Preguntas más frecuentes sobre Azure Front Door

Azure Front Door es un servicio basado en la nube que ofrece sus aplicaciones de forma más rápida y confiable. Usa el equilibrio de carga de nivel 7 para distribuir el tráfico entre varias regiones y puntos de conexión. También ofrece aceleración de sitios dinámicos (DSA) para optimizar el rendimiento web y la conmutación por error casi en tiempo real para garantizar la alta disponibilidad. Azure Front Door es un servicio totalmente administrado, por lo que no tiene que preocuparse por el escalado ni el mantenimiento.

Azure Front Door es un servicio que ofrece muchas ventajas para las aplicaciones web, como la aceleración de sitios dinámicos (DSA), que mejora el rendimiento y la experiencia del usuario de los sitios. Azure Front Door también controla la descarga TLS/SSL y TLS de un extremo a otro, lo que mejora la seguridad y el cifrado del tráfico web. Además, Azure Front Door proporciona Web Application Firewall, afinidad de sesión basada en cookies, enrutamiento basado en ruta de acceso URL, certificados gratuitos y administración de varios dominios, etc. Para obtener más información sobre las características y funcionalidades de Azure Front Door, consulte la comparación de niveles.

Azure Front Door y Azure Application Gateway son equilibradores de carga para el tráfico HTTP/HTTPS, pero tienen ámbitos diferentes. Front Door es un servicio global que puede distribuir solicitudes entre regiones, mientras que Application Gateway es un servicio regional que puede equilibrar las solicitudes dentro de una región. Azure Front Door funciona con unidades de escalado, clústeres o unidades de stamp, mientras que Azure Application Gateway funciona con máquinas virtuales, contenedores u otros recursos en la misma unidad de escalado.

Application Gateway detrás de Front Door es útil en estas situaciones:

• Quiere equilibrar el tráfico no solo globalmente, sino también dentro de tu red virtual. Front Door solo puede realizar el equilibrio de carga basado en rutas de acceso en el nivel global, pero Application Gateway puede hacerlo dentro de tu red virtual.
• Necesita drenaje de conexiones, que Front Door no admite. Application Gateway puede habilitar el drenaje de conexiones para las máquinas virtuales o contenedores.
• Desea descargar todo el procesamiento TLS/SSL y usar solo solicitudes HTTP en tu red virtual. Application Gateway detrás de Front Door puede lograr esta configuración.
• Quiere usar la afinidad de sesión en el nivel regional y de servidor. Front Door puede enviar el tráfico desde una sesión de usuario al mismo back-end de una región, pero Application Gateway puede enviarlo al mismo servidor en el back-end.

Para usar Azure Front Door, debe tener una IP virtual pública o un nombre DNS al que se pueda acceder públicamente. Azure Front Door usa la dirección IP pública para enrutar el tráfico al origen. Un escenario común es implementar una instancia de Azure Load Balancer detrás de Front Door. También puede usar Private Link con Azure Front Door Premium para conectarse a un equilibrador de carga interno. Para obtener más información, consulte Habilitación de Private Link con un equilibrador de carga interno.

Azure Front Door admite HTTP, HTTPS y HTTP/2.

Azure Front Door admite el protocolo HTTP/2 para las conexiones de cliente. Sin embargo, la comunicación del grupo de back-end usa el protocolo HTTP/1.1. La compatibilidad con HTTP/2 está activada de manera predeterminada.

Puede usar diferentes tipos de orígenes para Azure Front Door, como:

• Storage (Azure Blob, clásico, sitios web estáticos)
• servicio en la nube
• App Service
• Aplicación web estática
• API Management
• Application Gateway
• Dirección IP pública
• Traffic Manager
• Azure Spring Apps
• Container Instances
• Aplicaciones de contenedor
• Cualquier nombre de host personalizado con acceso público.

El origen debe tener una dirección IP pública o un nombre de host DNS que se pueda resolver públicamente. Puede combinar y mezclar los back-end de diferentes zonas, regiones o incluso fuera de Azure, siempre y cuando sean accesibles públicamente.

Azure Front Door no se limita a ninguna región de Azure, pero funciona globalmente. La única ubicación que tiene que elegir al crear una instancia de Front Door es la ubicación del grupo de recursos, que determina dónde se almacenan los metadatos del grupo de recursos. El perfil de Front Door es un recurso global y su configuración se distribuye a todas las ubicaciones perimetrales de todo el mundo.

