Compartir a través de

Entrada HTTP global crítica

  • Artículo

Las aplicaciones críticas deben mantener un alto nivel de tiempo de actividad, incluso cuando los componentes de red no están disponibles o degradados. Al diseñar la entrada, el enrutamiento y la seguridad del tráfico web, puede considerar la posibilidad de combinar varios servicios de Azure para lograr un mayor nivel de disponibilidad y evitar tener un único punto de error.

Si decide adoptar este enfoque, deberá implementar una ruta de acceso de red independiente a los servidores de aplicaciones y cada ruta de acceso debe configurarse y probarse por separado. Debe tener en cuenta cuidadosamente las implicaciones completas de este enfoque.

En este artículo se describe un enfoque para admitir la entrada global del tráfico HTTP a través de Azure Front Door y Azure Application Gateway. Este enfoque podría adaptarse a sus necesidades si necesita la solución:

  • Azure Front Door para el enrutamiento del tráfico global. Esto puede significar que tiene varias instancias de la aplicación en regiones de Azure independientes o que atiende a todos los usuarios globales de una sola región.
  • Firewall de aplicaciones web (WAF) para proteger la aplicación, independientemente de la ruta de acceso que sigue el tráfico para llegar a los servidores de origen.

El almacenamiento en caché en el perímetro de red no es parte fundamental de la entrega de la aplicación. Si el almacenamiento en caché es importante, consulte Entrega de contenido global crítica para un enfoque alternativo.

Nota

Este caso de uso forma parte de una estrategia de diseño general que abarca un enfoque alternativo cuando Azure Front Door no está disponible. Para obtener información sobre el contexto y las consideraciones, consulte Aplicaciones web globales críticas.

Enfoque

Esta solución de equilibrio de carga basada en DNS usa varios perfiles de Azure Traffic Manager para supervisar Azure Front Door. En el improbable caso de un problema de disponibilidad, Traffic Manager redirige el tráfico a través de Application Gateway.

Diagrama que muestra Azure Traffic Manager con enrutamiento prioritario a Azure Front Door, y un perfil anidado de Traffic Manager que utiliza enrutamiento de rendimiento para enviar a instancias de Application Gateway en dos regiones.

En la solución, se incluyen los componentes siguientes:

  • Traffic Manager utilizando el modo de enrutamiento de prioridad tiene dos puntos de conexión. De forma predeterminada, Traffic Manager envía solicitudes a través de Azure Front Door. Si Azure Front Door no está disponible, un segundo perfil de Traffic Manager determina dónde dirigir la solicitud. El segundo perfil se describe a continuación.

  • Azure Front Door procesa y enruta la mayoría del tráfico de la aplicación. Azure Front Door enruta el tráfico al servidor de aplicaciones de origen adecuado y proporciona la ruta de acceso principal a la aplicación. Waf de Azure Front Door protege su aplicación frente a amenazas de seguridad comunes. Si Azure Front Door no está disponible, el tráfico se redirige automáticamente a través de la ruta de acceso secundaria.

  • Traffic Manager utilizando el modo de enrutamiento de rendimiento tiene un punto de conexión para cada instancia de Application Gateway. Este Administrador de tráfico envía solicitudes a la instancia de Application Gateway con el mejor rendimiento de la ubicación del cliente.

  • Application Gateway se implementa en cada región y envía tráfico a los servidores de origen de esa región. WAF de Application Gateway protege cualquier tráfico que fluya a través de la ruta de acceso secundaria.

  • Los servidores de aplicaciones de origen deben estar listos para aceptar el tráfico de Azure Front Door y Azure Application Gateway en cualquier momento.

Consideraciones

En las secciones siguientes se describen algunas consideraciones importantes para este tipo de arquitectura. También debe revisar Aplicaciones web globales críticas para otras consideraciones importantes y desventajas al usar Azure Front Door en una solución crítica.

Configuración de Traffic Manager

Este enfoque usa perfiles anidados de Traffic Manager para lograr un enrutamiento basado en prioridad y basado en el rendimiento juntos para la ruta de acceso de tráfico alternativa de la aplicación. En un escenario sencillo con un origen en una sola región, es posible que solo necesite un único perfil de Traffic Manager configurado para usar el enrutamiento basado en prioridad.

Distribución regional

Azure Front Door es un servicio global, y Azure Application Gateway es un servicio regional.

Los puntos de presencia de Azure Front Door se implementan globalmente y las conexiones TCP y TLS finalizan en el punto de presencia más cercano al cliente. Este comportamiento mejora el rendimiento de la aplicación. Por el contrario, cuando los clientes se conectan a Application Gateway, sus conexiones TCP y TLS finalizan en el Application Gateway que recibe la solicitud, independientemente de dónde se originó el tráfico.

Conexiones desde clientes

Como servicio multiinquilino global, Azure Front Door proporciona protección inherente frente a diversas amenazas. Azure Front Door solo acepta tráfico HTTP y HTTPS válido y no acepta tráfico en otros protocolos. Microsoft administra las direcciones IP públicas que usa Azure Front Door para sus conexiones entrantes. Debido a estas características, Azure Front Door puede ayudar a proteger su origen frente a varios tipos de ataque, y los orígenes se pueden configurar para usar la conectividad de Private Link .

En cambio, Application Gateway es un servicio accesible desde Internet con una dirección IP pública dedicada. Debe proteger los servidores de red y de origen frente a una variedad de tipos de ataque. Para obtener más información, vea Seguridad de origen.

Azure Front Door Premium proporciona conectividad de Private Link a sus orígenes, lo que reduce el área expuesta pública accesible desde Internet de la solución.

Si usa Private Link para conectarse a sus orígenes, considere la posibilidad de implementar un punto de conexión privado en la red virtual y configurar Application Gateway para usar el punto de conexión privado como back-end de la aplicación.

Ampliación

Al implementar Application Gateway, se implementan recursos de proceso dedicados para la solución. Si grandes cantidades de tráfico llegan a la Application Gateway inesperadamente, es posible que observe problemas de rendimiento o confiabilidad.

Para mitigar este riesgo, considere cómo escalar la instancia de Application Gateway. Use el escalado automático o asegúrese de que lo ha escalado manualmente para controlar la cantidad de tráfico que puede recibir después de la conmutación por error.

Almacenamiento en memoria caché

Si usa las características de almacenamiento en caché de Azure Front Door, es importante tener en cuenta que, después de que el tráfico cambie a la ruta de acceso alternativa y use Application Gateway, el contenido ya no se sirve desde las memorias caché de Azure Front Door.

Si depende del almacenamiento en caché de la solución, consulte Entrega de contenido global crítica para obtener un enfoque alternativo que use una red CDN de asociado como reserva en Azure Front Door.

Como alternativa, si usa el almacenamiento en caché, pero no es una parte esencial de la estrategia de entrega de aplicaciones, considere si puede escalar horizontalmente o escalar verticalmente sus orígenes para hacer frente al aumento de la carga causada por el mayor número de errores de caché durante una conmutación por error.

Compromisos

Este tipo de arquitectura es más útil si desea que la ruta de acceso de tráfico alternativa use características como reglas de procesamiento de solicitudes, un WAF y una descarga TLS. Tanto Azure Front Door como Application Gateway proporcionan funcionalidades similares.

Sin embargo, hay inconvenientes:

  • Complejidad operativa. Al usar cualquiera de estas características, debe configurarlas tanto en Azure Front Door como en Application Gateway. Por ejemplo, si realiza un cambio de configuración en el WAF de Azure Front Door, también debe aplicar el mismo cambio de configuración al WAF de Application Gateway. La complejidad operativa se vuelve mucho más alta cuando necesita volver a configurar y probar dos sistemas independientes.

  • Paridad de características. Aunque hay similitudes entre las características que ofrece Azure Front Door y Application Gateway, muchas características no tienen paridad exacta. Tenga en cuenta estas diferencias, ya que podrían afectar a cómo se entrega la aplicación en función de la ruta de acceso del tráfico que sigue.

    Application Gateway no proporciona almacenamiento en caché. Para obtener más información sobre esta diferencia, consulte Almacenamiento en caché.

    Azure Front Door y Application Gateway son productos distintos y tienen diferentes casos de uso. En concreto, los dos productos son diferentes en la forma en que se implementan en regiones de Azure. Asegúrese de comprender los detalles de cada producto y cómo los usa.

  • Costo. Normalmente, debe implementar una instancia de Application Gateway en cada región donde tenga un origen. Dado que cada instancia de Application Gateway se factura por separado, el costo puede llegar a ser alto cuando se implementan orígenes en varias regiones.

    Si el costo es un factor significativo para la solución, consulte Entrega de contenido global crítica para obtener un enfoque alternativo que use una red de entrega de contenido (CDN) de asociados como reserva en Azure Front Door. Algunas redes CDN facturan el tráfico en función del consumo, por lo que este enfoque podría ser más rentable. Sin embargo, puede perder algunas de las otras ventajas de usar Application Gateway para la solución.

    Como alternativa, podría considerar la posibilidad de implementar una arquitectura alternativa en la que Traffic Manager puede enrutar el tráfico directamente a los servicios de aplicaciones de plataforma como servicio (PaaS), lo que evita la necesidad de Application Gateway y reduce los costos. Puede considerar este enfoque si usa un servicio como Azure App Service o Azure Container Apps para la solución. Sin embargo, si sigue este enfoque, hay varias ventajas importantes que se deben tener en cuenta:

    • WAF: Azure Front Door y Application Gateway proporcionan funcionalidades de WAF. Si expone los servicios de aplicación directamente a Internet, es posible que no pueda proteger la aplicación con un WAF.
    • Descarga de TLS: tanto Azure Front Door como Application Gateway finalizan las conexiones TLS. Los servicios de aplicación deben configurarse para finalizar las conexiones TLS.
    • Enrutamiento: Tanto Azure Front Door como Application Gateway realizan el enrutamiento entre varios orígenes o back-ends, incluido el enrutamiento basado en rutas de acceso, y admiten reglas de enrutamiento complejas. Si los servicios de aplicación se exponen directamente a Internet, no puede realizar el enrutamiento del tráfico.

Advertencia

Si considera la posibilidad de exponer la aplicación directamente a Internet, cree un modelo de amenazas exhaustivo y asegúrese de que la arquitectura cumple los requisitos de seguridad, rendimiento y resistencia.

Si usa máquinas virtuales para hospedar la solución, no debe exponer las máquinas virtuales a Internet.

Pasos siguientes

Revise el escenario de entrega de contenido global para comprender si se aplica a la solución.