Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Front Door meningkatkan pengiriman konten statis dari blob Azure Storage, menyediakan arsitektur yang aman dan dapat diskalakan. Penyiapan ini sangat ideal untuk berbagai kasus penggunaan, seperti hosting situs web dan pengiriman file.
Arsitektur
Dalam arsitektur acuan ini, akun penyimpanan dan profil Azure Front Door dengan satu titik asal disebarkan.
Aliran Data
Data mengalir melalui skenario sebagai berikut:
- Klien membuat koneksi aman ke Azure Front Door menggunakan nama domain kustom dan sertifikat TLS yang disediakan Front Door. Koneksi berakhir di titik kehadiran (PoP) Front Door terdekat.
- Firewall aplikasi web Azure Front Door (WAF) memindai permintaan. Jika WAF menentukan permintaan terlalu berisiko, waF memblokir permintaan dan mengembalikan respons kesalahan HTTP 403.
- Jika cache Front Door PoP berisi respons yang valid, Front Door akan segera mengembalikan respons.
- Jika tidak, PoP mengirimkan permintaan ke akun penyimpanan asal menggunakan jaringan backbone Microsoft, menggunakan koneksi TCP terpisah dan berumur panjang. Dalam skenario ini, Private Link terhubung dengan aman ke akun penyimpanan.
- Akun penyimpanan mengirimkan respons ke Front Door PoP.
- PoP menyimpan respons dalam cache-nya untuk permintaan di masa mendatang.
- PoP mengembalikan respons ke klien.
- Setiap permintaan langsung ke akun penyimpanan melalui internet diblokir oleh firewall Azure Storage.
Komponen
- Azure Storage: Menyimpan konten statis dalam blob.
- Azure Front Door: Menerima koneksi masuk dari klien, memindainya dengan WAF, meneruskan permintaan dengan aman ke akun penyimpanan, dan men-cache respons.
Alternatif
Jika Anda menyimpan file statis dengan penyedia penyimpanan cloud lain atau pada infrastruktur Anda sendiri, skenario ini masih sebagian besar berlaku. Namun, Anda perlu memastikan bahwa lalu lintas masuk ke server asal Anda diverifikasi untuk datang melalui Front Door. Jika penyedia penyimpanan Anda tidak mendukung Private Link, pertimbangkan untuk menggunakan pendekatan alternatif seperti memasukkan tag layanan Front Door ke dalam daftar putih dan memeriksa header X-Azure-FDID.
Detail skenario
Pengiriman konten statis bermanfaat dalam banyak situasi, seperti:
- Mengirimkan gambar, file CSS, dan file JavaScript untuk aplikasi web.
- Menyajikan file dan dokumen, seperti file PDF atau JSON.
- Mengirimkan video nonstreaming.
Konten statis biasanya tidak sering berubah dan dapat berukuran besar, sehingga ideal untuk cache guna meningkatkan performa dan mengurangi biaya.
Dalam skenario kompleks, satu profil Front Door dapat menyajikan konten statis dan dinamis. Anda dapat menggunakan grup asal terpisah untuk setiap jenis konten dan menggunakan kemampuan perutean untuk mengarahkan permintaan masuk ke asal yang sesuai.
Pertimbangan
Skalabilitas dan kinerja
Azure Front Door bertindak sebagai jaringan pengiriman konten (CDN), menyimpan kontennya pada PoP yang didistribusikan secara global. Ketika respons cache tersedia, Azure Front Door dengan cepat menyajikannya, sekaligus meningkatkan performa dan mengurangi beban pada server asal. Jika PoP tidak memiliki respons cache yang valid, kemampuan akselerasi lalu lintas Azure Front Door mempercepat pengiriman konten dari asal.
Keamanan
Autentikasi
Azure Front Door dirancang untuk skenario yang menghadap internet dan dioptimalkan untuk blob yang dapat diakses publik. Untuk mengautentikasi akses ke blob, pertimbangkan untuk menggunakan tanda tangan akses bersama (SAS). Pastikan Anda mengaktifkan perilaku Use Query String untuk mencegah Azure Front Door melayani permintaan ke klien yang tidak diautentikasi. Pendekatan ini mungkin membatasi efektivitas cache, karena setiap permintaan dengan SAS yang berbeda harus dikirim kembali ke asal.
