Az Azure Front Door – gyakori kérdések (gyakori kérdések)

Ez a cikk választ ad az Azure Front Door funkcióival és funkcióival kapcsolatos leggyakrabban feltett kérdésekre. Ha nem találja a választ a kérdésére, az alábbi csatornákon léphet kapcsolatba velünk (eszkalációs sorrendben):

1. A cikk visszajelzési szakasza.

2. Azure Front Door visszajelzés.

3. Microsoft támogatása: Új támogatási kérelem létrehozásához a Azure Portal Súgó lapján válassza a Súgó + támogatás gombot, majd az Új támogatási kérés lehetőséget.

Általános

Mi az Azure Front Door?

Az Azure Front Door egy felhőalapú szolgáltatás, amely gyorsabban és megbízhatóbban szállítja az alkalmazásokat. 7. rétegbeli terheléselosztással osztja el a forgalmat több régió és végpont között. Emellett dinamikus webhelygyorsítást (DSA) is kínál a webes teljesítmény optimalizálása érdekében, valamint közel valós idejű feladatátvételt a magas rendelkezésre állás biztosítása érdekében. Az Azure Front Door egy teljes körűen felügyelt szolgáltatás, így nem kell aggódnia a skálázás vagy a karbantartás miatt.

Mi a különbség az Azure Front Door és az Azure Application Gateway között?

Azure Front Door és Azure Application Gateway egyaránt terheléselosztók a HTTP/HTTPS-forgalomhoz, de különböző hatókörrel rendelkeznek. A bejárati ajtó egy globális szolgáltatás, amely régiók között osztja el a kéréseket, míg a Application Gateway egy regionális szolgáltatás, amely kiegyensúlyozza a régión belüli kéréseket. Az Azure Front Door méretezési egységekkel, fürtökkel vagy bélyegegységekkel működik, míg a Azure Application Gateway ugyanabban a méretezési egységben lévő virtuális gépekkel, tárolókkal vagy más erőforrásokkal működik.

Milyen típusú erőforrások kompatibilisek jelenleg forrásként?

Az Azure Front Doorhoz különböző típusú forrásokat használhat, például:

• Storage (Azure Blob, klasszikus, statikus webhelyek)
• Felhőszolgáltatás
• Alkalmazásszolgáltatás
• Statikus webalkalmazás
• API menedzsment
• Alkalmazási átjáró
• Nyilvános IP-cím
• Azure Spring Apps
• Konténerpéldányok
• Konténer Alkalmazások
• Bármely egyéni állomásnév nyilvános hozzáféréssel.

A forrásnak nyilvános IP-címmel vagy nyilvánosan feloldható DNS-állomásnévvel kell rendelkeznie. Keverheti a különböző zónákból, régiókból vagy akár az Azure-on kívüli háttérrendszereket is, ha nyilvánosan elérhetők.

Mely régiókban helyezhetek üzembe Azure Front Door szolgáltatásokat?

Az Azure Front Door nem korlátozódik egyetlen Azure-régióra sem, hanem globálisan működik. A bejárati ajtó létrehozásakor csak az erőforráscsoport helyét kell kiválasztania, amely meghatározza, hogy az erőforráscsoport metaadatai hol legyenek tárolva. A bejárati ajtó profil egy globális erőforrás, és konfigurációja világszerte minden peremhálózati helyen el van osztva.

Hol találhatók az Azure Front Door POP-ok (jelenléti pontok)?

Az Azure Front Door globális terheléselosztását és tartalomkézbesítését biztosító jelenléti pontok (POP-ok) teljes listáját lásd: Azure Front Door POP-helyek. Ezt a listát rendszeresen frissítjük az új POP-ok hozzáadásával vagy eltávolításával. A Azure Resource Manager API-val programozott módon is lekérdezheti a POP-ok aktuális listáját.

Hogyan osztja el az Azure Front Door erőforrásait a különböző ügyfelek között?

Az Azure Front Door egy olyan szolgáltatás, amely globálisan több régió között osztja el az alkalmazást. Közös infrastruktúrát használ, amelyet az összes ügyfele megoszt, de testreszabhatja saját bejárati ajtóprofilját az alkalmazás egyedi követelményeinek konfigurálásához. Más ügyfelek konfigurációi nem befolyásolhatják a bejárati ajtó konfigurációját, amely el van különítve az övéktől.

Hogyan határozza meg az Azure Front Door az útválasztási szabályok sorrendjét?

A bejárati ajtó nem rendezi a webalkalmazás útvonalait. Ehelyett a kérésnek leginkább megfelelő útvonalat választja. Ha meg szeretné tudni, hogy a Front Door hogyan egyezteti a kéréseket az útvonalakkal, tekintse meg a Hogyan egyezteti a bejárati ajtó a kéréseket egy útválasztási szabályhoz?

Milyen lépésekkel korlátozhatja a háttérhez való hozzáférést csak az Azure Front Doorra?

A bejárati ajtó funkcióinak optimális teljesítményének biztosítása érdekében csak az Azure Front Doorból érkező forgalom érheti el a forrást. Ennek eredményeképpen a jogosulatlan vagy rosszindulatú kérések a bejárati ajtó biztonsági és útválasztási szabályzataival találkoznak, és megtagadják a hozzáférést. A forrás biztonságossá tételével kapcsolatos további információkért lásd: Az Azure Front Door forrásaihoz vezető forgalom biztonságossá tétele.

Mennyi az Azure bejárati ajtó üzembe helyezésének becsült ideje? A bejárati ajtóm működőképes marad a frissítési folyamat során?

Az új bejárati ajtó konfigurációk üzembe helyezési ideje a módosítás típusától függően változik. Általában 3–20 percet vesz igénybe, amíg a módosítások világszerte az összes peremhálózati helyünkre eljutnak.

Megjegyzés:

Az egyéni TLS-/SSL-tanúsítványfrissítések globális üzembe helyezése hosszabb időt vehet igénybe, több perctől akár egy óráig.

Az útvonalak vagy a forráscsoportok/háttérkészletek frissítései zökkenőmentesek, és nem okoznak állásidőt (feltéve, hogy az új konfiguráció helyes). A tanúsítványfrissítések atomilag is megtörténnek, így nincs kimaradás veszélye.

Áthelyezhetem a bejárati ajtót és a CDN-profilokat az erőforráscsoportok vagy előfizetések között állásidő nélkül?

• A bejárati ajtó Standard/Prémium és Azure CDN-profilok állásidő nélkül áthelyezhetők az erőforráscsoportok vagy előfizetések között. Az áthelyezés végrehajtásához kövesse az alábbi utasításokat.
• A klasszikus bejárati ajtó nem támogatja az erőforráscsoportok vagy előfizetések közötti áthelyezést. Ehelyett áttelepítheti a klasszikus profilt a Standard/Prémium kategóriába, majd végrehajthatja az áthelyezést.
• Ha az ügyfél WAF-t társít a bejárati ajtó Standard/Prémiumhoz, akkor az áthelyezési művelet sikertelen lesz. Az ügyfélnek először meg kell szüntetnie a WAF-szabályzatokat, át kell helyeznie, majd társítania kell.

