Bagikan melalui


Praktik terbaik arsitektur untuk Azure Front Door

Azure Front Door adalah load balancer global dan jaringan pengiriman konten (CDN) yang merutekan lalu lintas HTTP dan HTTPS. Azure Front Door mengirimkan dan mendistribusikan lalu lintas yang paling dekat dengan pengguna aplikasi.

Artikel ini mengasumsikan bahwa sebagai arsitek Anda telah meninjau opsi penyeimbangan beban dan memilih Azure Front Door sebagai load balancer untuk beban kerja Anda. Ini juga mengasumsikan bahwa aplikasi Anda disebarkan ke beberapa wilayah dalam model aktif-aktif atau pasif. Panduan dalam artikel ini memberikan rekomendasi arsitektur yang dipetakan ke prinsip pilar Framework Azure, Well-Architected.

Penting

Cara menggunakan panduan ini

Setiap bagian memiliki daftar periksa desain yang menyajikan area arsitektur yang menjadi perhatian dan strategi desain yang dilokalkan ke cakupan teknologi.

Artikel ini juga mencakup rekomendasi tentang kemampuan teknologi yang membantu mewujudkan strategi tersebut. Rekomendasi tidak mewakili daftar lengkap semua konfigurasi yang tersedia untuk Azure Front Door dan dependensinya. Sebaliknya, mereka mencantumkan rekomendasi-rekomendasi utama yang dipetakan sesuai perspektif desain. Gunakan rekomendasi untuk membangun bukti konsep Anda atau mengoptimalkan lingkungan Anda yang ada.

Arsitektur dasar yang menunjukkan rekomendasi utama: arsitektur dasar misi-kritis dengan pengendalian jaringan.

Cakupan teknologi

Tinjauan ini berfokus pada keputusan yang saling terkait untuk sumber daya Azure berikut:

  • Azure Front Door

Diagram Azure Front Door yang mendistribusikan dan melindungi lalu lintas ke sumber asal yang terletak di Azure, lokasi lokal, dan layanan cloud lainnya.

Keandalan

Tujuan pilar Keandalan adalah untuk memberikan fungsionalitas berkelanjutan dengan membangun ketahanan yang cukup dan kemampuan untuk memulihkan dengan cepat dari kegagalan.

Prinsip desain keandalan menyediakan strategi desain tingkat tinggi yang diterapkan untuk komponen individu, aliran sistem, dan sistem secara keseluruhan.

Daftar periksa desain

Mulai strategi desain Anda berdasarkan daftar periksa tinjauan desain untuk Keandalan. Tentukan relevansinya dengan persyaratan bisnis Anda sambil mengingat tingkatan dan kemampuan CDN. Perluas strategi untuk menyertakan lebih banyak pendekatan sesuai kebutuhan.

  • Pilih strategi penyebaran Anda. Pendekatan penyebaran mendasar adalah aktif-aktif dan aktif-pasif. Penyebaran aktif-aktif berarti bahwa beberapa lingkungan atau stempel yang menjalankan beban kerja melayani lalu lintas. Penyebaran aktif-pasif berarti bahwa hanya wilayah utama yang menangani semua lalu lintas, tetapi akan beralih ke wilayah sekunder jika diperlukan. Dalam penyebaran multiregion, unit atau instans aplikasi berjalan di berbagai wilayah untuk ketersediaan yang lebih tinggi dengan penyeimbang beban global, seperti Azure Front Door, yang mendistribusikan traffic. Oleh karena itu, penting untuk mengonfigurasi load balancer untuk pendekatan penyebaran yang sesuai.

    Azure Front Door mendukung beberapa metode perutean, yang dapat Anda konfigurasi untuk mendistribusikan lalu lintas dalam model aktif-aktif atau aktif-pasif.

    Model sebelumnya memiliki banyak variasi. Misalnya, Anda dapat mengimplementasikan model aktif-pasif dengan cadangan hangat. Dalam hal ini, layanan sekunder yang dihosting diimplementasikan dengan ukuran minimum untuk komputasi dan data, dan menjalankan tanpa beban. Setelah failover, komputasi dan sumber daya data diskalakan untuk menangani beban dari wilayah utama. Untuk informasi selengkapnya, lihat Strategi desain kunci untuk desain multiregion.

