Perspective d’Azure Well-Architected Framework sur Azure Front Door
Azure Front Door est un réseau global d’équilibrage de charge et de distribution de contenu qui achemine le trafic HTTP et HTTPS. Azure Front Door fournit et distribue le trafic le plus proche des utilisateurs de l’application.
Cet article part du principe qu’en tant qu’architecte, vous avez passé en revue les options d’équilibrage de charge et choisi Azure Front Door comme équilibreur de charge de travail. Il suppose également que votre application est déployée dans plusieurs régions dans un modèle actif-actif ou actif-passif. Les conseils de cet article fournissent des recommandations architecturales qui sont mappées aux principes des piliers Azure Well-Architected Framework.
Important
Comment utiliser ce guide
Chaque section a une liste de contrôle de conception qui présente les domaines d’intérêt architecturaux et les stratégies de conception qui sont localisées à l’étendue de la technologie.
Cet article contient également des recommandations sur les fonctionnalités technologiques qui permettent de matérialiser ces stratégies. Les recommandations ne représentent pas une liste exhaustive de toutes les configurations disponibles pour Azure Front Door et ses dépendances. Au lieu de cela, ils répertorient les recommandations clés mappées aux perspectives de conception. Utilisez les recommandations pour générer votre preuve de concept ou optimiser vos environnements existants.
Architecture de base qui illustre les recommandations clés : architecture de base stratégique avec des contrôles réseau.
Étendue de la technologie
Cette révision se concentre sur les décisions liées entre elles pour les ressources Azure suivantes :
- Azure Front Door
Fiabilité
L’objectif du pilier Fiabilité est de fournir des fonctionnalités continues en créant une résilience suffisante et la possibilité de récupérer rapidement après des défaillances.
Les principes de conception de fiabilité fournissent une stratégie de conception de haut niveau appliquée aux composants individuels, aux flux système et au système dans son ensemble.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la liste de contrôle de révision de la conception pour la fiabilité. Déterminez sa pertinence par rapport aux besoins de votre entreprise tout en gardant à l’esprit les niveaux et les fonctionnalités d’Azure Content Delivery Network. Étendez la stratégie pour inclure d’autres approches si nécessaire.
Estimez le modèle et le volume du trafic. Le nombre de demandes du client vers la périphérie Azure Front Door peut influencer votre choix de niveau. Si vous devez prendre en charge un volume élevé de demandes, envisagez le niveau Azure Front Door Premium, car les performances ont un impact final sur la disponibilité. Cependant, il y a un compromis de coût. Ces niveaux sont décrits dans Efficacité des performances.
Choisissez votre stratégie de déploiement. Les approches de déploiement fondamentales sont actif-actif et actif-passif. Le déploiement actif-actif signifie que plusieurs environnements ou empreintes qui exécutent la charge de travail servent le trafic. Le déploiement actif-passif signifie que seule la région primaire gère tout le trafic, mais qu’elle bascule vers la région secondaire si nécessaire. Dans un déploiement multirégion, les empreintes s’exécutent dans différentes régions pour une plus grande disponibilité avec un équilibreur de charge global, comme Azure Front Door, qui distribue le trafic. Par conséquent, il est important de configurer l’équilibreur de charge pour l’approche de déploiement appropriée.
Azure Front Door prend en charge plusieurs méthodes de routage, que vous pouvez configurer pour distribuer le trafic dans un modèle actif-actif ou actif-passif.
Les modèles précédents présentent de nombreuses variantes. Par exemple, vous pouvez déployer le modèle actif/passif avec une réserve chaude. Dans ce cas, le service hébergé secondaire se déploie avec le minimum possible de dimensionnement de calcul et de données, et s’exécute sans charge. Lors du basculement, les ressources de calcul et de données sont mises à l’échelle pour gérer la charge à partir de la région primaire. Pour plus d’informations, consultez Stratégies de conception de clés pour la conception multirégion.