Jellemzők és protokollok

Milyen funkciókat támogat az Azure Front Door?

Az Azure Front Door egy olyan szolgáltatás, amely számos előnnyel jár a webalkalmazások számára, például a dinamikus webhelygyorsítást (DSA), amely javítja a webhelyek teljesítményét és felhasználói élményét. Az Azure Front Door a TLS/SSL kiszervezését és a végpontok közötti TLS-t is kezeli, ami javítja a webes forgalom biztonságát és titkosítását. Emellett az Azure Front Door webalkalmazási tűzfalat, cookie-alapú munkamenet-affinitást, URL-elérésiút-alapú útválasztást, ingyenes tanúsítványokat és több tartománykezelést és egyebeket biztosít. Az Azure Front Door funkcióival és képességeivel kapcsolatos további információkért tekintse meg a szintek összehasonlítását.

Milyen protokollokat támogat az Azure Front Door?

Az Azure Front Door támogatja a HTTP-t, a HTTPS-t és a HTTP/2-t.

Hogyan támogatja az Azure Front Door a HTTP/2-t?

Azure Front Door támogatja a HTTP/2 protokollt az ügyfélkapcsolatokhoz. A háttérkészlet kommunikációja azonban HTTP/1.1 protokollt használ. A HTTP/2 támogatás alapértelmezés szerint be van kapcsolva.

Támogatja az Azure Front Door a gRPC-t?

Nem. Az Azure Front Door jelenleg csak a HTTP/1.1-et támogatja a peremhálózattól a forrásig. A gRPC működéséhez HTTP/2 szükséges.

Támogatja az Azure Front Door a HTTP-ről HTTPS-re történő átirányítást?

Az URL-címek gazdagép-, elérési út- és lekérdezési sztring-összetevőit átirányíthatja az Azure Front Door. Az URL-átirányítás konfigurálásával kapcsolatos további információkért tekintse meg az URL-átirányítást.

Az AFD telemetriát biztosít annak megjelenítéséhez, hogy az AFD mely szabálymotor-szabályokat dolgozza fel az egyes kérésekhez?

Igen. Tekintse meg a MatchedRulesSetName tulajdonságot a Hozzáférési naplók alatt.

Nyújthat-e védelmet az AFD a "HTTP/2 Rapid Reset" DDoS támadások ellen?

Igen. További információ: A Microsoft válasza a HTTP/2 elleni DDoS-támadásokra.

Az Azure Front Door megőrzi az "x-forwarded-for" fejléceket?

Az Azure Front Door támogatja az X-Forwarded-For, X-Forwarded-Host és X-Forwarded-Proto fejléceket. Ezek a fejlécek segítenek a bejárati ajtónak azonosítani az eredeti ügyfél IP-címét és protokollját. Ha az X-Forwarded-For már jelen van, a bejárati ajtó hozzáadja az ügyfél szoftvercsatorna IP-címét a lista végéhez. Ellenkező esetben létrehozza a fejlécet az ügyfél szoftvercsatorna IP-címével értékként. Az X-Forwarded-Host és az X-Forwarded-Proto esetében a bejárati ajtó lecseréli a meglévő értékeket a sajátjára.

További információ: Bejárati ajtó által támogatott HTTP-fejlécek.

Az Azure Front Door képes a virtuális hálózaton belüli terheléselosztásra vagy forgalom irányítására?

Az Azure Front Door Standard vagy (klasszikus) szint használatához nyilvános IP-címre vagy nyilvánosan feloldható DNS-névre van szükség. Ez a nyilvános IP-címre vagy nyilvánosan feloldható DNS-névre vonatkozó követelmény lehetővé teszi, hogy az Azure Front Door a forgalmat a háttérerőforrásokhoz irányítsa. Az Azure-erőforrásokat, például Application Gateways vagy Azure Load Balancers használhatja a forgalmat egy virtuális hálózat erőforrásaihoz irányíthatja. Ha a Front Door Prémium szintet használja, a Private Link használatával csatlakozhat egy privát végponttal rendelkező belső terheléselosztó mögötti forrásokhoz. További információ: Biztonságos források a Private Link használatával.

A bejárati ajtó üzembe helyezése más szolgáltatásokkal

Mikor érdemes üzembe helyezni egy Application Gateway a bejárati ajtó mögött?

Application Gateway a bejárati ajtó mögött az alábbi helyzetekben hasznos:

• A forgalmat nem csak globálisan, hanem a virtuális hálózaton belül is ki szeretné egyensúlyozni. A bejárati ajtó csak globális szinten végezhet elérésiút-alapú terheléselosztást, de Application Gateway a virtuális hálózaton belül.
• Szüksége van a csatlakozási ürítésre, amelyet a bejárati ajtó nem támogat. Application Gateway engedélyezheti a kapcsolatok kiürítését a virtuális gépekhez vagy tárolókhoz.
• Ki szeretné szervezni az összes TLS-/SSL-feldolgozást, és csak HTTP-kéréseket szeretne használni a virtuális hálózaton. Application Gateway a bejárati ajtó mögött elérheti ezt a beállítást.
• A munkamenet-affinitást regionális és kiszolgálói szinten is használni szeretné. A bejárati ajtó elküldheti a forgalmat egy felhasználói munkamenetből egy régió ugyanabba a háttérrendszerébe, de Application Gateway elküldheti azt a háttérben lévő kiszolgálónak.

Üzembe helyezhetek egy másik CDN-t egy külső szállítótól a bejárati ajtó mögött vagy előtt?

Két CDN láncolása általában nem ajánlott megközelítés, működne, de a következő hátrányokkal jár

1. A CDN utolsó mérföldes gyorsulása a kapcsolatfolyam és az origó közötti kapcsolat megtartását és az origóhoz vezető optimális út megtalálását használja a legjobb eredmény elérése érdekében. Két CDN összekapcsolása általában tagadja az utolsó mérföldes gyorsulás előnyeit.
2. A biztonsági ellenőrzések kevésbé hatékonyak lesznek a második CDN-nél. Az ügyfél IP-alapú ACL-ezése nem fog működni a második CDN-en, mivel a második CDN az első CDN kilépési csomópontját ügyfél-IP-címként fogja látni. A tartalom hasznos adatait továbbra is megvizsgáljuk.
3. Sok szervezet nem tudja kezelni a két láncolt CDN hibaelhárításának bonyolultságát, és probléma esetén nehéz lesz kitalálni, hogy melyik CDN okozza a problémát.

Üzembe helyezhetem az Azure Load Balancert a bejárati ajtó mögött?

