Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini merangkum praktik terbaik untuk menggunakan Azure Front Door.
Praktik terbaik umum
Memahami kapan harus menggabungkan Traffic Manager dan Azure Front Door
Untuk sebagian besar solusi, kami merekomendasikan penggunaan Azure Front Door atauAzure Traffic Manager, tetapi tidak keduanya. Traffic Manager adalah load balancer berbasis DNS. Ini mengirimkan lalu lintas langsung ke titik akhir asal Anda. Sebaliknya, Azure Front Door mengakhiri koneksi di titik hadir (PoPs) yang dekat dengan klien dan membangun koneksi berumur panjang terpisah ke server asal. Produk bekerja secara berbeda dan ditujukan untuk kasus penggunaan yang berbeda.
Jika Anda memerlukan caching dan pengiriman konten, terminasi TLS, kemampuan routing tingkat lanjut, atau firewall aplikasi web (WAF), pertimbangkan untuk menggunakan Azure Front Door. Untuk penyeimbangan beban global sederhana dengan koneksi langsung dari klien ke titik akhir Anda, pertimbangkan untuk menggunakan Azure Traffic Manager. Untuk informasi selengkapnya tentang memilih opsi penyeimbangan beban, lihat Opsi penyeimbangan beban.
Sebagai bagian dari arsitektur kompleks yang membutuhkan ketersediaan tinggi, Anda dapat menempatkan Traffic Manager di depan Azure Front Door. Jika Azure Front Door tidak tersedia, Traffic Manager kemudian dapat merutekan lalu lintas ke tujuan alternatif, seperti Azure Application Gateway atau jaringan pengiriman konten mitra (CDN).
Penting
Jangan menempatkan Traffic Manager di belakang Azure Front Door. Traffic Manager harus selalu berada di depan Azure Front Door.
Batasi lalu lintas ke server asal Anda
Fitur Azure Front Door berfungsi paling baik saat lalu lintas hanya mengalir melalui Azure Front Door. Anda harus mengonfigurasi asal Anda untuk memblokir lalu lintas yang tidak dikirim melalui Azure Front Door. Untuk informasi selengkapnya, lihat Mengamankan lalu lintas ke sumber asal Azure Front Door.
Menggunakan versi API terbaru dan versi SDK
Saat Anda bekerja dengan Azure Front Door dengan menggunakan API, templat Azure Resource Manager, Bicep, atau Azure SDK, penting untuk menggunakan API atau versi SDK terbaru yang tersedia. Pembaruan API dan SDK terjadi ketika fungsionalitas baru tersedia, dan berisi patch keamanan penting dan perbaikan bug.
Mengonfigurasi catatan
Azure Front Door melacak data performa yang luas untuk setiap permintaan. Saat Anda mengaktifkan caching, server asal Anda mungkin tidak menerima setiap permintaan. Penting bagi Anda untuk menggunakan log Azure Front Door untuk memahami bagaimana solusi Anda berjalan dan merespons klien Anda. Untuk informasi selengkapnya tentang metrik dan log yang dicatat Azure Front Door, lihat Memantau metrik dan log di Azure Front Door dan log WAF.
Untuk mengonfigurasi pengelogan untuk aplikasi Anda sendiri, lihat Mengonfigurasi log Azure Front Door.
Praktik Terbaik TLS
Gunakan TLS secara end-to-end
Azure Front Door mengakhiri koneksi TCP dan TLS dari klien. Kemudian membuat koneksi baru dari setiap PoP ke sumber itu. Ini adalah praktik yang baik untuk mengamankan setiap koneksi tersebut dengan TLS, bahkan untuk sumber yang dihosting di Azure. Pendekatan ini membuat data Anda tetap terenkripsi selama transit.
Untuk informasi selengkapnya, lihat TLS end-to-end dengan Azure Front Door.
Menggunakan pengalihan dari HTTP ke HTTPS
Ini adalah praktik yang baik bagi klien untuk menggunakan HTTPS untuk terhubung ke layanan Anda. Namun, terkadang Anda perlu menerima permintaan HTTP untuk memungkinkan klien yang lebih lama atau klien lain yang mungkin tidak mengikuti praktik terbaik.
Anda dapat mengonfigurasi Azure Front Door untuk mengalihkan permintaan HTTP secara otomatis untuk menggunakan protokol HTTPS. Anda harus mengaktifkan pengaturan Alihkan semua lalu lintas untuk menggunakan HTTPS pada rute Anda.
Menggunakan sertifikat TLS terkelola
Saat Azure Front Door mengelola sertifikat TLS Anda, Azure Front Door mengurangi biaya operasional Anda dan membantu Anda menghindari pemadaman mahal yang disebabkan oleh lupa memperbarui sertifikat. Azure Front Door secara otomatis mengeluarkan dan memutar sertifikat TLS terkelola.
Untuk informasi selengkapnya, lihat Mengonfigurasikan HTTPS di domain kustom Azure Front Door menggunakan portal Azure.