Keamanan asal
- Jika Anda menggunakan tingkat premium, Azure Front Door dapat terhubung dengan aman ke akun Azure Storage menggunakan Private Link. Akun penyimpanan dapat dikonfigurasi untuk menolak akses jaringan publik, memungkinkan permintaan hanya melalui titik akhir privat yang digunakan oleh Azure Front Door. Penyiapan ini memastikan semua permintaan diproses oleh Azure Front Door, melindungi akun penyimpanan Anda dari paparan internet langsung.
- Jika Anda menggunakan tingkat standar, Anda dapat mengamankan permintaan dengan tanda tangan akses bersama (SAS) dan meminta klien menyertakan SAS dalam permintaan mereka atau menggunakan mesin aturan Azure Front Door untuk melampirkannya. Akses jaringan akun penyimpanan harus dapat diakses secara publik (dari semua jaringan atau dari alamat IP Front Door dalam
AzureFrontDoor.Backendtag layanan).
Nama domain khusus
Azure Front Door mendukung nama domain kustom dan dapat mengelola sertifikat TLS untuk domain ini. Menggunakan domain kustom memastikan klien menerima file dari sumber tepercaya, dengan TLS mengenkripsi setiap koneksi ke Azure Front Door. Manajemen sertifikat TLS Azure Front Door membantu menghindari pemadaman dan masalah keamanan dari sertifikat yang tidak valid atau kedaluarsa.
Tembok Api Aplikasi Web (Web Application Firewall)
Aturan terkelola Azure Front Door WAF menetapkan permintaan pemindaian untuk ancaman keamanan umum dan yang muncul. Sebaiknya gunakan WAF dan aturan terkelola untuk aplikasi statis dan dinamis.
Selain itu, Azure Front Door WAF dapat melakukan pembatasan laju dan pemfilteran geografis jika diperlukan.
Ketahanan
Azure Front Door adalah layanan yang sangat tersedia dengan arsitektur yang didistribusikan secara global, sehingga tahan terhadap kegagalan di masing-masing wilayah dan PoPs Azure.
Menggunakan cache Azure Front Door mengurangi beban pada akun penyimpanan Anda. Jika akun penyimpanan Anda menjadi tidak tersedia, Azure Front Door mungkin terus melayani respons cache hingga aplikasi Anda pulih.
Untuk lebih meningkatkan ketahanan, pertimbangkan redundansi akun penyimpanan Anda. Untuk informasi lebih lanjut, lihat Redundansi Azure Storage. Atau, gunakan beberapa akun penyimpanan dan konfigurasikan beberapa origin di grup origin Azure Front Door Anda. Siapkan failover antar sumber dengan mengonfigurasi prioritas setiap sumber. Untuk informasi selengkapnya, lihat Asal dan grup asal di Azure Front Door.
Pengoptimalan biaya
Caching membantu mengurangi biaya pengiriman konten statis. PoPs Azure Front Door menyimpan salinan respons dan dapat memberikan respons cache ini untuk permintaan berikutnya, mengurangi beban permintaan pada asal. Dalam solusi konten statis skala tinggi, terutama yang mengirimkan file besar, caching dapat secara signifikan mengurangi biaya bandwidth.
Untuk menggunakan Private Link dalam solusi ini, terapkan tingkat Premium Azure Front Door. Tingkat standar dapat digunakan jika Anda tidak perlu memblokir lalu lintas langsung ke akun penyimpanan Anda. Untuk informasi selengkapnya, lihat Keamanan asal.
Menyebarkan skenario ini
Untuk menyebarkan skenario ini menggunakan templat Bicep atau JSON ARM, lihat panduan memulai cepat ini.
Untuk menyebarkan skenario ini menggunakan Terraform, lihat panduan cepat ini.
Langkah selanjutnya
Pelajari cara membuat profil Azure Front Door.