Az Azure Front Door használatához nyilvános VIP-névvel vagy nyilvánosan elérhető DNS-névvel kell rendelkeznie. Az Azure Front Door a nyilvános IP-cím használatával irányítja a forgalmat a forráshoz. Gyakori forgatókönyv egy Azure Load Balancer üzembe helyezése a bejárati ajtó mögött. A Private Link és az Azure Front Door Premium használatával is csatlakozhat egy belső terheléselosztóhoz. További információ: Private Link engedélyezése belső terheléselosztóval.

Konfigurálható Azure CDN a bejárati ajtó profilja/végpontja mögött vagy fordítva?

Az Azure Front Door és az Azure CDN két olyan szolgáltatás, amely gyors és megbízható webes kézbesítést biztosít az alkalmazások számára. Ezek azonban nem kompatibilisek egymással, mert ugyanazon az Azure peremhálózati webhelyhálózaton osztoznak, hogy tartalmat szállítsanak a felhasználóknak. Ez a megosztott hálózat ütközéseket okoz az útválasztási és gyorsítótárazási szabályzatok között. Ezért a teljesítmény- és biztonsági követelményektől függően az Azure Front Door vagy a Azure CDN lehetőséget kell választania az alkalmazáshoz.

Konfigurálható egy Azure Front Door-profil/végpont egy másik Front Door-profil/végpont mögött, vagy fordítva?

Az a tény, hogy mindkét profil/végpont ugyanazt az Azure Edge POP-ot használja a bejövő kérések kezeléséhez, olyan korlátozást okoz, amely megakadályozza, hogy az egyik Azure Front Door-profilt/végpontot egy másik mögé ágyazza. Ez a beállítás útválasztási ütközéseket és teljesítményproblémákat okozhat. Ezért győződjön meg arról, hogy az Azure Front Door-profilok/végpontok nincsenek egymáshoz láncolva, ha több profilt/végpontot kell használnia az alkalmazásokhoz.

Bejárati ajtó IP-címei és szolgáltatáscímkéi

A bejárati ajtóm anycast IP-címe ugyanaz marad az élettartama során?

A bejárati ajtó előtétprogramjának IP-címe, anycast rögzített, és előfordulhat, hogy nem változik mindaddig, amíg a bejárati ajtót használja. A bejárati ajtó anycast frontend rögzített IP-címe azonban nem garantált. Ne hagyatkozzon közvetlenül az IP-címre. Az IP-címek módosítása során a legfrissebb IP-címek rendszeres lekéréséhez és megfelelő műveletek megtételéhez fejlesztsen automatizálást a legújabb IP-címek rendszeres lekéréséhez a Service Tag Discovery API vagy JSON-fájl használatával.

Az Azure Front Door statikus vagy dedikált IP-címeket kínál?

Az Azure Front Door egy dinamikus szolgáltatás, amely a forgalmat a legjobb elérhető háttérrendszerre irányítja. Jelenleg nem kínál statikus vagy dedikált előtérbeli anycast IP-címeket.

Milyen hálózati szolgáltatáscímkéket támogat a Front Door?

Az Azure Front Door három szolgáltatáscímkét használ az ügyfelek és a forrás közötti forgalom kezeléséhez:

• Az AzureFrontDoor.Backend szolgáltatáscímke tartalmazza azokat az IP-címeket, amelyeket a bejárati ajtó a forrás eléréséhez használ. Ezt a szolgáltatáscímkét akkor alkalmazhatja, ha az eredetbiztonságot konfigurálja.
• Az AzureFrontDoor.Frontend szolgáltatáscímke tartalmazza azokat az IP-címeket, amelyeket az ügyfelek a bejárati ajtó eléréséhez használnak. A szolgáltatáscímkét akkor alkalmazhatja AzureFrontDoor.Frontend , ha szabályozni szeretné a kimenő forgalmat, amely csatlakozhat az Azure Front Door mögötti szolgáltatásokhoz.
• Az AzureFrontDoor.FirstParty szolgáltatáscímke az Azure Front Doorban üzemeltetett Microsoft-szolgáltatások egy kiválasztott csoportja számára van fenntartva.

Az Azure Front Door szolgáltatáscímkék forgatókönyveivel kapcsolatos további információkért tekintse meg az elérhető szolgáltatáscímkéket. Az IP-címek módosítása során a legfrissebb IP-címek rendszeres lekéréséhez és megfelelő műveletek megtételéhez fejlesztsen automatizálást a legújabb IP-címek rendszeres lekéréséhez a Service Tag Discovery API vagy JSON-fájl használatával.

Konfiguráció

Milyen ajánlott eljárások vannak az Azure Front Door forrás- és forráscsoportjainak létrehozásához?

A forráscsoport olyan források gyűjteménye, amelyek hasonló típusú kéréseket képesek kezelni. Minden egyes alkalmazáshoz vagy számítási feladathoz más forráscsoportra van szükség.

Egy forráscsoportban minden olyan kiszolgálóhoz vagy szolgáltatáshoz létre kell hoznia egy forrást, amely képes kiszolgálni a kéréseket. Ha a forrás rendelkezik terheléselosztóval, például Azure Application Gateway, vagy terheléselosztóval rendelkező PaaS-en üzemel, akkor a forráscsoportnak csak egy forrása van. A forrás gondoskodik a feladatátvételről és a terheléselosztásról a bejárati ajtó által nem látott források között.

Ha például egy alkalmazást üzemeltet a Azure App Service, a bejárati ajtó beállításának módja attól függ, hogy hány alkalmazáspéldánya van:

• Egyrégiós üzembe helyezés: Hozzon létre egy forráscsoportot. Ebben a forráscsoportban hozzon létre egy forrást a App Service alkalmazáshoz. Előfordulhat, hogy a App Service alkalmazás horizontálisan felskálázható a dolgozók között, de a bejárati ajtó egy forrást lát.
• Többrégiós aktív/passzív üzembe helyezés: Hozzon létre egy forráscsoportot. Ebben a forráscsoportban hozzon létre egy forrást minden App Service alkalmazáshoz. Állítsa be az egyes források prioritását úgy, hogy a fő alkalmazás magasabb prioritású legyen, mint a biztonsági mentési alkalmazás.
• Többrégiós aktív/aktív üzembe helyezés: Hozzon létre egy forráscsoportot. Ebben a forráscsoportban hozzon létre egy forrást minden App Service alkalmazáshoz. Állítsa be az egyes origók prioritását azonosra. Állítsa be az egyes források súlyát annak szabályozásához, hogy hány kérés menjen az adott forráshoz.

További információ: Források és forráscsoportok az Azure Front Doorban.

Melyek az Azure Front Door időtúllépéseinek és korlátainak alapértelmezett és maximális értékei?

Az Azure Front Door egy olyan szolgáltatás, amely gyors és megbízható webes kézbesítést biztosít az alkalmazások számára. Olyan funkciókat kínál, mint a gyorsítótárazás, a terheléselosztás, a biztonság és az útválasztás. Tisztában kell lennie azonban az Azure Front Doorra vonatkozó időtúllépésekkel és korlátokkal. Ezek az időtúllépések és korlátok közé tartozik a kérelem maximális mérete, a válasz maximális mérete, a fejléc maximális mérete, a fejlécek maximális száma, a szabályok maximális száma és a forráscsoportok maximális száma. Ezekről az időtúllépésekről és korlátokról részletes információkat az Azure Front Door dokumentációjában talál.