    Beberapa aplikasi memerlukan koneksi pengguna untuk tetap berada di server asal yang sama selama sesi pengguna. Dari perspektif keandalan, kami tidak menyarankan untuk menyimpan koneksi pengguna di server asal yang sama. Hindari afinitas sesi sebanyak mungkin.

  • Gunakan nama host yang sama pada setiap lapisan. Untuk memastikan bahwa cookie atau URL pengalihan berfungsi dengan baik, pertahankan nama host HTTP asli saat Anda menggunakan proksi terbalik, seperti Azure Front Door, di depan aplikasi web.

  • Menerapkan pola pemantauan titik akhir kesehatan. Aplikasi Anda harus mengekspos titik akhir kesehatan, yang menggabungkan status layanan dan dependensi penting yang diperlukan aplikasi Anda untuk melayani permintaan. Pemeriksaan kesehatan Azure Front Door menggunakan titik akhir untuk mendeteksi kesehatan server asal. Untuk informasi selengkapnya, lihat pola Pemantauan Titik Akhir Kesehatan.

  • Cache konten statis. Fitur pengiriman konten Azure Front Door memiliki ratusan lokasi tepi dan dapat membantu menahan lonjakan lalu lintas dan serangan penolakan layanan terdistribusi (DDoS). Kemampuan ini membantu meningkatkan keandalan.

  • Pertimbangkan opsi manajemen lalu lintas yang berlebihan. Azure Front Door adalah layanan terdistribusi secara global yang berjalan sebagai singleton di lingkungan. Azure Front Door adalah titik kegagalan tunggal potensial dalam sistem. Jika layanan gagal, maka klien tidak dapat mengakses aplikasi Anda selama waktu henti.

    Implementasi redundan bisa rumit dan mahal. Pertimbangkan mereka hanya untuk beban kerja misi penting yang memiliki toleransi yang sangat rendah terhadap pemadaman. Pertimbangkan dengan cermat kompromi .

Rekomendasi

Rekomendasi Manfaat
Pilih metode perutean yang mendukung strategi penyebaran Anda.

Metode tertimbang, yang mendistribusikan lalu lintas berdasarkan koefisien berat yang dikonfigurasi, mendukung model aktif-aktif.

Nilai berbasis prioritas yang mengonfigurasi wilayah utama untuk menerima semua lalu lintas dan mengarahkan lalu lintas ke wilayah sekunder sebagai cadangan yang mendukung model aktif-pasif.

Gabungkan metode yang telah disebutkan sebelumnya dengan konfigurasi sensitivitas latensi agar sumber dengan latensi terendah menerima lalu lintas.
Anda dapat memilih sumber daya asal terbaik dengan menggunakan serangkaian langkah keputusan dan desain Anda. Asal yang dipilih melayani lalu lintas dalam rentang latensi yang diizinkan dalam rasio bobot yang ditentukan.
Mendukung redundansi dengan memiliki beberapa asal dalam satu atau beberapa grup asal.

Selalu miliki instans aplikasi Anda yang redundan dan pastikan setiap instans mengekspos endpoint asal. Anda dapat menempatkan asal tersebut dalam satu atau beberapa grup asal.
Berbagai sumber mendukung redundansi dengan menyebarkan lalu lintas ke berbagai instans aplikasi. Jika satu instans tidak tersedia, maka sumber lain masih dapat menerima lalu lintas.
Siapkan pengawasan kesehatan pada asal.

Konfigurasikan Azure Front Door untuk melakukan pemeriksaan kesehatan untuk menentukan apakah instans asal tersedia dan siap untuk terus menerima permintaan. Untuk informasi selengkapnya, lihat praktik terbaik tentang pemeriksaan kesehatan.
Pengujian kesehatan yang diaktifkan adalah bagian dari implementasi pola pemantauan kesehatan. Pemantauan kesehatan memastikan bahwa Azure Front Door hanya merutekan lalu lintas ke instans yang cukup sehat untuk menangani permintaan.
Tetapkan batas waktu untuk permintaan penerusan ke sumber, dan hindari permintaan yang memakan waktu lama.

Sesuaikan pengaturan batas waktu sesuai dengan kebutuhan titik akhir Anda. Jika Anda tidak melakukannya, Azure Front Door mungkin akan menutup koneksi sebelum server asal mengirimkan respons.
Anda juga dapat menurunkan waktu habis default untuk Azure Front Door jika semua sumber Anda memiliki waktu habis yang lebih singkat.
Untuk informasi selengkapnya, lihat Memecahkan masalah permintaan yang tidak responsif.
Permintaan yang berjalan lama menggunakan sumber daya sistem. Batas waktu membantu mencegah masalah performa dan masalah ketersediaan dengan mengakhiri permintaan yang memakan waktu lebih lama dari yang diharapkan untuk diselesaikan.
Gunakan nama host yang sama di Azure Front Door dan asal Anda.