Certaines applications ont besoin que les connexions utilisateur restent sur le même serveur d’origine pendant la session utilisateur. Du point de vue de la fiabilité, nous vous déconseillons de conserver les connexions utilisateur sur le même serveur d’origine. Évitez autant que possible l’affinité de session.
Utilisez le même nom d’hôte sur les serveurs Azure Front Door et d’origine. Pour vous assurer que les cookies ou les URL de redirection fonctionnent correctement, conservez le nom d’hôte HTTP d’origine lorsque vous utilisez un proxy inverse, comme un équilibreur de charge, devant une application web.
Implémentez le modèle de surveillance du point de terminaison d’intégrité. Votre application doit exposer des points de terminaison d’intégrité, qui agrègent l’état des services et dépendances critiques dont votre application a besoin pour traiter les demandes. Les sondes d’intégrité Azure Front Door utilisent le point de terminaison pour détecter l’intégrité des serveurs d’origine. Pour plus d’informations, consultez Modèle Supervision de point de terminaison d’intégrité.
Tirez parti de la fonctionnalité réseau de distribution de contenu intégrée dans Azure Front Door. La fonctionnalité réseau de distribution de contenu d’Azure Front Door possède des centaines d’emplacements périphériques et peut aider à résister aux attaques par déni de service distribué (DDoS). Ces fonctionnalités permettent d’améliorer la fiabilité.
Envisagez une option de gestion du trafic redondante. Azure Front Door est un service distribué à l’échelle mondiale qui s’exécute en tant que singleton dans un environnement. Azure Front Door est un point de défaillance unique potentiel dans le système. Si le service échoue, les clients ne peuvent pas accéder à votre application pendant le temps d’arrêt.
Les implémentations redondantes peuvent être complexes et coûteuses. Considérez-les uniquement pour les charges de travail stratégiques qui ont une tolérance très faible à la panne. Examinez attentivement les compromis.
- Si vous avez absolument besoin d’un routage redondant, consultez Redondance de routage globale.
- Si vous avez besoin de redondance uniquement pour traiter le contenu mis en cache, consultez Distribution de contenu globale.
Recommandations
| Recommandation | Avantage |
|---|---|
| Choisissez une méthode de routage qui prend en charge votre stratégie de déploiement. La méthode pondérée, qui distribue le trafic en fonction du coefficient de pondération configuré, prend en charge les modèles actifs-actifs. Une valeur basée sur la priorité qui configure la région primaire pour recevoir tout le trafic et envoyer le trafic vers la région secondaire en tant que sauvegarde prend en charge les modèles actifs-passifs. Combinez les méthodes précédentes avec la latence afin que l’origine avec la latence la plus faible reçoive le trafic. |
Vous pouvez sélectionner la meilleure ressource d’origine à l’aide d’une série d’étapes de décision et de votre conception. L’origine sélectionnée traite le trafic dans la plage de latence autorisée dans le rapport de pondération spécifié. |
| Prise en charge de la redondance en ayant plusieurs origines dans un ou plusieurs pools principaux. Disposez toujours d’instances redondantes de votre application et assurez-vous que chaque instance expose un point de terminaison ou une origine. Vous pouvez placer ces origines dans un ou plusieurs pools principaux. |
Plusieurs origines prennent en charge la redondance en répartissant le trafic entre plusieurs instances de l’application. Si une instance n’est pas disponible, les autres origines principales peuvent toujours recevoir du trafic. |
| Configurez des sondes d’intégrité sur l’origine. Configurez Azure Front Door pour effectuer des vérifications d’intégrité afin de déterminer si le instance principal est disponible et prêt à continuer à recevoir des demandes. |
Les sondes d’intégrité activées font partie de l’implémentation du modèle de surveillance de l’intégrité. Les sondes d’intégrité veillent à ce qu’Azure Front Door achemine uniquement le trafic vers des instances suffisamment saines pour gérer les requêtes. Pour plus d’informations, consultez Bonnes pratiques sur les sondes d’intégrité. |