Mennyi időre van szükség az Azure Front Doornak a bejárati ajtó szabálymotorjához hozzáadott új szabály alkalmazásához?

A legtöbb szabálykészlet konfigurációs frissítése kevesebb mint 20 perc alatt megtörténik. A szabály a frissítés befejezése után azonnal alkalmazásra kerül.

Mi a fejléc időtúllépésének értéke az ügyféltől az Azure Front Doorig?

Az Azure Front Door 5 másodperces időtúllépéssel rendelkezik a fejlécek ügyféltől való fogadásához. A kapcsolat akkor szakad meg, ha az ügyfél 5 másodpercen belül nem küld fejléceket az Azure Front Doornak a TCP/TLS-kapcsolat létrehozása után. Az időtúllépési értéket nem lehet konfigurálni.

Mi az értéke az Azure Front Door HTTP-életben tartási időkorlátjának?

Az Azure Front Door 90 másodperces HTTP-életben tartási időtúllépéssel rendelkezik. A kapcsolat akkor szakad meg, ha az ügyfél 90 másodpercig nem küld adatokat, ami az Azure Front Door HTTP-életben tartási időtúllépése. Az időtúllépési értéket nem lehet konfigurálni.

Használható ugyanaz a tartomány két különböző bejárati ajtó végponthoz?

Nem használhatja ugyanazokat a tartományokat egynél több bejárati ajtó végponthoz, mert a bejárati ajtónak meg kell különböztetnie az útvonalat (protokoll + gazdagép + elérési út kombinációja) az egyes kérésekhez. Ha ismétlődő útvonalakkal rendelkezik különböző végpontokon, az Azure Front Door nem tudja megfelelően feldolgozni a kéréseket.

Lehetséges egy tartomány áttelepítése az egyik bejárati ajtó végpontról egy másik bejárati ajtó végpontra állásidő nélkül?

Jelenleg nem kínálunk lehetőséget arra, hogy a tartományokat a szolgáltatás megszakítása nélkül áthelyezzük egyik végpontról a másikra. Meg kell terveznie egy állásidőt, ha a tartományokat egy másik végpontra szeretné áttelepíteni.

Az Azure Front Door Privatelink-integráció nem támogatott abban a régióban, ahol a forrásom található. Mit csináljak?

Az Azure Front Door Private Link funkció régiófüggetlen, és akkor is működni fog, ha olyan régiót választ, amely eltér attól a régiótól, ahol a forrás található. Ilyen esetekben az alacsonyabb késés biztosítása érdekében mindig a forráshoz legközelebb eső Azure-régiót kell választania, amikor az Azure Front Door Private Link végpont engedélyezését választja. Folyamatban van a támogatás lehetővé tétele több régió számára. Ha egy új régió támogatott, az alábbi utasításokat követve fokozatosan áthelyezheti a forgalmat az új régióba.

Teljesítmény

Hogyan biztosítja az Azure Front Door a magas rendelkezésre állást és a skálázhatóságot a szolgáltatásaihoz?

Az Azure Front Door egy olyan platform, amely elosztja a forgalmat a világ minden táján, és az alkalmazás igényeinek megfelelően skálázható. A Microsoft globális hálózati peremhálózatát használja a globális terheléselosztási képesség biztosításához, amely lehetővé teszi, hogy hiba esetén a teljes alkalmazást vagy adott mikroszolgáltatásokat különböző régiókba vagy felhőkre váltsa.

Milyen feltételekkel kell gyorsítótárazni a származási helyemből származó távolsági válaszokat?

A nagyméretű fájlok kézbesítése során fellépő hibák elkerülése érdekében győződjön meg arról, hogy a forráskiszolgáló tartalmazza a Content-Range fejlécet a válaszban, és hogy a fejléc értéke megegyezik a válasz törzsének tényleges méretével.

A forrás és a bejárati ajtó nagyméretű fájlok kézbesítéséhez való konfigurálásával kapcsolatos további részleteket a Nagyméretű fájlok kézbesítése című témakörben talál.

TLS-konfiguráció

Hogyan blokkolja az Azure Front Door a tartomány előtérbe helyezését?

A tartományi előtérbe foglalás egy olyan hálózati technika, amely lehetővé teszi a támadó számára, hogy elrejtse a rosszindulatú kérések tényleges célját egy másik tartománynév használatával a TLS-kézfogásban és a HTTP-állomásfejlécben.

A 2022. november 8. után létrehozott Azure Front Door (Standard, Prémium és Classic szint) vagy Azure CDN Standard a Microsoft (klasszikus) erőforrásaiból engedélyezve van a tartományi előtér blokkolása. Ahelyett, hogy blokkolnánk egy nem egyező SNI- és állomásfejlécet tartalmazó kérést, engedélyezzük az eltérést, ha a két tartomány ugyanahhoz az előfizetéshez tartozik, és szerepel az útvonalak/útválasztási szabályokban. A domain fronting blokkolásának érvényesítése 2024. január 22-én kezdődik az összes meglévő domain esetében. A végrehajtás akár két hétig is eltarthat, amíg az összes régióban elterjed.

Ha a Front Door eltérés miatt blokkol egy kérést:

• Az ügyfél HTTP-hibakódra 421 Misdirected Request választ kap.
• Az Azure Front Door rögzíti a blokkot a diagnosztikai naplókban a Hibaadatok tulajdonság alatt az SSLMismatchedSNI értékkel.

További információ a tartományi előtérről: A tartományi előtérbe helyezés biztonságossá tétele az Azure-on belül és a tartományi előtérbe helyezés tiltása az Azure bejárati ajtón és Azure CDN Standard a Microsofttól (klasszikus).

Milyen TLS-verziókat támogat az Azure Front Door?

A bejárati ajtó a TLS 1.2-t használja minimális verzióként a 2019 szeptembere után létrehozott összes profilhoz.

Választhatja a TLS 1.2-es vagy 1.3-as verzióját az Azure Front Door. További információért olvassa el az Azure Front Door végpontok közötti TLS-cikkét .

Számlázás

Ki kell számláznom a letiltott Azure Front Door-erőforrásokért?

Az Azure Front Door erőforrásai nem tilthatók le. Ezek csak törölhetők. Az olyan változó mérők, mint az adatátvitel, az adatátvitel és a kérelmek nem kerülnek felszámításra, ha nincs forgalom, de az alapdíj akkor is felszámításra kerül, ha nincs forgalom. Az alapdíjat a profil törléséig számítjuk fel. A klasszikus AFD esetében a WAF-szabályzatok és -szabályok díja az állapotuktól függetlenül történik. Még ha le is tilt egy WAF-szabályzatot vagy szabályt, az továbbra is költségekkel jár.

