Tanya jawab umum untuk Azure Front Door

Azure Front Door adalah layanan berbasis cloud yang memberikan aplikasi Anda lebih cepat dan lebih andal. Ini menggunakan penyeimbangan beban lapisan 7 untuk mendistribusikan lalu lintas di beberapa wilayah dan titik akhir. Ini juga menawarkan akselerasi situs dinamis (DSA) untuk mengoptimalkan performa web dan failover mendekati real-time untuk memastikan ketersediaan tinggi. Azure Front Door adalah layanan terkelola penuh, jadi Anda tidak perlu khawatir tentang penskalakan atau pemeliharaan.

Azure Front Door adalah layanan yang menawarkan banyak manfaat untuk aplikasi web Anda, seperti akselerasi situs dinamis (DSA), yang meningkatkan performa dan pengalaman pengguna situs Anda. Azure Front Door juga menangani offloading TLS/SSL dan TLS end to end, yang meningkatkan keamanan dan enkripsi lalu lintas web Anda. Selain itu, Azure Front Door menyediakan Web Application Firewall, afinitas sesi berbasis cookie, perutean berbasis jalur url, sertifikat gratis, dan beberapa manajemen domain, dan banyak lagi. Untuk mempelajari selengkapnya tentang fitur dan kemampuan Azure Front Door, lihat perbandingan tingkat.

Azure Front Door dan Azure Application Gateway adalah penyeimbang beban untuk lalu lintas HTTP/HTTPS, tetapi memiliki cakupan yang berbeda. Front Door adalah layanan global yang dapat mendistribusikan permintaan di seluruh wilayah, sementara Application Gateway adalah layanan regional yang dapat menyeimbangkan permintaan dalam suatu wilayah. Azure Front Door bekerja dengan unit skala, kluster, atau unit stempel, sementara Azure Application Gateway bekerja dengan VM, kontainer, atau sumber daya lain di unit skala yang sama.

Application Gateway di belakang Front Door berguna dalam situasi ini:

• Anda ingin menyeimbangkan lalu lintas tidak hanya secara global, tetapi juga dalam jaringan virtual Anda. Front Door hanya dapat melakukan penyeimbangan beban berbasis jalur di tingkat global, tetapi Application Gateway dapat melakukannya dalam jaringan virtual Anda.
• Anda memerlukan Koneksi ion Draining, yang tidak didukung Front Door. Application Gateway dapat mengaktifkan Pengurasan Koneksi ion untuk VM atau kontainer Anda.
• Anda ingin membongkar semua pemrosesan TLS/SSL dan hanya menggunakan permintaan HTTP di jaringan virtual Anda. Application Gateway di belakang Front Door dapat mencapai penyiapan ini.
• Anda ingin menggunakan afinitas sesi di tingkat regional dan server. Front Door dapat mengirim lalu lintas dari sesi pengguna ke backend yang sama di suatu wilayah, tetapi Application Gateway dapat mengirimkannya ke server yang sama di backend.

Untuk menggunakan Azure Front Door, Anda harus memiliki VIP publik atau nama DNS yang dapat diakses publik. Azure Front Door menggunakan IP publik untuk merutekan lalu lintas ke asal Anda. Skenario umumnya adalah menyebarkan Azure Load Balancer di belakang Front Door. Anda juga dapat menggunakan Private Link dengan Azure Front Door Premium untuk menyambungkan ke load balancer internal. Untuk informasi selengkapnya, lihat mengaktifkan Private Link dengan load balancer internal.

Azure Front Door mendukung HTTP, HTTPS, dan HTTP/2.

Azure Front Door mendukung protokol HTTP/2 untuk koneksi klien. Namun, komunikasi kumpulan backend menggunakan protokol HTTP/1.1. Dukungan HTTP/2 aktif secara default.