| Définissez un délai d’attente pour le transfert des demandes vers le serveur principal. Ajustez le paramètre de délai d’attente en fonction des besoins de vos points de terminaison. Si ce n’est pas le cas, Azure Front Door peut fermer la connexion avant que l’origine envoie la réponse. Vous pouvez également réduire le délai d’expiration par défaut pour Azure Front Door si toutes vos origines ont un délai d’expiration plus court. Pour plus d’informations, consultez Résolution des problèmes liés aux demandes qui ne répondent pas. |
Les délais d’expiration permettent d’éviter les problèmes de performances et de disponibilité en mettant fin aux demandes qui prennent plus de temps que prévu. |
| Utilisez le même nom d’hôte sur Azure Front Door et votre origine. Azure Front Door peut réécrire l’en-tête d’hôte des requêtes entrantes, ce qui est utile lorsque vous avez plusieurs noms de domaine personnalisés qui acheminent vers une seule origine. Toutefois, la réécriture de l’en-tête de l’hôte peut entraîner des problèmes avec les cookies de requête et la redirection d’URL. |
Définissez le même nom d’hôte pour éviter tout dysfonctionnement avec l’affinité de session, l’authentification et l’autorisation. Pour plus d’informations, consultez Conserver le nom d’hôte HTTP d’origine entre un proxy inverse et son application web principale. |
| Déterminez si votre application nécessite une affinité de session. Si vous avez des exigences de fiabilité élevées, nous vous recommandons de désactiver l’affinité de session. | Avec l’affinité de session, les connexions utilisateur restent sur la même origine pendant la session utilisateur. Si cette origine devient indisponible, l’expérience utilisateur peut être perturbée. |
| Tirez parti des règles de limitation de débit incluses dans un pare-feu d’applications web (WAF). | Limitez les demandes pour empêcher les clients d’envoyer trop de trafic à votre application. La limitation du débit peut vous aider à éviter des problèmes tels qu’une tempête de nouvelles tentatives. |
Sécurité
L’objectif du pilier Sécurité est de fournir des garanties de confidentialité, d’intégrité et de disponibilité à la charge de travail.
Les principes de conception de la sécurité fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs en appliquant des approches à la conception technique en limitant le trafic provenant d’Azure Front Door.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la liste de vérification de la révision de conception pour La sécurité. Identifier les vulnérabilités et les contrôles pour améliorer la posture de sécurité. Étendez la stratégie pour inclure d’autres approches en fonction des besoins.
Passez en revue la base de référence de sécurité pour Azure Front Door.
Protégez les serveurs principaux. Le serveur frontal joue le rôle de point d’entrée unique vers l’application.
Azure Front Door utilise Azure Private Link pour accéder à l’origine d’une application. Private Link crée une segmentation afin que les back-ends n’ont pas besoin d’exposer des adresses IP publiques et des points de terminaison. Pour plus d’informations, consultez Sécuriser votre origine avec Private Link dans Azure Front Door Premium.
Configurez vos services back-end pour qu’ils acceptent uniquement les demandes avec le même nom d’hôte qu’Azure Front Door utilise en externe.
Autorisez uniquement l’accès autorisé au plan de contrôle. Utilisez le contrôle d’accès en fonction du rôle (RBAC) Azure Front Door pour restreindre l’accès aux seules identités qui en ont besoin.
Bloquer les menaces courantes à la périphérie. WAF est intégré à Azure Front Door. Activez les règles WAF sur les serveurs frontaux pour protéger les applications contre les attaques et les vulnérabilités courantes à la périphérie du réseau, plus près de la source d’attaque. Envisagez le filtrage géographique pour restreindre l’accès à votre application web par pays ou par région.
Pour plus d’informations, consultez Azure Web Application Firewall sur Azure Front Door.
Protégez Azure Front Door contre le trafic inattendu. Azure Front Door utilise le plan de base de la protection Azure DDoS pour protéger les points de terminaison d’application contre les attaques DDoS. Si vous avez besoin d’exposer d’autres adresses IP publiques à partir de votre application, envisagez d’ajouter le plan standard protection DDoS pour ces adresses pour des fonctionnalités avancées de protection et de détection.
