Megosztás a következőn keresztül:

Az Azure Well-Architected Framework perspektívája az Azure Front Dooron

  • Cikk

Az Azure Front Door egy globális terheléselosztó és tartalomkézbesítési hálózat, amely HTTP- és HTTPS-forgalmat irányít. Az Azure Front Door az alkalmazás felhasználóihoz legközelebbi forgalmat biztosítja és osztja el.

Ez a cikk feltételezi, hogy építészként áttekintette a terheléselosztási lehetőségeket , és az Azure Front Doort választotta a számítási feladat terheléselosztójaként. Azt is feltételezi, hogy az alkalmazás több régióban van üzembe helyezve egy aktív-aktív vagy aktív-passzív modellben. Az ebben a cikkben található útmutató olyan architekturális javaslatokat tartalmaz, amelyek az Azure Well-Architected Framework pilléreinek alapelveire vannak leképezve.

Fontos

Az útmutató használata

Minden szakasz egy tervezési ellenőrzőlistával rendelkezik, amely a technológiai hatókörre lokalizált építészeti területeket és tervezési stratégiákat mutatja be.

Ez a cikk javaslatokat is tartalmaz azokkal a technológiai képességekkel kapcsolatban, amelyek segítenek ezeknek a stratégiáknak a kialakításában. A javaslatok nem felelnek meg az Azure Front Doorhoz és függőségeihez elérhető összes konfiguráció teljes listájának. Ehelyett a tervezési szempontokra leképezett legfontosabb javaslatokat sorolják fel. A javaslatok segítségével elkészítheti a megvalósíthatósági igazolásokat, vagy optimalizálhatja a meglévő környezeteket.

Alapvető architektúra, amely bemutatja a legfontosabb javaslatokat: Kritikus fontosságú alaparchitektúra hálózati vezérlőkkel.

Technológiai hatókör

Ez az áttekintés a következő Azure-erőforrásokhoz tartozó, egymáshoz tartozó döntésekre összpontosít:

  • Azure Front Door

Megbízhatóság

A megbízhatósági pillér célja a folyamatos működés biztosítása a megfelelő rugalmasság és a hibák gyors helyreállításának képességével.

A megbízhatósági tervezési alapelvek magas szintű tervezési stratégiát biztosítanak az egyes összetevőkre, rendszerfolyamatokra és a rendszer egészére vonatkozóan.

Tervezési ellenőrzőlista

Indítsa el a tervezési stratégiát a megbízhatósági terv felülvizsgálati ellenőrzőlistája alapján. Határozza meg az üzleti követelményeknek való relevanciáját, és tartsa szem előtt a szinteket és az Azure Content Delivery Network képességeit. Bővítse ki a stratégiát, hogy szükség esetén további megközelítéseket is tartalmazzon.

  • Becsülje meg a forgalmi mintát és a kötetet. Az ügyféltől az Azure Front Door peremhálózatára irányuló kérések száma befolyásolhatja a szintválasztást. Ha nagy mennyiségű kérést kell támogatnia, vegye figyelembe az Azure Front Door Premium szintjét, mert a teljesítmény végső soron befolyásolja a rendelkezésre állást. Van azonban egy költségelkontraszt. Ezeket a szinteket a Teljesítményhatékonyság szakaszban ismertetjük.

  • Válassza ki az üzembehelyezési stratégiát. Az alapvető üzembehelyezési megközelítések az aktív-aktív és az aktív-passzív. Az aktív-aktív üzembe helyezés azt jelenti, hogy a számítási feladatot futtató több környezet vagy bélyeg szolgálja a forgalmat. Az aktív-passzív üzembe helyezés azt jelenti, hogy csak az elsődleges régió kezeli az összes forgalmat, de szükség esetén a másodlagos régióra is áttér. Többrégiós üzemelő példányban a bélyegek különböző régiókban futnak a nagyobb rendelkezésre állás érdekében egy olyan globális terheléselosztóval, mint az Azure Front Door, amely elosztja a forgalmat. Ezért fontos, hogy a terheléselosztót a megfelelő üzembehelyezési megközelítéshez konfigurálja.

    Az Azure Front Door számos útválasztási módszert támogat, amelyeket konfigurálhat a forgalom aktív-aktív vagy aktív-passzív modellben való elosztására.

    Az előző modelleknek számos változata van. Üzembe helyezheti például az aktív-passzív modellt egy meleg tartalékkal. Ebben az esetben a másodlagos üzemeltetett szolgáltatás a lehető legkisebb számítási és adatméretezéssel üzemel, és terhelés nélkül fut. Feladatátvételkor a számítási és az adaterőforrások méreteződik az elsődleges régióból érkező terhelés kezeléséhez. További információ: A többrégiós tervezés fő tervezési stratégiái.

