Megosztás a következőn keresztül:

Kritikus fontosságú globális HTTP-bejövő forgalom

  • Cikk

A kritikus fontosságú alkalmazásoknak magas szintű üzemidőt kell fenntartaniuk, még akkor is, ha a hálózati összetevők nem érhetők el vagy csökkentek. A webes forgalom bejövő forgalmának, útválasztásának és biztonságának tervezésekor megfontolhatja több Azure-szolgáltatás kombinálását, hogy magasabb szintű rendelkezésre állást érjen el, és elkerülje az egyetlen meghibásodási pontot.

Ha úgy dönt, hogy ezt a megközelítést alkalmazza, külön hálózati útvonalat kell implementálnia az alkalmazáskiszolgálókhoz, és minden elérési utat külön kell konfigurálni és tesztelni. Alaposan meg kell fontolnia ennek a megközelítésnek a teljes következményeit.

Ez a cikk az Azure Front Dooron és Azure Application Gateway keresztüli globális HTTP-forgalom támogatásának megközelítését ismerteti. Ez a megközelítés megfelelhet az igényeinek, ha a megoldásnak szüksége van rá:

  • Azure Front Door globális forgalomirányításhoz. Ez azt jelentheti, hogy az alkalmazás több példánya van külön Azure-régiókban, vagy hogy egyetlen régió összes globális felhasználóját kiszolgálja.
  • Webalkalmazási tűzfal (WAF) az alkalmazás védelme érdekében, függetlenül attól, hogy a forgalom milyen útvonalon éri el a forráskiszolgálókat.

A hálózati peremhálózaton történő gyorsítótárazás nem kritikus része az alkalmazáskézbesítésnek. Ha a gyorsítótárazás fontos, alternatív megközelítésért tekintse meg a kritikus fontosságú globális tartalomkézbesítést .

Megjegyzés

Ez a használati eset egy általános tervezési stratégia része, amely egy alternatív megközelítést tartalmaz, ha az Azure Front Door nem érhető el. A környezettel és a szempontokval kapcsolatos információkért lásd: Kritikus fontosságú globális webalkalmazások.

Módszer

Ez a DNS-alapú terheléselosztási megoldás több Azure Traffic Manager-profilt használ az Azure Front Door monitorozásához. Rendelkezésre állási probléma esetén a Traffic Manager átirányítja a forgalmat Application Gateway.

Ábra az Azure Traffic Managerről, amely prioritási útválasztást biztosít az Azure Front Doorhoz, és egy beágyazott Traffic Manager-profilt, amely teljesítmény-útválasztással küldi el Application Gateway példányokat két régióban.

A megoldás a következő összetevőket tartalmazza:

  • A Traffic Manager prioritásos útválasztási módot használ két végponttal rendelkezik. Alapértelmezés szerint a Traffic Manager kéréseket küld az Azure Front Dooron keresztül. Ha az Azure Front Door nem érhető el, egy második Traffic Manager-profil határozza meg, hogy hová irányítsa a kérést. A második profilt az alábbiakban ismertetjük.

  • Az Azure Front Door feldolgozza és átirányítja az alkalmazás forgalmának nagy részét. Az Azure Front Door átirányítja a forgalmat a megfelelő forrásalkalmazás-kiszolgálóra, és biztosítja az alkalmazás elsődleges elérési útját. Az Azure Front Door WAF-ja védelmet nyújt az alkalmazásnak a gyakori biztonsági fenyegetések ellen. Ha az Azure Front Door nem érhető el, a rendszer automatikusan átirányítja a forgalmat a másodlagos útvonalon.

  • A teljesítmény-útválasztási módot használó Traffic Manager minden Application Gateway példányhoz rendelkezik végponttal. Ez a Traffic Manager kéréseket küld a Application Gateway példánynak az ügyfél helyére vonatkozó legjobb teljesítménnyel.

  • Application Gateway minden régióban üzembe van helyezve, és forgalmat küld az adott régióban lévő forráskiszolgálóknak. Application Gateway WAF védi a másodlagos útvonalon áthaladó forgalmat.

  • A forrásalkalmazás-kiszolgálóknak bármikor készen kell állniuk arra, hogy fogadják az Azure Front Door és Azure Application Gateway felől érkező forgalmat.

