Praktik terbaik untuk Azure Front Door
Artikel ini merangkum praktik terbaik untuk menggunakan Azure Front Door.
Praktik terbaik umum
Hindari menggabungkan Azure Traffic Manager dan Azure Front Door
Untuk sebagian besar solusi, kami merekomendasikan penggunaan Front Door atauAzure Traffic Manager, tetapi tidak keduanya. Azure Traffic Manager adalah load balancer berbasis DNS. Azure Traffic Manager mengirim lalu lintas langsung ke titik akhir sumber Anda. Sebaliknya, Azure Front Door mengakhiri koneksi di titik kehadiran (PoPs) dekat dengan klien dan membangun koneksi berumur panjang terpisah ke asal. Produk bekerja secara berbeda dan ditujukan untuk kasus penggunaan yang berbeda.
Jika Anda memerlukan pembuatan dan pengiriman cache konten (CDN), penghentian TLS, kemampuan perutean tingkat lanjut, atau firewall aplikasi web (WAF), pertimbangkan untuk menggunakan Azure Front Door. Untuk penyeimbangan beban global sederhana dengan koneksi langsung dari klien ke titik akhir Anda, pertimbangkan untuk menggunakan Azure Traffic Manager. Untuk informasi selengkapnya tentang memilih opsi penyeimbangan beban, lihat Opsi penyeimbangan beban.
Namun, sebagai bagian dari arsitektur kompleks yang membutuhkan ketersediaan tinggi, Anda dapat menempatkan Azure Traffic Manager di depan Azure Front Door. Jika Azure Front Door tidak tersedia, Azure Traffic Manager kemudian dapat merutekan lalu lintas ke tujuan alternatif, seperti Azure Application Gateway atau jaringan pengiriman konten mitra (CDN).
Penting
Jangan letakkan Azure Traffic Manager di belakang Azure Front Door. Azure Traffic Manager harus selalu berada di depan Azure Front Door.
Membatasi lalu lintas ke asal Anda
Fitur Front Door berfungsi paling baik ketika lalu lintas hanya mengalir melalui Front Door. Anda harus mengonfigurasi asal Anda untuk memblokir lalu lintas yang belum dikirim melalui Front Door. Untuk informasi selengkapnya, lihat Mengamankan lalu lintas ke asal Azure Front Door.
Menggunakan versi API terbaru dan versi SDK
Saat Anda bekerja dengan Azure Front Door dengan menggunakan API, templat ARM, Bicep, atau Azure SDK, penting untuk menggunakan API atau versi SDK terbaru yang tersedia. Pembaruan API dan SDK terjadi ketika fungsionalitas baru tersedia, dan juga berisi penambal keamanan penting dan perbaikan bug.
Mengonfigurasi Log
Front Door melacak telemetri ekstensif tentang setiap permintaan. Saat Anda mengaktifkan penembolokan, server asal Anda mungkin tidak menerima setiap permintaan, jadi penting bagi Anda untuk menggunakan log Front Door untuk memahami bagaimana solusi Anda berjalan dan merespons klien Anda. Untuk informasi selengkapnya tentang metrik dan log yang dicatat Azure Front Door, lihat Memantau metrik dan log di Azure Front Door dan log WAF.
Untuk mengonfigurasi pengelogan untuk aplikasi Anda sendiri, lihat Mengonfigurasi log Azure Front Door
Praktik Terbaik TLS
Gunakan TLS secara end-to-end
Azure Front Door mengakhiri koneksi TCP dan TLS dari klien. Kemudian menetapkan koneksi baru dari setiap titik kehadiran (PoP) ke sumber. Ini adalah praktik yang baik untuk mengamankan setiap koneksi tersebut dengan TLS, bahkan untuk sumber yang dihosting di Azure. Pendekatan ini memastikan bahwa data Anda selalu dienkripsi selama transit.
Untuk informasi selengkapnya, lihat TLS end-to-end dengan Azure Front Door.
Menggunakan pengalihan HTTP ke HTTPS
Ini adalah praktik yang baik bagi klien untuk menggunakan HTTPS untuk terhubung ke layanan Anda. Namun, terkadang Anda perlu menerima permintaan HTTP untuk mengizinkan klien lama atau klien yang mungkin tidak memahami praktik terbaik.
Anda dapat mengonfigurasi Azure Front Door untuk mengalihkan permintaan HTTP secara otomatis untuk menggunakan protokol HTTPS. Anda harus mengaktifkan pengaturan Alihkan semua lalu lintas untuk menggunakan HTTPS pada rute Anda.
Menggunakan sertifikat TLS terkelola
Ketika Azure Front Door mengelola sertifikat TLS Anda, hal tersebut dapat mengurangi biaya operasional Anda, dan membantu Anda menghindari pemadaman yang mahal akibat lupa memperbarui sertifikat. Front Door secara otomatis menerbitkan dan merotasi sertifikat TLS yang dikelola.