Il existe également des ensembles de règles WAF qui détectent le trafic des bots ou des volumes de trafic inattendus importants qui pourraient être potentiellement malveillants.
Protéger les données en transit. Activez le protocole TLS (Transport Layer Security), la redirection HTTP vers HTTPS et les certificats TLS managés, le cas échéant. Pour plus d’informations, consultez Meilleures pratiques TLS pour Azure Front Door.
Surveiller l’activité anormale. Passez régulièrement en revue les journaux pour case activée les attaques et les faux positifs. Envoyez les journaux WAF d’Azure Front Door à la solution SIEM (Security Information and Event Management) centralisée de votre organization, telle que Microsoft Sentinel, pour détecter les modèles de menaces et intégrer des mesures préventives dans la conception de la charge de travail.
Recommandations
| Recommandation | Avantage |
|---|---|
| Activez les ensembles de règles WAF qui détectent et bloquent le trafic potentiellement malveillant. Cette fonctionnalité est disponible sur le niveau Premium. Nous vous recommandons les ensembles de règles suivants : - Par défaut - Protection du bot - Restriction d’adresse IP - Géofiltrage - Limitation du débit |
Les ensembles de règles par défaut sont fréquemment mis à jour en fonction des 10 principaux types d’attaques OWASP et des informations de Microsoft Threat Intelligence. Les ensembles de règles spécialisés détectent certains cas d’usage. Par exemple, les règles de bot classent les bots comme bons, mauvais ou inconnus en fonction des adresses IP du client. Ils bloquent également les bots malveillants et les adresses IP connues et limitent le trafic en fonction de l’emplacement géographique des appelants. En utilisant une combinaison d’ensembles de règles, vous pouvez détecter et bloquer les attaques avec différentes intentions. |
| Créez des exclusions pour les ensembles de règles managés. Testez une stratégie WAF en mode de détection pendant quelques semaines et ajustez les faux positifs avant de la déployer. |
Réduisez les faux positifs et autorisez les demandes légitimes pour votre application. |
| Envoyez l’en-tête de l’hôte au back-end. | Les services principaux doivent connaître le nom d’hôte afin qu’ils puissent créer des règles pour accepter le trafic uniquement à partir de cet hôte. |
| Activez le protocole TLS de bout en bout, la redirection HTTP vers HTTPS et les certificats TLS managés, le cas échéant. Passez en revue les meilleures pratiques TLS pour Azure Front Door. Utilisez TLS version 1.2 comme version minimale autorisée avec des chiffrements pertinents pour votre application. Les certificats managés Azure Front Door doivent être votre choix par défaut pour faciliter les opérations. Toutefois, si vous souhaitez gérer le cycle de vie des certificats, utilisez vos propres certificats dans les points de terminaison de domaine personnalisés Azure Front Door et stockez-les dans Key Vault. |
TLS garantit que les échanges de données entre le navigateur, Azure Front Door et les origines back-end sont chiffrés pour empêcher toute falsification. Key Vault offre la prise en charge des certificats managés, ainsi que le renouvellement et la rotation des certificats simples. |
Optimisation des coûts
L’optimisation des coûts se concentre sur la détection des modèles de dépenses, la hiérarchisation des investissements dans les domaines critiques et l’optimisation dans d’autres pour répondre au budget de l’organization tout en répondant aux besoins de l’entreprise.
Les principes de conception d’optimisation des coûts fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs et faire des compromis si nécessaire dans la conception technique liée à Azure Front Door et à son environnement.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la liste de vérification de la révision de conception pour l’optimisation des coûts pour les investissements. Ajustez la conception pour que la charge de travail soit alignée sur le budget alloué à la charge de travail. Votre conception doit utiliser les fonctionnalités Azure appropriées, surveiller les investissements et trouver des opportunités d’optimisation au fil du temps.
Passez en revue les niveaux et les tarifs d’Azure Front Door. Utilisez la calculatrice de prix pour estimer les coûts réalistes pour chaque niveau. Comparez les fonctionnalités et l’adéquation de chaque niveau pour votre scénario. Par instance, seul le niveau Premium prend en charge la connexion à votre origine via Private Link.
La référence SKU Standard est plus économique et convient aux scénarios de trafic modéré. Dans la référence SKU Premium, vous payez un taux unitaire plus élevé, mais vous avez accès à des avantages de sécurité et à des fonctionnalités avancées telles que les règles managées dans WAF et Private Link. Tenez compte des compromis en matière de fiabilité et de sécurité en fonction des besoins de votre entreprise.
Tenez compte des coûts de bande passante. Les coûts de bande passante d’Azure Front Door dépendent du niveau que vous choisissez et du type de transfert de données. Azure Front Door fournit des rapports intégrés pour les métriques facturables. Pour évaluer vos coûts liés à la bande passante et déterminer où vous pouvez concentrer vos efforts d’optimisation, consultez Rapports Azure Front Door.
Optimiser les requêtes entrantes. Azure Front Door facture les demandes entrantes. Vous pouvez définir des restrictions dans votre configuration de conception.
Réduisez le nombre de demandes à l’aide de modèles de conception tels que Le serveur principal pour les serveurs frontaux et l’agrégation de passerelle. Ces modèles peuvent améliorer l’efficacité de vos opérations.
Les règles WAF limitent le trafic entrant, ce qui peut optimiser les coûts. Par exemple, utilisez la limitation du débit pour éviter des niveaux anormalement élevés de trafic, ou utilisez le filtrage géographique pour autoriser l’accès uniquement à partir de régions ou de pays spécifiques.
Utilisez efficacement les ressources. Azure Front Door utilise une méthode de routage qui facilite l’optimisation des ressources. À moins que la charge de travail ne soit extrêmement sensible à la latence, répartissez le trafic uniformément sur tous les environnements pour utiliser efficacement les ressources déployées.
Les points de terminaison Azure Front Door peuvent servir de nombreux fichiers. Une façon de réduire les coûts de bande passante consiste à utiliser la compression.
Utilisez la mise en cache dans Azure Front Door pour le contenu qui ne change pas souvent. Étant donné que le contenu est servi à partir d’un cache, vous économisez sur les coûts de bande passante qui sont encourus lorsque la demande est transférée aux serveurs principaux.
Envisagez d’utiliser une instance partagée fournie par le organization. Les coûts engendrés par les services centralisés sont partagés entre les charges de travail. Toutefois, considérez le compromis avec la fiabilité. Pour les applications stratégiques qui ont des exigences de haute disponibilité, nous recommandons une instance autonome.
Faites attention à la quantité de données enregistrées. Les coûts liés à la bande passante et au stockage peuvent s’accumuler si certaines demandes ne sont pas nécessaires ou si les données de journalisation sont conservées pendant une longue période.
Recommandations
| Recommandation | Avantage |
|---|---|
| Utilisez la mise en cache pour les points de terminaison qui la prennent en charge. | La mise en cache optimise les coûts de transfert de données, car elle réduit le nombre d’appels de votre instance Azure Front Door à l’origine. |
| Envisagez d’activer la compression de fichiers. Pour cette configuration, l’application doit prendre en charge la compression et la mise en cache doit être activée. |
La compression réduit la consommation de bande passante et améliore les performances. |
| Désactivez les contrôles d’intégrité dans les pools principaux uniques. Si vous n’avez qu’une seule origine configurée dans votre groupe d’origines Azure Front Door, ces appels ne sont pas nécessaires. |
Vous pouvez économiser sur les coûts de bande passante en désactivant les demandes qui ne sont pas requises pour prendre des décisions de routage. |
Excellence opérationnelle
L’excellence opérationnelle se concentre principalement sur les procédures pour les pratiques de développement, l’observabilité et la gestion des mises en production.