Megfontolandó szempontok

Az alábbi szakaszok néhány fontos szempontot ismertetnek az ilyen típusú architektúrával kapcsolatban. Tekintse át a kritikus fontosságú globális webalkalmazásokat is, ha az Azure Front Doort egy kritikus fontosságú megoldásban használja.

A Traffic Manager konfigurációja

Ez a megközelítés beágyazott Traffic Manager-profilokat használ a prioritásalapú és a teljesítményalapú útválasztás együttes eléréséhez az alkalmazás alternatív forgalmi útvonalához. Egy egyszerű, egyetlen régióban lévő forrással rendelkező forgatókönyvben előfordulhat, hogy csak egyetlen Traffic Manager-profilra van szükség, amely a prioritásalapú útválasztás használatára van konfigurálva.

Regionális eloszlás

Az Azure Front Door egy globális szolgáltatás, Application Gateway pedig regionális szolgáltatás.

Az Azure Front Door jelenléti pontjai globálisan vannak üzembe helyezve, és a TCP- és TLS-kapcsolatok az ügyfélhez legközelebbi jelenléti ponton fejeződnek be. Ez a viselkedés javítja az alkalmazás teljesítményét. Ezzel szemben, ha az ügyfelek Application Gateway csatlakoznak, a TCP- és TLS-kapcsolataik a kérést fogadó Application Gateway megszűnnek, függetlenül attól, hogy honnan indult a forgalom.

Ügyfelektől származó kapcsolatok

Globális több-bérlős szolgáltatásként az Azure Front Door eredendő védelmet nyújt a különböző fenyegetések ellen. Az Azure Front Door csak érvényes HTTP- és HTTPS-forgalmat fogad el, és nem fogad forgalmat más protokollokon. A Microsoft kezeli az Azure Front Door által a bejövő kapcsolatokhoz használt nyilvános IP-címeket. Ezen jellemzők miatt az Azure Front Door segíthet megvédeni a forrást a különböző támadási típusokkal szemben, és a források konfigurálhatók Private Link kapcsolat használatára.

Ezzel szemben a Application Gateway egy internetkapcsolattal rendelkező szolgáltatás, amely dedikált nyilvános IP-címmel rendelkezik. Meg kell védenie a hálózati és a forráskiszolgálót a különböző támadási típusokkal szemben. További információ: Forrásbiztonság.

Az Azure Front Door Premium Private Link kapcsolatot biztosít a forrásokkal, ami csökkenti a megoldás nyilvános internetkapcsolattal rendelkező felületét.

Ha Private Link használ a forráshoz való csatlakozáshoz, fontolja meg egy privát végpont üzembe helyezését a virtuális hálózatban, és konfigurálja a Application Gateway, hogy a privát végpontot használja az alkalmazás háttérrendszereként.

Méretezés

A Application Gateway telepítésekor dedikált számítási erőforrásokat helyez üzembe a megoldáshoz. Ha a Application Gateway váratlanul nagy mennyiségű forgalom érkezik, teljesítménybeli vagy megbízhatósági problémákat tapasztalhat.

A kockázat csökkentése érdekében fontolja meg a Application Gateway példány skálázását. Használjon automatikus skálázást, vagy győződjön meg arról, hogy manuálisan skálázta azt a feladatátvétel után érkező forgalom mennyiségének kezeléséhez.

Gyorsítótárazás

Ha az Azure Front Door gyorsítótárazási funkcióit használja, fontos tudnia, hogy miután a forgalom átvált az alternatív útvonalra, és Application Gateway használ, a tartalom már nem lesz kiszolgálva az Azure Front Door gyorsítótáraiból.

Ha a megoldás gyorsítótárazásától függ, tekintse meg a kritikus fontosságú globális tartalomkézbesítést egy alternatív megközelítésért, amely partner CDN-t használ az Azure Front Door tartalékaként.

Ha gyorsítótárazást használ, de ez nem lényeges része az alkalmazáskézbesítési stratégiának, fontolja meg, hogy vertikálisan felskálázhatja vagy vertikálisan felskálázhatja a forrásokat, hogy megbirkózzon a feladatátvétel során a gyorsítótár-hibák nagyobb száma által okozott megnövekedett terheléssel.

Kompromisszumok

Ez az architektúratípus akkor a leghasznosabb, ha azt szeretné, hogy az alternatív forgalmi útvonal olyan funkciókat használjon, mint a kérelemfeldolgozási szabályok, a WAF és a TLS-kiszervezés. Az Azure Front Door és a Application Gateway is hasonló képességeket biztosít.

