Ajánlott eljárások a Front Doorhoz

Ez a cikk az Azure Front Door használatának ajánlott eljárásait foglalja össze.

Általános ajánlott eljárások

Kerülje a Traffic Manager és a Front Door kombinálását

A legtöbb megoldáshoz a Front Door vagyaz Azure Traffic Manager használatát javasoljuk, de mindkettőt nem. Az Azure Traffic Manager egy DNS-alapú terheléselosztó. Közvetlenül a forrás végpontjaira küld forgalmat. Ezzel szemben az Azure Front Door az ügyfélhez közeli jelenléti pontokon (PoP-k) leállítja a kapcsolatokat, és külön hosszú élettartamú kapcsolatokat hoz létre a forrásokkal. A termékek eltérően működnek, és különböző használati esetekre szolgálnak.

Ha tartalom gyorsítótárazására és kézbesítésére (CDN), TLS-megszakításra, speciális útválasztási képességekre vagy webalkalmazási tűzfalra (WAF) van szüksége, fontolja meg a Front Door használatát. Az ügyfél és a végpontok közötti közvetlen kapcsolatokkal való egyszerű globális terheléselosztáshoz fontolja meg a Traffic Manager használatát. A terheléselosztási lehetőség kiválasztásáról további információt a Terheléselosztási beállítások című témakörben talál.

Egy magas rendelkezésre állást igénylő összetett architektúra részeként azonban az Azure Traffic Managert az Azure Front Door elé helyezheti. Abban a valószínűtlen esetben, ha az Azure Front Door nem érhető el, az Azure Traffic Manager ezután átirányíthatja a forgalmat egy másik célhelyre, például Azure-alkalmazás Átjáróhoz vagy egy partner tartalomkézbesítési hálózathoz (CDN).

Fontos

Ne helyezze az Azure Traffic Managert az Azure Front Door mögé. Az Azure Traffic Managereknek mindig az Azure Front Door előtt kell lenniük.

A forrás felé irányuló forgalom korlátozása

A Front Door funkciói akkor működnek a legjobban, ha a forgalom csak a Front Dooron halad át. A forrást úgy kell konfigurálnia, hogy blokkolja a nem a Front Dooron keresztül küldött forgalmat. További információ: Biztonságos forgalom az Azure Front Door-források felé.

Az API és az SDK legújabb verziójának használata

Ha API-k, ARM-sablonok, Bicep vagy Azure SDK-k használatával használja a Front Doort, fontos, hogy a legújabb elérhető API- vagy SDK-verziót használja. Az API- és SDK-frissítések akkor fordulnak elő, ha új funkciók érhetők el, és fontos biztonsági javításokat és hibajavításokat is tartalmaznak.

Naplók konfigurálása

A Front Door minden kérésről részletes telemetriát követ. Ha engedélyezi a gyorsítótárazást, előfordulhat, hogy a forráskiszolgálók nem kapnak minden kérést, ezért fontos, hogy a Front Door naplói segítségével megismerje, hogyan fut a megoldás, és hogyan reagál az ügyfelekre. Az Azure Front Door által rögzített metrikákról és naplókról további információt az Azure Front Door és WAF-naplók metrikáinak és naplóinak monitorozása című témakörben talál.

A saját alkalmazás naplózásának konfigurálásához tekintse meg az Azure Front Door-naplók konfigurálását

Ajánlott TLS-eljárások

Végpontok közötti TLS használata

A Front Door leállítja az ügyfelek TCP- és TLS-kapcsolatait. Ezután új kapcsolatokat hoz létre az egyes jelenléti pontok (PoP) és a forrás között. Érdemes ezeket a kapcsolatokat biztonságossá tenni a TLS-sel, még az Azure-ban üzemeltetett források esetében is. Ez a módszer biztosítja, hogy az adatok mindig titkosítva legyenek az átvitel során.

További információ: TLS az Azure Front Door használatával.

HTTP használata HTTPS-átirányításhoz

Ajánlott eljárás az ügyfelek számára, hogy HTTPS-t használva csatlakozzanak a szolgáltatáshoz. Néha azonban el kell fogadnia a HTTP-kéréseket, hogy lehetővé tegye a régebbi ügyfelek vagy ügyfelek számára, akik esetleg nem értik az ajánlott eljárást.

A Front Door konfigurálható úgy, hogy automatikusan átirányítsa a HTTP-kéréseket a HTTPS protokoll használatára. Engedélyeznie kell az Átirányítás minden forgalom számára, hogy HTTPS-beállítást használjon az útvonalon.

Felügyelt TLS-tanúsítványok használata

Amikor a belépési pont kezeli a TLS-tanúsítványokat, csökkennek a működési költségek, és segít elkerülni a tanúsítvány megújításának elfelejtésével járó költséges kimaradásokat. A belépési pont automatikusan kibocsátja és cserélgeti a felügyelt TLS-tanúsítványokat.

