Perspektif Azure Well-Architected Framework di Azure Front Door
Azure Front Door adalah load balancer global dan jaringan pengiriman konten yang merutekan lalu lintas HTTP dan HTTPS. Azure Front Door memberikan dan mendistribusikan lalu lintas yang paling dekat dengan pengguna aplikasi.
Artikel ini mengasumsikan bahwa sebagai arsitek Anda telah meninjau opsi penyeimbangan beban dan memilih Azure Front Door sebagai load balancer untuk beban kerja Anda. Ini juga mengasumsikan bahwa aplikasi Anda disebarkan ke beberapa wilayah dalam model aktif-aktif atau pasif aktif. Panduan dalam artikel ini memberikan rekomendasi arsitektur yang dipetakan ke prinsip-prinsip pilar Azure Well-Architected Framework.
Penting
Cara menggunakan panduan ini
Setiap bagian memiliki daftar periksa desain yang menyajikan bidang arsitektur yang menjadi perhatian dan strategi desain yang dilokalkan ke cakupan teknologi.
Artikel ini juga menyertakan rekomendasi tentang kemampuan teknologi yang membantu mewujudkan strategi tersebut. Rekomendasi tidak mewakili daftar lengkap semua konfigurasi yang tersedia untuk Azure Front Door dan dependensinya. Sebaliknya, mereka mencantumkan rekomendasi utama yang dipetakan ke perspektif desain. Gunakan rekomendasi untuk membangun bukti konsep Anda atau mengoptimalkan lingkungan yang ada.
Arsitektur dasar yang menunjukkan rekomendasi utama: Arsitektur garis besar misi-kritis dengan kontrol jaringan.
Cakupan teknologi
Tinjauan ini berfokus pada keputusan yang saling terkait untuk sumber daya Azure berikut:
- Azure Front Door
Keandalan
Tujuan dari pilar Keandalan adalah untuk memberikan fungsionalitas berkelanjutan dengan membangun ketahanan yang cukup dan kemampuan untuk memulihkan dengan cepat dari kegagalan.
Prinsip desain Keandalan menyediakan strategi desain tingkat tinggi yang diterapkan untuk komponen individu, alur sistem, dan sistem secara keseluruhan.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa tinjauan desain untuk Keandalan. Tentukan relevansinya dengan persyaratan bisnis Anda sambil mengingat tingkatan dan kemampuan Azure Content Delivery Network. Perluas strategi untuk menyertakan lebih banyak pendekatan sesuai kebutuhan.
Perkirakan pola dan volume lalu lintas. Jumlah permintaan dari klien ke tepi Azure Front Door mungkin memengaruhi pilihan tingkat Anda. Jika Anda perlu mendukung permintaan dalam volume tinggi, pertimbangkan tingkat Azure Front Door Premium karena performa pada akhirnya berdampak pada ketersediaan. Namun, ada pertukaran biaya. Tingkatan ini dijelaskan dalam Efisiensi Performa.
Pilih strategi penyebaran Anda. Pendekatan penyebaran mendasar aktif-aktif dan aktif-pasif. Penyebaran aktif-aktif berarti bahwa beberapa lingkungan atau stempel yang menjalankan beban kerja melayani lalu lintas. Penyebaran pasif aktif berarti bahwa hanya wilayah utama yang menangani semua lalu lintas, tetapi gagal ke wilayah sekunder jika perlu. Dalam penyebaran multiregion, stempel berjalan di berbagai wilayah untuk ketersediaan yang lebih tinggi dengan penyeimbang beban global, seperti Azure Front Door, yang mendistribusikan lalu lintas. Oleh karena itu, penting untuk mengonfigurasi load balancer untuk pendekatan penyebaran yang sesuai.
Azure Front Door mendukung beberapa metode perutean, yang dapat Anda konfigurasi untuk mendistribusikan lalu lintas dalam model aktif-aktif atau pasif aktif.
Model sebelumnya memiliki banyak variasi. Misalnya, Anda dapat menyebarkan model pasif aktif dengan cadangan hangat. Dalam hal ini, layanan sekunder yang dihosting disebarkan dengan kemungkinan minimum komputasi dan ukuran data dan berjalan tanpa beban. Setelah failover, komputasi dan sumber daya data diskalakan untuk menangani beban dari wilayah utama. Untuk informasi selengkapnya, lihat Strategi desain utama untuk desain multiregion.
