutz: Aufgrund der Architektur von Front Door können auch große DDoS-Angriffe (Distributed Denial of Service) abgefangen und verhindert werden, dass der Datenverkehr Ihre Anwendung erreicht.
• Private Link-Ursprünge:Private Link-Integration hilft Ihnen dabei, Ihre Back-End-Anwendungen zu schützen und sicherzustellen, dass der Datenverkehr Ihre Anwendung nur über Front Door und dessen Sicherheitsschutz erreichen kann.

Bei strengen Netzwerksicherheitsanforderungen können Sie Azure Front Door verwenden, um eingehenden HTTP- und HTTPS-Datenverkehr an Ihre Anwendung zu verwalten, und Azure Firewall, um Nicht-HTTP- und ausgehenden Datenverkehr zu steuern.

Zuverlässigkeit

Mit Front Door können Sie resiliente, hochverfügbare Lösungen erstellen.

• Lastenausgleich und Failover: Front Door ist ein globaler Load Balancer. Front Door überwacht die Integrität Ihrer Ursprungsserver, und wenn ein Ursprung nicht mehr verfügbar ist, kann Front Door Anforderungen an einen alternativen Ursprung weiterleiten. Sie können Front Door auch verwenden, um Datenverkehr auf Ihre Ursprünge zu verteilen und so die Auslastung eines einzelnen Ursprungsservers zu verringern.
• Anycast-Routing: Front Door selbst verfügt über eine große Anzahl von PoPs, von denen jeder den Datenverkehr für jede Anforderung bedienen kann. Anycast-Routing steuert den Datenverkehr zum nächstgelegenen verfügbaren Front Door-PoP, und wenn ein PoP nicht verfügbar ist, werden Clients automatisch an den nächstgelegenen PoP weitergeleitet.
• Zwischenspeichern: Durch die Verwendung des Front Door-Caches reduzieren Sie die Auslastung Ihrer Anwendungsserver. Wenn Ihre Server nicht verfügbar sind, kann Front Door möglicherweise weiterhin zwischengespeicherte Antworten bereitstellen, bis Ihre Anwendung wiederhergestellt wird.

Kostenoptimierung

Front Door kann Ihnen helfen, die Kosten für die Ausführung Ihrer Azure-Lösung zu senken.

• Zwischenspeichern: Durch Aktivieren der Zwischenspeicherung werden Inhalte von globalen Front Door-Edgeknoten zurückgegeben. Dieser Ansatz reduziert globale Bandbreitengebühren und verbessert die Leistung.
• Komprimierung: Wenn Front Door Ihre Antworten komprimiert, können die Bandbreitengebühren für Ihre Lösung reduziert werden.
• Verteilen des Datenverkehrs auf die Ursprünge: Verwenden Sie Front Door, um die Notwendigkeit zu reduzieren, Ihre Anwendungsserver zu skalieren oder die Kapazität Ihrer Server für Datenverkehrsspitzen zu überlasten. Jeder Front Door-PoP kann zwischengespeicherte Inhalte zurückgeben, sofern verfügbar, wodurch die Auslastung Ihrer Anwendungsserver verringert wird. Sie können Datenverkehr auch auf mehrere Back-End-Server verteilen, wodurch die Auslastung jedes einzelnen Servers verringert wird.
• Freigegebenes Profil: Sie können ein einzelnes Front Door-Profil für viele verschiedene Anwendungen verwenden. Indem Sie mehrere Anwendungen in Front Door konfigurieren, können Sie die Kosten auf die einzelnen Anwendungen verteilen und den erforderlichen Konfigurationsaufwand reduzieren.

Optimaler Betrieb

Front Door kann dazu beitragen, den betriebsbedingten Aufwand für die Ausführung einer modernen Internetanwendung zu reduzieren und Ihnen zu ermöglichen, bestimmte Arten von Änderungen an Ihrer Lösung vorzunehmen, ohne Ihre Anwendungen zu ändern.

• Verwaltete TLS-Zertifikate: Front Door kann Zertifikate ausstellen und verwalten. Dieses Feature bewirkt, dass Sie Zertifikatverlängerungen nicht verwalten müssen und die Wahrscheinlichkeit eines Ausfalls durch Verwendung ungültiger oder abgelaufener TLS-Zertifikate verringert wird.
• Platzhalter-TLS-Zertifikate: Da Front Door Platzhalterdomänen, z. B. DNS- und TLS-Zertifikate, unterstützt, können Sie mehrere Hostnamen verwenden, ohne Front Door für jede Unterdomäne neu zu konfigurieren.
• HTTP/2: Front Door kann Ihnen helfen, Ihre Legacyanwendungen mit HTTP/2-Unterstützung zu modernisieren, ohne Ihre Anwendungsserver zu ändern.
• Regel-Engine: Mit der Front Door-Regel-Engine können Sie die interne Architektur Ihrer Lösung ändern, ohne dass sich dies auf Ihre Clients auswirkt.
• Infrastruktur als Code: Sie können Front Door auch bereitstellen und konfigurieren, indem Sie IaC-Technologien (Infrastructure-as-Code) wie Bicep, Terraform, ARM-Vorlagen, Azure PowerShell und die Azure CLI verwenden.