Para obtener la lista completa de puntos de presencia (POP) que proporcionan equilibrio de carga global y entrega de contenido para Azure Front Door, consulte Ubicaciones de POP de Azure Front Door. Esta lista se actualiza periódicamente a medida que se agregan o quitan nuevos POP. También puede usar la API de Azure Resource Manager para consultar la lista actual de POP mediante programación.

Azure Front Door es un servicio que distribuye la aplicación globalmente entre varias regiones. Usa una infraestructura común que todos sus clientes comparten, pero puede personalizar su propio perfil de Front Door para configurar los requisitos específicos de la aplicación. Las configuraciones de otros clientes no pueden afectar a la configuración de Front Door, que está aislada de la suya.

Puede redirigir los componentes de host, ruta de acceso y cadena de consulta de una dirección URL con Azure Front Door. Para obtener información sobre cómo configurar el redireccionamiento de direcciones URL, consulte Redireccionamiento de direcciones URL.

Front Door no ordena las rutas de la aplicación web. En su lugar, elige la ruta que mejor se adapta a la solicitud. Para averiguar cómo Front Door hace coincidir las solicitudes con las rutas, consulte Cómo Front Door hace coincidir las solicitudes con una regla de enrutamiento.

Para garantizar un rendimiento óptimo de las características de Front Door, solo debe permitir que el tráfico procedente de Azure Front Door llegue a su origen. Como resultado, las solicitudes no autorizadas o malintencionadas encuentran las directivas de seguridad y enrutamiento de Front Door y se les deniega el acceso. Para obtener información sobre cómo proteger su origen, consulte Protección del tráfico a orígenes de Azure Front Door.

La dirección IP de difusión por proximidad de front-end de Front Door es fija y es posible que no cambie siempre que use Front Door. Sin embargo, la dirección IP fija de difusión por proximidad de front-end de Front Door no es una garantía. Evite confiar directamente en la dirección IP.

Azure Front Door es un servicio dinámico que enruta el tráfico al mejor back-end disponible. No ofrece direcciones IP de difusión por proximidad de front-end estáticas ni dedicadas en este momento.

Sí. Consulta la propiedad MatchedRulesSetName en Registros de acceso.

Sí. Para obtener más información, consulta Respuesta de Microsoft a ataques DDoS contra HTTP/2.

Azure Front Door admite los encabezados X-Forwarded-For, X-Forwarded-Host y X-Forwarded-Proto. Estos encabezados ayudan a Front Door a identificar la dirección IP y el protocolo de cliente originales. Si X-Forwarded-For ya está presente, Front Door agrega la dirección IP del socket de cliente al final de la lista. De lo contrario, crea el encabezado con la dirección IP del socket de cliente como valor. Para X-Forwarded-Host y X-Forwarded-Proto, Front Door reemplaza los valores existentes por sus propios valores.

Para obtener más información, consulte Encabezados HTTP compatibles con Front Door.

El tiempo de implementación de las nuevas configuraciones de Front Door varía en función del tipo de cambio. Normalmente, los cambios tardan entre 3 y 20 minutos en propagarse a todas nuestras ubicaciones perimetrales en todo el mundo.

Las actualizaciones de rutas o grupos de origen/grupos de back-end son perfectas y no provocan ningún tiempo de inactividad (suponiendo que la nueva configuración sea correcta). Las actualizaciones de certificados también se realizan de forma atómica, por lo que no hay ningún riesgo de interrupción.

Para usar el nivel Estándar, Premium o (clásico) de Azure Front Door, necesita una dirección IP pública o un nombre DNS que se pueda resolver públicamente. Este requisito de una dirección IP pública o un nombre DNS que se puede resolver públicamente permite a Azure Front Door enrutar el tráfico a los recursos de back-end. Puede usar recursos de Azure como instancias de Application Gateway o Azure Load Balancer para enrutar el tráfico a los recursos de una red virtual. Si usa un nivel Premium de Front Door, puede usar Private Link para conectarse a los orígenes detrás de un equilibrador de carga interno a través de un punto de conexión privado. Para más información, consulte Orígenes seguros con Private Link.

Un grupo de origen es una colección de orígenes que puede controlar tipos similares de solicitudes. Necesita un grupo de origen diferente para cada aplicación o carga de trabajo diferente.

En un grupo de origen, se crea un origen para cada servidor o servicio que puede atender solicitudes. Si el origen tiene un equilibrador de carga, como Azure Application Gateway, o se hospeda en una PaaS que tiene un equilibrador de carga, el grupo de origen solo tiene un origen. Su origen se encarga de la conmutación por error y el equilibrio de carga entre orígenes que Front Door no ve.

Por ejemplo, si hospeda una aplicación en Azure App Service, la configuración de Front Door depende de cuántas instancias de aplicación tenga:

• Implementación de una sola región: cree un grupo de origen. En ese grupo de origen, cree un origen para la aplicación de App Service. La aplicación de App Service puede escalar horizontalmente entre los trabajos, pero Front Door ve un origen.
• Implementación activa/pasiva de varias regiones: cree un grupo de origen. En ese grupo de origen, cree un origen para cada aplicación de App Service. Establezca la prioridad de cada origen para que la aplicación principal tenga una prioridad más alta que la aplicación de copia de seguridad.
• Implementación activa/activa de varias regiones: cree un grupo de origen. En ese grupo de origen, cree un origen para cada aplicación de App Service. Establezca la misma prioridad para todos los orígenes. Establezca el peso de cada origen para controlar el número de solicitudes que van a ese origen.

Para obtener más información, consulte Orígenes y grupos de orígenes en Azure Front Door.

Azure Front Door es un servicio que proporciona entrega web rápida y confiable para sus aplicaciones. Ofrece características como el almacenamiento en caché, el equilibrio de carga, la seguridad y el enrutamiento. Sin embargo, debe tener en cuenta algunos tiempos de espera y límites que se aplican a Azure Front Door. Estos tiempos de espera y límites incluyen el tamaño máximo de solicitud, el tamaño máximo de respuesta, el tamaño máximo de encabezado, el número máximo de encabezados, el número máximo de reglas y el número máximo de grupos de origen. Puede encontrar la información detallada sobre estos tiempos de espera y límites en la documentación de Azure Front Door.

Las actualizaciones de configuración de la mayoría de los conjuntos de reglas se realizan en menos de 20 minutos. La regla se aplicará justo después de que finalice la actualización.

Azure Front Door y Azure CDN son dos servicios que proporcionan entrega web rápida y confiable para las aplicaciones. Sin embargo, no son compatibles entre sí, ya que comparten la misma red de sitios perimetrales de Azure para entregar contenido a los usuarios. Esta red compartida provoca conflictos entre sus directivas de enrutamiento y almacenamiento en caché. Por lo tanto, debe elegir Azure Front Door o Azure CDN para la aplicación, en función de los requisitos de rendimiento y seguridad.

El hecho de que ambos perfiles usarían los mismos sitios perimetrales de Azure para controlar las solicitudes entrantes provoca esta limitación que impide anidar un perfil de Azure Front Door detrás de otro. Esta configuración provocaría conflictos de enrutamiento y problemas de rendimiento. Por lo tanto, debe asegurarse de que los perfiles de Azure Front Door son independientes y no están encadenados, si necesita usar varios perfiles para las aplicaciones.

Azure Front Door usa tres etiquetas de servicio para administrar el tráfico entre los clientes y sus orígenes:

• La etiqueta de servicio AzureFrontDoor.Backend contiene las direcciones IP que Front Door usa para acceder a sus orígenes. Puede aplicar esta etiqueta de servicio al configurar la seguridad para los orígenes.
• La etiqueta de servicio AzureFrontDoor.Frontend contiene las direcciones IP que los clientes usan para llegar a Front Door. Puede aplicar la etiqueta de servicio AzureFrontDoor.Frontend cuando quiera controlar el tráfico saliente que puede conectarse a los servicios detrás de Azure Front Door.
• La etiqueta de servicio AzureFrontDoor.FirstParty está reservada para un grupo seleccionado de servicios de Microsoft hospedados en Azure Front Door.

Para obtener más información sobre los escenarios de etiquetas de servicio de Azure Front Door, consulte etiquetas de servicio disponibles.

Azure Front Door tiene un tiempo de espera de 5 segundos para recibir encabezados del cliente. La conexión se finaliza si el cliente no envía encabezados en un plazo de 5 segundos a Azure Front Door después de establecer la conexión TCP/TLS. No se puede configurar este valor de tiempo de espera.

Azure Front Door tiene un tiempo de espera persistente de HTTP de 90 segundos. La conexión se finaliza si el cliente no envía datos durante 90 segundos, que es el tiempo de espera persistente de HTTP para Azure Front Door. No se puede configurar este valor de tiempo de espera.