Beberapa aplikasi memerlukan koneksi pengguna untuk tetap berada di server asal yang sama selama sesi pengguna. Dari perspektif keandalan, kami tidak menyarankan untuk menyimpan koneksi pengguna di server asal yang sama. Hindari afinitas sesi sebanyak mungkin.
Gunakan nama host yang sama di Azure Front Door dan server asal. Untuk memastikan bahwa cookie atau URL pengalihan berfungsi dengan baik, pertahankan nama host HTTP asli saat Anda menggunakan proksi terbalik, seperti load balancer, di depan aplikasi web.
Menerapkan pola pemantauan titik akhir kesehatan. Aplikasi Anda harus mengekspos titik akhir kesehatan, yang menggabungkan status layanan dan dependensi penting yang dibutuhkan aplikasi Anda untuk melayani permintaan. Pemeriksaan kesehatan Azure Front Door menggunakan titik akhir untuk mendeteksi kesehatan server asal. Untuk informasi selengkapnya, lihat Pola Pemantauan Titik Akhir Kesehatan.
Manfaatkan fungsionalitas jaringan pengiriman konten bawaan di Azure Front Door. Fitur jaringan pengiriman konten Azure Front Door memiliki ratusan lokasi tepi dan dapat membantu menahan serangan penolakan layanan terdistribusi (DDoS). Kemampuan ini membantu meningkatkan keandalan.
Pertimbangkan opsi manajemen lalu lintas yang berlebihan. Azure Front Door adalah layanan terdistribusi global yang berjalan sebagai singleton di lingkungan. Azure Front Door adalah titik kegagalan tunggal potensial dalam sistem. Jika layanan gagal, maka klien tidak dapat mengakses aplikasi Anda selama waktu henti.
Implementasi yang berlebihan bisa rumit dan mahal. Pertimbangkan mereka hanya untuk beban kerja misi-kritis yang memiliki toleransi yang sangat rendah terhadap pemadaman. Pertimbangkan dengan cermat tradeoff.
- Jika Anda benar-benar membutuhkan perutean redundan, lihat Redundansi perutean global.
- Jika Anda hanya memerlukan redundansi untuk menyajikan konten cache, lihat Pengiriman konten global.
Rekomendasi
| Rekomendasi | Manfaat |
|---|---|
| Pilih metode perutean yang mendukung strategi penyebaran Anda. Metode tertimbang, yang mendistribusikan lalu lintas berdasarkan koefisien berat yang dikonfigurasi, mendukung model aktif-aktif. Nilai berbasis prioritas yang mengonfigurasi wilayah utama untuk menerima semua lalu lintas dan mengirim lalu lintas ke wilayah sekunder sebagai cadangan mendukung model pasif aktif. Gabungkan metode sebelumnya dengan latensi sehingga asal dengan latensi terendah menerima lalu lintas. |
Anda dapat memilih sumber daya asal terbaik dengan menggunakan serangkaian langkah keputusan dan desain Anda. Asal yang dipilih melayani lalu lintas dalam rentang latensi yang diizinkan dalam rasio bobot yang ditentukan. |
| Mendukung redundansi dengan memiliki beberapa asal dalam satu atau beberapa kumpulan back-end. Selalu memiliki instans redundan aplikasi Anda dan pastikan setiap instans mengekspos titik akhir atau asal. Anda dapat menempatkan asal-usul tersebut di satu atau beberapa kumpulan back-end. |
Beberapa asal mendukung redundansi dengan mendistribusikan lalu lintas di beberapa instans aplikasi. Jika satu instans tidak tersedia, maka asal back-end lainnya masih dapat menerima lalu lintas. |
|
Siapkan pemeriksaan kesehatan pada asal. Konfigurasikan Azure Front Door untuk melakukan pemeriksaan kesehatan untuk menentukan apakah instans back-end tersedia dan siap untuk terus menerima permintaan. |
Pemeriksaan kesehatan yang diaktifkan adalah bagian dari implementasi pola pemantauan kesehatan. Pemeriksaan kesehatan memastikan bahwa Azure Front Door hanya merutekan lalu lintas ke instans yang cukup sehat untuk menangani permintaan. Untuk informasi selengkapnya, lihat Praktik terbaik tentang pemeriksaan kesehatan. |