Anda dapat menggunakan berbagai jenis asal untuk Azure Front Door, seperti:

• Penyimpanan (Azure Blob, Klasik, situs web Statis)
• Layanan awan
• App Service
• Aplikasi Web Statis
• API Management
• Application Gateway
• Alamat IP publik
• Traffic Manager
• Azure Spring Apps
• Container Instances
• Aplikasi Kontainer
• Nama host kustom apa pun dengan akses publik.

Asal harus memiliki IP publik atau nama host DNS yang dapat diselesaikan secara publik. Anda dapat mencampur dan mencocokkan backend dari zona, wilayah, atau bahkan di luar Azure yang berbeda, selama dapat diakses secara publik.

Azure Front Door tidak terbatas pada wilayah Azure mana pun, tetapi beroperasi secara global. Satu-satunya lokasi yang harus Anda pilih saat membuat Front Door adalah lokasi grup sumber daya, yang menentukan tempat metadata grup sumber daya disimpan. Profil Front Door adalah sumber daya global dan konfigurasinya didistribusikan ke semua lokasi tepi di seluruh dunia.

Untuk daftar lengkap titik kehadiran (POP) yang menyediakan penyeimbangan beban global dan pengiriman konten untuk Azure Front Door, lihat Lokasi POP Azure Front Door. Daftar ini diperbarui secara berkala karena POP baru ditambahkan atau dihapus. Anda juga dapat menggunakan Azure Resource Manager API untuk mengkueri daftar POP saat ini secara terprogram.

Azure Front Door adalah layanan yang mendistribusikan aplikasi Anda secara global di beberapa wilayah. Ini menggunakan infrastruktur umum yang dibagikan oleh semua pelanggannya, tetapi Anda dapat menyesuaikan profil Front Door Anda sendiri untuk mengonfigurasi persyaratan spesifik aplikasi Anda. Konfigurasi pelanggan lain tidak dapat memengaruhi konfigurasi Front Door Anda, yang terisolasi dari konfigurasi mereka.

Anda dapat mengalihkan komponen host, jalur, dan string kueri URL dengan Azure Front Door. Untuk mempelajari cara mengonfigurasi pengalihan URL, lihat Pengalihan URL.

Front Door tidak mengurutkan rute untuk aplikasi web Anda. Sebaliknya, ia memilih rute yang paling sesuai dengan permintaan. Untuk mengetahui bagaimana Front Door cocok dengan permintaan ke rute, lihat Cara Front Door mencocokkan permintaan dengan aturan perutean.

Untuk memastikan performa optimal fitur Front Door, Anda hanya boleh mengizinkan lalu lintas yang berasal dari Azure Front Door untuk mencapai asal Anda. Akibatnya, permintaan yang tidak sah atau berbahaya menemukan kebijakan keamanan dan perutean Front Door dan ditolak aksesnya. Untuk mempelajari cara mengamankan asal Anda, lihat Mengamankan lalu lintas ke asal Azure Front Door.

Alamat IP anycast frontend Front Door Anda diperbaiki dan mungkin tidak berubah selama Anda menggunakan Front Door. Namun, alamat IP tetap dari frontend anycast Front Door Anda bukanlah jaminan. Hindari mengandalkan IP secara langsung.

Azure Front Door adalah layanan dinamis yang merutekan lalu lintas ke backend terbaik yang tersedia. Saat ini tidak menawarkan IP anycast frontend statis atau khusus.

Ya. Lihat properti MatchedRulesSetName di bawah Log Akses.

Ya. Untuk informasi selengkapnya, lihat Respons Microsoft terhadap serangan DDoS terhadap HTTP/2.

Azure Front Door mendukung header X-Forwarded-For, X-Forwarded-Host, dan X-Forwarded-Proto. Header ini membantu Front Door mengidentifikasi IP dan protokol klien asli. Jika X-Forwarded-For sudah ada, Front Door menambahkan IP soket klien ke akhir daftar. Jika tidak, ia membuat header dengan IP soket klien sebagai nilai. Untuk X-Forwarded-Host dan X-Forwarded-Proto, Front Door mengganti nilai yang ada dengan nilainya sendiri.