    Egyes alkalmazásoknak a felhasználói kapcsolatoknak ugyanazon a forráskiszolgálón kell maradniuk a felhasználói munkamenet során. Megbízhatósági szempontból nem javasoljuk, hogy a felhasználói kapcsolatokat ugyanazon a forráskiszolgálón tartsa. Kerülje a munkamenet-affinitást, amennyire csak lehetséges.

  • Használja ugyanazt a gazdagépnevet az Azure Front Dooron és a forráskiszolgálókon. Annak érdekében, hogy a cookie-k vagy átirányítási URL-címek megfelelően működjenek, őrizze meg az eredeti HTTP-gazdagépnevet, amikor fordított proxyt , például terheléselosztót használ egy webalkalmazás előtt.

  • Implementálja az állapotvégpont monitorozási mintáját. Az alkalmazásnak közzé kell tennie az állapotvégpontokat, amelyek összesítik azoknak a kritikus szolgáltatásoknak és függőségeknek az állapotát, amelyekre az alkalmazásnak szüksége van a kérések kiszolgálásához. Az Azure Front Door állapottesztjei a végpontot használják a forráskiszolgálók állapotának észlelésére. További információ: Állapotvégpont monitorozási mintája.

  • Használja ki az Azure Front Door beépített tartalomkézbesítési hálózati funkcióit. Az Azure Front Door tartalomkézbesítési hálózati funkciója több száz peremhelyet tartalmaz, és segíthet ellenállni az elosztott szolgáltatásmegtagadási (DDoS-) támadásoknak. Ezek a képességek segítenek a megbízhatóság javításában.

  • Fontolja meg a redundáns forgalomkezelési lehetőséget. Az Azure Front Door egy globálisan elosztott szolgáltatás, amely egyetlentonként fut egy környezetben. Az Azure Front Door egy lehetséges meghibásodási pont a rendszerben. Ha a szolgáltatás meghibásodik, az ügyfelek nem tudnak hozzáférni az alkalmazáshoz az állásidő alatt.

    A redundáns implementációk összetettek és költségesek lehetnek. Ezeket csak olyan kritikus fontosságú számítási feladatokhoz vegye figyelembe, amelyek nagyon alacsony tűréshatárt élveznek a kimaradásokkal szemben. Alaposan gondolja át a kompromisszumokat.

Javaslatok

Ajánlás Előny
Válasszon egy útválasztási módszert , amely támogatja az üzembe helyezési stratégiát.

A súlyozott módszer, amely a konfigurált súlyozási együttható alapján osztja el a forgalmat, támogatja az aktív-aktív modelleket.

Egy prioritásalapú érték, amely úgy konfigurálja az elsődleges régiót, hogy fogadja az összes forgalmat, és küldje el a forgalmat a másodlagos régióba biztonsági mentésként, támogatja az aktív-passzív modelleket.

Kombinálja az előző metódusokat a késéssel, hogy a legalacsonyabb késéssel rendelkező forrás fogadja a forgalmat.		 A legjobb forráserőforrást számos döntési lépés és a kialakítás segítségével választhatja ki. A kiválasztott forrás a megengedett késési tartományon belüli forgalmat szolgálja ki a megadott súlyarányban.
A redundancia támogatása több forrással egy vagy több háttérkészletben.

Mindig rendelkezzen redundáns alkalmazáspéldányokkal, és győződjön meg arról, hogy minden példány elérhetővé tesz egy végpontot vagy forrást. Ezeket a forrásokat elhelyezheti egy vagy több háttérkészletben.		 A több forrás támogatja a redundanciát azáltal, hogy a forgalmat az alkalmazás több példánya között osztja el. Ha egy példány nem érhető el, akkor a többi háttérbeli forrás továbbra is fogadhat forgalmat.
Állapottesztek beállítása a forráson.

Konfigurálja az Azure Front Doort állapot-ellenőrzések végrehajtására annak megállapításához, hogy a háttérpéldány elérhető-e, és készen áll-e a kérések fogadására.		 Az engedélyezett állapottesztek az állapotmonitorozási minta megvalósításának részét képezik. Az állapottesztek biztosítják, hogy az Azure Front Door csak olyan példányokra irányja a forgalmat, amelyek elég kifogástalan állapotban vannak a kérések kezeléséhez.
További információ: Ajánlott eljárások az állapottesztekkel kapcsolatban.
Állítson be egy időtúllépést a kérések háttérbe történő továbbításához.