| Atur batas waktu pada permintaan penerusan ke back end. Sesuaikan pengaturan batas waktu sesuai dengan kebutuhan titik akhir Anda. Jika tidak, Azure Front Door mungkin menutup koneksi sebelum asal mengirimkan respons. Anda juga dapat menurunkan batas waktu default untuk Azure Front Door jika semua asal Anda memiliki batas waktu yang lebih singkat. Untuk informasi selengkapnya, lihat Pemecahan masalah permintaan yang tidak responsif. |
Batas waktu membantu mencegah masalah performa dan masalah ketersediaan dengan mengakhiri permintaan yang membutuhkan waktu lebih lama dari yang diharapkan untuk diselesaikan. |
| Gunakan nama host yang sama di Azure Front Door dan asal Anda. Azure Front Door dapat menulis ulang header host permintaan masuk, yang berguna saat Anda memiliki beberapa nama domain kustom yang dirutekan ke satu asal. Namun, menulis ulang header host dapat menyebabkan masalah dengan cookie permintaan dan pengalihan URL. |
Atur nama host yang sama untuk mencegah kerusakan dengan afinitas sesi, autentikasi, dan otorisasi. Untuk informasi selengkapnya, lihat Mempertahankan nama host HTTP asli antara proksi terbalik dan aplikasi web back-end-nya. |
| Tentukan apakah aplikasi Anda memerlukan afinitas sesi. Jika Anda memiliki persyaratan keandalan tinggi, kami sarankan Anda menonaktifkan afinitas sesi. | Dengan afinitas sesi, koneksi pengguna tetap berada di asal yang sama selama sesi pengguna. Jika asal tersebut menjadi tidak tersedia, pengalaman pengguna mungkin terganggu. |
| Manfaatkan aturan pembatasan tarif yang disertakan dengan firewall aplikasi web (WAF). | Batasi permintaan untuk mencegah klien mengirim terlalu banyak lalu lintas ke aplikasi Anda. Pembatasan tarif dapat membantu Anda menghindari masalah seperti badai coba lagi. |
Keamanan
Tujuan pilar Keamanan adalah untuk memberikan jaminan kerahasiaan, integritas, dan ketersediaan terhadap beban kerja.
Prinsip desain Keamanan menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut dengan menerapkan pendekatan pada desain teknis dalam membatasi lalu lintas yang datang melalui Azure Front Door.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa tinjauan desain untuk Keamanan. Identifikasi kerentanan dan kontrol untuk meningkatkan postur keamanan. Perluas strategi untuk menyertakan lebih banyak pendekatan sesuai kebutuhan.
Tinjau garis besar keamanan untuk Azure Front Door.
Lindungi server back-end. Ujung depan bertindak sebagai titik tunggal masuk ke aplikasi.
Azure Front Door menggunakan Azure Private Link untuk mengakses asal aplikasi. Private Link membuat segmentasi sehingga back end tidak perlu mengekspos alamat IP publik dan titik akhir. Untuk informasi selengkapnya, lihat Mengamankan asal Anda dengan Private Link di Azure Front Door Premium.
Konfigurasikan layanan back-end Anda untuk hanya menerima permintaan dengan nama host yang sama dengan yang digunakan Azure Front Door secara eksternal.
Izinkan hanya akses resmi ke sarana kontrol. Gunakan kontrol akses berbasis peran (RBAC) Azure Front Door untuk membatasi akses hanya ke identitas yang membutuhkannya.
Blokir ancaman umum di tepi. WAF terintegrasi dengan Azure Front Door. Aktifkan aturan WAF di ujung depan untuk melindungi aplikasi dari eksploitasi dan kerentanan umum di tepi jaringan, lebih dekat ke sumber serangan. Pertimbangkan pemfilteran geografis untuk membatasi akses ke aplikasi web Anda menurut negara atau wilayah.
Untuk informasi selengkapnya, lihat Azure Web Application Firewall di Azure Front Door.
Lindungi Azure Front Door dari lalu lintas yang tidak terduga. Azure Front Door menggunakan paket dasar perlindungan Azure DDoS untuk melindungi titik akhir aplikasi dari serangan DDoS. Jika Anda perlu mengekspos alamat IP publik lainnya dari aplikasi Anda, pertimbangkan untuk menambahkan paket standar DDoS Protection untuk alamat tersebut untuk kemampuan perlindungan dan deteksi tingkat lanjut.