Untuk informasi selengkapnya, lihat Header HTTP yang didukung Front Door.

Waktu penyebaran untuk konfigurasi Front Door baru bervariasi tergantung pada jenis perubahan. Biasanya, dibutuhkan waktu antara 3 dan 20 menit agar perubahan disebarluaskan ke semua lokasi tepi kami di seluruh dunia.

Pembaruan untuk rute atau grup asal/kumpulan backend mulus dan tidak menyebabkan waktu henti (dengan asumsi konfigurasi baru sudah benar). Pembaruan sertifikat juga dilakukan secara atomik, sehingga tidak ada risiko pemadaman.

Untuk menggunakan tingkat Azure Front Door Standard, Premium, atau (klasik), Anda memerlukan IP publik atau nama DNS yang dapat diselesaikan secara publik. Persyaratan IP publik atau nama DNS yang dapat diselesaikan secara publik memungkinkan Azure Front Door merutekan lalu lintas ke sumber daya backend Anda. Anda dapat menggunakan sumber daya Azure seperti Application Gateways atau Azure Load Balancer untuk merutekan lalu lintas ke sumber daya di jaringan virtual. Jika Anda menggunakan tingkat Front Door Premium, Anda dapat menggunakan Private Link untuk menyambungkan ke asal di belakang load balancer internal dengan titik akhir privat. Untuk informasi selengkapnya, lihat Mengamankan Asal Anda dengan Private Link.

Grup asal adalah kumpulan asal yang dapat menangani jenis permintaan serupa. Anda memerlukan grup asal yang berbeda untuk setiap aplikasi atau beban kerja yang berbeda.

Dalam grup asal, Anda membuat asal untuk setiap server atau layanan yang dapat melayani permintaan. Jika asal Anda memiliki load balancer, seperti Azure Application Gateway, atau dihosting di PaaS yang memiliki load balancer, maka grup asal hanya memiliki satu asal. Asal Anda mengurus failover dan penyeimbangan beban antara asal-usul yang tidak dilihat Front Door.

Misalnya, jika Anda menghosting aplikasi di Azure App Service, cara Anda menyiapkan Front Door bergantung pada berapa banyak instans aplikasi yang Anda miliki:

• Penyebaran wilayah tunggal: Buat satu grup asal. Dalam grup asal tersebut, buat satu asal untuk aplikasi App Service. Aplikasi App Service Anda mungkin meluaskan skala di seluruh pekerja, tetapi Front Door melihat satu asal.
• Penyebaran aktif/pasif multi-wilayah: Buat satu grup asal. Dalam grup asal tersebut, buat asal untuk setiap aplikasi App Service. Atur prioritas setiap asal sehingga aplikasi utama memiliki prioritas yang lebih tinggi daripada aplikasi cadangan.
• Penyebaran aktif/aktif multi-wilayah: Buat satu grup asal. Dalam grup asal tersebut, buat asal untuk setiap aplikasi App Service. Atur prioritas setiap asal agar sama. Atur bobot setiap asal untuk mengontrol berapa banyak permintaan yang masuk ke asal tersebut.

Untuk mempelajari selengkapnya, lihat Asal dan grup asal di Azure Front Door.

Azure Front Door adalah layanan yang menyediakan pengiriman web yang cepat dan andal untuk aplikasi Anda. Ini menawarkan fitur seperti penembolokan, penyeimbangan beban, keamanan, dan perutean. Namun, Anda perlu mengetahui beberapa batasan dan batas waktu yang berlaku untuk Azure Front Door. Batas waktu dan batas ini mencakup ukuran permintaan maksimum, ukuran respons maksimum, ukuran header maksimum, jumlah maksimum header, jumlah maksimum aturan, dan jumlah maksimum grup asal. Anda dapat menemukan informasi terperinci tentang batas waktu dan batas ini dalam dokumentasi Azure Front Door.

Pembaruan konfigurasi untuk sebagian besar seperangkat aturan dilakukan dalam waktu kurang dari 20 menit. Aturan akan diterapkan tepat setelah pembaruan selesai.

Azure Front Door dan Azure CDN adalah dua layanan yang menyediakan pengiriman web yang cepat dan andal untuk aplikasi Anda. Namun, mereka tidak kompatibel satu sama lain, karena mereka berbagi jaringan situs edge Azure yang sama untuk mengirimkan konten kepada pengguna Anda. Jaringan bersama ini menyebabkan konflik antara kebijakan perutean dan penembolokan mereka. Oleh karena itu, Anda harus memilih Azure Front Door atau Azure CDN untuk aplikasi Anda, tergantung pada persyaratan performa dan keamanan Anda.

Fakta bahwa kedua profil akan menggunakan situs tepi Azure yang sama untuk menangani permintaan masuk menyebabkan batasan ini yang mencegah Anda menumpuk satu profil Azure Front Door di belakang yang lain. Penyiapan ini akan menyebabkan konflik perutean dan masalah performa. Oleh karena itu, Anda harus memastikan bahwa profil Azure Front Door Anda independen dan tidak dirantai bersama-sama, jika Anda perlu menggunakan beberapa profil untuk aplikasi Anda.

Azure Front Door menggunakan tiga tag layanan untuk mengelola lalu lintas antara klien Anda dan asal Anda:

• Tag layanan AzureFrontDoor.Backend berisi alamat IP yang digunakan Front Door untuk mengakses asal Anda. Anda dapat menerapkan tag layanan ini saat mengonfigurasi keamanan untuk asal Anda.
• Tag layanan AzureFrontDoor.Frontend berisi alamat IP yang digunakan klien untuk mencapai Front Door. Anda dapat menerapkan AzureFrontDoor.Frontend tag layanan saat ingin mengontrol lalu lintas keluar yang dapat tersambung ke layanan di belakang Azure Front Door.
• Tag layanan AzureFrontDoor.FirstParty dicadangkan untuk grup layanan Microsoft tertentu yang dihosting di Azure Front Door.

Untuk informasi selengkapnya tentang skenario tag layanan Azure Front Door, lihat tag layanan yang tersedia.

Azure Front Door memiliki batas waktu 5 detik untuk menerima header dari klien. Koneksi dihentikan jika klien tidak mengirim header dalam waktu 5 detik ke Azure Front Door setelah membuat koneksi TCP/TLS. Anda tidak dapat mengonfigurasi nilai batas waktu ini.

Azure Front Door memiliki batas waktu http tetap aktif selama 90 detik. Koneksi dihentikan jika klien tidak mengirim data selama 90 detik, yang merupakan batas waktu http tetap aktif untuk Azure Front Door. Anda tidak dapat mengonfigurasi nilai batas waktu ini.

Anda tidak dapat menggunakan domain yang sama untuk lebih dari satu titik akhir Front Door, karena Front Door perlu membedakan rute (kombinasi protokol + host + jalur) untuk setiap permintaan. Jika Anda memiliki rute duplikat di berbagai titik akhir, Azure Front Door tidak dapat memproses permintaan dengan benar.

Saat ini, kami tidak menawarkan opsi untuk memindahkan domain dari satu titik akhir ke titik akhir lainnya tanpa gangguan dalam layanan. Anda perlu merencanakan waktu henti jika Anda ingin memigrasikan domain Anda ke titik akhir yang berbeda.

Azure Front Door adalah platform yang mendistribusikan lalu lintas di seluruh dunia dan dapat meningkatkan skala untuk memenuhi permintaan aplikasi Anda. Ini menggunakan tepi jaringan global Microsoft untuk memberikan kemampuan penyeimbangan beban global yang memungkinkan Anda mengalihkan seluruh aplikasi atau layanan mikro tertentu ke wilayah atau cloud yang berbeda jika ada kegagalan.

Untuk menghindari kesalahan saat mengirimkan file besar, pastikan server asal Anda menyertakan Content-Range header dalam respons, dan bahwa nilai header cocok dengan ukuran isi respons yang sebenarnya.

Anda dapat menemukan detail selengkapnya tentang cara mengonfigurasi asal Anda dan Front Door untuk pengiriman file besar dalam Pengiriman file besar.

Fronting domain adalah teknik jaringan yang memungkinkan penyerang menyembunyikan tujuan sebenarnya dari permintaan berbahaya dengan menggunakan nama domain yang berbeda di jabat tangan TLS dan header host HTTP.

Sumber daya Azure Front Door (tingkat Standar, Premium, dan Klasik) atau Azure CDN Standard dari Microsoft (klasik) yang dibuat setelah 8 November 2022, mengaktifkan pemblokiran fronting domain. Daripada memblokir permintaan dengan header SNI dan host yang tidak cocok, kami mengizinkan perbedaan jika kedua domain termasuk dalam langganan yang sama dan disertakan dalam aturan rute/perutean. Penerapan pemblokiran fronting domain akan dimulai pada 22 Januari 2024, untuk semua domain yang ada. Penegakan mungkin memerlukan waktu hingga dua minggu untuk disebarluaskan ke semua wilayah.

Ketika Front Door memblokir permintaan karena ketidakcocokan:

• Klien menerima respons kode kesalahan HTTP 421 Misdirected Request .
• Azure Front Door merekam blok dalam log diagnostik di bawah properti Info Kesalahan dengan nilai SSLMismatchedSNI.

Untuk informasi selengkapnya tentang fronting domain, lihat Mengamankan pendekatan kami ke fronting domain dalam Azure dan Melarang fronting domain di Azure Front Door dan Azure CDN Standard dari Microsoft (klasik).

Front Door menggunakan TLS 1.2 sebagai versi minimum untuk semua profil yang dibuat setelah September 2019.

Anda dapat memilih untuk menggunakan TLS 1.0, 1.1, 1.2 atau 1.3 dengan Azure Front Door. Untuk mempelajari selengkapnya, baca artikel TLS end-to-end Azure Front Door.

Azure Front Door adalah layanan yang menyediakan pengiriman web yang cepat dan aman. Ini memungkinkan Anda untuk menentukan bagaimana lalu lintas web Anda dirutekan dan dioptimalkan di beberapa wilayah dan titik akhir. Sumber daya Azure Front Door, seperti profil Front Door dan aturan perutean, hanya dikenakan biaya saat diaktifkan. Namun, kebijakan dan aturan firewall aplikasi web (WAF) dibebankan terlepas dari statusnya. Bahkan jika Anda menonaktifkan kebijakan atau aturan WAF, itu masih dikenakan biaya untuk Anda.

Untuk informasi tentang log dan kemampuan diagnostik lainnya, lihat Memantau metrik dan log untuk Front Door.

Anda dapat menyimpan log diagnostik di akun penyimpanan mereka sendiri dan memilih berapa lama untuk menyimpannya. Atau, log diagnostik dapat dikirim ke Azure Event Hubs atau log Azure Monitor. Untuk informasi selengkapnya, lihat Diagnostik Azure Front Door.

Untuk mengakses log audit Azure Front Door, Anda perlu mengunjungi portal. Pilih Front Door Anda dari halaman menu dan pilih Log Aktivitas. Log Aktivitas memberi Anda catatan operasi Azure Front Door Anda.

Anda dapat menyiapkan pemberitahuan untuk Azure Front Door berdasarkan metrik atau log. Dengan demikian, Anda dapat memantau performa dan kesehatan host front-end Anda.

Untuk mempelajari cara membuat pemberitahuan untuk Azure Front Door Standard dan Premium, lihat mengonfigurasi pemberitahuan.

Langkah berikutnya

• Pelajari cara membuat profil Azure Front Door.
• Pelajari tentang arsitektur Azure Front Door.