További információ: HTTPS konfigurálása egyéni Azure Front Door-tartományon az Azure Portal használatával.

A "Legújabb" verzió használata ügyfél által felügyelt tanúsítványokhoz

Ha úgy dönt, hogy saját TLS-tanúsítványokat használ, fontolja meg a Key Vault-tanúsítvány "Legújabb" verzióra állítását. A "Legújabb" használatával nem kell újrakonfigurálni a Front Doort a tanúsítvány új verzióinak használatához, és várnia kell a tanúsítványnak a Front Door környezetében való üzembe helyezésére.

További információ: Az Üzembe helyezendő Azure Front Door tanúsítványának kiválasztása.

Ajánlott tartománynév-eljárások

Használja ugyanazt a tartománynevet a belépési ponton és a forráson

A Front Door átírhatja a Host bejövő kérések fejlécét. Ez a funkció akkor lehet hasznos, ha egyetlen forrásra átirányító, ügyfélhez kapcsolódó egyéni tartományneveket kezel. Ez a funkció akkor is segíthet, ha el szeretné kerülni az egyéni tartománynevek konfigurálását a Front Doorban és a forrásnál. Ha azonban újraírja a fejlécet, előfordulhat, hogy a Host cookie-k kérése és az URL-átirányítások megszakadnak. Különösen, ha olyan platformokat használ, mint a Azure-alkalmazás Szolgáltatás, előfordulhat, hogy az olyan funkciók, mint a munkamenet-affinitás, a hitelesítés és az engedélyezés nem működnek megfelelően.

A kérések fejlécének újraírása Host előtt gondosan gondolja át, hogy az alkalmazás megfelelően fog-e működni.

További információ: Az eredeti HTTP-gazdagépnév megőrzése fordított proxy és annak háttérbeli webalkalmazása között.

Webalkalmazási tűzfal (WAF)

WAF engedélyezése

Internetes alkalmazások esetén javasoljuk, hogy engedélyezze a Front Door webalkalmazási tűzfalat (WAF), és konfigurálja felügyelt szabályok használatára. WAF- és Microsoft által felügyelt szabályok használata esetén az alkalmazás számos támadástól védve lesz.

További információ: Webalkalmazási tűzfal (WAF) az Azure Front Dooron.

A WAF ajánlott eljárásainak követése

A WAF for Front Door saját ajánlott eljárásokkal rendelkezik a konfigurációjához és használatához. További információ: Ajánlott eljárások webalkalmazási tűzfalhoz az Azure Front Dooron.

Az állapotadat-mintavétel ajánlott eljárásai

Állapotadat-mintavételek letiltása, ha egy forráscsoportban csak egy forrás található

A Front Door állapotadat-mintavételei olyan helyzetek észlelésére szolgálnak, amikor egy forrás nem érhető el vagy nem megfelelő. Ha egy állapotadat-mintavétel egy forrással kapcsolatos problémát észlel, a Front Door konfigurálható úgy, hogy forgalmat küldjön a forráscsoport egy másik forrásának.

Ha csak egyetlen forrással rendelkezik, a belépési pont mindig erre a forrásra irányítja a forgalmat, még akkor is, ha az állapotadat-mintavétel nem kifogástalan állapotot jelez. Az állapotadat-mintavétel nem változtat a belépési pont viselkedésén. Ebben a forgatókönyvben az állapotadat-mintavételek nem nyújtanak előnyt, ezért tiltsa le őket a forrás forgalmának csökkentése érdekében.

További információ: Állapottesztek.

Jó állapotadat-mintavételi végpontok kiválasztása

Fontolja meg azt a helyet, ahol a Front Door állapotadat-mintavételét figyeli. Általában érdemes figyelni egy olyan weblapot vagy helyet, amelyet kifejezetten az állapotmonitorozáshoz tervez. Az alkalmazáslogika figyelembe tudja venni az éles forgalom kiszolgálásához szükséges összes kritikus összetevő állapotát, beleértve az alkalmazáskiszolgálókat, az adatbázisokat és a gyorsítótárakat. Így ha valamelyik összetevő meghibásodik, a Front Door átirányíthatja a forgalmat a szolgáltatás egy másik példányára.

További információ: Állapotvégpont monitorozási mintája

HEAD állapottesztek használata

Az állapotminták a GET vagy a HEAD HTTP metódust is használhatják. Ajánlott a HEAD metódust használni az állapotmintákhoz, ami csökkenti az eredet forgalmi terhelését.

További információ: Az állapotminták támogatott HTTP-metódusai.

Következő lépések

Ismerje meg, hogyan hozhat létre Front Door-profilt.