Azure Front Door dapat mengubah header host dari permintaan masuk, yang berguna saat Anda memiliki beberapa nama domain kustom yang merutekan ke satu asal. Namun, menulis ulang header host dapat menyebabkan masalah dengan cookie permintaan dan pengalihan URL. Untuk informasi selengkapnya, lihat [Mempertahankan nama host HTTP asli](/azure/architecture/best-practices/host-name-preservation antara proxy balik dan aplikasi web asalnya).
Atur nama host yang sama untuk mencegah kesalahan fungsi terkait afinitas sesi, autentikasi, dan otorisasi.
Putuskan apakah aplikasi Anda memerlukan afinitas sesi . Jika Anda memiliki persyaratan reliabilitas yang tinggi, kami sarankan agar Anda menonaktifkan afinitas sesi. Dengan afinitas sesi, koneksi pengguna tetap berada di asal yang sama selama sesi pengguna. Dalam beberapa situasi, satu sumber mungkin menjadi kelebihan beban dengan permintaan sementara sumber lain menganggur.
Jika asal tersebut menjadi tidak tersedia, pengalaman pengguna mungkin terganggu.
Manfaatkan aturan pembatasan tarif yang disertakan dengan firewall aplikasi web (WAF). Batasi permintaan untuk mencegah klien mengirim terlalu banyak lalu lintas ke aplikasi Anda. Pembatasan laju dapat membantu Anda menghindari masalah seperti badai percobaan ulang.

Keamanan

Tujuan pilar Keamanan adalah untuk memberikan jaminan kerahasiaan, integritas, dan ketersediaan terhadap beban kerja.

Prinsip desain Security menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut dengan menerapkan pendekatan pada desain teknis dalam membatasi lalu lintas yang masuk melalui Azure Front Door.

Daftar periksa desain

Mulai strategi desain Anda berdasarkan daftar periksa tinjauan desain untuk Keamanan. Identifikasi kerentanan dan kontrol untuk meningkatkan postur keamanan. Perluas strategi untuk menyertakan lebih banyak pendekatan sesuai kebutuhan.

  • Tinjau garis besar keamanan untuk Azure Front Door.

  • Lindungi server asal. Azure Front Door adalah ujung depan, dan merupakan titik tunggal masuk ke aplikasi.

    Azure Front Door menggunakan Azure Private Link untuk mengakses asal aplikasi. Private Link membuat segmentasi sehingga asal tidak perlu mengekspos alamat IP publik dan titik akhir. Untuk informasi selengkapnya, lihat Mengamankan asal Anda dengan Private Link di Azure Front Door Premium.

    Konfigurasikan layanan back-end Anda untuk hanya menerima permintaan dengan nama host yang sama dengan yang digunakan Azure Front Door secara eksternal.

  • Izinkan hanya akses resmi ke sarana kontrol. Gunakan kontrol akses berbasis peran (RBAC) Azure Front Door untuk membatasi akses hanya ke identitas yang membutuhkannya.

  • Blokir ancaman umum di tepi. WAF terintegrasi dengan Azure Front Door. Aktifkan aturan WAF di ujung depan untuk melindungi aplikasi dari eksploitasi dan kerentanan umum di tepi jaringan, lebih dekat ke sumber serangan. Pertimbangkan pemfilteran geografis untuk membatasi akses ke aplikasi web Anda menurut negara atau wilayah.

    Untuk informasi selengkapnya, lihat Azure Web Application Firewall di Azure Front Door.

  • Lindungi dari lalu lintas tak terduga. Arsitektur Azure Front Door menyediakan perlindungan DDoS bawaan untuk melindungi titik akhir aplikasi dari serangan DDoS. Jika Anda perlu mengekspos alamat IP publik lainnya dari aplikasi Anda, pertimbangkan untuk menambahkan paket standar Azure DDoS Protection untuk alamat tersebut untuk kemampuan perlindungan dan deteksi tingkat lanjut.

    Ada juga seperangkat aturan WAF yang mendeteksi lalu lintas bot atau volume lalu lintas yang tidak terduga besar yang berpotensi berbahaya.