Gyorsítótár

Használható a HTTP-kérelem fejléce gyorsítótárkulcsként?

Nem.

A Front Door támogatja az ETag-et?

Nem.

Támogatható a tömörítés 8 MB feletti fájlméret esetén?

Az AFD nem támogatja a dinamikus tömörítést a 8 MB-nál nagyobb tartalom esetén. Ha azonban a tartalmat már tömörítette a forrás, a Front Door támogatja a 8 MB-nál nagyobb statikus tömörített tartalom kiszolgálását, ha a tartománykérés támogatott, és az adattömör átviteli kódolás nincs engedélyezve.

Támogatja az AFD az engedélyezési fejléc beállítását a HTTP-kérelemben, ha a gyorsítótárazás engedélyezve van?

Nem.

Diagnosztika és naplózás

Milyen metrikákat és naplókat biztosít az Azure Front Door?

További információ a naplókról és egyéb diagnosztikai képességekről: Metrikák és naplók monitorozása a bejárati ajtóhoz.

Mennyi ideig tart a diagnosztikai naplók megőrzése?

A diagnosztikai naplókat a saját tárfiókjukban tárolhatja, és kiválaszthatja, hogy mennyi ideig szeretné megőrizni őket. Másik lehetőségként diagnosztikai naplókat is elküldhet az Event Hubs vagy a Azure Monitor naplókba. További információkért tekintse meg az Azure Front Door diagnosztikát.

Milyen lépésekkel érheti el az Azure Front Door auditnaplóit?

Az Azure Front Door auditnaplóinak eléréséhez meg kell látogatnia a portált. Válassza ki a bejárati ajtót a menüoldalon, és válassza a Tevékenységnapló lehetőséget. A tevékenységnapló az Azure Front Door műveleteinek rekordjait tartalmazza.

Hogyan konfigurálhatok riasztásokat az Azure Front Doorhoz?

Metrikák vagy naplók alapján állíthat be riasztásokat az Azure Front Doorhoz. Ezzel figyelheti az előtér-gazdagépek teljesítményét és állapotát.

Ha meg szeretné tudni, hogyan hozhat létre riasztásokat az Azure Front Door Standard és Prémium, tekintse meg a riasztások konfigurálását.

Kapcsolódó tartalom

• Megtudhatja, hogyan hozhat létre Azure Front Door-profilt .
• Ismerje meg az Azure Front Door architektúrát.

Ez a cikk választ ad az Azure Front Door funkcióival és funkcióival kapcsolatos leggyakrabban feltett kérdésekre. Ha nem találja a választ a kérdésére, az alábbi csatornákon léphet kapcsolatba velünk (eszkalációs sorrendben):

1. A cikk visszajelzési szakasza.

2. Azure Front Door visszajelzés.

3. Microsoft támogatása: Új támogatási kérelem létrehozásához a Azure Portal Súgó lapján válassza a Súgó + támogatás gombot, majd az Új támogatási kérés lehetőséget.

Az Azure Front Door egy felhőalapú szolgáltatás, amely gyorsabban és megbízhatóbban szállítja az alkalmazásokat. 7. rétegbeli terheléselosztással osztja el a forgalmat több régió és végpont között. Emellett dinamikus webhelygyorsítást (DSA) is kínál a webes teljesítmény optimalizálása érdekében, valamint közel valós idejű feladatátvételt a magas rendelkezésre állás biztosítása érdekében. Az Azure Front Door egy teljes körűen felügyelt szolgáltatás, így nem kell aggódnia a skálázás vagy a karbantartás miatt.

Azure Front Door és Azure Application Gateway egyaránt terheléselosztók a HTTP/HTTPS-forgalomhoz, de különböző hatókörrel rendelkeznek. A bejárati ajtó egy globális szolgáltatás, amely régiók között osztja el a kéréseket, míg a Application Gateway egy regionális szolgáltatás, amely kiegyensúlyozza a régión belüli kéréseket. Az Azure Front Door méretezési egységekkel, fürtökkel vagy bélyegegységekkel működik, míg a Azure Application Gateway ugyanabban a méretezési egységben lévő virtuális gépekkel, tárolókkal vagy más erőforrásokkal működik.

Az Azure Front Doorhoz különböző típusú forrásokat használhat, például:

• Storage (Azure Blob, klasszikus, statikus webhelyek)
• Felhőszolgáltatás
• Alkalmazásszolgáltatás
• Statikus webalkalmazás
• API menedzsment
• Alkalmazási átjáró
• Nyilvános IP-cím
• Azure Spring Apps
• Konténerpéldányok
• Konténer Alkalmazások
• Bármely egyéni állomásnév nyilvános hozzáféréssel.

A forrásnak nyilvános IP-címmel vagy nyilvánosan feloldható DNS-állomásnévvel kell rendelkeznie. Keverheti a különböző zónákból, régiókból vagy akár az Azure-on kívüli háttérrendszereket is, ha nyilvánosan elérhetők.

Az Azure Front Door nem korlátozódik egyetlen Azure-régióra sem, hanem globálisan működik. A bejárati ajtó létrehozásakor csak az erőforráscsoport helyét kell kiválasztania, amely meghatározza, hogy az erőforráscsoport metaadatai hol legyenek tárolva. A bejárati ajtó profil egy globális erőforrás, és konfigurációja világszerte minden peremhálózati helyen el van osztva.

Az Azure Front Door globális terheléselosztását és tartalomkézbesítését biztosító jelenléti pontok (POP-ok) teljes listáját lásd: Azure Front Door POP-helyek. Ezt a listát rendszeresen frissítjük az új POP-ok hozzáadásával vagy eltávolításával. A Azure Resource Manager API-val programozott módon is lekérdezheti a POP-ok aktuális listáját.

Az Azure Front Door egy olyan szolgáltatás, amely globálisan több régió között osztja el az alkalmazást. Közös infrastruktúrát használ, amelyet az összes ügyfele megoszt, de testreszabhatja saját bejárati ajtóprofilját az alkalmazás egyedi követelményeinek konfigurálásához. Más ügyfelek konfigurációi nem befolyásolhatják a bejárati ajtó konfigurációját, amely el van különítve az övéktől.

A bejárati ajtó nem rendezi a webalkalmazás útvonalait. Ehelyett a kérésnek leginkább megfelelő útvonalat választja. Ha meg szeretné tudni, hogy a Front Door hogyan egyezteti a kéréseket az útvonalakkal, tekintse meg a Hogyan egyezteti a bejárati ajtó a kéréseket egy útválasztási szabályhoz?

A bejárati ajtó funkcióinak optimális teljesítményének biztosítása érdekében csak az Azure Front Doorból érkező forgalom érheti el a forrást. Ennek eredményeképpen a jogosulatlan vagy rosszindulatú kérések a bejárati ajtó biztonsági és útválasztási szabályzataival találkoznak, és megtagadják a hozzáférést. A forrás biztonságossá tételével kapcsolatos további információkért lásd: Az Azure Front Door forrásaihoz vezető forgalom biztonságossá tétele.

Az új bejárati ajtó konfigurációk üzembe helyezési ideje a módosítás típusától függően változik. Általában 3–20 percet vesz igénybe, amíg a módosítások világszerte az összes peremhálózati helyünkre eljutnak.

Megjegyzés:

Az egyéni TLS-/SSL-tanúsítványfrissítések globális üzembe helyezése hosszabb időt vehet igénybe, több perctől akár egy óráig.

Az útvonalak vagy a forráscsoportok/háttérkészletek frissítései zökkenőmentesek, és nem okoznak állásidőt (feltéve, hogy az új konfiguráció helyes). A tanúsítványfrissítések atomilag is megtörténnek, így nincs kimaradás veszélye.

• A bejárati ajtó Standard/Prémium és Azure CDN-profilok állásidő nélkül áthelyezhetők az erőforráscsoportok vagy előfizetések között. Az áthelyezés végrehajtásához kövesse az alábbi utasításokat.
• A klasszikus bejárati ajtó nem támogatja az erőforráscsoportok vagy előfizetések közötti áthelyezést. Ehelyett áttelepítheti a klasszikus profilt a Standard/Prémium kategóriába, majd végrehajthatja az áthelyezést.
• Ha az ügyfél WAF-t társít a bejárati ajtó Standard/Prémiumhoz, akkor az áthelyezési művelet sikertelen lesz. Az ügyfélnek először meg kell szüntetnie a WAF-szabályzatokat, át kell helyeznie, majd társítania kell.

Az Azure Front Door egy olyan szolgáltatás, amely számos előnnyel jár a webalkalmazások számára, például a dinamikus webhelygyorsítást (DSA), amely javítja a webhelyek teljesítményét és felhasználói élményét. Az Azure Front Door a TLS/SSL kiszervezését és a végpontok közötti TLS-t is kezeli, ami javítja a webes forgalom biztonságát és titkosítását. Emellett az Azure Front Door webalkalmazási tűzfalat, cookie-alapú munkamenet-affinitást, URL-elérésiút-alapú útválasztást, ingyenes tanúsítványokat és több tartománykezelést és egyebeket biztosít. Az Azure Front Door funkcióival és képességeivel kapcsolatos további információkért tekintse meg a szintek összehasonlítását.

Az Azure Front Door támogatja a HTTP-t, a HTTPS-t és a HTTP/2-t.

Azure Front Door támogatja a HTTP/2 protokollt az ügyfélkapcsolatokhoz. A háttérkészlet kommunikációja azonban HTTP/1.1 protokollt használ. A HTTP/2 támogatás alapértelmezés szerint be van kapcsolva.

Nem. Az Azure Front Door jelenleg csak a HTTP/1.1-et támogatja a peremhálózattól a forrásig. A gRPC működéséhez HTTP/2 szükséges.

Az URL-címek gazdagép-, elérési út- és lekérdezési sztring-összetevőit átirányíthatja az Azure Front Door. Az URL-átirányítás konfigurálásával kapcsolatos további információkért tekintse meg az URL-átirányítást.

Igen. Tekintse meg a MatchedRulesSetName tulajdonságot a Hozzáférési naplók alatt.

Igen. További információ: A Microsoft válasza a HTTP/2 elleni DDoS-támadásokra.

Az Azure Front Door támogatja az X-Forwarded-For, X-Forwarded-Host és X-Forwarded-Proto fejléceket. Ezek a fejlécek segítenek a bejárati ajtónak azonosítani az eredeti ügyfél IP-címét és protokollját. Ha az X-Forwarded-For már jelen van, a bejárati ajtó hozzáadja az ügyfél szoftvercsatorna IP-címét a lista végéhez. Ellenkező esetben létrehozza a fejlécet az ügyfél szoftvercsatorna IP-címével értékként. Az X-Forwarded-Host és az X-Forwarded-Proto esetében a bejárati ajtó lecseréli a meglévő értékeket a sajátjára.

További információ: Bejárati ajtó által támogatott HTTP-fejlécek.

Az Azure Front Door Standard vagy (klasszikus) szint használatához nyilvános IP-címre vagy nyilvánosan feloldható DNS-névre van szükség. Ez a nyilvános IP-címre vagy nyilvánosan feloldható DNS-névre vonatkozó követelmény lehetővé teszi, hogy az Azure Front Door a forgalmat a háttérerőforrásokhoz irányítsa. Az Azure-erőforrásokat, például Application Gateways vagy Azure Load Balancers használhatja a forgalmat egy virtuális hálózat erőforrásaihoz irányíthatja. Ha a Front Door Prémium szintet használja, a Private Link használatával csatlakozhat egy privát végponttal rendelkező belső terheléselosztó mögötti forrásokhoz. További információ: Biztonságos források a Private Link használatával.

Application Gateway a bejárati ajtó mögött az alábbi helyzetekben hasznos:

• A forgalmat nem csak globálisan, hanem a virtuális hálózaton belül is ki szeretné egyensúlyozni. A bejárati ajtó csak globális szinten végezhet elérésiút-alapú terheléselosztást, de Application Gateway a virtuális hálózaton belül.
• Szüksége van a csatlakozási ürítésre, amelyet a bejárati ajtó nem támogat. Application Gateway engedélyezheti a kapcsolatok kiürítését a virtuális gépekhez vagy tárolókhoz.
• Ki szeretné szervezni az összes TLS-/SSL-feldolgozást, és csak HTTP-kéréseket szeretne használni a virtuális hálózaton. Application Gateway a bejárati ajtó mögött elérheti ezt a beállítást.
• A munkamenet-affinitást regionális és kiszolgálói szinten is használni szeretné. A bejárati ajtó elküldheti a forgalmat egy felhasználói munkamenetből egy régió ugyanabba a háttérrendszerébe, de Application Gateway elküldheti azt a háttérben lévő kiszolgálónak.

Két CDN láncolása általában nem ajánlott megközelítés, működne, de a következő hátrányokkal jár

1. A CDN utolsó mérföldes gyorsulása a kapcsolatfolyam és az origó közötti kapcsolat megtartását és az origóhoz vezető optimális út megtalálását használja a legjobb eredmény elérése érdekében. Két CDN összekapcsolása általában tagadja az utolsó mérföldes gyorsulás előnyeit.
2. A biztonsági ellenőrzések kevésbé hatékonyak lesznek a második CDN-nél. Az ügyfél IP-alapú ACL-ezése nem fog működni a második CDN-en, mivel a második CDN az első CDN kilépési csomópontját ügyfél-IP-címként fogja látni. A tartalom hasznos adatait továbbra is megvizsgáljuk.
3. Sok szervezet nem tudja kezelni a két láncolt CDN hibaelhárításának bonyolultságát, és probléma esetén nehéz lesz kitalálni, hogy melyik CDN okozza a problémát.