No puede usar los mismos dominios para más de un punto de conexión de Front Door, ya que Front Door debe distinguir la ruta (protocolo + host + combinación de ruta de acceso) para cada solicitud. Si tiene rutas duplicadas en distintos puntos de conexión, Azure Front Door no puede procesar las solicitudes correctamente.

En este momento, no ofrecemos la opción de mover dominios de un punto de conexión a otro sin interrupciones en el servicio. Debe planear algún tiempo de inactividad si desea migrar los dominios a un punto de conexión diferente.

Azure Front Door es una plataforma que distribuye el tráfico en todo el mundo y puede escalar verticalmente para satisfacer las demandas de la aplicación. Usa el perímetro de red global de Microsoft para ofrecer funcionalidad de equilibrio de carga global que le permite cambiar toda la aplicación o microservicios específicos a diferentes regiones o nubes si se produjo un error.

Para evitar errores al entregar archivos grandes, asegúrese de que el servidor de origen incluye el encabezado Content-Range en la respuesta y que el valor del encabezado coincide con el tamaño real del cuerpo de la respuesta.

Puede encontrar más detalles sobre cómo configurar su origen y Front Door para la entrega de archivos grandes en Entrega de archivos grandes.

El fronting de dominio es una técnica de red que permite a un atacante ocultar el destino real de una solicitud malintencionada mediante un nombre de dominio diferente en el protocolo de enlace TLS y el encabezado host HTTP.

Las instancias de Azure Front Door (niveles Estándar, Premium y Clásico) o Azure CDN Estándar de Microsoft (Clásico) creadas después del 8 de noviembre de 2022 tienen habilitado el bloqueo de front-end de dominio. En lugar de bloquear una solicitud con encabezados SNI y host no coincidentes, se permite la discrepancia si los dos dominios pertenecen a la misma suscripción y se incluyen en las reglas de enrutamiento y rutas. La aplicación de bloqueo de front-end de dominio comenzará el 22 de enero de 2024 para todos los dominios existentes. La aplicación podría necesitar hasta dos semanas para propagarse a todas las regiones.

Cuando Front Door bloquea una solicitud debido a un error de coincidencia:

• El cliente recibe una respuesta de código de error HTTP 421 Misdirected Request.
• Azure Front Door registra el bloqueo en los registros de diagnóstico en la propiedad Información de error con el valor SSLMismatchedSNI.

Para obtener más información sobre el front-end de dominios, consulte Protección de nuestro enfoque para el front-end de dominios dentro de Azure y Prohibir el front-end de dominios en Azure Front Door y Azure CDN Estándar de Microsoft (clásico).

Front Door usa TLS 1.2 como versión mínima para todos los perfiles creados después de septiembre de 2019.

Puede elegir usar TLS 1.0, 1.1, 1.2 o 1.3 con Azure Front Door. Para obtener más información, lea el artículo TLS de un extremo a otro de Azure Front Door.

Azure Front Door es un servicio que proporciona entrega web rápida y segura. Permite definir cómo se enruta y optimiza el tráfico web en varias regiones y puntos de conexión. Los recursos de Azure Front Door, como los perfiles de Front Door y las reglas de enrutamiento, solo se cobran cuando están habilitados. Sin embargo, las directivas y reglas del firewall de aplicaciones web (WAF) se cobran independientemente de su estado. Aunque deshabilite una directiva o regla de WAF, seguirá incurriendo en costos por usted.

Para obtener información sobre los registros y otras funcionalidades de diagnóstico, consulte Monitoring metrics and logs for Front Door (Supervisión de métricas y registros para Front Door).

Puede almacenar los registros de diagnóstico en su propia cuenta de almacenamiento y elegir cuánto tiempo se conservan. Como alternativa, los registros de diagnóstico se pueden enviar a Event Hubs o a los registros de Azure Monitor. Para más información, consulte el Diagnóstico de Azure Front Door.

Para acceder a los registros de auditoría de Azure Front Door, debe visitar el portal. Selecciona Front Door en la página de menú y selecciona en Registro de actividad. El registro de actividad proporciona los registros de las operaciones de Azure Front Door.

Puede configurar alertas para Azure Front Door en función de métricas o registros. Al hacerlo, puede supervisar el rendimiento y el estado de los hosts de front-end.

Para obtener información sobre cómo crear alertas para Azure Front Door Estándar y Premium, consulte Configuración de alertas.

Pasos siguientes

• Aprenda a crear un perfil de Azure Front Door.
• Obtenga información sobre la arquitectura de Azure Front Door.