Ada juga seperangkat aturan WAF yang mendeteksi lalu lintas bot atau volume lalu lintas yang tidak terduga besar yang berpotensi berbahaya.
Lindungi data saat transit. Aktifkan Keamanan Lapisan Transportasi (TLS) end-to-end, pengalihan HTTP ke HTTPS, dan sertifikat TLS terkelola jika berlaku. Untuk informasi selengkapnya, lihat Praktik terbaik TLS untuk Azure Front Door.
Memantau aktivitas anomali. Tinjau log secara teratur untuk memeriksa serangan dan positif palsu. Kirim log WAF dari Azure Front Door ke informasi keamanan terpusat dan manajemen peristiwa (SIEM) organisasi Anda, seperti Microsoft Azure Sentinel, untuk mendeteksi pola ancaman dan menggabungkan langkah-langkah pencegahan dalam desain beban kerja.
Rekomendasi
| Rekomendasi | Manfaat |
|---|---|
| Aktifkan seperangkat aturan WAF yang mendeteksi dan memblokir lalu lintas yang berpotensi berbahaya. Fitur ini tersedia di tingkat Premium. Kami merekomendasikan seperangkat aturan ini: - Default - Perlindungan bot - Pembatasan IP - Pemfilteran geografis - Pembatasan tarif |
Seperangkat aturan default sering diperbarui berdasarkan jenis serangan OWASP top-10 dan informasi dari Inteligensi Ancaman Microsoft. Seperangkat aturan khusus mendeteksi kasus penggunaan tertentu. Misalnya, aturan bot mengklasifikasikan bot sebagai baik, buruk, atau tidak diketahui berdasarkan alamat IP klien. Mereka juga memblokir bot buruk dan alamat IP yang diketahui dan membatasi lalu lintas berdasarkan lokasi geografis pemanggil. Dengan menggunakan kombinasi seperangkat aturan, Anda dapat mendeteksi dan memblokir serangan dengan berbagai niat. |
|
Buat pengecualian untuk seperangkat aturan terkelola. Uji kebijakan WAF dalam mode deteksi selama beberapa minggu dan sesuaikan positif palsu sebelum Anda menyebarkannya. |
Kurangi positif palsu dan izinkan permintaan yang sah untuk aplikasi Anda. |
| Kirim header host ke back end. | Layanan back-end harus mengetahui nama host sehingga mereka dapat membuat aturan untuk menerima lalu lintas hanya dari host tersebut. |
| Aktifkan TLS end-to-end, pengalihan HTTP ke HTTPS, dan sertifikat TLS terkelola jika berlaku. Tinjau praktik terbaik TLS untuk Azure Front Door. Gunakan TLS versi 1.2 sebagai versi minimum yang diizinkan dengan cipher yang relevan untuk aplikasi Anda. Sertifikat terkelola Azure Front Door harus menjadi pilihan default Anda untuk kemudahan operasi. Namun, jika Anda ingin mengelola siklus hidup sertifikat, gunakan sertifikat Anda sendiri di titik akhir domain kustom Azure Front Door dan simpan di Key Vault. |
TLS memastikan bahwa pertukaran data antara browser, Azure Front Door, dan asal ujung belakang dienkripsi untuk mencegah perubahan. Key Vault menawarkan dukungan sertifikat terkelola dan perpanjangan dan rotasi sertifikat sederhana. |
Pengoptimalan Biaya
Pengoptimalan Biaya berfokus pada mendeteksi pola pengeluaran, memprioritaskan investasi di area penting, dan mengoptimalkan orang lain untuk memenuhi anggaran organisasi sambil memenuhi persyaratan bisnis.
Prinsip desain Pengoptimalan Biaya menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut dan membuat tradeoff seperlunya dalam desain teknis yang terkait dengan Azure Front Door dan lingkungannya.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Pengoptimalan Biaya untuk investasi. Sesuaikan desain sehingga beban kerja selaras dengan anggaran yang dialokasikan untuk beban kerja. Desain Anda harus menggunakan kemampuan Azure yang tepat, memantau investasi, dan menemukan peluang untuk dioptimalkan dari waktu ke waktu.