Állítsa be az időtúllépési beállítást a végpontok igényeinek megfelelően. Ha nem, az Azure Front Door bezárhatja a kapcsolatot, mielőtt a forrás elküldi a választ.
Az Azure Front Door alapértelmezett időtúllépését is csökkentheti, ha az összes forrás rövidebb időtúllépéssel rendelkezik.
További információ: Nem válaszoló kérések hibaelhárítása.		 Az időtúllépések segítenek megelőzni a teljesítményproblémákat és a rendelkezésre állási problémákat a vártnál hosszabb ideig tartó kérések leállításával.
Használja ugyanazt a gazdagépnevet az Azure Front Dooron és a forrásán.

Az Azure Front Door átírhatja a bejövő kérések gazdagépfejlécét, ami akkor hasznos, ha több egyéni tartománynévvel rendelkezik, amelyek egy forráshoz vezetnek. A gazdagép fejlécének újraírása azonban problémákat okozhat a kérések cookie-jával és az URL-átirányítással kapcsolatban.		 Állítsa be ugyanazt a gazdagépnevet, hogy megakadályozza a munkamenet-affinitással, a hitelesítéssel és az engedélyezéssel kapcsolatos meghibásodást. További információ: Az eredeti HTTP-állomásnév megőrzése a fordított proxy és a háttérbeli webalkalmazás között.
Döntse el, hogy az alkalmazáshoz munkamenet-affinitás szükséges-e. Ha magas megbízhatósági követelményekkel rendelkezik, javasoljuk, hogy tiltsa le a munkamenet-affinitást. A munkamenet-affinitás miatt a felhasználói kapcsolatok ugyanazon a forráson maradnak a felhasználói munkamenet során. Ha ez a forrás elérhetetlenné válik, a felhasználói élmény megszakadhat.
Használja ki a webalkalmazási tűzfal (WAF) által tartalmazott sebességkorlátozó szabályokat . Korlátozza a kéréseket, hogy az ügyfelek ne küldjenek túl sok forgalmat az alkalmazásnak. A sebességkorlátozás segíthet elkerülni az olyan problémákat, mint az újrapróbálkozási vihar.

Biztonság

A biztonsági pillér célja, hogy bizalmassági, integritási és rendelkezésre állási garanciákat biztosítson a számítási feladat számára.

A biztonsági tervezési alapelvek magas szintű tervezési stratégiát biztosítanak e célok eléréséhez azáltal, hogy megközelítéseket alkalmaznak a műszaki tervezésre az Azure Front Dooron keresztül érkező forgalom korlátozásához.

Tervezési ellenőrzőlista

Indítsa el a tervezési stratégiát a Biztonság tervezési felülvizsgálati ellenőrzőlistája alapján. Biztonsági rések és vezérlők azonosítása a biztonsági helyzet javítása érdekében. Bővítse ki a stratégiát, hogy szükség esetén további megközelítéseket is tartalmazzon.

  • Tekintse át az Azure Front Door biztonsági alapkonfigurációjának áttekintését.

  • A háttérkiszolgálók védelme. Az előtér az alkalmazásba való bejövő forgalom egyetlen pontjaként működik.

    Az Azure Front Door Azure Private Link használ az alkalmazás eredetének eléréséhez. Private Link szegmentálást hoz létre, hogy a háttérrendszernek ne kelljen nyilvános IP-címeket és végpontokat elérhetővé tennie. További információ: A forrás védelme Private Link az Azure Front Door Premiumban.

    Konfigurálja a háttérszolgáltatásokat úgy, hogy csak az Azure Front Door által külsőleg használt gazdagépnévvel rendelkező kéréseket fogadja el.

  • Csak engedélyezett hozzáférés engedélyezése a vezérlősíkhoz. Az Azure Front Door szerepköralapú hozzáférés-vezérléssel (RBAC) korlátozhatja a hozzáférést csak a szükséges identitásokhoz.

  • Tiltsa le a gyakori fenyegetéseket a peremhálózaton. A WAF integrálva van az Azure Front Doorlal. Engedélyezze a WAF-szabályokat az előtérben, hogy megvédje az alkalmazásokat a hálózati peremhálózat gyakori biztonsági réseitől, közelebb a támadási forráshoz. Fontolja meg a geoszűrést, hogy országonként vagy régiónként korlátozza a webalkalmazáshoz való hozzáférést.

    További információ: Azure Web Application Firewall az Azure Front Dooron.

  • Az Azure Front Door védelme a váratlan forgalom ellen. Az Azure Front Door az Azure DDoS Protection alapszintű csomagját használja az alkalmazásvégpontok DDoS-támadások elleni védelméhez. Ha más nyilvános IP-címeket kell elérhetővé tennie az alkalmazásból, fontolja meg a DDoS Protection standard csomagjának hozzáadását ezekhez a címekhez a speciális védelmi és észlelési képességek érdekében.