  • Melindungi data saat transit. Aktifkan Keamanan Lapisan Transportasi (TLS) end-to-end, pengalihan HTTP ke HTTPS, dan sertifikat TLS terkelola jika berlaku. Untuk informasi selengkapnya, lihat praktik terbaik TLS untuk Azure Front Door.

  • Memantau aktivitas anomali. Tinjau log secara teratur untuk memeriksa serangan dan positif palsu. Kirim log WAF dari Azure Front Door ke manajemen peristiwa dan informasi keamanan terpusat organisasi Anda (SIEM), seperti Microsoft Azure Sentinel, untuk mendeteksi pola ancaman dan menggabungkan langkah-langkah pencegahan dalam desain beban kerja.

Rekomendasi

Rekomendasi Manfaat
Aktifkan seperangkat aturan WAF yang mendeteksi dan memblokir lalu lintas yang berpotensi berbahaya. Fitur ini tersedia di tingkat Premium. Kami merekomendasikan seperangkat aturan ini:
- Default
- perlindungan Bot
- pembatasan IP
- pemfilteran geografis
- Pembatasan laju
Seperangkat aturan default sering diperbarui berdasarkan jenis serangan OWASP top-10 dan informasi dari Inteligensi Ancaman Microsoft.
Seperangkat aturan khusus mendeteksi kasus penggunaan tertentu. Misalnya, aturan bot mengklasifikasikan bot sebagai baik, buruk, atau tidak diketahui berdasarkan alamat IP klien. Mereka juga memblokir bot yang buruk dan alamat IP yang diketahui dan membatasi lalu lintas berdasarkan lokasi geografis pemanggil.

Dengan menggunakan kombinasi seperangkat aturan, Anda dapat mendeteksi dan memblokir serangan dengan berbagai niat.
Buat pengecualian untuk seperangkat aturan terkelola.

Uji kebijakan WAF dalam mode deteksi selama beberapa minggu dan sesuaikan kesalahan positif sebelum Anda menerapkannya.
Kurangi positif palsu dan izinkan permintaan yang sah pada aplikasi Anda.
Kirim header ke server asal. Layanan back-end harus mengetahui nama host sehingga mereka dapat membuat aturan untuk menerima lalu lintas hanya dari host tersebut.
Amankan koneksi dari Azure Front Door ke asal Anda. Aktifkan konektivitas Private Link ke asal yang didukung. Jika asal Anda tidak mendukung konektivitas Private Link, gunakan tag layanan dan header X-Azure-FDID untuk memverifikasi sumber permintaan adalah profil Azure Front Door Anda. Pastikan bahwa semua arus lalu lintas melalui Azure Front Door, dan mendapatkan manfaat keamanan seperti perlindungan DDoS dan inspeksi WAF.
Aktifkan TLS end-to-end, pengalihan HTTP ke HTTPS, dan sertifikat TLS terkelola jika berlaku.

Tinjau praktik terbaik TLS untuk Azure Front Door.

Gunakan TLS versi 1.2 sebagai versi minimum yang diizinkan dengan cipher yang relevan untuk aplikasi Anda.

Sertifikat terkelola Azure Front Door harus menjadi pilihan default Anda untuk kemudahan operasi. Namun, jika Anda ingin mengelola siklus hidup sertifikat, gunakan sertifikat Anda sendiri di domain kustom Azure Front Door titik akhir dan simpan di Key Vault.
TLS memastikan bahwa pertukaran data antara browser, Azure Front Door, dan server asal dienkripsi untuk mencegah manipulasi.

Key Vault menawarkan dukungan sertifikat terkelola dan perpanjangan dan rotasi sertifikat sederhana.

Pengoptimalan Biaya

Pengoptimalan Biaya berfokus pada mendeteksi pola pengeluaran, memprioritaskan investasi di area penting, dan mengoptimalkan area lain untuk memenuhi anggaran organisasi dan persyaratan bisnis.

Prinsip desain pengoptimalan biaya menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut dan membuat tradeoff seperlunya dalam desain teknis yang terkait dengan Azure Front Door dan lingkungannya.

Daftar periksa desain

Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk pengoptimalan biaya pada investasi. Sesuaikan desain sehingga beban kerja selaras dengan anggaran yang dialokasikan untuk beban kerja. Desain Anda harus menggunakan kemampuan Azure yang tepat, memantau investasi, dan menemukan peluang untuk dioptimalkan dari waktu ke waktu.