Lösungsarchitektur

Wenn Sie eine Lösung bereitstellen, die Azure Front Door verwendet, sollten Sie berücksichtigen, wie Ihr Datenverkehr von Ihrem Client zu Front Door und von Front Door zu Ihren Ursprüngen fließt.

Das folgende Diagramm veranschaulicht eine generische Lösungsarchitektur mit Front Door:

Client zu Front Door

Der Datenverkehr vom Client kommt zuerst an einem Front Door-PoP an. Front Door verfügt über eine große Anzahl von PoPs, die weltweit verteilt sind, und Anycast leitet die Clients an ihren nächstgelegenen PoP weiter.

Wenn die Anforderung vom Front Door-PoP empfangen wird, verwendet Front Door Ihren benutzerdefinierten Domänennamen, um die Anforderung zu verarbeiten. Front Door führt die TLS-Auslagerung mithilfe eines von Front Door verwalteten TLS-Zertifikats oder eines benutzerdefinierten TLS-Zertifikats durch.

Der PoP führt viele Funktionen basierend auf der Konfiguration aus, die Sie in Ihrem Front Door-Profil angeben, z. B.:

• Schützen Ihrer Lösung vor vielen Arten von DDoS-Angriffen.
• Überprüfen der Anforderung auf bekannte Sicherheitsrisiken mithilfe der Front Door-WAF.
• Zurückgeben von zwischengespeicherten Antworten, um die Leistung zu verbessern, sofern diese im Front Door-PoP gespeichert und für die Anforderung gültig sind.
• Komprimieren von Antworten zur Verbesserung der Leistung.
• Zurückgeben von HTTP-Umleitungsantworten direkt von Front Door.
• Auswählen des besten Ursprungs zum Empfangen des Datenverkehrs basierend auf der Routingarchitektur.
• Ändern einer Anforderung mithilfe der Regel-Engine.

Nachdem Front Door die Verarbeitung der eingehenden Anforderung abgeschlossen hat, antwortet es entweder direkt an den Client (z. B. wenn ein zwischengespeichertes Ergebnis zurückgegeben wird) oder leitet die Anforderung an den Ursprung weiter.

Front Door an Ursprung

Front Door kann Datenverkehr auf zwei verschiedene Arten an Ihren Ursprung senden: mithilfe von Private Link und unter Verwendung öffentlicher IP-Adressen.

Die Premium-SKU von Front Door unterstützt das Senden von Datenverkehr an bestimmte Ursprungstypen mithilfe von Private Link. Wenn Sie Private Link für Ihren Ursprung konfigurieren, verwendet der Datenverkehr private IP-Adressen. Dieser Ansatz kann verwendet werden, um sicherzustellen, dass Ihr Ursprung nur Datenverkehr von Ihrer spezifischen Front Door-Instanz akzeptiert, und Sie können Datenverkehr, der aus dem Internet stammt, blockieren.

Wenn der Front Door-PoP Anforderungen an Ihren Ursprung unter Verwendung einer öffentlichen IP-Adresse sendet, wird eine neue TCP-Verbindung initiiert. Aufgrund dieses Verhaltens erkennt Ihr Ursprungsserver, dass die Anforderung von der IP-Adresse von Front Door stammt und nicht vom Client.

Unabhängig davon, welchen Ansatz Sie zum Senden von Datenverkehr an Ihren Ursprung verwenden, empfiehlt es sich in der Regel, Ihren Ursprung so zu konfigurieren, dass Datenverkehr von Ihrem Front Door-Profil erwartet und Datenverkehr, der nicht über Front Door fließt, blockiert wird. Weitere Informationen finden Sie unter Sicherer Datenverkehr zu Azure Front Door-Ursprüngen.

Verarbeiten der Antwort

Der PoP von Front Door verarbeitet auch die ausgehende Antwort. Die Antwortverarbeitung kann die folgenden Schritte umfassen:

• Speichern einer Antwort im PoP-Cache, um spätere Anforderungen zu beschleunigen.
• Ändern eines Antwortheaders mithilfe der Regel-Engine.

Analysen und Berichte

Da Front Door alle eingehenden Anforderungen verarbeitet, hat es Einblick in den gesamten Datenverkehr, der durch Ihre Lösung fließt. Die Berichte, Metriken und Protokolle von Front Door bieten Ihnen Einblicke in Ihre Datenverkehrsmuster.

Tipp

Wenn Sie Front Door verwenden, werden einige Anforderungen möglicherweise nicht von Ihrem Ursprungsserver verarbeitet. Beispielsweise kann die WAF von Front Door einige Anforderungen blockieren und zwischengespeicherte Antworten für andere Anforderungen zurückgeben. Verwenden Sie die Telemetriedaten von Front Door, um die Datenverkehrsmuster Ihrer Lösung zu verstehen.

Nächste Schritte

Informationen zum Erstellen eines Front Door-Profils