Menggunakan versi terbaru untuk sertifikat yang dikelola pelanggan
Jika Anda memutuskan untuk menggunakan sertifikat TLS Anda sendiri, pertimbangkan untuk mengatur versi sertifikat Azure Key Vault ke Terbaru. Dengan menggunakan Terbaru, Anda menghindari harus mengonfigurasi ulang Azure Front Door untuk menggunakan versi baru sertifikat Anda dan menunggu sertifikat disebarkan di seluruh lingkungan Azure Front Door.
Untuk informasi selengkapnya, lihat Memilih sertifikat untuk Azure Front Door yang akan disebarkan.
Praktik terbaik domain
Gunakan domain kustom
Mengadopsi domain kustom untuk titik akhir Azure Front Door Anda untuk memastikan ketersediaan dan fleksibilitas yang lebih baik saat mengelola domain dan lalu lintas Anda. Jangan hardcode domain yang disediakan Azure Front Door (seperti *.azurefd.z01.net) di klien, basis kode, atau firewall Anda. Gunakan domain kustom untuk skenario tersebut.
Gunakan nama domain yang sama di Azure Front Door dan asal Anda
Azure Front Door dapat mengubah Host header permintaan masuk. Fitur ini dapat membantu saat Anda mengelola sekumpulan nama domain kustom yang ditujukan untuk pelanggan yang merutekan ke satu server asal. Fitur ini juga dapat membantu ketika Anda ingin menghindari konfigurasi nama domain kustom di Azure Front Door dan di asal Anda.
Namun, saat Anda menulis ulang header Host, cookie permintaan dan pengalihan URL mungkin rusak. Secara khusus, ketika Anda menggunakan platform seperti Azure App Service, fitur seperti afinitas sesi dan autentikasi dan otorisasi mungkin tidak berfungsi dengan benar.
Sebelum Anda menulis Host ulang header permintaan Anda, pertimbangkan dengan cermat apakah aplikasi Anda akan berfungsi dengan benar. Untuk informasi selengkapnya, lihat Mempertahankan nama host HTTP asli antara proksi terbalik dan aplikasi web back-end-nya.
Praktik terbaik WAF
Untuk aplikasi yang terhubung ke internet, kami sarankan Anda mengaktifkan Azure Front Door WAF dan mengonfigurasinya untuk menggunakan aturan terkelola. Menggunakan aturan yang dikelola WAF dan Microsoft membantu melindungi aplikasi Anda dari berbagai serangan. Untuk informasi selengkapnya, lihat Web Application Firewall (WAF) pada Azure Front Door.
WAF untuk Azure Front Door memiliki serangkaian praktik terbaik sendiri untuk konfigurasi dan penggunaannya. Untuk informasi selengkapnya, lihat Praktik terbaik untuk Web Application Firewall di Azure Front Door.
Praktik terbaik untuk pemeriksaan kesehatan
Nonaktifkan pemeriksaan kesehatan ketika hanya ada satu sumber asal dalam grup asal
Pemeriksaan kesehatan di Azure Front Door dapat mendeteksi situasi di mana asal tidak tersedia atau tidak sehat. Anda dapat mengonfigurasi Azure Front Door untuk melakukan pengalihan lalu lintas ke server asal lain di grup asal saat pemeriksaan kesehatan mendeteksi masalah dengan server asal.
Jika Anda hanya memiliki satu asal, Azure Front Door selalu merutekan lalu lintas ke asal tersebut meskipun pemeriksaan kesehatannya melaporkan status tidak sehat. Status pemeriksaan kesehatan tidak mempengaruhi perilaku Azure Front Door. Dalam skenario ini, probe kesehatan tidak memberikan manfaat dan Anda harus menonaktifkannya untuk mengurangi lalu lintas pada server asal Anda.
Untuk informasi selengkapnya, lihat Pemeriksaan kesehatan.
Pilih titik akhir yang baik
Pertimbangkan lokasi tempat Anda ingin pemeriksaan kesehatan Azure Front Door melakukan pemantauannya. Biasanya ada baiknya untuk memantau halaman web atau lokasi yang Anda rancang secara khusus untuk pemantauan kesehatan. Logika aplikasi Anda dapat mempertimbangkan status semua komponen penting yang diperlukan untuk melayani lalu lintas produksi, termasuk server aplikasi, database, dan cache. Dengan demikian, jika ada komponen yang gagal, Azure Front Door dapat merutekan lalu lintas Anda ke instans lain dari layanan Anda.
Untuk informasi selengkapnya, lihat Pola Pemantauan Titik Akhir Kesehatan.
Gunakan pemantauan kesehatan HEAD
Pemeriksaan kesehatan dapat menggunakan metode HTTP GET atau HEAD. Ini adalah praktik yang baik untuk menggunakan metode HEAD untuk probe kesehatan, karena mengurangi beban lalu lintas pada sumber Anda.
Untuk informasi selengkapnya, lihat Metode HTTP yang didukung untuk pemeriksaan kesehatan.