Vannak azonban kompromisszumok:

  • Működési összetettség. Ezen funkciók bármelyikének használatakor konfigurálnia kell őket az Azure Front Dooron és Application Gateway. Ha például módosítja a konfigurációt az Azure Front Door WAF-ben, ugyanezt a konfigurációmódosítást kell alkalmaznia a Application Gateway WAF-ra is. A működési összetettség sokkal nagyobb lesz, ha két különálló rendszert kell újrakonfigurálnia és tesztelnie.

  • Funkció paritása. Bár az Azure Front Door és az Application Gateway által kínált funkciók között vannak hasonlóságok, sok funkció nem rendelkezik pontos paritásossággal. Vegye figyelembe ezeket a különbségeket, mert ezek befolyásolhatják az alkalmazás kézbesítését az általa követett forgalmi útvonal alapján.

    Application Gateway nem biztosít gyorsítótárazást. A különbségről további információt a Gyorsítótárazás című témakörben talál.

    Az Azure Front Door és a Application Gateway különböző termékek, és különböző használati eseteket használnak. Különösen a két termék különbözik az Azure-régiókban való üzembe helyezés módjától. Győződjön meg arról, hogy tisztában van az egyes termékek részleteinek és használatának módjával.

  • Költség. Általában egy Application Gateway példányt kell üzembe helyeznie minden olyan régióban, ahol van forrás. Mivel minden Application Gateway példány külön van kiszámlázva, a költségek magasak lehetnek, ha több régióban is üzembe helyezik a forrásokat.

    Ha a költség jelentős tényező a megoldáshoz, tekintse meg a kritikus fontosságú globális tartalomkézbesítést egy alternatív megközelítésért, amely partneri tartalomkézbesítési hálózatot (CDN) használ az Azure Front Door tartalékaként. Egyes CDN-k használati alapon számlázzák a forgalmat, így ez a megközelítés költséghatékonyabb lehet. Előfordulhat azonban, hogy elveszíti a megoldáshoz Application Gateway használatának néhány egyéb előnyét.

    Alternatív megoldásként érdemes lehet egy alternatív architektúrát üzembe helyezni, ahol a Traffic Manager közvetlenül a szolgáltatásként nyújtott platform (PaaS) alkalmazásszolgáltatásokhoz irányíthatja a forgalmat, így elkerülheti a Application Gateway szükségességét, és csökkentheti a költségeket. Ezt a megközelítést akkor érdemes megfontolnia, ha olyan szolgáltatást használ, mint a Azure App Service vagy az Azure Container Apps a megoldáshoz. Ha azonban ezt a megközelítést követi, több fontos kompromisszumot is figyelembe kell vennie:

    • WAF: Az Azure Front Door és a Application Gateway is WAF-képességeket biztosítanak. Ha az alkalmazásszolgáltatásokat közvetlenül az interneten teszi elérhetővé, előfordulhat, hogy nem tudja megvédeni az alkalmazást WAF-sel.
    • TLS-kiszervezés: Az Azure Front Door és a Application Gateway is leállítja a TLS-kapcsolatokat. Az alkalmazásszolgáltatásokat konfigurálni kell a TLS-kapcsolatok leállításához.
    • Útválasztás: Mind az Azure Front Door, mind a Application Gateway több forrás vagy háttérrendszer közötti útválasztást hajt végre, beleértve az útvonalalapú útválasztást is, és támogatják az összetett útválasztási szabályokat. Ha az alkalmazásszolgáltatások közvetlenül az internetre vannak kitéve, nem hajthat végre forgalomirányítást.

Figyelmeztetés

Ha úgy gondolja, hogy az alkalmazást közvetlenül az internetre teszi ki, hozzon létre egy alapos fenyegetésmodellt, és győződjön meg arról, hogy az architektúra megfelel a biztonsági, teljesítménybeli és rugalmassági követelményeknek.

Ha virtuális gépeket használ a megoldás üzemeltetéséhez, ne tegye közzé a virtuális gépeket az interneten.

Következő lépések

Tekintse át a globális tartalomkézbesítési forgatókönyvet annak megértéséhez, hogy az vonatkozik-e a megoldásra.