Tinjau tingkatan dan harga Azure Front Door. Gunakan kalkulator harga untuk memperkirakan biaya realistis untuk setiap tingkatan. Bandingkan fitur dan kesesuaian setiap tingkatan untuk skenario Anda. Misalnya, hanya tingkat Premium yang mendukung koneksi ke asal Anda melalui Private Link.
SKU Standar lebih hemat biaya dan cocok untuk skenario lalu lintas sedang. Dalam SKU Premium, Anda membayar tarif unit yang lebih tinggi, tetapi Anda mendapatkan akses ke manfaat keamanan dan fitur lanjutan seperti aturan terkelola di WAF dan Private Link. Pertimbangkan tradeoff pada keandalan dan keamanan berdasarkan kebutuhan bisnis Anda.
Pertimbangkan biaya bandwidth. Biaya bandwidth Azure Front Door bergantung pada tingkat yang Anda pilih dan jenis transfer data. Azure Front Door menyediakan laporan bawaan untuk metrik yang dapat ditagih. Untuk menilai biaya yang terkait dengan bandwidth dan tempat Anda dapat memfokuskan upaya pengoptimalan, lihat laporan Azure Front Door.
Optimalkan permintaan masuk. Azure Front Door menagih permintaan masuk. Anda dapat mengatur pembatasan dalam konfigurasi desain Anda.
Kurangi jumlah permintaan dengan menggunakan pola desain seperti Backend untuk Frontend dan Agregasi Gateway. Pola-pola ini dapat meningkatkan efisiensi operasi Anda.
Aturan WAF membatasi lalu lintas masuk, yang dapat mengoptimalkan biaya. Misalnya, gunakan pembatasan tarif untuk mencegah tingkat lalu lintas yang sangat tinggi, atau gunakan pemfilteran geografis untuk memungkinkan akses hanya dari wilayah atau negara tertentu.
Gunakan sumber daya secara efisien. Azure Front Door menggunakan metode perutean yang membantu pengoptimalan sumber daya. Kecuali beban kerja sangat sensitif latensi, distribusikan lalu lintas secara merata di semua lingkungan untuk menggunakan sumber daya yang disebarkan secara efektif.
Titik akhir Azure Front Door dapat melayani banyak file. Salah satu cara untuk mengurangi biaya bandwidth adalah dengan menggunakan pemadatan.
Gunakan penembolokan di Azure Front Door untuk konten yang tidak sering berubah. Karena konten disajikan dari cache, Anda menghemat biaya bandwidth yang dikeluarkan saat permintaan diteruskan ke ujung belakang.
Pertimbangkan untuk menggunakan instans bersama yang disediakan oleh organisasi. Biaya yang dikeluarkan dari layanan terpusat dibagi antara beban kerja. Namun, pertimbangkan tradeoff dengan keandalan. Untuk aplikasi penting misi yang memiliki persyaratan ketersediaan tinggi, kami merekomendasikan instans otonom.
Perhatikan jumlah data yang dicatat. Biaya yang terkait dengan bandwidth dan penyimpanan dapat bertambah jika permintaan tertentu tidak diperlukan atau jika data pengelogan dipertahankan untuk jangka waktu yang lama.
Rekomendasi
| Rekomendasi | Manfaat |
|---|---|
| Gunakan penembolokan untuk titik akhir yang mendukungnya. | Penembolokan mengoptimalkan biaya transfer data karena mengurangi jumlah panggilan dari instans Azure Front Door Anda ke asal. |
|
Pertimbangkan untuk mengaktifkan pemadatan file. Untuk konfigurasi ini, aplikasi harus mendukung pemadatan dan penembolokan harus diaktifkan. |
Pemadatan mengurangi konsumsi bandwidth dan meningkatkan performa. |
| Nonaktifkan pemeriksaan kesehatan di kumpulan back-end tunggal. Jika Anda hanya memiliki satu asal yang dikonfigurasi di grup asal Azure Front Door Anda, panggilan ini tidak perlu. |
Anda dapat menghemat biaya bandwidth dengan menonaktifkan permintaan yang tidak diperlukan untuk membuat keputusan perutean. |
Keunggulan Operasional
Keunggulan Operasional terutama berfokus pada prosedur untuk praktik pengembangan, pengamatan, dan manajemen rilis.
Prinsip desain Keunggulan Operasional menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut untuk persyaratan operasional beban kerja.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Keunggulan Operasional untuk menentukan proses pengamatan, pengujian, dan penyebaran yang terkait dengan Azure Front Door.
Gunakan teknologi infrastruktur sebagai kode (IaC). Gunakan teknologi IaC seperti templat Bicep dan Azure Resource Manager untuk menyediakan instans Azure Front Door. Pendekatan deklaratif ini memberikan konsistensi dan pemeliharaan yang mudah. Misalnya, dengan menggunakan teknologi IaC, Anda dapat dengan mudah mengadopsi versi ruleset baru. Selalu gunakan versi API terbaru.
Menyederhanakan konfigurasi. Gunakan Azure Front Door untuk mengelola konfigurasi dengan mudah. Misalnya, arsitektur Anda mendukung layanan mikro. Azure Front Door mendukung kemampuan pengalihan, sehingga Anda dapat menggunakan pengalihan berbasis jalur untuk menargetkan layanan individual. Kasus penggunaan lain adalah konfigurasi domain wildcard.
Tangani paparan progresif dengan menggunakan metode perutean Azure Front Door. Untuk pendekatan penyeimbangan beban tertimbang , Anda dapat menggunakan penyebaran kenari untuk mengirim persentase lalu lintas tertentu ke back end. Pendekatan ini membantu Anda menguji fitur dan rilis baru di lingkungan yang terkontrol sebelum Anda meluncurkannya.
Kumpulkan dan analisis data operasional Azure Front Door sebagai bagian dari pemantauan beban kerja Anda. Ambil log dan metrik Azure Front Door yang relevan dengan Log Azure Monitor. Data ini membantu Anda memecahkan masalah, memahami perilaku pengguna, dan mengoptimalkan operasi.
Membongkar manajemen sertifikat ke Azure. Meringankan beban operasional yang terkait dengan rotasi sertifikasi dan perpanjangan.
Rekomendasi
| Rekomendasi | Manfaat |
|---|---|
| Gunakan pengalihan HTTP ke HTTPS untuk mendukung kompatibilitas penerusan. | Saat pengalihan diaktifkan, Azure Front Door secara otomatis mengalihkan klien yang menggunakan protokol lama untuk menggunakan HTTPS untuk pengalaman yang aman. |
|
Mengambil log dan metrik. Sertakan log aktivitas sumber daya, log akses, log pemeriksaan kesehatan, dan log WAF. Siapkan pemberitahuan. |
Memantau alur ingress adalah bagian penting dari pemantauan aplikasi. Anda ingin melacak permintaan dan melakukan peningkatan performa dan keamanan. Anda memerlukan data untuk men-debug konfigurasi Azure Front Door Anda. Dengan pemberitahuan di tempat, Anda bisa mendapatkan pemberitahuan instan tentang masalah operasional penting apa pun. |
| Tinjau laporan analitik bawaan. | Tampilan holistik profil Azure Front Door Anda membantu mendorong peningkatan berdasarkan laporan lalu lintas dan keamanan melalui metrik WAF. |
| Gunakan sertifikat TLS terkelola jika memungkinkan. | Azure Front Door dapat mengeluarkan dan mengelola sertifikat untuk Anda. Fitur ini menghilangkan kebutuhan akan perpanjangan sertifikat dan meminimalkan risiko pemadaman karena sertifikat TLS yang tidak valid atau kedaluwarsa. |
| Gunakan sertifikat TLS kartubebas. | Anda tidak perlu mengubah konfigurasi untuk menambahkan atau menentukan setiap subdomain secara terpisah. |
Efisiensi Performa
Efisiensi Performa adalah tentang mempertahankan pengalaman pengguna bahkan ketika ada peningkatan beban dengan mengelola kapasitas. Strategi ini mencakup penskalaan sumber daya, mengidentifikasi dan mengoptimalkan potensi hambatan, dan mengoptimalkan performa puncak.
Prinsip desain Efisiensi Performa menyediakan strategi desain tingkat tinggi untuk mencapai tujuan kapasitas tersebut terhadap penggunaan yang diharapkan.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Efisiensi Performa. Tentukan garis besar yang didasarkan pada indikator performa utama untuk Azure Front Door.
Rencanakan kapasitas dengan menganalisis pola lalu lintas yang diharapkan. Lakukan pengujian menyeluruh untuk memahami performa aplikasi Anda di bawah beban yang berbeda. Pertimbangkan faktor-faktor seperti transaksi simultan, tingkat permintaan, dan transfer data.
Mendasarkan pilihan SKU Anda pada perencanaan tersebut. SKU Standar lebih hemat biaya dan cocok untuk skenario lalu lintas sedang. Jika Anda mengantisipasi beban yang lebih tinggi, kami sarankan SKU Premium.
Analisis data performa dengan meninjau laporan Azure Front Door secara teratur. Laporan ini memberikan wawasan tentang berbagai metrik yang berfungsi sebagai indikator performa di tingkat teknologi.
Gunakan laporan Azure Front Door untuk menetapkan target performa realistis untuk beban kerja Anda. Pertimbangkan faktor-faktor seperti waktu respons, throughput, dan tingkat kesalahan. Selaraskan target dengan persyaratan bisnis dan ekspektasi pengguna Anda.
Optimalkan transfer data.
Gunakan penembolokan untuk mengurangi latensi dalam menyajikan konten statis, seperti gambar, lembar gaya, dan file JavaScript, atau konten yang tidak sering berubah.
Optimalkan aplikasi Anda untuk penembolokan. Gunakan header kedaluwarsa cache dalam aplikasi yang mengontrol berapa lama konten harus di-cache oleh klien dan proksi. Validitas cache yang lebih lama berarti permintaan yang lebih jarang ke server asal, yang menghasilkan lalu lintas yang berkurang dan latensi yang lebih rendah.
Kurangi ukuran file yang ditransmisikan melalui jaringan. File yang lebih kecil menyebabkan waktu muat yang lebih cepat dan pengalaman pengguna yang lebih baik.
Minimalkan jumlah permintaan back-end dalam aplikasi.
Misalnya, halaman web menampilkan profil pengguna, pesanan terbaru, saldo, dan informasi terkait lainnya. Alih-alih membuat permintaan terpisah untuk setiap set informasi, gunakan pola desain untuk menyusun aplikasi Anda sehingga beberapa permintaan diagregasi ke dalam satu permintaan.
Dengan menggabungkan permintaan, Anda mengirim lebih sedikit data antara ujung depan dan ujung belakang dan membuat lebih sedikit koneksi antara klien dan back end, yang mengurangi overhead. Selain itu, Azure Front Door menangani lebih sedikit permintaan, yang mencegah kelebihan beban.
Optimalkan penggunaan pemeriksaan kesehatan. Dapatkan informasi kesehatan dari pemeriksaan kesehatan hanya ketika status asal berubah. Mencapai keseimbangan antara akurasi pemantauan dan meminimalkan lalu lintas yang tidak perlu.
Pemeriksaan kesehatan biasanya digunakan untuk menilai kesehatan beberapa asal dalam grup. Jika Anda hanya memiliki satu asal yang dikonfigurasi di grup asal Azure Front Door Anda, nonaktifkan pemeriksaan kesehatan untuk mengurangi lalu lintas yang tidak perlu di server asal Anda. Karena hanya ada satu instans, status pemeriksaan kesehatan tidak akan memengaruhi perutean.
Tinjau metode perutean asal. Azure Front Door menyediakan berbagai metode perutean, termasuk perutean berbasis latensi, berbasis prioritas, tertimbang, dan berbasis afinitas sesi, ke asalnya. Metode ini secara signifikan memengaruhi performa aplikasi Anda. Untuk mempelajari selengkapnya tentang opsi perutean lalu lintas terbaik untuk skenario Anda, lihat Metode perutean lalu lintas ke asal.
Tinjau lokasi server asal. Lokasi server asal Anda berdampak pada responsivitas aplikasi Anda. Server asal harus lebih dekat dengan pengguna. Azure Front Door memastikan bahwa pengguna dari lokasi tertentu mengakses titik masuk Azure Front Door terdekat. Manfaat performa termasuk pengalaman pengguna yang lebih cepat, penggunaan perutean berbasis latensi dengan lebih baik oleh Azure Front Door, dan meminimalkan waktu transfer data dengan menggunakan penembolokan, yang menyimpan konten lebih dekat dengan pengguna.
Untuk informasi selengkapnya, lihat Laporan lalu lintas menurut lokasi.
Rekomendasi
| Rekomendasi | Manfaat |
|---|---|
|
Aktifkan penembolokan. Anda dapat mengoptimalkan string kueri untuk penembolokan. Untuk konten statis murni, abaikan string kueri untuk memaksimalkan penggunaan cache Anda. Jika aplikasi Anda menggunakan string kueri, pertimbangkan untuk menyertakannya dalam kunci cache. Menyertakan string kueri dalam kunci cache memungkinkan Azure Front Door melayani respons cache atau respons lainnya, berdasarkan konfigurasi Anda. |
Azure Front Door menawarkan solusi jaringan pengiriman konten yang kuat yang menyimpan konten di tepi jaringan. Penembolokan mengurangi beban pada server back-end dan mengurangi pergerakan data di seluruh jaringan, yang membantu membongkar penggunaan bandwidth. |
| Gunakan kompresi file saat Anda mengakses konten yang dapat diunduh. | Kompresi di Azure Front Door membantu mengirimkan konten dalam format optimal, memiliki payload yang lebih kecil, dan mengirimkan konten kepada pengguna lebih cepat. |
Saat Anda mengonfigurasi pemeriksaan kesehatan di Azure Front Door, pertimbangkan untuk menggunakan HEAD permintaan alih-alih GET permintaan. Pemeriksaan kesehatan hanya membaca kode status, bukan konten. |
HEAD permintaan memungkinkan Anda meminta perubahan status tanpa mengambil seluruh kontennya. |
| Evaluasi apakah Anda harus mengaktifkan afinitas sesi ketika permintaan dari pengguna yang sama harus diarahkan ke server back-end yang sama. Dari perspektif keandalan, kami tidak merekomendasikan pendekatan ini. Jika Anda menggunakan opsi ini, aplikasi harus pulih dengan lancar tanpa mengganggu sesi pengguna. Ada juga tradeoff pada penyeimbangan beban karena membatasi fleksibilitas mendistribusikan lalu lintas di beberapa ujung belakang secara merata. |
Optimalkan performa dan pertahankan kontinuitas untuk sesi pengguna, terutama ketika aplikasi mengandalkan mempertahankan informasi status secara lokal. |
Kebijakan Azure
Azure menyediakan serangkaian kebijakan bawaan yang luas yang terkait dengan Azure Front Door dan dependensinya. Beberapa rekomendasi sebelumnya dapat diaudit melalui Kebijakan Azure. Misalnya, Anda dapat memeriksa apakah:
- Anda memerlukan tingkat Premium untuk mendukung aturan WAF terkelola dan Private Link di profil Azure Front Door.
- Anda perlu menggunakan versi TLS minimum, yaitu versi 1.2.
- Anda memerlukan konektivitas privat yang aman antara layanan Azure Front Door Premium dan Azure PaaS.
- Anda perlu mengaktifkan log sumber daya. WAF harus mengaktifkan pemeriksaan isi permintaan.
- Anda perlu menggunakan kebijakan untuk memberlakukan seperangkat aturan WAF. Misalnya, Anda harus mengaktifkan perlindungan bot dan mengaktifkan aturan pembatasan tarif.
Untuk tata kelola yang komprehensif, tinjau definisi bawaan untuk Azure Content Delivery Network dan kebijakan Azure Front Door lainnya yang tercantum dalam definisi kebijakan bawaan Azure Policy.
Rekomendasi Azure Advisor
Azure Advisor adalah konsultan cloud dipersonalisasi yang membantu Anda mengikuti praktik terbaik untuk mengoptimalkan penyebaran Azure. Berikut adalah beberapa rekomendasi yang dapat membantu Anda meningkatkan keandalan, keamanan, efektivitas biaya, performa, dan keunggulan operasional Azure Front Door.
Langkah berikutnya
Pertimbangkan artikel berikut sebagai sumber daya yang menunjukkan rekomendasi yang disorot dalam artikel ini.
- Gunakan arsitektur referensi berikut sebagai contoh bagaimana Anda dapat menerapkan panduan artikel ini ke beban kerja:
- Bangun keahlian implementasi dengan menggunakan dokumentasi produk berikut: