Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Quand il s’agit de consommer la configuration, les applications clientes ont des exigences différentes de celles des applications serveur. Ils ne peuvent pas stocker de secrets, ils opèrent à une échelle beaucoup plus grande, et les utilisateurs attendent des temps de démarrage instantanés depuis n’importe où dans le monde. Pour répondre aux exigences de configuration d’application côté client, Azure App Configuration fournit une intégration à Azure Front Door. Le réseau de distribution de contenu basé sur la périphérie d’Azure Front Door combiné à la gestion centralisée de la configuration d’Azure App Configuration permet aux applications clientes n’importe où d’obtenir la configuration rapide, fiable et anonyme.
Livraison de configuration accélérée par CDN avec Azure Front Door
App Configuration offre aux développeurs un emplacement unique et cohérent pour définir les paramètres de configuration et les indicateurs de fonctionnalité. En intégrant Azure App Configuration à Azure Front Door, vos données de configuration sont gérées de manière centralisée via Azure App Configuration tout en étant mises en cache et distribuées via le réseau de distribution de contenu d’Azure. Cette architecture est précieuse pour les applications clientes, notamment les applications mobiles, de bureau et basées sur un navigateur.
Architecture du système
Fonctionnement
- Les applications clientes récupèrent la configuration via des points de terminaison Azure Front Door sans authentification, ce qui élimine le risque de sécurité d’incorporation d’informations d’identification dans le code côté client.
- Azure Front Door utilise l’identité managée pour s’authentifier auprès d’Azure App Configuration en toute sécurité.
- Un sous-ensemble configurable de paires clé‑valeur, d’indicateurs de fonctionnalité ou de captures instantanées est exposé via Azure Front Door.
- La mise en cache edge permet un débit élevé et une distribution de configuration à faible latence.
Cette architecture élimine le besoin de proxys personnalisés ou de passerelles tout en fournissant une remise de configuration sécurisée et efficace aux applications clientes.
Scénarios de développement
La configuration fournie par CDN déverrouille une gamme de scénarios d’application cliente :
- Déploiements de fonctionnalités côté client pour les composants de l’interface utilisateur
- Tests A/B ou expériences ciblées à l’aide d’indicateurs de fonctionnalité
- Contrôler les paramètres de modèle IA/LLM et les comportements d’interface utilisateur via la configuration
- Contrôler dynamiquement le comportement de l’agent côté client, les modes de sécurité et les paramètres de garde-fou via la configuration
- Comportement cohérent pour les clients utilisant la configuration basée sur des instantanés
Note
Cette fonctionnalité est actuellement disponible uniquement dans le cloud public Azure.
Recommandations et considérations
Security
La configuration exposée via Azure Front Door est accessible publiquement sans authentification, ce qui rend les contrôles de sécurité appropriés essentiels. Implémentez les stratégies suivantes pour protéger vos données de configuration contre une exposition involontaire.
Utiliser un magasin App Configuration dédié
Envisagez d’utiliser un magasin App Configuration dédié pour la configuration côté client fournie via Azure Front Door. Ce magasin doit contenir uniquement des paramètres non sensibles qui sont sécurisés pour la consommation publique. Cette stratégie d’isolation limite l’impact potentiel si la configuration est exposée par inadvertance, ce qui garantit que les données sensibles restent protégées.
Contrôle d’accès en fonction du rôle à l’aide de l’identité managée
Azure Front Door accède aux données App Configuration à l’aide d’une identité managée affectée par le système ou d’une identité managée affectée par l’utilisateur. L’identité sélectionnée doit être affectée au App Configuration Data Reader rôle pour récupérer les données de configuration. Lorsque vous créez le point de terminaison Azure Front Door via le portail App Configuration, cette attribution de rôle est créée automatiquement. Le portail affiche un avertissement si le processus de création d’attribution de rôle rencontre des problèmes. Limitez l’identité managée au App Configuration Data Reader rôle uniquement et évitez d’attribuer des rôles avec des autorisations d’écriture.
Définition de l'étendue des requêtes
Configurez un ou plusieurs filtres pour contrôler les demandes autorisées à passer via Azure Front Door. Cela empêche les clients anonymes de contourner le cache CDN par le biais de requêtes excessives ou incorrectes susceptibles de surcharger App Configuration et de déclencher la limitation du service.
Filtrage de la portée des requêtes via des couples clé-valeur
Configurez les filtres Azure Front Door pour qu’ils correspondent précisément aux exigences de configuration de votre application. Exposez uniquement les modèles clés exacts que votre application utilise. Par exemple, si votre application charge des clés avec le
"App1:"préfixe, configurez la règle Azure Front Door pour autoriser uniquement"App1:"les clés, et non des modèles plus larges comme"App".Si votre application charge des indicateurs de fonctionnalité, fournissez le filtre
".appconfig.featureflag/{YOUR-FEATURE-FLAG-PREFIX}"pour la clé avec l’opérateur Commence par.Si vous utilisez des bibliothèques de fournisseurs App Configuration et que votre application charge uniquement des indicateurs de fonctionnalité, vous devez ajouter deux filtres clés dans les règles Azure Front Door : un pour les
ALLclés sans étiquette et une seconde pour toutes les clés commençant par".appconfig.featureflag/{YOUR-FEATURE-FLAG-PREFIX}". Cela est dû au fait que les bibliothèques de fournisseurs App Configuration chargent toutes les valeurs de clé sans étiquette par défaut lorsqu’aucun sélecteur de valeur de clé n’est spécifié.
Définition de la portée des requêtes à travers plusieurs endpoints Azure Front Door
Créez des points de terminaison Azure Front Door distincts pour les applications avec différentes exigences de configuration. Au lieu de combiner plusieurs règles de filtre dans un seul point de terminaison, chaque application se connecte à son point de terminaison dédié avec des filtres précisément délimités. Cette approche empêche les applications d’accéder aux données de configuration des autres et simplifie la gestion des filtres.
Basculement et équilibrage de charge
Les applications clientes s’appuient sur Azure Front Door pour le basculement et l’équilibrage de charge, car elles ne se connectent pas directement à App Configuration. Pour activer le basculement automatique et la distribution de configuration géo-redondante, configurez vos réplicas App Configuration en tant qu’origines dans le point de terminaison Azure Front Door. Pour plus d’informations sur la façon dont les groupes d’origine améliorent la disponibilité et les performances, consultez les méthodes de routage Azure Front Door
Mise en cache
Configurez la durée du cache Azure Front Door pour équilibrer la fraîcheur de la configuration et la charge d’origine. Azure Front Door contrôle le comportement de mise en cache, ce qui signifie que les mises à jour d’App Configuration ne peuvent être visibles par votre application qu’après l’expiration du cache Front Door. Ce temps d’expiration du cache devient le temps minimal avant que votre application puisse observer de nouvelles valeurs de configuration, quelle que soit la fréquence à laquelle l’application vérifie les modifications.
Nous vous recommandons de définir la durée de vie du cache Azure Front Door sur au moins 10 minutes et l’intervalle d’actualisation de l’application sur au moins 1 minute. Avec ces paramètres, les mises à jour de configuration peuvent prendre jusqu’à 11 minutes pour se propager : une durée de vie du cache Azure Front Door de 10 minutes plus jusqu’à 1 minute jusqu'au prochain rafraîchissement de l'application.
Vous pouvez choisir les valeurs d’intervalle d’actualisation appropriées qui correspondent à votre application. Les durées de cache plus courtes augmenteront le nombre de requêtes routées via Azure Front Door. Ce modèle fournit une cohérence éventuelle, et non une propagation en temps réel, qui est attendue pour la livraison basée sur CDN. En savoir plus sur la mise en cache avec Azure Front Door.
Note
Azure Front Door n’offre aucune garantie quant à la durée pendant laquelle le contenu est stocké dans le cache. Le contenu mis en cache peut être supprimé du cache de périphérie avant l’expiration du contenu si le contenu n’est pas fréquemment utilisé. En outre, si App Configuration est inaccessible, Azure Front Door peut continuer à traiter les données obsolètes du cache pour maintenir la disponibilité des applications.