Untuk informasi selengkapnya, lihat Mengonfigurasikan HTTPS di domain kustom Azure Front Door menggunakan portal Azure.
Menggunakan versi 'Terbaru' untuk sertifikat yang dikelola pelanggan
Jika Anda memutuskan untuk menggunakan sertifikat TLS Anda sendiri, pertimbangkan untuk mengatur versi sertifikat Azure Key Vault ke 'Terbaru'. Dengan menggunakan versi 'Terbaru', Anda tidak perlu mengonfigurasi ulang Azure Front Door untuk menggunakan versi baru sertifikat Anda dan menunggu sertifikat disebarkan di seluruh lingkungan Azure Front Door.
Untuk informasi selengkapnya, lihat Memilih sertifikat untuk Azure Front Door yang akan disebarkan.
Praktik terbaik nama domain
Gunakan nama domain yang sama di Azure Front Door dan sumber Anda
Azure Front Door dapat menulis ulang header Host dari permintaan masuk. Fitur ini dapat membantu saat Anda mengelola sekumpulan nama domain kustom yang menghadap pelanggan yang merutekan ke satu sumber. Fitur ini juga dapat membantu ketika Anda ingin menghindari konfigurasi nama domain kustom di Front Door dan di asal Anda. Namun, saat Anda menulis ulang header Host, cookie permintaan dan pengalihan URL mungkin rusak. Secara khusus, ketika Anda menggunakan platform seperti Azure App Service, fitur seperti afinitas sesi dan autentikasi dan otorisasi mungkin tidak berfungsi dengan benar.
Sebelum Anda menulis ulang header Host permintaan Anda, pertimbangkan dengan cermat apakah aplikasi Anda akan berfungsi dengan benar.
Untuk informasi selengkapnya, lihat Mempertahankan nama host HTTP asli antara proksi terbalik dan aplikasi web back-end-nya.
Firewall aplikasi web (WAF)
Mengaktifkan WAF
Untuk aplikasi yang terhubung ke internet, sebaiknya Anda aktifkan firewall aplikasi web (WAF) Azure Front Door dan mengonfigurasinya untuk menggunakan aturan terkelola. Saat Anda menggunakan aturan yang dikelola WAF dan Microsoft, aplikasi Anda dilindungi dari berbagai serangan.
Untuk informasi selengkapnya, lihat Web Application Firewall (WAF) pada Azure Front Door.
Mengikuti praktik terbaik WAF
WAF untuk Azure Front Door memiliki serangkaian praktik terbaik sendiri untuk konfigurasi dan penggunaannya. Untuk informasi selengkapnya, lihat Praktik terbaik untuk Web Application Firewall di Azure Front Door.
Praktik terbaik pemeriksaan kenormalan
Menonaktifkan pemeriksaan kenormalan ketika hanya ada satu sumber dalam grup sumber
Pemeriksaan kenormalan Azure Front Door dirancang untuk mendeteksi situasi di mana sumber tidak tersedia atau tidak normal. Ketika pemeriksaan kenormalan mendeteksi masalah dengan sumber, Azure Front Door dapat dikonfigurasi untuk mengirim lalu lintas ke sumber lain di grup sumber.
Jika Anda hanya memiliki satu sumber, Azure Front Door selalu merutekan lalu lintas ke sumber tersebut meskipun hasil pemeriksaan melaporkan status tidak normal. Status pemeriksaan kenormalan tidak melakukan apa pun untuk mengubah aktivitas Azure Front Door. Dalam skenario ini, pemeriksaan kenormalan tidak memberikan manfaat dan Anda harus menonaktifkannya untuk mengurangi lalu lintas pada sumber Anda.
Untuk informasi selengkapnya, lihat Pemeriksaan kesehatan.
Pilih titik akhir pemeriksaan kenormalan yang baik
Pertimbangkan lokasi tempat Anda memberi tahu pemeriksaan kenormalan Azure Front Door untuk memantau. Biasanya ada baiknya untuk memantau halaman web atau lokasi yang Anda rancang secara khusus untuk pemantauan kenormalan. Logika aplikasi Anda dapat mempertimbangkan status semua komponen penting yang diperlukan untuk melayani lalu lintas produksi termasuk server aplikasi, database, dan cache. Dengan begitu, jika ada komponen yang gagal, Azure Front Door dapat merutekan lalu lintas Anda ke instans lain dari layanan Anda.
Untuk informasi selengkapnya, lihat pola Health Endpoint Monitoring
Gunakan pemeriksaan kesehatan HEAD
Pemeriksaan kesehatan dapat menggunakan metode HTTP GET atau HEAD. Ini adalah praktik yang baik untuk menggunakan metode HEAD pada pemeriksaan kesehatan, yang dapat mengurangi jumlah beban lalu lintas pada sumber Anda.
Untuk informasi selengkapnya, lihat Metode HTTP yang didukung untuk pemeriksaan kesehatan.
Langkah berikutnya
Pelajari cara membuat profil Front Door.