Az Azure Front Door használatához nyilvános VIP-névvel vagy nyilvánosan elérhető DNS-névvel kell rendelkeznie. Az Azure Front Door a nyilvános IP-cím használatával irányítja a forgalmat a forráshoz. Gyakori forgatókönyv egy Azure Load Balancer üzembe helyezése a bejárati ajtó mögött. A Private Link és az Azure Front Door Premium használatával is csatlakozhat egy belső terheléselosztóhoz. További információ: Private Link engedélyezése belső terheléselosztóval.

Az Azure Front Door és az Azure CDN két olyan szolgáltatás, amely gyors és megbízható webes kézbesítést biztosít az alkalmazások számára. Ezek azonban nem kompatibilisek egymással, mert ugyanazon az Azure peremhálózati webhelyhálózaton osztoznak, hogy tartalmat szállítsanak a felhasználóknak. Ez a megosztott hálózat ütközéseket okoz az útválasztási és gyorsítótárazási szabályzatok között. Ezért a teljesítmény- és biztonsági követelményektől függően az Azure Front Door vagy a Azure CDN lehetőséget kell választania az alkalmazáshoz.

Az a tény, hogy mindkét profil/végpont ugyanazt az Azure Edge POP-ot használja a bejövő kérések kezeléséhez, olyan korlátozást okoz, amely megakadályozza, hogy az egyik Azure Front Door-profilt/végpontot egy másik mögé ágyazza. Ez a beállítás útválasztási ütközéseket és teljesítményproblémákat okozhat. Ezért győződjön meg arról, hogy az Azure Front Door-profilok/végpontok nincsenek egymáshoz láncolva, ha több profilt/végpontot kell használnia az alkalmazásokhoz.

A bejárati ajtó előtétprogramjának IP-címe, anycast rögzített, és előfordulhat, hogy nem változik mindaddig, amíg a bejárati ajtót használja. A bejárati ajtó anycast frontend rögzített IP-címe azonban nem garantált. Ne hagyatkozzon közvetlenül az IP-címre. Az IP-címek módosítása során a legfrissebb IP-címek rendszeres lekéréséhez és megfelelő műveletek megtételéhez fejlesztsen automatizálást a legújabb IP-címek rendszeres lekéréséhez a Service Tag Discovery API vagy JSON-fájl használatával.

Az Azure Front Door egy dinamikus szolgáltatás, amely a forgalmat a legjobb elérhető háttérrendszerre irányítja. Jelenleg nem kínál statikus vagy dedikált előtérbeli anycast IP-címeket.

Az Azure Front Door három szolgáltatáscímkét használ az ügyfelek és a forrás közötti forgalom kezeléséhez:

• Az AzureFrontDoor.Backend szolgáltatáscímke tartalmazza azokat az IP-címeket, amelyeket a bejárati ajtó a forrás eléréséhez használ. Ezt a szolgáltatáscímkét akkor alkalmazhatja, ha az eredetbiztonságot konfigurálja.
• Az AzureFrontDoor.Frontend szolgáltatáscímke tartalmazza azokat az IP-címeket, amelyeket az ügyfelek a bejárati ajtó eléréséhez használnak. A szolgáltatáscímkét akkor alkalmazhatja AzureFrontDoor.Frontend , ha szabályozni szeretné a kimenő forgalmat, amely csatlakozhat az Azure Front Door mögötti szolgáltatásokhoz.
• Az AzureFrontDoor.FirstParty szolgáltatáscímke az Azure Front Doorban üzemeltetett Microsoft-szolgáltatások egy kiválasztott csoportja számára van fenntartva.

Az Azure Front Door szolgáltatáscímkék forgatókönyveivel kapcsolatos további információkért tekintse meg az elérhető szolgáltatáscímkéket. Az IP-címek módosítása során a legfrissebb IP-címek rendszeres lekéréséhez és megfelelő műveletek megtételéhez fejlesztsen automatizálást a legújabb IP-címek rendszeres lekéréséhez a Service Tag Discovery API vagy JSON-fájl használatával.

A forráscsoport olyan források gyűjteménye, amelyek hasonló típusú kéréseket képesek kezelni. Minden egyes alkalmazáshoz vagy számítási feladathoz más forráscsoportra van szükség.

Egy forráscsoportban minden olyan kiszolgálóhoz vagy szolgáltatáshoz létre kell hoznia egy forrást, amely képes kiszolgálni a kéréseket. Ha a forrás rendelkezik terheléselosztóval, például Azure Application Gateway, vagy terheléselosztóval rendelkező PaaS-en üzemel, akkor a forráscsoportnak csak egy forrása van. A forrás gondoskodik a feladatátvételről és a terheléselosztásról a bejárati ajtó által nem látott források között.

Ha például egy alkalmazást üzemeltet a Azure App Service, a bejárati ajtó beállításának módja attól függ, hogy hány alkalmazáspéldánya van:

• Egyrégiós üzembe helyezés: Hozzon létre egy forráscsoportot. Ebben a forráscsoportban hozzon létre egy forrást a App Service alkalmazáshoz. Előfordulhat, hogy a App Service alkalmazás horizontálisan felskálázható a dolgozók között, de a bejárati ajtó egy forrást lát.
• Többrégiós aktív/passzív üzembe helyezés: Hozzon létre egy forráscsoportot. Ebben a forráscsoportban hozzon létre egy forrást minden App Service alkalmazáshoz. Állítsa be az egyes források prioritását úgy, hogy a fő alkalmazás magasabb prioritású legyen, mint a biztonsági mentési alkalmazás.
• Többrégiós aktív/aktív üzembe helyezés: Hozzon létre egy forráscsoportot. Ebben a forráscsoportban hozzon létre egy forrást minden App Service alkalmazáshoz. Állítsa be az egyes origók prioritását azonosra. Állítsa be az egyes források súlyát annak szabályozásához, hogy hány kérés menjen az adott forráshoz.

További információ: Források és forráscsoportok az Azure Front Doorban.

Az Azure Front Door egy olyan szolgáltatás, amely gyors és megbízható webes kézbesítést biztosít az alkalmazások számára. Olyan funkciókat kínál, mint a gyorsítótárazás, a terheléselosztás, a biztonság és az útválasztás. Tisztában kell lennie azonban az Azure Front Doorra vonatkozó időtúllépésekkel és korlátokkal. Ezek az időtúllépések és korlátok közé tartozik a kérelem maximális mérete, a válasz maximális mérete, a fejléc maximális mérete, a fejlécek maximális száma, a szabályok maximális száma és a forráscsoportok maximális száma. Ezekről az időtúllépésekről és korlátokról részletes információkat az Azure Front Door dokumentációjában talál.

A legtöbb szabálykészlet konfigurációs frissítése kevesebb mint 20 perc alatt megtörténik. A szabály a frissítés befejezése után azonnal alkalmazásra kerül.

Az Azure Front Door 5 másodperces időtúllépéssel rendelkezik a fejlécek ügyféltől való fogadásához. A kapcsolat akkor szakad meg, ha az ügyfél 5 másodpercen belül nem küld fejléceket az Azure Front Doornak a TCP/TLS-kapcsolat létrehozása után. Az időtúllépési értéket nem lehet konfigurálni.

Az Azure Front Door 90 másodperces HTTP-életben tartási időtúllépéssel rendelkezik. A kapcsolat akkor szakad meg, ha az ügyfél 90 másodpercig nem küld adatokat, ami az Azure Front Door HTTP-életben tartási időtúllépése. Az időtúllépési értéket nem lehet konfigurálni.

Nem használhatja ugyanazokat a tartományokat egynél több bejárati ajtó végponthoz, mert a bejárati ajtónak meg kell különböztetnie az útvonalat (protokoll + gazdagép + elérési út kombinációja) az egyes kérésekhez. Ha ismétlődő útvonalakkal rendelkezik különböző végpontokon, az Azure Front Door nem tudja megfelelően feldolgozni a kéréseket.

Jelenleg nem kínálunk lehetőséget arra, hogy a tartományokat a szolgáltatás megszakítása nélkül áthelyezzük egyik végpontról a másikra. Meg kell terveznie egy állásidőt, ha a tartományokat egy másik végpontra szeretné áttelepíteni.

Az Azure Front Door Private Link funkció régiófüggetlen, és akkor is működni fog, ha olyan régiót választ, amely eltér attól a régiótól, ahol a forrás található. Ilyen esetekben az alacsonyabb késés biztosítása érdekében mindig a forráshoz legközelebb eső Azure-régiót kell választania, amikor az Azure Front Door Private Link végpont engedélyezését választja. Folyamatban van a támogatás lehetővé tétele több régió számára. Ha egy új régió támogatott, az alábbi utasításokat követve fokozatosan áthelyezheti a forgalmat az új régióba.

Az Azure Front Door egy olyan platform, amely elosztja a forgalmat a világ minden táján, és az alkalmazás igényeinek megfelelően skálázható. A Microsoft globális hálózati peremhálózatát használja a globális terheléselosztási képesség biztosításához, amely lehetővé teszi, hogy hiba esetén a teljes alkalmazást vagy adott mikroszolgáltatásokat különböző régiókba vagy felhőkre váltsa.

A nagyméretű fájlok kézbesítése során fellépő hibák elkerülése érdekében győződjön meg arról, hogy a forráskiszolgáló tartalmazza a Content-Range fejlécet a válaszban, és hogy a fejléc értéke megegyezik a válasz törzsének tényleges méretével.

A forrás és a bejárati ajtó nagyméretű fájlok kézbesítéséhez való konfigurálásával kapcsolatos további részleteket a Nagyméretű fájlok kézbesítése című témakörben talál.

A tartományi előtérbe foglalás egy olyan hálózati technika, amely lehetővé teszi a támadó számára, hogy elrejtse a rosszindulatú kérések tényleges célját egy másik tartománynév használatával a TLS-kézfogásban és a HTTP-állomásfejlécben.

A 2022. november 8. után létrehozott Azure Front Door (Standard, Prémium és Classic szint) vagy Azure CDN Standard a Microsoft (klasszikus) erőforrásaiból engedélyezve van a tartományi előtér blokkolása. Ahelyett, hogy blokkolnánk egy nem egyező SNI- és állomásfejlécet tartalmazó kérést, engedélyezzük az eltérést, ha a két tartomány ugyanahhoz az előfizetéshez tartozik, és szerepel az útvonalak/útválasztási szabályokban. A domain fronting blokkolásának érvényesítése 2024. január 22-én kezdődik az összes meglévő domain esetében. A végrehajtás akár két hétig is eltarthat, amíg az összes régióban elterjed.

Ha a Front Door eltérés miatt blokkol egy kérést:

• Az ügyfél HTTP-hibakódra 421 Misdirected Request választ kap.
• Az Azure Front Door rögzíti a blokkot a diagnosztikai naplókban a Hibaadatok tulajdonság alatt az SSLMismatchedSNI értékkel.

További információ a tartományi előtérről: A tartományi előtérbe helyezés biztonságossá tétele az Azure-on belül és a tartományi előtérbe helyezés tiltása az Azure bejárati ajtón és Azure CDN Standard a Microsofttól (klasszikus).

A bejárati ajtó a TLS 1.2-t használja minimális verzióként a 2019 szeptembere után létrehozott összes profilhoz.

Választhatja a TLS 1.2-es vagy 1.3-as verzióját az Azure Front Door. További információért olvassa el az Azure Front Door végpontok közötti TLS-cikkét .

Az Azure Front Door erőforrásai nem tilthatók le. Ezek csak törölhetők. Az olyan változó mérők, mint az adatátvitel, az adatátvitel és a kérelmek nem kerülnek felszámításra, ha nincs forgalom, de az alapdíj akkor is felszámításra kerül, ha nincs forgalom. Az alapdíjat a profil törléséig számítjuk fel. A klasszikus AFD esetében a WAF-szabályzatok és -szabályok díja az állapotuktól függetlenül történik. Még ha le is tilt egy WAF-szabályzatot vagy szabályt, az továbbra is költségekkel jár.

Nem.

Nem.

Az AFD nem támogatja a dinamikus tömörítést a 8 MB-nál nagyobb tartalom esetén. Ha azonban a tartalmat már tömörítette a forrás, a Front Door támogatja a 8 MB-nál nagyobb statikus tömörített tartalom kiszolgálását, ha a tartománykérés támogatott, és az adattömör átviteli kódolás nincs engedélyezve.

Nem.

További információ a naplókról és egyéb diagnosztikai képességekről: Metrikák és naplók monitorozása a bejárati ajtóhoz.

A diagnosztikai naplókat a saját tárfiókjukban tárolhatja, és kiválaszthatja, hogy mennyi ideig szeretné megőrizni őket. Másik lehetőségként diagnosztikai naplókat is elküldhet az Event Hubs vagy a Azure Monitor naplókba. További információkért tekintse meg az Azure Front Door diagnosztikát.

Az Azure Front Door auditnaplóinak eléréséhez meg kell látogatnia a portált. Válassza ki a bejárati ajtót a menüoldalon, és válassza a Tevékenységnapló lehetőséget. A tevékenységnapló az Azure Front Door műveleteinek rekordjait tartalmazza.

Metrikák vagy naplók alapján állíthat be riasztásokat az Azure Front Doorhoz. Ezzel figyelheti az előtér-gazdagépek teljesítményét és állapotát.

Ha meg szeretné tudni, hogyan hozhat létre riasztásokat az Azure Front Door Standard és Prémium, tekintse meg a riasztások konfigurálását.

Kapcsolódó tartalom

• Megtudhatja, hogyan hozhat létre Azure Front Door-profilt .
• Ismerje meg az Azure Front Door architektúrát.