  • Tinjau tingkatan layanan dan harga. Gunakan kalkulator harga untuk memperkirakan biaya realistis untuk setiap tingkatan Azure Front Door. Bandingkan fitur dan kesesuaian setiap tingkatan untuk skenario Anda. Misalnya, hanya tingkat Premium yang mendukung koneksi ke asal Anda melalui Private Link.

    SKU Standar lebih hemat biaya dan cocok untuk skenario lalu lintas sedang. Dalam SKU Premium, Anda membayar tarif unit yang lebih tinggi, tetapi Anda mendapatkan akses ke manfaat keamanan dan fitur lanjutan seperti aturan terkelola di WAF dan Private Link. Pertimbangkan tradeoff pada keandalan dan keamanan berdasarkan kebutuhan bisnis Anda.

  • Pertimbangkan biaya bandwidth. Biaya bandwidth Azure Front Door bergantung pada tingkat yang Anda pilih dan jenis transfer data. Untuk mempelajari tentang penagihan Azure Front Door, lihat Memahami tagihan Azure Front Door.

    Azure Front Door menyediakan laporan bawaan untuk metrik yang dapat ditagih. Untuk menilai biaya Anda terkait dengan bandwidth serta menentukan fokus upaya pengoptimalan, lihat laporan Azure Front Door.

  • Optimalkan permintaan masuk. Azure Front Door menagih permintaan masuk. Anda dapat mengatur pembatasan dalam konfigurasi desain Anda.

    Kurangi jumlah permintaan dengan menggunakan pola desain seperti Backend untuk Frontends dan Penggabungan Gateway. Pola-pola ini dapat meningkatkan efisiensi operasi Anda.

    Aturan WAF membatasi lalu lintas masuk, yang dapat mengoptimalkan biaya. Misalnya, gunakan pembatasan laju untuk mencegah tingkat lalu lintas yang tidak normal tinggi, atau menggunakan pemfilteran geografis untuk memungkinkan akses hanya dari wilayah atau negara tertentu.

  • Gunakan sumber daya secara efisien. Azure Front Door menggunakan metode perutean yang membantu pengoptimalan sumber daya. Kecuali beban kerja sangat sensitif latensi, distribusikan lalu lintas secara merata di semua lingkungan untuk menggunakan sumber daya yang disebarkan secara efektif.

    Titik akhir Azure Front Door dapat melayani banyak file. Salah satu cara untuk mengurangi biaya bandwidth adalah dengan menggunakan kompresi.

    Gunakan cache di Azure Front Door untuk konten yang jarang berubah. Karena konten disajikan dari cache, Anda menghemat biaya bandwidth yang dikeluarkan saat permintaan diteruskan ke asal.

  • Pertimbangkan untuk menggunakan instans bersama yang disediakan oleh organisasi. Biaya yang dikeluarkan dari layanan terpusat dibagikan antara beban kerja. Namun, pertimbangkan kompromi dengan keandalan. Untuk aplikasi penting misi yang memiliki persyaratan ketersediaan tinggi, kami merekomendasikan instans otonom.

  • Perhatikan jumlah data yang dicatat. Biaya yang terkait dengan bandwidth dan penyimpanan dapat bertambah jika permintaan tertentu tidak diperlukan atau jika data pengelogan disimpan untuk jangka waktu yang lama.

Rekomendasi

Rekomendasi Manfaat
Gunakan caching untuk endpoint yang mendukungnya. Cache mengoptimalkan biaya transfer data karena mengurangi jumlah panggilan dari instans Azure Front Door Anda ke sumber.
Pertimbangkan untuk mengaktifkan kompresi file.
Untuk konfigurasi ini, aplikasi harus mendukung pengompresian dan penyimpanan sementara harus diaktifkan.
Pemadatan mengurangi konsumsi bandwidth dan meningkatkan performa.
Nonaktifkan pemeriksaan kesehatan di kelompok asal dengan satu entitas asal.
Jika Anda hanya memiliki satu asal server yang dikonfigurasi di grup asal Azure Front Door Anda, panggilan ini tidak diperlukan.
Anda dapat menghemat biaya bandwidth dengan menonaktifkan permintaan cek kesehatan yang tidak diperlukan dalam pengambilan keputusan perutean.

Keunggulan Kinerja Operasional

Keunggulan Operasional terutama berfokus pada prosedur untuk praktik pengembangan, kemudahan pengamatan, dan manajemen rilis.

Prinsip desain Operational Excellence menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut untuk persyaratan operasional beban kerja.

Daftar periksa desain

Mulai strategi desain Anda berdasarkan daftar periksa tinjauan desain untuk Keunggulan Operasional dalam menentukan proses observabilitas, pengujian, dan penyebaran yang terkait dengan Azure Front Door.

  • Gunakan teknologi infrastruktur sebagai kode (IaC). Gunakan teknologi IaC seperti Bicep dan templat Azure Resource Manager untuk menyediakan instance Azure Front Door. Pendekatan deklaratif ini memberikan konsistensi dan pemeliharaan yang mudah. Misalnya, dengan menggunakan teknologi IaC, Anda dapat dengan mudah mengadopsi versi ruleset baru. Selalu gunakan versi API terbaru.

  • Menyederhanakan konfigurasi. Gunakan Azure Front Door untuk mengelola konfigurasi dengan mudah. Misalnya, arsitektur Anda mendukung layanan mikro. Azure Front Door mendukung kemampuan pengalihan , sehingga Anda dapat menggunakan pengalihan berbasis jalur untuk menargetkan layanan individual. Contoh penggunaan lain adalah konfigurasi domain wildcard.

  • Menangani paparan progresif. Azure Front Door menyediakan beberapa metode perutean. Untuk pendekatan penyeimbangan beban tertimbang Anda dapat menggunakan penyebaran kenari untuk mengirim persentase lalu lintas tertentu ke asal. Pendekatan ini membantu Anda menguji fitur dan rilis baru di lingkungan terkontrol sebelum Anda meluncurkannya.

  • Mengumpul dan menganalisis data operasional sebagai bagian dari pemantauan beban kerja Anda. Tangkap log dan metrik Azure Front Door yang relevan menggunakan Azure Monitor Logs. Data ini membantu Anda memecahkan masalah, memahami perilaku pengguna, dan mengoptimalkan operasi.

  • Lepaskan manajemen sertifikat ke Azure. Meringankan beban operasional yang terkait dengan rotasi dan perpanjangan sertifikasi.

Rekomendasi

Rekomendasi Manfaat
Gunakan pengalihan HTTP ke HTTPS untuk memfasilitasi kompatibilitas ke depan. Saat pengalihan diaktifkan, Azure Front Door secara otomatis mengalihkan klien yang menggunakan protokol lama untuk menggunakan HTTPS untuk pengalaman yang aman.
Mengumpulkan log dan metrik.

Sertakan log aktivitas sumber daya, log akses, log pemeriksaan kesehatan, dan log WAF.

Mengatur notifikasi.
Memantau alur ingress adalah bagian penting dari pemantauan aplikasi. Anda ingin melacak permintaan dan melakukan peningkatan performa dan keamanan. Anda memerlukan data untuk men-debug konfigurasi Azure Front Door Anda.

Dengan pemberitahuan di tempat, Anda bisa mendapatkan pemberitahuan instan tentang masalah operasional penting apa pun.
Tinjau laporan analitik bawaan . Tampilan holistik profil Azure Front Door Anda membantu mendorong peningkatan berdasarkan laporan lalu lintas dan keamanan melalui metrik WAF.
Gunakan sertifikat TLS terkelola jika memungkinkan. Azure Front Door dapat mengeluarkan dan mengelola sertifikat untuk Anda. Fitur ini menghilangkan kebutuhan akan perpanjangan sertifikat dan meminimalkan risiko pemadaman karena sertifikat TLS yang tidak valid atau kedaluwarsa.
Gunakan sertifikat TLS wildcard. Anda tidak perlu mengubah konfigurasi untuk menambahkan atau menentukan setiap subdomain secara terpisah.

Efisiensi Performa

Efisiensi Performa adalah tentang mempertahankan pengalaman pengguna bahkan ketika ada peningkatan beban dengan mengelola kapasitas. Strategi ini mencakup penskalaan sumber daya, mengidentifikasi dan mengoptimalkan potensi hambatan, dan mengoptimalkan performa puncak.

Prinsip desain Efisiensi Performa menyediakan strategi desain tingkat tinggi untuk mencapai tujuan kapasitas tersebut terhadap penggunaan yang diharapkan.

Daftar periksa desain

Mulai strategi desain Anda berdasarkan daftar periksa tinjauan desain untuk Efisiensi Performa. Tentukan garis besar yang didasarkan pada indikator performa utama untuk Azure Front Door.

  • Rencanakan kapasitas dengan menganalisis pola lalu lintas yang diharapkan. Lakukan pengujian menyeluruh untuk memahami performa aplikasi Anda di bawah beban yang berbeda. Pertimbangkan faktor-faktor seperti transaksi simultan, tingkat permintaan, dan transfer data.

    Mendasarkan pilihan SKU Anda pada perencanaan tersebut. SKU Standar lebih hemat biaya dan cocok untuk skenario lalu lintas sedang. Jika Anda mengantisipasi beban yang lebih tinggi, kami sarankan SKU Premium.

  • Menganalisis data performa dengan meninjau metrik performa secara teratur. laporan Azure Front Door memberikan wawasan tentang berbagai metrik yang berfungsi sebagai indikator performa di tingkat teknologi.

    Gunakan laporan Azure Front Door untuk menetapkan target performa realistis untuk beban kerja Anda. Pertimbangkan faktor-faktor seperti waktu respons, throughput, dan tingkat kesalahan. Selaraskan target dengan persyaratan bisnis dan ekspektasi pengguna Anda.

  • Optimalkan data transfer.

    • Gunakan cache untuk mengurangi latensi dalam penyajian konten statis, seperti gambar, stylesheet, dan file JavaScript, atau konten yang tidak sering berubah.

      Optimalkan aplikasi Anda untuk cache. Gunakan header kedaluwarsa cache dalam aplikasi yang mengontrol berapa lama konten harus di-cache oleh klien dan proksi. Validitas cache yang lebih panjang berarti lebih jarang permintaan ke server asal, yang mengakibatkan berkurangnya lalu lintas dan latensi yang lebih rendah.

    • Kurangi ukuran file yang ditransmisikan melalui jaringan. File yang lebih kecil menyebabkan waktu muat yang lebih cepat dan pengalaman pengguna yang ditingkatkan.

    • Minimalkan jumlah permintaan back-end dalam aplikasi.

      Misalnya, halaman web menampilkan profil pengguna, pesanan terbaru, saldo, dan informasi terkait lainnya. Alih-alih membuat permintaan terpisah untuk setiap set informasi, gunakan pola desain untuk menyusun aplikasi Anda sehingga beberapa permintaan dikumpulkan ke dalam satu permintaan.

      Perbarui klien untuk menggunakan protokol HTTP/2 , yang dapat menggabungkan beberapa permintaan ke dalam satu koneksi TCP.

      Gunakan WebSockets untuk mendukung komunikasi dupleks penuh realtime, daripada membuat permintaan HTTP atau polling berulang.

      Dengan menggabungkan permintaan, Anda mengirim lebih sedikit data antara ujung depan dan ujung belakang dan membuat lebih sedikit koneksi antara klien dan ujung belakang, yang mengurangi overhead. Selain itu, Azure Front Door menangani lebih sedikit permintaan, yang mencegah kelebihan beban.

  • Optimalkan penggunaan alat pemantau kesehatan. Dapatkan informasi kesehatan dari pemeriksaan kesehatan hanya ketika status asal berubah. Seimbangkan antara akurasi pemantauan dan meminimalkan lalu lintas yang tidak perlu.

    Probe kesehatan biasanya digunakan untuk menilai kesehatan beberapa sumber dalam sebuah grup. Jika Anda hanya memiliki satu sumber yang telah dikonfigurasi di grup sumber Azure Front Door Anda, nonaktifkan pengecekan kesehatan untuk mengurangi lalu lintas yang tidak perlu di server sumber Anda. Karena hanya ada satu instans, status pemeriksaan kesehatan tidak akan memengaruhi perutean.

  • Tinjau metode perutean asal. Azure Front Door menyediakan berbagai metode perutean, termasuk perutean berbasis latensi, berbasis prioritas, berbasis penimbangan, dan berbasis afinitas sesi, ke titik asal. Metode ini secara signifikan memengaruhi performa aplikasi Anda. Untuk mempelajari selengkapnya tentang opsi perutean lalu lintas terbaik untuk skenario Anda, lihat Metode perutean lalu lintas ke asal.

  • Tinjau lokasi server asal. Lokasi server asal Anda berdampak pada responsivitas aplikasi Anda. Server asal harus lebih dekat dengan pengguna. Azure Front Door memastikan bahwa pengguna dari lokasi tertentu mengakses titik masuk Azure Front Door terdekat. Manfaat performa termasuk pengalaman pengguna yang lebih cepat, Azure Front Door menggunakan perutean berbasis latensi yang lebih baik, dan waktu transfer data yang diminimalkan dengan menggunakan cache, yaitu menyimpan konten lebih dekat dengan pengguna.

    Untuk informasi selengkapnya, lihat laporan Lalu Lintas menurut lokasi .

Rekomendasi

Rekomendasi Manfaat
Aktifkancaching .

Anda dapat mengoptimalkan string kueri untuk cache. Untuk konten statis murni, abaikan string kueri untuk memaksimalkan penggunaan cache.

Jika aplikasi Anda menggunakan string kueri, pertimbangkan untuk menyertakannya di kunci cache. Menyertakan string kueri dalam kunci cache memungkinkan Azure Front Door melayani respons cache atau respons lainnya, berdasarkan konfigurasi Anda.
Azure Front Door menawarkan solusi jaringan pengiriman konten yang kuat yang menyimpan konten di tepi jaringan. Cache mengurangi beban pada server asal dan mengurangi pergerakan data di seluruh jaringan, yang membantu mengurangi penggunaan bandwidth.
Gunakan kompresi file saat Anda mengakses konten yang dapat diunduh. Pemadatan di Azure Front Door membantu mengirimkan konten dalam format optimal, memiliki payload yang lebih kecil, dan mengirimkan konten kepada pengguna lebih cepat.
Saat Anda mengonfigurasi pemeriksaan kesehatan di Azure Front Door, pertimbangkan untuk menggunakan permintaan HEAD alih-alih permintaan GET.
Probe kesehatan hanya membaca kode status, bukan isinya.
HEAD permintaan memungkinkan Anda mengkueri perubahan status tanpa mengambil seluruh kontennya.
Evaluasi apakah Anda harus mengaktifkan afinitas sesi ketika permintaan dari pengguna yang sama harus diarahkan ke server asal yang sama.

Dari perspektif keandalan, kami tidak merekomendasikan pendekatan ini. Jika Anda menggunakan opsi ini, aplikasi harus pulih dengan anggun tanpa mengganggu sesi pengguna.

Ada juga kompromi pada penyeimbangan beban karena hal itu membatasi fleksibilitas dalam mendistribusikan lalu lintas secara merata di berbagai asal.
Optimalkan performa dan pertahankan kelangsungan untuk sesi pengguna, terutama ketika aplikasi mengandalkan pemeliharaan informasi status secara lokal.

Kebijakan Azure

Azure menyediakan serangkaian kebijakan bawaan yang luas yang terkait dengan Azure Front Door dan dependensinya. Beberapa rekomendasi sebelumnya dapat diaudit melalui Kebijakan Azure. Misalnya, Anda dapat memeriksa apakah:

  • Anda memerlukan tingkat Premium untuk mendukung aturan WAF terkelola dan Private Link di profil Azure Front Door.
  • Anda perlu menggunakan versi TLS minimum, yaitu versi 1.2.
  • Anda memerlukan konektivitas privat yang aman antara layanan Azure Front Door Premium dan Azure PaaS.
  • Anda perlu mengaktifkan log sumber daya. WAF harus mengaktifkan pemeriksaan isi permintaan.
  • Anda perlu menggunakan kebijakan untuk memberlakukan seperangkat aturan WAF. Misalnya, Anda harus mengaktifkan perlindungan bot dan mengaktifkan aturan pembatasan tarif.

Untuk tata kelola komprehensif, tinjau definisi bawaan untuk Azure Content Delivery Network dan kebijakan Azure Front Door lainnya yang tercantum dalam definisi kebijakan bawaan Azure Policy .

Rekomendasi Azure Advisor

Azure Advisor adalah konsultan cloud yang dipersonalisasi yang membantu Anda mengikuti praktik terbaik untuk mengoptimalkan penyebaran Azure Anda. Rekomendasi Advisor diselaraskan dengan pilar Well-Architected Framework.

Untuk informasi selengkapnya, lihat rekomendasi di Azure Advisor.

Langkah berikutnya

Pertimbangkan artikel berikut sebagai sumber daya yang menunjukkan rekomendasi yang disorot dalam artikel ini.