    Vannak olyan WAF-szabálykészletek is, amelyek észlelik a robotforgalmat, vagy váratlanul nagy mennyiségű forgalmat észlelnek, amelyek potenciálisan rosszindulatúak lehetnek.

  • Az átvitel alatt lévő adatok védelme. Engedélyezze a végpontok közötti átviteli rétegbiztonságot (TLS), HTTP-ről HTTPS-átirányításra és felügyelt TLS-tanúsítványokat, ha van ilyen. További információ: TLS–ajánlott eljárások az Azure Front Doorhoz.

  • Rendellenes tevékenységek monitorozása. Rendszeresen tekintse át a naplókat, hogy ellenőrizze a támadásokat és a téves pozitívumokat. WAF-naplókat küldhet az Azure Front Doorból a szervezet központi biztonsági információinak és eseménykezelésének (SIEM), például a Microsoft Sentinelnek, hogy észlelje a fenyegetési mintákat, és a számítási feladatok tervezésébe beépüljenek a megelőző intézkedések.

Javaslatok

Ajánlás Előny
Engedélyezze azokat a WAF-szabálykészleteket, amelyek észlelik és blokkolják a potenciálisan rosszindulatú forgalmat. Ez a funkció a Prémium szinten érhető el. Ezeket a szabálykészleteket javasoljuk:
- Alapértelmezett
- Robotvédelem
- IP-korlátozás
- Geoszűrés
- Sebességkorlátozás		 Az alapértelmezett szabálykészletek gyakran frissülnek az OWASP első 10 támadástípusa és a Microsoft Threat Intelligence információi alapján.
A speciális szabálykészletek bizonyos használati eseteket észlelnek. A robotszabályok például az ügyfél IP-címei alapján jónak, rossznak vagy ismeretlennek minősítik a robotokat. Emellett blokkolják a hibás robotokat és az ismert IP-címeket, és korlátozzák a forgalmat a hívó földrajzi helyétől függően.

A szabálykészletek kombinációjával különböző szándékokkal észlelheti és letilthatja a támadásokat.
Kizárások létrehozása felügyelt szabálykészletekhez .

Tesztelje a WAF-szabályzatot észlelési módban néhány hétig, és az üzembe helyezés előtt módosítsa a téves pozitív értékeket.		 Csökkentse a hamis pozitív adatokat, és engedélyezze az alkalmazásra vonatkozó jogos kéréseket.
Küldje el a gazdagép fejlécét a háttérbe. A háttérszolgáltatásoknak tisztában kell lenniük a gazdagép nevével, hogy olyan szabályokat hozzanak létre, amelyek csak az adott gazdagépről érkező forgalmat fogadják.
Engedélyezze a teljes körű TLS-t, a HTTP-ről HTTPS-átirányításra és a felügyelt TLS-tanúsítványokat, ha vannak ilyenek.

Tekintse át az Azure Front Door TLS-ajánlott eljárásait.

Használja a TLS 1.2-es verzióját az alkalmazás szempontjából releváns titkosításokkal rendelkező minimálisan engedélyezett verzióként.

Az Azure Front Door által felügyelt tanúsítványoknak az alapértelmezett választásnak kell lenniük a könnyű kezelhetőség érdekében. Ha azonban kezelni szeretné a tanúsítványok életciklusát, használja saját tanúsítványait az Azure Front Door egyéni tartományvégpontjain, és tárolja őket Key Vault.		 A TLS biztosítja, hogy a böngésző, az Azure Front Door és a háttérrendszeri források közötti adatcserék titkosítva legyenek az illetéktelen módosítás megakadályozása érdekében.

Key Vault felügyelt tanúsítványtámogatást, valamint egyszerű tanúsítványmegújítást és rotációt kínál.

Költségoptimalizálás

A költségoptimalizálás középpontjában a költségminták észlelése, a kritikus területeken lévő befektetések rangsorolása, valamint a szervezet költségvetésének megfelelő optimalizálás áll, miközben megfelel az üzleti követelményeknek.

A költségoptimalizálás tervezési alapelvei magas szintű tervezési stratégiát biztosítanak e célok eléréséhez, és szükség szerint kompromisszumokat biztosítanak az Azure Front Doorhoz és környezetéhez kapcsolódó műszaki tervezésben.

Tervezési ellenőrzőlista

Kezdje el a tervezési stratégiát a beruházások költségoptimalizálási ellenőrzőlistája alapján. Finomhangolja a tervet, hogy a számítási feladat igazodjon a számítási feladathoz lefoglalt költségvetéshez. A tervezésnek a megfelelő Azure-képességeket kell használnia, figyelnie kell a befektetéseket, és meg kell találnia az idő múlásával optimalizálandó lehetőségeket.

  • Tekintse át az Azure Front Door szintjeit és díjszabását. A tarifakalkulátor segítségével megbecsülheti az egyes szintek reális költségeit. Hasonlítsa össze az egyes szintek funkcióit és alkalmasságát a forgatókönyvéhez. Például csak a Prémium szint támogatja a forráshoz való csatlakozást Private Link keresztül.

    A Standard termékváltozat költséghatékonyabb, és mérsékelt forgalmi forgatókönyvekhez alkalmas. A Prémium termékváltozatban magasabb egységdíjat kell fizetnie, de hozzáférhet a biztonsági előnyökhöz és a speciális funkciókhoz, például a WAF-ben és a Private Link felügyelt szabályokhoz. Vegye figyelembe a megbízhatóságra és biztonságra vonatkozó kompromisszumokat az üzleti követelmények alapján.

  • Fontolja meg a sávszélesség költségeit. Az Azure Front Door sávszélesség-költségei a választott szinttől és az adatátvitel típusától függenek. Az Azure Front Door beépített jelentéseket biztosít a számlázható metrikákhoz. A sávszélességgel kapcsolatos költségek felméréséhez és az optimalizálási erőfeszítések összpontosításához lásd: Azure Front Door-jelentések.

  • Bejövő kérések optimalizálása. Az Azure Front Door számlálja a bejövő kéréseket. A tervezési konfigurációban korlátozásokat állíthat be.

    Csökkentse a kérések számát olyan tervezési minták használatával, mint a Háttér az előtérhez és az Átjáró-összesítés. Ezek a minták javíthatják a műveletek hatékonyságát.

    A WAF-szabályok korlátozzák a bejövő forgalmat, ami optimalizálhatja a költségeket. Használja például a sebességkorlátozást a rendellenesen magas forgalom megakadályozására, vagy geoszűrést használva csak bizonyos régiókból vagy országokból engedélyezze a hozzáférést.

  • Erőforrások hatékony használata. Az Azure Front Door egy útválasztási módszert használ, amely segít az erőforrás-optimalizálásban. Hacsak a számítási feladat nem rendkívül késésre érzékeny, egyenletesen ossza el a forgalmat az összes környezet között az üzembe helyezett erőforrások hatékony használata érdekében.

    Az Azure Front Door-végpontok számos fájlt kiszolgálhatnak. A sávszélesség költségeinek csökkentésének egyik módja a tömörítés használata.

    Az Azure Front Doorban gyorsítótárazással olyan tartalmakat használhat, amelyek gyakran nem változnak. Mivel a rendszer gyorsítótárból szolgáltatja a tartalmat, megtakaríthatja azokat a sávszélesség-költségeket, amelyek akkor merülnek fel, amikor a kérést a rendszer a háttérbe továbbítja.

  • Fontolja meg a szervezet által biztosított megosztott példány használatát. A központosított szolgáltatások költségei meg vannak osztva a számítási feladatok között. Fontolja meg azonban a megbízhatósággal való kompromisszumot. A magas rendelkezésre állási követelményekkel rendelkező kritikus fontosságú alkalmazások esetében egy autonóm példányt ajánlunk.

  • Ügyeljen a naplózott adatok mennyiségére. A sávszélességgel és a tárolással kapcsolatos költségek akkor merülhetnek fel, ha bizonyos kérések nem szükségesek, vagy ha a naplózási adatok hosszú ideig megmaradnak.

Javaslatok

Ajánlás Előny
Használjon gyorsítótárazást az azt támogató végpontokhoz. A gyorsítótárazás optimalizálja az adatátviteli költségeket, mivel csökkenti az Azure Front Door-példányról a forrásra irányuló hívások számát.
Fontolja meg a fájltömörítés engedélyezését.
Ehhez a konfigurációhoz az alkalmazásnak támogatnia kell a tömörítést, és engedélyezni kell a gyorsítótárazást.		 A tömörítés csökkenti a sávszélesség-használatot, és javítja a teljesítményt.
Tiltsa le az állapot-ellenőrzéseket egy háttérkészletekben.
Ha csak egy forrás van konfigurálva az Azure Front Door-forráscsoportban, ezek a hívások szükségtelenek.		 Az útválasztási döntések meghozatalához nem szükséges kérések letiltásával csökkentheti a sávszélesség költségeit.

Működésbeli kiválóság

Az operatív kiválóság elsősorban a fejlesztési eljárásokra, a megfigyelhetőségre és a kiadáskezelésre vonatkozó eljárásokra összpontosít.

Az operatív kiválóság tervezési alapelvei magas szintű tervezési stratégiát biztosítanak a számítási feladat működési követelményeinek elérésére.

Tervezési ellenőrzőlista

Indítsa el a tervezési stratégiát az Azure Front Doorhoz kapcsolódó megfigyelhetőségi, tesztelési és üzembe helyezési folyamatok meghatározásához az Operational Excellence tervezési felülvizsgálati ellenőrzőlistája alapján.

  • Infrastruktúra használata kódként (IaC)-technológiákként. Az Azure Front Door-példány kiépítéséhez használjon olyan IaC-technológiákat, mint a Bicep és az Azure Resource Manager-sablonok. Ezek a deklaratív megközelítések konzisztenciát és egyszerű karbantartást biztosítanak. IaC-technológiák használatával például egyszerűen bevezethet új szabálykészlet-verziókat. Mindig a legújabb API-verziót használja.

  • A konfigurációk egyszerűsítése. Az Azure Front Door használatával egyszerűen kezelheti a konfigurációkat. Tegyük fel például, hogy az architektúra támogatja a mikroszolgáltatásokat. Az Azure Front Door támogatja az átirányítási képességeket, így az útvonalalapú átirányítással megcélzhatja az egyes szolgáltatásokat. Egy másik használati eset a helyettesítő tartományok konfigurálása.

  • A progresszív kitettség kezelése az Azure Front Door útválasztási módszereivel. Súlyozott terheléselosztási megközelítés esetén egy kanári üzembe helyezéssel a forgalom adott százalékát küldheti a háttérrendszerbe. Ez a módszer segít tesztelni az új funkciókat és kiadásokat egy ellenőrzött környezetben, mielőtt üzembe irányítja őket.

  • Az Azure Front Door működési adatainak gyűjtése és elemzése a számítási feladatok monitorozásának részeként. Rögzítse a releváns Azure Front Door-naplókat és -metrikákat az Azure Monitor-naplókkal. Ezek az adatok segítenek a hibaelhárításban, a felhasználói viselkedés megértésében és a műveletek optimalizálásában.

  • Tanúsítványkezelés kiszervezése az Azure-ba. Enyhítheti a tanúsítási rotációval és a megújításokkal kapcsolatos üzemeltetési terheket.

Javaslatok

Ajánlás Előny
A továbbítási kompatibilitás támogatásához használja a HTTP-ről HTTPS-átirányításra történő átirányítást. Ha az átirányítás engedélyezve van, az Azure Front Door automatikusan átirányítja a régebbi protokollt használó ügyfeleket a HTTPS biztonságos használatához.
Naplók és metrikák rögzítése.

Adja meg az erőforrás-tevékenységnaplókat, a hozzáférési naplókat, az állapotadat-mintavételi naplókat és a WAF-naplókat.

Riasztások beállítása.		 A bejövő forgalom monitorozása az alkalmazások monitorozásának elengedhetetlen része. Nyomon szeretné követni a kéréseket, és javítani szeretne a teljesítményen és a biztonságon. Az Azure Front Door-konfiguráció hibakereséséhez adatokra van szüksége.

Ha a riasztások érvényben vannak, azonnali értesítéseket kaphat a kritikus működési problémákról.
Tekintse át a beépített elemzési jelentéseket. Az Azure Front Door-profil holisztikus nézete segít a forgalom és a biztonsági jelentések alapján a WAF-metrikákon alapuló fejlesztésekben.
Ha lehetséges, használjon felügyelt TLS-tanúsítványokat . Az Azure Front Door tanúsítványokat bocsáthat ki és kezelhet Önnek. Ez a funkció kiküszöböli a tanúsítványmegújítások szükségességét, és minimalizálja az érvénytelen vagy lejárt TLS-tanúsítvány miatti kimaradások kockázatát.
Helyettesítő TLS-tanúsítványok használata. Nem kell módosítania a konfigurációt az egyes altartományok külön-külön történő hozzáadásához vagy megadásához.

Teljesítménybeli hatékonyság

A teljesítményhatékonyság a felhasználói élmény fenntartásáról szól, még akkor is, ha a kapacitás kezelésével növekszik a terhelés . A stratégia magában foglalja az erőforrások skálázását, a lehetséges szűk keresztmetszetek azonosítását és optimalizálását, valamint a csúcsteljesítmény optimalizálását.

A Teljesítményhatékonyság tervezési alapelvei magas szintű tervezési stratégiát biztosítanak ezeknek a kapacitáscéloknak a várt használattal való elérésére.

Tervezési ellenőrzőlista

Indítsa el a tervezési stratégiát a Teljesítményhatékonyság tervezési felülvizsgálati ellenőrzőlistája alapján. Definiáljon egy alapkonfigurációt, amely az Azure Front Door fő teljesítménymutatóin alapul.

  • Tervezze meg a kapacitást a várt forgalmi minták elemzésével. Végezzen alapos tesztelést, hogy megértse, hogyan teljesít az alkalmazás különböző terhelések esetén. Vegye figyelembe az olyan tényezőket, mint az egyidejű tranzakciók, a kérelemdíjak és az adatátvitel.

    Az SKU-lehetőségeket erre a tervezésre alapozhatja. A Standard termékváltozat költséghatékonyabb, és mérsékelt forgalmi forgatókönyvekhez alkalmas. Ha nagyobb terhelésre számít, a prémium termékváltozatot javasoljuk.

  • Teljesítményadatok elemzése az Azure Front Door-jelentések rendszeres áttekintésével. Ezek a jelentések betekintést nyújtanak a különböző metrikákba, amelyek technológiai szinten teljesítménymutatókként szolgálnak.

    Az Azure Front Door-jelentések használatával reális teljesítménycélokat állíthat be a számítási feladathoz. Vegye figyelembe az olyan tényezőket, mint a válaszidő, az átviteli sebesség és a hibaarány. A célokat az üzleti követelményekhez és a felhasználói elvárásokhoz igazíthatja.

  • Adatátvitel optimalizálása.

    • A gyorsítótárazással csökkentheti a statikus tartalmak, például képek, stíluslapok és JavaScript-fájlok, illetve a gyakran nem változó tartalmak késését.

      Optimalizálja az alkalmazást gyorsítótárazáshoz. Használja a gyorsítótár lejárati fejléceit az alkalmazásban, amelyek azt szabályozzák, hogy az ügyfelek és proxyk mennyi ideig gyorsítótárazhatják a tartalmat. A gyorsítótár hosszabb érvényessége ritkábban kéri a forráskiszolgálót, ami kisebb forgalmat és kisebb késést eredményez.

    • Csökkentse a hálózaton keresztül továbbított fájlok méretét. A kisebb fájlok gyorsabb betöltési időt és jobb felhasználói élményt eredményeznek.

    • Minimalizálja a háttérbeli kérések számát az alkalmazásban.

      Egy weblap például felhasználói profilokat, legutóbbi rendeléseket, egyenlegeket és egyéb kapcsolódó információkat jelenít meg. Ahelyett, hogy külön kéréseket készítenél az egyes információhalmazokhoz, tervezési mintákkal strukturáld az alkalmazást úgy, hogy több kérelem egyetlen kérelemben legyen összesítve.

      A kérések összesítésével kevesebb adatot küld az előtér és a háttérrendszer között, és kevesebb kapcsolatot létesít az ügyfél és a háttérrendszer között, ami csökkenti a többletterhelést. Emellett az Azure Front Door kevesebb kérést kezel, ami megakadályozza a túlterhelést.

  • Állapottesztek használatának optimalizálása. Állapotadatokat csak akkor kérhet le az állapottesztekből, ha a forrás állapota megváltozik. Egyensúlyt teremt a monitorozás pontossága és a szükségtelen forgalom minimalizálása között.

    Az állapotteszteket általában egy csoporton belül több forrás állapotának felmérésére használják. Ha csak egy forrás van konfigurálva az Azure Front Door-forráscsoportban, tiltsa le az állapotteszteket a forráskiszolgáló szükségtelen forgalmának csökkentése érdekében. Mivel csak egy példány van, az állapotadat-mintavétel állapota nem befolyásolja az útválasztást.

  • Tekintse át a forrás-útválasztási módszert. Az Azure Front Door különböző útválasztási módszereket biztosít, például késésalapú, prioritásalapú, súlyozott és munkamenet-affinitás alapú útválasztást a forráshoz. Ezek a módszerek jelentősen befolyásolják az alkalmazás teljesítményét. Ha többet szeretne megtudni a forgatókönyv legjobb forgalomirányítási lehetőségéről, olvassa el a Forgalomirányítási módszerek a forráshoz című témakört.

  • Tekintse át a forráskiszolgálók helyét. A forráskiszolgálók helye hatással van az alkalmazás válaszképességére. A forráskiszolgálóknak közelebb kell lenniük a felhasználókhoz. Az Azure Front Door biztosítja, hogy egy adott helyről származó felhasználók hozzáférjenek a legközelebbi Azure Front Door belépési ponthoz. A teljesítménybeli előnyök közé tartozik a gyorsabb felhasználói élmény, az Azure Front Door késésalapú útválasztásának jobb használata, valamint a minimális adatátviteli idő a gyorsítótárazással, amely a tartalmakat a felhasználókhoz közelebb tárolja.

    További információ: Forgalom hely szerint jelentés.

Javaslatok

Ajánlás Előny
Engedélyezze a gyorsítótárazást.

A lekérdezési sztringeket gyorsítótárazáshoz optimalizálhatja. Tisztán statikus tartalom esetén hagyja figyelmen kívül a lekérdezési sztringeket a gyorsítótár használatának maximalizálása érdekében.

Ha az alkalmazás lekérdezési sztringeket használ, fontolja meg, hogy belefogadja őket a gyorsítótárkulcsba. A gyorsítótárkulcs lekérdezési sztringjeinek bevételével az Azure Front Door a konfigurációja alapján gyorsítótárazott válaszokat vagy más válaszokat is kiszolgálhat.		 Az Azure Front Door egy robusztus tartalomkézbesítési hálózati megoldást kínál, amely gyorsítótárazza a tartalmat a hálózat peremén. A gyorsítótárazás csökkenti a háttérkiszolgálók terhelését, és csökkenti az adatáthelyezést a hálózaton, ami segít a sávszélesség-használat kiszervezésében.
A letölthető tartalom elérésekor használjon fájltömörítést. Az Azure Front Door tömörítése segít a tartalmak optimális formátumban történő kézbesítésében, kisebb hasznos adatokban, és gyorsabban kézbesíti a tartalmakat a felhasználóknak.
Ha állapotteszteket konfigurál az Azure Front Doorban, fontolja meg kérések helyett GET a kérések használatátHEAD.
Az állapotadat-mintavétel csak az állapotkódot olvassa be, a tartalmat nem.		 HEAD A kérések lehetővé teszik az állapotváltozások lekérdezését anélkül, hogy lekérni a teljes tartalmát.
Annak kiértékelése, hogy engedélyeznie kell-e a munkamenet-affinitást , ha az ugyanazon felhasználótól érkező kéréseket ugyanarra a háttérkiszolgálóra kell irányítani.

Megbízhatósági szempontból nem javasoljuk ezt a megközelítést. Ha ezt a lehetőséget használja, az alkalmazásnak zökkenőmentesen helyre kell állnia a felhasználói munkamenetek megszakítása nélkül.

A terheléselosztásra is van kompromisszum, mivel ez korlátozza a forgalom egyenletes elosztásának rugalmasságát több háttérrendszer között.		 Optimalizálja a teljesítményt és fenntartja a folyamatosságot a felhasználói munkamenetekben, különösen akkor, ha az alkalmazások az állapotinformációk helyi karbantartására támaszkodnak.

Azure-szabályzatok

Az Azure az Azure Front Doorhoz és függőségeihez kapcsolódó beépített szabályzatok széles választékát kínálja. Az előző javaslatok némelyike az Azure-szabályzatok segítségével naplózható. Például ellenőrizheti, hogy:

  • Az Azure Front Door-profilokban a felügyelt WAF-szabályok és Private Link támogatásához prémium szintű szintre van szüksége.
  • A minimális TLS-verziót kell használnia, amely az 1.2-es verzió.
  • Biztonságos, privát kapcsolatra van szüksége az Azure Front Door Premium és az Azure PaaS-szolgáltatások között.
  • Engedélyeznie kell az erőforrásnaplókat. A WAF-nek engedélyezve kell lennie a kérelemtörzs vizsgálatának.
  • A WAF-szabálykészlet kényszerítéséhez szabályzatokat kell használnia. Engedélyeznie kell például a robotvédelmet, és be kell kapcsolnia a sebességkorlátozó szabályokat.

Az átfogó szabályozás érdekében tekintse át az Azure Content Delivery Network beépített definícióit és az Azure Front Door egyéb szabályzatainak beépített definícióit, amelyek Azure Policy beépített szabályzatdefiníciókban szerepelnek.

Azure Advisor-javaslatok

Az Azure Advisor egy személyre szabott felhőtanácsadó, amely segít az Ajánlott eljárások követésében az Azure-üzemelő példányok optimalizálásához. Íme néhány javaslat, amely segíthet az Azure Front Door megbízhatóságának, biztonságának, költséghatékonyságának, teljesítményének és működési kiválóságának javításában.

Következő lépések

Az alábbi cikkeket tekintsük forrásként, amelyek a cikkben kiemelt javaslatokat mutatják be.