Les principes de conception d’excellence opérationnelle fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs en fonction des exigences opérationnelles de la charge de travail.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la liste de vérification de la révision de conception pour l’excellence opérationnelle pour définir des processus d’observabilité, de test et de déploiement liés à Azure Front Door.
Utilisez les technologies IaC (Infrastructure as Code). Utilisez des technologies IaC telles que Bicep et des modèles Azure Resource Manager pour approvisionner le instance Azure Front Door. Ces approches déclaratives offrent une cohérence et une maintenance simple. Par exemple, en utilisant des technologies IaC, vous pouvez facilement adopter de nouvelles versions d’ensemble de règles. Utilisez toujours la dernière version de l’API.
Simplifiez les configurations. Utilisez Azure Front Door pour gérer facilement les configurations. Par exemple, supposons que votre architecture prenne en charge les microservices. Azure Front Door prend en charge les fonctionnalités de redirection. Vous pouvez donc utiliser la redirection basée sur le chemin d’accès pour cibler des services individuels. Un autre cas d’usage est la configuration des domaines génériques.
Gérez l’exposition progressive à l’aide des méthodes de routage Azure Front Door. Pour une approche d’équilibrage de charge pondérée , vous pouvez utiliser un déploiement canary pour envoyer un pourcentage spécifique de trafic vers un serveur principal. Cette approche vous permet de tester de nouvelles fonctionnalités et mises en production dans un environnement contrôlé avant de les déployer.
Collectez et analysez les données opérationnelles Azure Front Door dans le cadre de la surveillance de votre charge de travail. Capturez les journaux et métriques Azure Front Door pertinents avec les journaux Azure Monitor. Ces données vous aident à résoudre les problèmes, à comprendre les comportements des utilisateurs et à optimiser les opérations.
Déchargez la gestion des certificats vers Azure. Alléger la charge opérationnelle associée à la rotation et aux renouvellements de certification.
Recommandations
| Recommandation | Avantage |
|---|---|
| Utilisez la redirection HTTP vers HTTPS pour prendre en charge la compatibilité ascendante. | Lorsque la redirection est activée, Azure Front Door redirige automatiquement les clients qui utilisent un protocole plus ancien pour utiliser HTTPS pour une expérience sécurisée. |
| Capturez les journaux et les métriques. Incluez les journaux d’activité des ressources, les journaux d’accès, les journaux de sonde d’intégrité et les journaux WAF. Configurer des alertes. |
La surveillance du flux d’entrée est une partie essentielle de la surveillance d’une application. Vous souhaitez suivre les demandes et améliorer les performances et la sécurité. Vous avez besoin de données pour déboguer votre configuration Azure Front Door. Une fois les alertes en place, vous pouvez recevoir des notifications instantanées de tout problème opérationnel critique. |
| Passez en revue les rapports d’analyse intégrés. | Une vue holistique de votre profil Azure Front Door permet d’apporter des améliorations basées sur le trafic et les rapports de sécurité via les métriques WAF. |
| Utilisez des certificats TLS managés lorsque cela est possible. | Azure Front Door peut émettre et gérer des certificats pour vous. Cette fonctionnalité élimine la nécessité de renouveler les certificats et réduit le risque de panne due à un certificat TLS non valide ou expiré. |
| Utilisez des certificats TLS génériques. | Vous n’avez pas à modifier la configuration pour ajouter et/ou spécifier chaque sous-domaine séparément. |
Efficacité des performances
L’efficacité des performances consiste à maintenir l’expérience utilisateur même en cas d’augmentation de la charge en gérant la capacité. La stratégie inclut la mise à l’échelle des ressources, l’identification et l’optimisation des goulots d’étranglement potentiels et l’optimisation des performances maximales.
Les principes de conception d’efficacité des performances fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs de capacité par rapport à l’utilisation attendue.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la liste de vérification de la révision de conception pour l’efficacité des performances. Définissez une base de référence basée sur des indicateurs de performances clés pour Azure Front Door.
Planifiez la capacité en analysant vos modèles de trafic attendus. Effectuez des tests approfondis pour comprendre comment votre application fonctionne sous différentes charges. Tenez compte de facteurs tels que les transactions simultanées, les taux de demandes et le transfert de données.
Basez vos choix de référence SKU sur cette planification. La référence SKU Standard est plus économique et convient aux scénarios de trafic modéré. Si vous prévoyez des charges plus élevées, nous vous recommandons la référence SKU Premium.
Analysez les données de performances en consultant régulièrement les rapports Azure Front Door. Ces rapports fournissent des insights sur diverses métriques qui servent d’indicateurs de performance au niveau de la technologie.
Utilisez les rapports Azure Front Door pour définir des objectifs de performances réalistes pour votre charge de travail. Tenez compte de facteurs tels que les temps de réponse, le débit et les taux d’erreur. Alignez les cibles avec les besoins de votre entreprise et les attentes des utilisateurs.
Optimiser les transferts de données.
Utilisez la mise en cache pour réduire la latence de traitement du contenu statique, tel que des images, des feuilles de style et des fichiers JavaScript, ou du contenu qui ne change pas fréquemment.
Optimisez votre application pour la mise en cache. Utilisez des en-têtes d’expiration de cache dans l’application qui contrôlent la durée pendant laquelle le contenu doit être mis en cache par les clients et les proxys. Une plus longue validité du cache signifie que les requêtes adressées au serveur d’origine sont moins fréquentes, ce qui entraîne une réduction du trafic et une latence plus faible.
Réduisez la taille des fichiers transmis sur le réseau. Les fichiers plus petits entraînent des temps de chargement plus rapides et une expérience utilisateur améliorée.
Réduisez le nombre de requêtes back-end dans l’application.
Par exemple, une page web affiche des profils utilisateur, des commandes récentes, des soldes et d’autres informations associées. Au lieu d’effectuer des demandes distinctes pour chaque ensemble d’informations, utilisez des modèles de conception pour structurer votre application afin que plusieurs demandes soient agrégées en une seule requête.
En agrégeant les demandes, vous envoyez moins de données entre le serveur frontal et le serveur principal et établissez moins de connexions entre le client et le serveur principal, ce qui réduit la surcharge. En outre, Azure Front Door gère moins de demandes, ce qui empêche la surcharge.
Optimiser l’utilisation des sondes d’intégrité. Obtenez des informations d’intégrité à partir des sondes d’intégrité uniquement lorsque l’état des origines change. Trouvez un équilibre entre la précision de la surveillance et la réduction du trafic inutile.
Les sondes d’intégrité sont généralement utilisées pour évaluer l’intégrité de plusieurs origines au sein d’un groupe. Si vous n’avez qu’une seule origine configurée dans votre groupe d’origines Azure Front Door, désactivez les sondes d’intégrité pour réduire le trafic inutile sur votre serveur d’origine. Étant donné qu’il n’y a qu’un seul instance, la sonde d’intégrité status n’a pas d’impact sur le routage.
Passez en revue la méthode de routage d’origine. Azure Front Door fournit diverses méthodes de routage, notamment le routage basé sur la latence, basé sur la priorité, pondéré et basé sur l’affinité de session, vers l’origine. Ces méthodes affectent considérablement les performances de votre application. Pour en savoir plus sur la meilleure option de routage du trafic pour votre scénario, consultez Méthodes de routage du trafic vers l’origine.
Passez en revue l’emplacement des serveurs d’origine. L’emplacement de vos serveurs d’origine a un impact sur la réactivité de votre application. Les serveurs d’origine doivent être plus proches des utilisateurs. Azure Front Door garantit que les utilisateurs d’un emplacement spécifique accèdent au point d’entrée Azure Front Door le plus proche. Les avantages en matière de performances incluent une expérience utilisateur plus rapide, une meilleure utilisation du routage basé sur la latence par Azure Front Door et une réduction du temps de transfert des données à l’aide de la mise en cache, qui stocke le contenu plus près des utilisateurs.
Pour plus d’informations, consultez Rapport trafic par emplacement.
Recommandations
| Recommandation | Avantage |
|---|---|
| Activez la mise en cache. Vous pouvez optimiser les chaînes de requête pour la mise en cache. Pour le contenu purement statique, ignorez les chaînes de requête pour optimiser votre utilisation du cache. Si votre application utilise des chaînes de requête, envisagez de les inclure dans la clé de cache. L’inclusion des chaînes de requête dans la clé de cache permet à Azure Front Door de traiter des réponses mises en cache ou d’autres réponses, en fonction de votre configuration. |
Azure Front Door offre une solution réseau de distribution de contenu robuste qui met en cache le contenu à la périphérie du réseau. La mise en cache réduit la charge sur les serveurs principaux et réduit le déplacement des données sur le réseau, ce qui permet de décharger l’utilisation de la bande passante. |
| Utilisez la compression de fichiers lorsque vous accédez au contenu téléchargeable. | La compression dans Azure Front Door permet de fournir du contenu dans le format optimal, a une charge utile plus petite et fournit du contenu aux utilisateurs plus rapidement. |
Lorsque vous configurez des sondes d’intégrité dans Azure Front Door, envisagez d’utiliser des HEAD requêtes plutôt que des GET requêtes. La sonde d’intégrité lit uniquement le code status, pas le contenu. |
HEAD les requêtes vous permettent d’interroger un changement d’état sans extraire tout son contenu. |
| Évaluez si vous devez activer l’affinité de session lorsque les demandes du même utilisateur doivent être dirigées vers le même serveur principal. Du point de vue de la fiabilité, nous ne recommandons pas cette approche. Si vous utilisez cette option, l’application doit récupérer correctement sans perturber les sessions utilisateur. Il existe également un compromis sur l’équilibrage de charge, car il limite la flexibilité de la distribution du trafic entre plusieurs back-ends uniformément. |
Optimisez les performances et maintenez la continuité des sessions utilisateur, en particulier lorsque les applications s’appuient sur la gestion locale des informations d’état. |
Stratégies Azure
Azure fournit un ensemble complet de stratégies intégrées liées à Azure Front Door et à ses dépendances. Certaines des recommandations précédentes peuvent être auditées par le biais de stratégies Azure. Par exemple, vous pouvez case activée si :
- Vous avez besoin du niveau Premium pour prendre en charge les règles waf managées et les Private Link dans les profils Azure Front Door.
- Vous devez utiliser la version TLS minimale, qui est la version 1.2.
- Vous avez besoin d’une connectivité privée et sécurisée entre Azure Front Door Premium et les services PaaS Azure.
- Vous devez activer les journaux de ressources. L’inspection du corps de la demande doit être activée par WAF.
- Vous devez utiliser des stratégies pour appliquer l’ensemble de règles WAF. Par exemple, vous devez activer la protection des bots et activer les règles de limitation de débit.
Pour une gouvernance complète, passez en revue les définitions intégrées d’Azure Content Delivery Network et d’autres stratégies Azure Front Door répertoriées dans Azure Policy définitions de stratégie intégrées.
Recommandations Azure Advisor
Azure Advisor est un conseiller cloud personnalisé qui vous aide à suivre les bonnes pratiques pour optimiser vos déploiements Azure. Voici quelques recommandations qui peuvent vous aider à améliorer la fiabilité, la sécurité, la rentabilité, les performances et l’excellence opérationnelle d’Azure Front Door.
Étapes suivantes
Considérez les articles suivants comme des ressources qui illustrent les recommandations mises en évidence dans cet article.
- Utilisez les architectures de référence suivantes comme exemples d’application des conseils de cet article à une charge de travail :
- Créez une expertise en implémentation à l’aide de la documentation produit suivante :
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour