Domande frequenti su Frontdoor di Azure

Questo articolo fornisce le risposte alle domande più frequenti sulle caratteristiche e le funzionalità di Frontdoor di Azure. Se non trovi la risposta alla tua domanda, puoi contattarci attraverso i seguenti canali (in ordine crescente):

1. La sezione dei feedback di questo articolo.

2. Feedback su Frontdoor di Azure.

3. Supporto Microsoft: Per creare una nuova richiesta di supporto, nella scheda Guida del portale di Azure selezionare il pulsante Guida + supporto e quindi selezionare Nuova richiesta di supporto.

Generale

Che cos'è Frontdoor di Azure?

Frontdoor di Azure è un servizio basato sul cloud che distribuisce le applicazioni in modo più rapido e affidabile. Utilizza il bilanciamento del carico di livello 7 per distribuire il traffico su più regioni ed endpoint. Offre inoltre l'accelerazione dinamica del sito (DSA) per ottimizzare le prestazioni Web e il failover quasi in tempo reale per garantire un'elevata disponibilità. Frontdoor di Azure è un servizio completamente gestito, quindi non devi preoccuparti del ridimensionamento o della manutenzione.

Qual è la differenza tra Frontdoor di Azure e il gateway applicazione di Azure?

Frontdoor di Azure e gateway applicazione di Azure sono entrambi servizi di bilanciamento del carico per il traffico HTTP/HTTPS, ma hanno ambiti diversi. Frontdoor è un servizio globale in grado di distribuire le richieste tra le aree, mentre il gateway applicazione è un servizio a livello di area in grado di bilanciare le richieste all'interno di un'area. Frontdoor di Azure funziona con unità di scala, cluster o unità di timbro, mentre il gateway applicazione di Azure funziona con macchine virtuali, contenitori o altre risorse nella stessa unità di scala.

Quali tipi di risorse sono attualmente compatibili come origine?

È possibile usare diversi tipi di origini per Frontdoor di Azure, ad esempio:

• Archiviazione (BLOB di Azure, versione classica, siti Web statici)
• Servizio cloud
• Servizio app
• App Web statica
• Gestione API
• Gateway delle applicazioni
• Indirizzo IP pubblico
• App Spring di Azure
• Istanza di Contenitori
• Applicazioni container
• Qualsiasi nome host personalizzato con accesso pubblico.

L'origine deve avere un indirizzo IP pubblico o un nome host DNS che può essere risolto pubblicamente. È possibile combinare e abbinare back-end da zone, aree diverse o anche all'esterno di Azure, purché siano accessibili pubblicamente.

In quali aree è possibile distribuire i servizi di Frontdoor di Azure?

Frontdoor di Azure non è limitato a nessuna area di Azure, ma opera a livello globale. L'unico percorso che è necessario scegliere quando si crea una frontdoor è il percorso del gruppo di risorse, che determina la posizione in cui vengono archiviati i metadati del gruppo di risorse. Il profilo Frontdoor è una risorsa globale e la relativa configurazione viene distribuita a tutte le sedi perimetrali in tutto il mondo.

Quali sono le posizioni dei POP (point-of-presence) di Frontdoor di Azure?

Per l'elenco completo dei punti di presenza che forniscono il bilanciamento del carico globale e la distribuzione di contenuti per Frontdoor di Azure, vedere Posizioni POP di Frontdoor di Azure. Questo elenco viene aggiornato regolarmente man mano che vengono aggiunti o rimossi nuovi POP. È anche possibile usare l'API di Azure Resource Manager per eseguire query sull'elenco corrente di POP a livello di codice.

In che modo Frontdoor di Azure alloca le risorse tra i diversi clienti?

Frontdoor di Azure è un servizio che distribuisce l'applicazione a livello globale in più aree. Usa un'infrastruttura comune che viene condivisa da tutti i clienti, ma è possibile personalizzare il proprio profilo Frontdoor per configurare i requisiti specifici dell'applicazione. Le configurazioni di altri clienti non possono influire sulla configurazione di Frontdoor, che è isolata dalla loro.

In che modo Frontdoor di Azure determina l'ordine delle regole di routing?

Frontdoor non ordina le route per l'applicazione Web. Sceglie invece il percorso che meglio si adatta alla richiesta. Per informazioni sulla corrispondenza tra Frontdoor e le richieste con le route, vedere Modalità con la corrispondenza delle richieste da parte di Frontdoor a una regola di routing.

Quali sono i passaggi per limitare l'accesso al back-end solo a Frontdoor di Azure?

Per garantire prestazioni ottimali delle funzionalità di Frontdoor, è consigliabile consentire solo al traffico proveniente da Frontdoor di Azure di raggiungere l'origine. Di conseguenza, le richieste non autorizzate o dannose incontrano i criteri di sicurezza e di routing di Frontdoor e viene negato l'accesso. Per informazioni su come proteggere l'origine, vedere Proteggere il traffico verso le origini di Frontdoor di Azure.

Qual è il tempo stimato per la distribuzione di una Frontdoor di Azure? La frontdoor rimane operativa durante il processo di aggiornamento?

Il tempo di distribuzione per le nuove configurazioni di Frontdoor varia a seconda del tipo di modifica. In genere, sono necessari tra i 3 e i 20 minuti prima che le modifiche si propaghino a tutte le nostre edge location in tutto il mondo.

Annotazioni

La distribuzione a livello globale degli aggiornamenti dei certificati TLS/SSL personalizzati potrebbe richiedere più tempo, da alcuni minuti a un'ora.

Gli aggiornamenti alle route o ai gruppi di origine/pool back-end sono semplici e non causano tempi di inattività (presupponendo che la nuova configurazione sia corretta). Anche gli aggiornamenti dei certificati vengono eseguiti in modo atomico, quindi non vi è alcun rischio di interruzione.

È possibile spostare i profili Frontdoor e CDN tra gruppi di risorse o sottoscrizioni senza tempi di inattività?

• I profili Frontdoor Standard/Premium e la rete CDN di Azure possono essere spostati tra gruppi di risorse o sottoscrizioni senza tempi di inattività. Per eseguire la mossa, segui queste istruzioni.
• Frontdoor classico non supporta lo spostamento tra gruppi di risorse o sottoscrizioni. È invece possibile eseguire la migrazione del profilo classico a Standard/Premium e quindi eseguire lo spostamento.
• Se il cliente ha WAF associato a Frontdoor Standard/Premium, l'operazione di spostamento avrà esito negativo. Il cliente deve prima dissociare i criteri WAF, spostare e quindi associare.

Caratteristiche e protocolli

Quali funzionalità supporta Frontdoor di Azure?

Frontdoor di Azure è un servizio che offre molti vantaggi per le applicazioni Web, ad esempio l'accelerazione dinamica del sito (DSA), che migliora le prestazioni e l'esperienza utente dei siti. Frontdoor di Azure gestisce anche l'offload TLS/SSL e TLS end-to-end, che migliora la sicurezza e la crittografia del traffico Web. Inoltre, Frontdoor di Azure offre Web Application Firewall, affinità di sessione basata su cookie, routing basato sul percorso URL, certificati gratuiti e gestione di più domini e altro ancora. Per altre informazioni sulle caratteristiche e le funzionalità di Frontdoor di Azure, vedere Confronto tra livelli.

Quali protocolli supporta Frontdoor di Azure?

Frontdoor di Azure supporta HTTP, HTTPS e HTTP/2.

In che modo Frontdoor di Azure supporta HTTP/2?

Frontdoor di Azure supporta il protocollo HTTP/2 per le connessioni client. Tuttavia, la comunicazione del pool back-end utilizza il protocollo HTTP/1.1. Il supporto HTTP/2 è attivo per impostazione predefinita.

Frontdoor di Azure supporta gRPC?

No Attualmente, Frontdoor di Azure supporta solo HTTP/1.1 dal perimetro all'origine. Per il funzionamento di gRPC, è necessario HTTP/2.

Frontdoor di Azure supporta il reindirizzamento da HTTP a HTTPS?

È possibile reindirizzare i componenti host, percorso e stringa di query di un URL con Frontdoor di Azure. Per informazioni su come configurare il reindirizzamento URL, fare riferimento a Reindirizzamento URL.

AFD fornisce dati di telemetria per mostrare quali regole AFD elabora per ogni richiesta?

Sì. Fare riferimento alla proprietà MatchedRulesSetName in Log di accesso.

AFD è in grado di fornire protezione dagli attacchi DDoS "HTTP/2 Rapid Reset"?

Sì. Per altre informazioni, vedere Risposta di Microsoft agli attacchi DDoS contro HTTP/2.

Frontdoor di Azure mantiene le intestazioni "x-forwarded-for"?

Frontdoor di Azure supporta le intestazioni X-Forwarded-For, X-Forwarded-Host e X-Forwarded-Proto. Queste intestazioni consentono a Frontdoor di identificare l'indirizzo IP e il protocollo client originali. Se X-Forwarded-For è già presente, Frontdoor aggiunge l'indirizzo IP del socket client alla fine dell'elenco. In caso contrario, crea l'intestazione con l'IP del socket client come valore. Per X-Forwarded-Host e X-Forwarded-Proto, Frontdoor sostituisce i valori esistenti con i propri.

Per altre informazioni, vedere Intestazioni HTTP supportate da Frontdoor.

Frontdoor di Azure è in grado di bilanciare il carico o instradare il traffico all'interno di una rete virtuale?

Per usare il livello Standard o (classico) di Frontdoor di Azure, è necessario un indirizzo IP pubblico o un nome DNS che può essere risolto pubblicamente. Questo requisito di un indirizzo IP pubblico o di un nome DNS che può essere risolto pubblicamente consente a Frontdoor di Azure di instradare il traffico alle risorse back-end. È possibile usare le risorse di Azure come gateway applicazione o Azure Load Balancer per instradare il traffico alle risorse in una rete virtuale. Se si usa il livello Premium di Frontdoor, è possibile usare Collegamento privato per connettersi alle origini dietro un servizio di bilanciamento del carico interno con un endpoint privato. Per altre informazioni, vedere Proteggere le origini con collegamento privato.

Distribuzione di Frontdoor con altri servizi

Quando è consigliabile distribuire un gateway applicazione dietro Frontdoor?

Il gateway applicazione dietro Frontdoor è utile in queste situazioni:

• Si vuole bilanciare il traffico non solo a livello globale, ma anche all'interno della rete virtuale. Frontdoor può eseguire solo il bilanciamento del carico basato sul percorso a livello globale, ma il gateway applicazione può eseguire questa operazione all'interno della rete virtuale.
• È necessario lo svuotamento delle connessioni, che Frontdoor non supporta. Il gateway applicazione può abilitare lo svuotamento delle connessioni per le macchine virtuali o i contenitori.
• Si vuole eseguire l'offload di tutta l'elaborazione TLS/SSL e usare solo le richieste HTTP nella rete virtuale. Il gateway applicazione dietro Frontdoor può ottenere questa configurazione.
• Si desidera utilizzare l'affinità di sessione sia a livello regionale che a livello di server. Frontdoor può inviare il traffico da una sessione utente allo stesso back-end in un'area, ma il gateway applicazione può inviarlo allo stesso server nel back-end.

È possibile distribuire un'altra rete CDN da un fornitore esterno dietro o davanti a Frontdoor?

Il concatenamento di due CDN non è generalmente un approccio consigliato, funzionerebbe ma comporta i seguenti svantaggi

1. L'accelerazione dell'ultimo miglio di CDN utilizza il mantenimento del flusso di connessione con l'origine e la ricerca di un percorso ottimale verso l'origine per ottenere i migliori risultati. Il concatenamento di due CDN in genere nega alcuni dei vantaggi dell'accelerazione dell'ultimo miglio.
2. I controlli di sicurezza diventano meno efficaci nella seconda CDN. Qualsiasi ACL basato su IP client non funzionerà nella seconda CDN poiché la seconda CDN vedrà il nodo di uscita della prima CDN come IP client. Il payload del contenuto verrà comunque ispezionato.
3. Molte organizzazioni non sono in grado di gestire la complessità della risoluzione dei problemi di due CDN concatenate e quando si verifica un problema diventa difficile capire quale CDN sta riscontrando il problema.

È possibile distribuire Azure Load Balancer dietro Frontdoor?

Per usare Frontdoor di Azure, è necessario disporre di un indirizzo VIP pubblico o di un nome DNS accessibile pubblicamente. Frontdoor di Azure usa l'indirizzo IP pubblico per instradare il traffico all'origine. Uno scenario comune consiste nel distribuire un Azure Load Balancer dietro Frontdoor. È anche possibile usare Collegamento privato con Frontdoor di Azure Premium per connettersi a un servizio di bilanciamento del carico interno. Per altre informazioni, vedere abilitare il collegamento privato con il servizio di bilanciamento del carico interno.

È possibile configurare la rete CDN di Azure dietro il profilo/endpoint di Frontdoor o viceversa?

Frontdoor di Azure e la rete CDN di Azure sono due servizi che offrono una distribuzione Web rapida e affidabile per le applicazioni. Tuttavia, non sono compatibili tra loro, perché condividono la stessa rete di siti perimetrali di Azure per distribuire contenuti agli utenti. Questa rete condivisa causa conflitti tra i criteri di routing e di memorizzazione nella cache. Pertanto, è necessario scegliere Frontdoor di Azure o la rete CDN di Azure per l'applicazione, a seconda dei requisiti di prestazioni e sicurezza.

È possibile configurare un profilo o un endpoint frontdoor di Azure dietro un altro profilo/endpoint frontdoor o in altro modo?

Il fatto che entrambi i profili/endpoint usino lo stesso POP perimetrale di Azure per gestire le richieste in ingresso causa una limitazione che impedisce di annidare un profilo/endpoint di Frontdoor di Azure dietro un altro. Questa configurazione causerebbe conflitti di routing e problemi di prestazioni. Pertanto, è necessario assicurarsi che i profili/endpoint di Frontdoor di Azure non siano concatenati insieme, se è necessario usare più profili/endpoint per le applicazioni.

Indirizzi IP e tag di servizio di Frontdoor

L'indirizzo IP anycast di Frontdoor rimane invariato per tutta la sua durata?

L'indirizzo IP dell'anycast front-end della frontdoor è fisso e potrebbe non cambiare finché si usa la frontdoor. Tuttavia, l'indirizzo IP fisso del front-end anycast di Frontdoor non è una garanzia. Evita di fare affidamento direttamente sull'IP. Per rimanere informati e intraprendere le azioni appropriate durante eventuali modifiche agli indirizzi IP, sviluppa l'automazione per recuperare regolarmente gli indirizzi IP più recenti utilizzando l'API Service Tag Discovery o il file JSON.

Frontdoor di Azure offre indirizzi IP statici o dedicati?

Frontdoor di Azure è un servizio dinamico che instrada il traffico al back-end migliore disponibile. Al momento non offre IP anycast frontend statici o dedicati.

Quali sono i tag del servizio di rete supportati da Frontdoor?

Frontdoor di Azure usa tre tag di servizio per gestire il traffico tra i client e le origini:

• Il tag del servizio AzureFrontDoor.Backend contiene gli indirizzi IP usati da Frontdoor per accedere alle origini. È possibile applicare questo tag del servizio quando si configura la sicurezza per le origini.
• Il tag del servizio AzureFrontDoor.Frontend contiene gli indirizzi IP usati dai client per raggiungere Frontdoor. È possibile applicare il tag di AzureFrontDoor.Frontend servizio quando si vuole controllare il traffico in uscita che può connettersi ai servizi dietro Frontdoor di Azure.
• Il tag di servizio AzureFrontDoor.FirstParty è riservato a un gruppo selezionato di servizi Microsoft ospitati in Frontdoor di Azure.

Per altre informazioni sugli scenari dei tag di servizio di Frontdoor di Azure, vedere Tag di servizio disponibili. Per rimanere informati e intraprendere le azioni appropriate durante eventuali modifiche agli indirizzi IP, sviluppa l'automazione per recuperare regolarmente gli indirizzi IP più recenti utilizzando l'API Service Tag Discovery o il file JSON.

Configurazione

Quali sono le procedure consigliate per la creazione di origini e gruppi di origine per Frontdoor di Azure?

Un gruppo di origine è una raccolta di origini in grado di gestire tipi di richieste simili. È necessario un gruppo di origine diverso per ogni applicazione o carico di lavoro diverso.

In un gruppo di origine, si crea un'origine per ogni server o servizio in grado di gestire le richieste. Se l'origine ha un servizio di bilanciamento del carico, ad esempio il gateway applicazione di Azure, o è ospitata in un PaaS con un servizio di bilanciamento del carico, il gruppo di origine ha una sola origine. L'origine si occupa del failover e del bilanciamento del carico tra le origini che Frontdoor non vede.

Ad esempio, se si ospita un'applicazione nel servizio app di Azure, la modalità di configurazione di Frontdoor dipende dal numero di istanze dell'applicazione disponibili:

• Distribuzione in una singola area: creare un gruppo di origine. In tale gruppo di origine creare un'origine per l'app del servizio app. L'app del servizio app potrebbe aumentare il numero di istanze tra i ruoli di lavoro, ma Frontdoor vede un'origine.
• Distribuzione attiva/passiva in più aree: creare un gruppo di origine. In tale gruppo di origine creare un'origine per ogni app del servizio app. Impostare la priorità di ogni origine in modo che l'applicazione principale abbia una priorità più alta rispetto all'applicazione di backup.
• Distribuzione attiva/attiva in più aree: creare un gruppo di origine. In tale gruppo di origine creare un'origine per ogni app del servizio app. Imposta la priorità di ogni origine in modo che sia la stessa. Imposta il peso di ogni origine per controllare il numero di richieste inviate a tale origine.

Per altre informazioni, vedere Origini e gruppi di origine in Frontdoor di Azure.

Quali sono i valori predefiniti e massimi per i timeout e i limiti di Frontdoor di Azure?

Frontdoor di Azure è un servizio che offre una distribuzione Web rapida e affidabile per le applicazioni. Offre funzionalità come la memorizzazione nella cache, il bilanciamento del carico, la sicurezza e il routing. Tuttavia, è necessario tenere presenti alcuni timeout e limiti che si applicano a Frontdoor di Azure. Questi timeout e limiti includono la dimensione massima della richiesta, la dimensione massima della risposta, la dimensione massima dell'intestazione, il numero massimo di intestazioni, il numero massimo di regole e il numero massimo di gruppi di origine. Per informazioni dettagliate su questi timeout e limiti, vedere la documentazione di Frontdoor di Azure.

Quanto tempo richiede Frontdoor di Azure per applicare una nuova regola aggiunta al motore regole di Frontdoor?

Gli aggiornamenti della configurazione per la maggior parte dei set di regole vengono eseguiti in meno di 20 minuti. La regola verrà applicata subito dopo il termine dell'aggiornamento.

Qual è il valore del timeout dell'intestazione dal client alla Frontdoor di Azure?

Frontdoor di Azure ha un timeout di 5 secondi per la ricezione delle intestazioni dal client. La connessione viene terminata se il client non invia intestazioni entro 5 secondi a Frontdoor di Azure dopo aver stabilito la connessione TCP/TLS. Il valore di questo timeout non può essere configurato.

Qual è il valore del timeout keep-alive HTTP per Frontdoor di Azure?

Frontdoor di Azure ha un timeout keep-alive HTTP di 90 secondi. La connessione viene terminata se il client non invia dati per 90 secondi, ovvero il timeout keep-alive HTTP per Frontdoor di Azure. Il valore di questo timeout non può essere configurato.

È possibile usare lo stesso dominio per due endpoint di Frontdoor diversi?

Non è possibile usare gli stessi domini per più di un endpoint di Frontdoor, perché Frontdoor deve distinguere la route (combinazione di protocollo + host + percorso) per ogni richiesta. Se sono presenti route duplicate tra endpoint diversi, Frontdoor di Azure non è in grado di elaborare correttamente le richieste.

È possibile eseguire la migrazione di un dominio da un endpoint di Frontdoor a un altro endpoint di Frontdoor senza tempi di inattività?

Al momento, non offriamo la possibilità di spostare i domini da un endpoint all'altro senza alcuna interruzione del servizio. È necessario pianificare alcuni tempi di inattività se si desidera eseguire la migrazione dei domini a un endpoint diverso.

L'integrazione di Privatelink di Frontdoor di Azure non è supportata nell'area in cui si trova l'origine. Cosa faccio?

La funzionalità di collegamento privato di Frontdoor di Azure è indipendente dall'area e funzionerà anche se si sceglie un'area diversa dall'area in cui si trova l'origine. In questi casi, per garantire una latenza inferiore, è consigliabile selezionare sempre un'area di Azure più vicina all'origine quando si sceglie di abilitare l'endpoint di collegamento privato Frontdoor di Azure. Stiamo per consentire il sostegno ad altre regioni. Una volta supportata una nuova regione, puoi seguire queste istruzioni per spostare gradualmente il traffico verso la nuova regione.

Prestazioni

In che modo Frontdoor di Azure garantisce la disponibilità elevata e la scalabilità per i servizi?

Frontdoor di Azure è una piattaforma che distribuisce il traffico in tutto il mondo e può essere ridimensionata per soddisfare le esigenze dell'applicazione. Usa il perimetro della rete globale di Microsoft per offrire funzionalità di bilanciamento del carico globale che consente di passare l'intera applicazione o microservizi specifici a diverse aree o cloud in caso di errore.

Quali sono le condizioni per la memorizzazione nella cache delle risposte intervallate dalla mia origine?

Per evitare errori durante la consegna di file di grandi dimensioni, assicurarsi che il server di origine includa l'intestazione Content-Range nella risposta e che il valore dell'intestazione corrisponda alle dimensioni effettive del corpo della risposta.

Per altre informazioni su come configurare l'origine e la frontdoor per il recapito di file di grandi dimensioni, vedere Recapito di file di grandi dimensioni.

Configurazione TLS

In che modo Frontdoor di Azure blocca il fronting del dominio?

Il domain fronting è una tecnica di rete che consente a un utente malintenzionato di nascondere la destinazione effettiva di una richiesta dannosa utilizzando un nome di dominio diverso nell'handshake TLS e nell'intestazione host HTTP.

Le risorse Frontdoor di Azure (livello Standard, Premium e classico) o Azure CDN Standard di Microsoft (versione classica) create dopo l'8 novembre 2022 hanno abilitato il blocco del fronting del dominio. Anziché bloccare una richiesta con intestazioni SNI e host non corrispondenti, consentiamo la discrepanza se i due domini appartengono alla stessa sottoscrizione e sono inclusi nelle rotte/regole di routing. L'applicazione del blocco del fronte dei domini inizierà il 22 gennaio 2024 per tutti i domini esistenti. L'applicazione può richiedere fino a due settimane per propagarsi a tutte le regioni.

Quando Frontdoor blocca una richiesta a causa di una mancata corrispondenza:

• Il client riceve una risposta con codice di errore HTTP 421 Misdirected Request .
• Frontdoor di Azure registra il blocco nei log di diagnostica nella proprietà Error Info con il valore SSLMismatchedSNI.

Per altre informazioni sul fronting del dominio, vedere Protezione dell'approccio al fronting del dominio all'interno di Azure e Proibizione del fronting del dominio in Frontdoor di Azure e Azure CDN Standard di Microsoft (versione classica).

Quali versioni di TLS sono supportate con Frontdoor di Azure?

Frontdoor usa TLS 1.2 come versione minima per tutti i profili creati dopo settembre 2019.

È possibile scegliere di usare TLS 1.2 o 1.3 con Frontdoor di Azure. Per altre informazioni, leggere l'articolo TLS end-to-end di Frontdoor di Azure .

Fatturazione

Mi vengono addebitate le risorse di Frontdoor di Azure disabilitate?

Le risorse frontdoor di Azure non possono essere disabilitate. Possono essere eliminati solo. I contatori variabili come il trasferimento dei dati in uscita, il trasferimento dei dati in e le richieste non vengono addebitati quando non è presente traffico, ma viene addebitata una tariffa di base anche se non è presente traffico. La tariffa di base verrà addebitata fino all'eliminazione del profilo. Per AFD Classic, i criteri e le regole WAF vengono addebitati indipendentemente dal relativo stato. Anche se si disabilita un criterio o una regola WAF, i costi sono comunque necessari.

Memorizzazione nella cache

È possibile utilizzare l'intestazione della richiesta HTTP come chiave della cache?

No

Frontdoor supporta ETag?

No

È possibile supportare la compressione per file di dimensioni superiori a 8 MB?

AFD non supporta la compressione dinamica per contenuti superiori a 8 MB. Tuttavia, se il contenuto è già stato compresso dall'origine, Frontdoor supporta la gestione di contenuto compresso statico superiore a 8 MB, purché la richiesta di intervallo sia supportata e la codifica di trasferimento in blocchi non sia abilitata.

AFD supporta l'impostazione dell'intestazione di autorizzazione nella richiesta HTTP se la memorizzazione nella cache è abilitata?

No

Diagnostica e registrazione

Quali sono le metriche e i log forniti da Frontdoor di Azure?

Per informazioni sui log e altre funzionalità di diagnostica, vedere Monitoraggio delle metriche e dei log per Frontdoor.

Qual è la durata della conservazione dei log di diagnostica?

È possibile archiviare i log di diagnostica nel proprio account di archiviazione e scegliere per quanto tempo conservarli. In alternativa, i log di diagnostica possono essere inviati a Hub eventi o ai log di Monitoraggio di Azure. Per altre informazioni, vedere Diagnostica in Frontdoor di Azure.

Quali sono i passaggi per accedere ai log di controllo per Frontdoor di Azure?

Per accedere ai log di controllo di Frontdoor di Azure, è necessario visitare il portale. Selezionare Frontdoor dalla pagina del menu e selezionare Log attività. Il log attività fornisce i record delle operazioni di Frontdoor di Azure.

Come è possibile configurare gli avvisi per Frontdoor di Azure?

È possibile configurare gli avvisi per Frontdoor di Azure in base alle metriche o ai log. In questo modo, è possibile monitorare le prestazioni e l'integrità degli host front-end.

Per informazioni su come creare avvisi per Frontdoor di Azure Standard e Premium, vedere Configurare gli avvisi.

Contenuto correlato

• Informazioni su come creare un profilo Frontdoor di Azure.
• Informazioni sull'architettura di Frontdoor di Azure.

Questo articolo fornisce le risposte alle domande più frequenti sulle caratteristiche e le funzionalità di Frontdoor di Azure. Se non trovi la risposta alla tua domanda, puoi contattarci attraverso i seguenti canali (in ordine crescente):

1. La sezione dei feedback di questo articolo.

2. Feedback su Frontdoor di Azure.

3. Supporto Microsoft: Per creare una nuova richiesta di supporto, nella scheda Guida del portale di Azure selezionare il pulsante Guida + supporto e quindi selezionare Nuova richiesta di supporto.

Frontdoor di Azure è un servizio basato sul cloud che distribuisce le applicazioni in modo più rapido e affidabile. Utilizza il bilanciamento del carico di livello 7 per distribuire il traffico su più regioni ed endpoint. Offre inoltre l'accelerazione dinamica del sito (DSA) per ottimizzare le prestazioni Web e il failover quasi in tempo reale per garantire un'elevata disponibilità. Frontdoor di Azure è un servizio completamente gestito, quindi non devi preoccuparti del ridimensionamento o della manutenzione.

Frontdoor di Azure e gateway applicazione di Azure sono entrambi servizi di bilanciamento del carico per il traffico HTTP/HTTPS, ma hanno ambiti diversi. Frontdoor è un servizio globale in grado di distribuire le richieste tra le aree, mentre il gateway applicazione è un servizio a livello di area in grado di bilanciare le richieste all'interno di un'area. Frontdoor di Azure funziona con unità di scala, cluster o unità di timbro, mentre il gateway applicazione di Azure funziona con macchine virtuali, contenitori o altre risorse nella stessa unità di scala.

È possibile usare diversi tipi di origini per Frontdoor di Azure, ad esempio:

• Archiviazione (BLOB di Azure, versione classica, siti Web statici)
• Servizio cloud
• Servizio app
• App Web statica
• Gestione API
• Gateway delle applicazioni
• Indirizzo IP pubblico
• App Spring di Azure
• Istanza di Contenitori
• Applicazioni container
• Qualsiasi nome host personalizzato con accesso pubblico.

L'origine deve avere un indirizzo IP pubblico o un nome host DNS che può essere risolto pubblicamente. È possibile combinare e abbinare back-end da zone, aree diverse o anche all'esterno di Azure, purché siano accessibili pubblicamente.

Frontdoor di Azure non è limitato a nessuna area di Azure, ma opera a livello globale. L'unico percorso che è necessario scegliere quando si crea una frontdoor è il percorso del gruppo di risorse, che determina la posizione in cui vengono archiviati i metadati del gruppo di risorse. Il profilo Frontdoor è una risorsa globale e la relativa configurazione viene distribuita a tutte le sedi perimetrali in tutto il mondo.

Per l'elenco completo dei punti di presenza che forniscono il bilanciamento del carico globale e la distribuzione di contenuti per Frontdoor di Azure, vedere Posizioni POP di Frontdoor di Azure. Questo elenco viene aggiornato regolarmente man mano che vengono aggiunti o rimossi nuovi POP. È anche possibile usare l'API di Azure Resource Manager per eseguire query sull'elenco corrente di POP a livello di codice.

Frontdoor di Azure è un servizio che distribuisce l'applicazione a livello globale in più aree. Usa un'infrastruttura comune che viene condivisa da tutti i clienti, ma è possibile personalizzare il proprio profilo Frontdoor per configurare i requisiti specifici dell'applicazione. Le configurazioni di altri clienti non possono influire sulla configurazione di Frontdoor, che è isolata dalla loro.

Frontdoor non ordina le route per l'applicazione Web. Sceglie invece il percorso che meglio si adatta alla richiesta. Per informazioni sulla corrispondenza tra Frontdoor e le richieste con le route, vedere Modalità con la corrispondenza delle richieste da parte di Frontdoor a una regola di routing.

Per garantire prestazioni ottimali delle funzionalità di Frontdoor, è consigliabile consentire solo al traffico proveniente da Frontdoor di Azure di raggiungere l'origine. Di conseguenza, le richieste non autorizzate o dannose incontrano i criteri di sicurezza e di routing di Frontdoor e viene negato l'accesso. Per informazioni su come proteggere l'origine, vedere Proteggere il traffico verso le origini di Frontdoor di Azure.

Il tempo di distribuzione per le nuove configurazioni di Frontdoor varia a seconda del tipo di modifica. In genere, sono necessari tra i 3 e i 20 minuti prima che le modifiche si propaghino a tutte le nostre edge location in tutto il mondo.

Annotazioni

La distribuzione a livello globale degli aggiornamenti dei certificati TLS/SSL personalizzati potrebbe richiedere più tempo, da alcuni minuti a un'ora.

Gli aggiornamenti alle route o ai gruppi di origine/pool back-end sono semplici e non causano tempi di inattività (presupponendo che la nuova configurazione sia corretta). Anche gli aggiornamenti dei certificati vengono eseguiti in modo atomico, quindi non vi è alcun rischio di interruzione.

• I profili Frontdoor Standard/Premium e la rete CDN di Azure possono essere spostati tra gruppi di risorse o sottoscrizioni senza tempi di inattività. Per eseguire la mossa, segui queste istruzioni.
• Frontdoor classico non supporta lo spostamento tra gruppi di risorse o sottoscrizioni. È invece possibile eseguire la migrazione del profilo classico a Standard/Premium e quindi eseguire lo spostamento.
• Se il cliente ha WAF associato a Frontdoor Standard/Premium, l'operazione di spostamento avrà esito negativo. Il cliente deve prima dissociare i criteri WAF, spostare e quindi associare.

Frontdoor di Azure è un servizio che offre molti vantaggi per le applicazioni Web, ad esempio l'accelerazione dinamica del sito (DSA), che migliora le prestazioni e l'esperienza utente dei siti. Frontdoor di Azure gestisce anche l'offload TLS/SSL e TLS end-to-end, che migliora la sicurezza e la crittografia del traffico Web. Inoltre, Frontdoor di Azure offre Web Application Firewall, affinità di sessione basata su cookie, routing basato sul percorso URL, certificati gratuiti e gestione di più domini e altro ancora. Per altre informazioni sulle caratteristiche e le funzionalità di Frontdoor di Azure, vedere Confronto tra livelli.

Frontdoor di Azure supporta HTTP, HTTPS e HTTP/2.

Frontdoor di Azure supporta il protocollo HTTP/2 per le connessioni client. Tuttavia, la comunicazione del pool back-end utilizza il protocollo HTTP/1.1. Il supporto HTTP/2 è attivo per impostazione predefinita.

No Attualmente, Frontdoor di Azure supporta solo HTTP/1.1 dal perimetro all'origine. Per il funzionamento di gRPC, è necessario HTTP/2.

È possibile reindirizzare i componenti host, percorso e stringa di query di un URL con Frontdoor di Azure. Per informazioni su come configurare il reindirizzamento URL, fare riferimento a Reindirizzamento URL.

Sì. Fare riferimento alla proprietà MatchedRulesSetName in Log di accesso.

Sì. Per altre informazioni, vedere Risposta di Microsoft agli attacchi DDoS contro HTTP/2.

Frontdoor di Azure supporta le intestazioni X-Forwarded-For, X-Forwarded-Host e X-Forwarded-Proto. Queste intestazioni consentono a Frontdoor di identificare l'indirizzo IP e il protocollo client originali. Se X-Forwarded-For è già presente, Frontdoor aggiunge l'indirizzo IP del socket client alla fine dell'elenco. In caso contrario, crea l'intestazione con l'IP del socket client come valore. Per X-Forwarded-Host e X-Forwarded-Proto, Frontdoor sostituisce i valori esistenti con i propri.

Per altre informazioni, vedere Intestazioni HTTP supportate da Frontdoor.

Per usare il livello Standard o (classico) di Frontdoor di Azure, è necessario un indirizzo IP pubblico o un nome DNS che può essere risolto pubblicamente. Questo requisito di un indirizzo IP pubblico o di un nome DNS che può essere risolto pubblicamente consente a Frontdoor di Azure di instradare il traffico alle risorse back-end. È possibile usare le risorse di Azure come gateway applicazione o Azure Load Balancer per instradare il traffico alle risorse in una rete virtuale. Se si usa il livello Premium di Frontdoor, è possibile usare Collegamento privato per connettersi alle origini dietro un servizio di bilanciamento del carico interno con un endpoint privato. Per altre informazioni, vedere Proteggere le origini con collegamento privato.

Il gateway applicazione dietro Frontdoor è utile in queste situazioni:

• Si vuole bilanciare il traffico non solo a livello globale, ma anche all'interno della rete virtuale. Frontdoor può eseguire solo il bilanciamento del carico basato sul percorso a livello globale, ma il gateway applicazione può eseguire questa operazione all'interno della rete virtuale.
• È necessario lo svuotamento delle connessioni, che Frontdoor non supporta. Il gateway applicazione può abilitare lo svuotamento delle connessioni per le macchine virtuali o i contenitori.
• Si vuole eseguire l'offload di tutta l'elaborazione TLS/SSL e usare solo le richieste HTTP nella rete virtuale. Il gateway applicazione dietro Frontdoor può ottenere questa configurazione.
• Si desidera utilizzare l'affinità di sessione sia a livello regionale che a livello di server. Frontdoor può inviare il traffico da una sessione utente allo stesso back-end in un'area, ma il gateway applicazione può inviarlo allo stesso server nel back-end.

Il concatenamento di due CDN non è generalmente un approccio consigliato, funzionerebbe ma comporta i seguenti svantaggi

1. L'accelerazione dell'ultimo miglio di CDN utilizza il mantenimento del flusso di connessione con l'origine e la ricerca di un percorso ottimale verso l'origine per ottenere i migliori risultati. Il concatenamento di due CDN in genere nega alcuni dei vantaggi dell'accelerazione dell'ultimo miglio.
2. I controlli di sicurezza diventano meno efficaci nella seconda CDN. Qualsiasi ACL basato su IP client non funzionerà nella seconda CDN poiché la seconda CDN vedrà il nodo di uscita della prima CDN come IP client. Il payload del contenuto verrà comunque ispezionato.
3. Molte organizzazioni non sono in grado di gestire la complessità della risoluzione dei problemi di due CDN concatenate e quando si verifica un problema diventa difficile capire quale CDN sta riscontrando il problema.

Per usare Frontdoor di Azure, è necessario disporre di un indirizzo VIP pubblico o di un nome DNS accessibile pubblicamente. Frontdoor di Azure usa l'indirizzo IP pubblico per instradare il traffico all'origine. Uno scenario comune consiste nel distribuire un Azure Load Balancer dietro Frontdoor. È anche possibile usare Collegamento privato con Frontdoor di Azure Premium per connettersi a un servizio di bilanciamento del carico interno. Per altre informazioni, vedere abilitare il collegamento privato con il servizio di bilanciamento del carico interno.

Frontdoor di Azure e la rete CDN di Azure sono due servizi che offrono una distribuzione Web rapida e affidabile per le applicazioni. Tuttavia, non sono compatibili tra loro, perché condividono la stessa rete di siti perimetrali di Azure per distribuire contenuti agli utenti. Questa rete condivisa causa conflitti tra i criteri di routing e di memorizzazione nella cache. Pertanto, è necessario scegliere Frontdoor di Azure o la rete CDN di Azure per l'applicazione, a seconda dei requisiti di prestazioni e sicurezza.

Il fatto che entrambi i profili/endpoint usino lo stesso POP perimetrale di Azure per gestire le richieste in ingresso causa una limitazione che impedisce di annidare un profilo/endpoint di Frontdoor di Azure dietro un altro. Questa configurazione causerebbe conflitti di routing e problemi di prestazioni. Pertanto, è necessario assicurarsi che i profili/endpoint di Frontdoor di Azure non siano concatenati insieme, se è necessario usare più profili/endpoint per le applicazioni.

L'indirizzo IP dell'anycast front-end della frontdoor è fisso e potrebbe non cambiare finché si usa la frontdoor. Tuttavia, l'indirizzo IP fisso del front-end anycast di Frontdoor non è una garanzia. Evita di fare affidamento direttamente sull'IP. Per rimanere informati e intraprendere le azioni appropriate durante eventuali modifiche agli indirizzi IP, sviluppa l'automazione per recuperare regolarmente gli indirizzi IP più recenti utilizzando l'API Service Tag Discovery o il file JSON.

Frontdoor di Azure è un servizio dinamico che instrada il traffico al back-end migliore disponibile. Al momento non offre IP anycast frontend statici o dedicati.

Frontdoor di Azure usa tre tag di servizio per gestire il traffico tra i client e le origini:

• Il tag del servizio AzureFrontDoor.Backend contiene gli indirizzi IP usati da Frontdoor per accedere alle origini. È possibile applicare questo tag del servizio quando si configura la sicurezza per le origini.
• Il tag del servizio AzureFrontDoor.Frontend contiene gli indirizzi IP usati dai client per raggiungere Frontdoor. È possibile applicare il tag di AzureFrontDoor.Frontend servizio quando si vuole controllare il traffico in uscita che può connettersi ai servizi dietro Frontdoor di Azure.
• Il tag di servizio AzureFrontDoor.FirstParty è riservato a un gruppo selezionato di servizi Microsoft ospitati in Frontdoor di Azure.

Per altre informazioni sugli scenari dei tag di servizio di Frontdoor di Azure, vedere Tag di servizio disponibili. Per rimanere informati e intraprendere le azioni appropriate durante eventuali modifiche agli indirizzi IP, sviluppa l'automazione per recuperare regolarmente gli indirizzi IP più recenti utilizzando l'API Service Tag Discovery o il file JSON.

Un gruppo di origine è una raccolta di origini in grado di gestire tipi di richieste simili. È necessario un gruppo di origine diverso per ogni applicazione o carico di lavoro diverso.

In un gruppo di origine, si crea un'origine per ogni server o servizio in grado di gestire le richieste. Se l'origine ha un servizio di bilanciamento del carico, ad esempio il gateway applicazione di Azure, o è ospitata in un PaaS con un servizio di bilanciamento del carico, il gruppo di origine ha una sola origine. L'origine si occupa del failover e del bilanciamento del carico tra le origini che Frontdoor non vede.

Ad esempio, se si ospita un'applicazione nel servizio app di Azure, la modalità di configurazione di Frontdoor dipende dal numero di istanze dell'applicazione disponibili:

• Distribuzione in una singola area: creare un gruppo di origine. In tale gruppo di origine creare un'origine per l'app del servizio app. L'app del servizio app potrebbe aumentare il numero di istanze tra i ruoli di lavoro, ma Frontdoor vede un'origine.
• Distribuzione attiva/passiva in più aree: creare un gruppo di origine. In tale gruppo di origine creare un'origine per ogni app del servizio app. Impostare la priorità di ogni origine in modo che l'applicazione principale abbia una priorità più alta rispetto all'applicazione di backup.
• Distribuzione attiva/attiva in più aree: creare un gruppo di origine. In tale gruppo di origine creare un'origine per ogni app del servizio app. Imposta la priorità di ogni origine in modo che sia la stessa. Imposta il peso di ogni origine per controllare il numero di richieste inviate a tale origine.

Per altre informazioni, vedere Origini e gruppi di origine in Frontdoor di Azure.

Frontdoor di Azure è un servizio che offre una distribuzione Web rapida e affidabile per le applicazioni. Offre funzionalità come la memorizzazione nella cache, il bilanciamento del carico, la sicurezza e il routing. Tuttavia, è necessario tenere presenti alcuni timeout e limiti che si applicano a Frontdoor di Azure. Questi timeout e limiti includono la dimensione massima della richiesta, la dimensione massima della risposta, la dimensione massima dell'intestazione, il numero massimo di intestazioni, il numero massimo di regole e il numero massimo di gruppi di origine. Per informazioni dettagliate su questi timeout e limiti, vedere la documentazione di Frontdoor di Azure.

Gli aggiornamenti della configurazione per la maggior parte dei set di regole vengono eseguiti in meno di 20 minuti. La regola verrà applicata subito dopo il termine dell'aggiornamento.

Frontdoor di Azure ha un timeout di 5 secondi per la ricezione delle intestazioni dal client. La connessione viene terminata se il client non invia intestazioni entro 5 secondi a Frontdoor di Azure dopo aver stabilito la connessione TCP/TLS. Il valore di questo timeout non può essere configurato.

Frontdoor di Azure ha un timeout keep-alive HTTP di 90 secondi. La connessione viene terminata se il client non invia dati per 90 secondi, ovvero il timeout keep-alive HTTP per Frontdoor di Azure. Il valore di questo timeout non può essere configurato.

Non è possibile usare gli stessi domini per più di un endpoint di Frontdoor, perché Frontdoor deve distinguere la route (combinazione di protocollo + host + percorso) per ogni richiesta. Se sono presenti route duplicate tra endpoint diversi, Frontdoor di Azure non è in grado di elaborare correttamente le richieste.

Al momento, non offriamo la possibilità di spostare i domini da un endpoint all'altro senza alcuna interruzione del servizio. È necessario pianificare alcuni tempi di inattività se si desidera eseguire la migrazione dei domini a un endpoint diverso.

La funzionalità di collegamento privato di Frontdoor di Azure è indipendente dall'area e funzionerà anche se si sceglie un'area diversa dall'area in cui si trova l'origine. In questi casi, per garantire una latenza inferiore, è consigliabile selezionare sempre un'area di Azure più vicina all'origine quando si sceglie di abilitare l'endpoint di collegamento privato Frontdoor di Azure. Stiamo per consentire il sostegno ad altre regioni. Una volta supportata una nuova regione, puoi seguire queste istruzioni per spostare gradualmente il traffico verso la nuova regione.

Frontdoor di Azure è una piattaforma che distribuisce il traffico in tutto il mondo e può essere ridimensionata per soddisfare le esigenze dell'applicazione. Usa il perimetro della rete globale di Microsoft per offrire funzionalità di bilanciamento del carico globale che consente di passare l'intera applicazione o microservizi specifici a diverse aree o cloud in caso di errore.

Per evitare errori durante la consegna di file di grandi dimensioni, assicurarsi che il server di origine includa l'intestazione Content-Range nella risposta e che il valore dell'intestazione corrisponda alle dimensioni effettive del corpo della risposta.

Per altre informazioni su come configurare l'origine e la frontdoor per il recapito di file di grandi dimensioni, vedere Recapito di file di grandi dimensioni.

Il domain fronting è una tecnica di rete che consente a un utente malintenzionato di nascondere la destinazione effettiva di una richiesta dannosa utilizzando un nome di dominio diverso nell'handshake TLS e nell'intestazione host HTTP.

Le risorse Frontdoor di Azure (livello Standard, Premium e classico) o Azure CDN Standard di Microsoft (versione classica) create dopo l'8 novembre 2022 hanno abilitato il blocco del fronting del dominio. Anziché bloccare una richiesta con intestazioni SNI e host non corrispondenti, consentiamo la discrepanza se i due domini appartengono alla stessa sottoscrizione e sono inclusi nelle rotte/regole di routing. L'applicazione del blocco del fronte dei domini inizierà il 22 gennaio 2024 per tutti i domini esistenti. L'applicazione può richiedere fino a due settimane per propagarsi a tutte le regioni.

Quando Frontdoor blocca una richiesta a causa di una mancata corrispondenza:

• Il client riceve una risposta con codice di errore HTTP 421 Misdirected Request .
• Frontdoor di Azure registra il blocco nei log di diagnostica nella proprietà Error Info con il valore SSLMismatchedSNI.

Per altre informazioni sul fronting del dominio, vedere Protezione dell'approccio al fronting del dominio all'interno di Azure e Proibizione del fronting del dominio in Frontdoor di Azure e Azure CDN Standard di Microsoft (versione classica).

Frontdoor usa TLS 1.2 come versione minima per tutti i profili creati dopo settembre 2019.

È possibile scegliere di usare TLS 1.2 o 1.3 con Frontdoor di Azure. Per altre informazioni, leggere l'articolo TLS end-to-end di Frontdoor di Azure .

Le risorse frontdoor di Azure non possono essere disabilitate. Possono essere eliminati solo. I contatori variabili come il trasferimento dei dati in uscita, il trasferimento dei dati in e le richieste non vengono addebitati quando non è presente traffico, ma viene addebitata una tariffa di base anche se non è presente traffico. La tariffa di base verrà addebitata fino all'eliminazione del profilo. Per AFD Classic, i criteri e le regole WAF vengono addebitati indipendentemente dal relativo stato. Anche se si disabilita un criterio o una regola WAF, i costi sono comunque necessari.

No

No

AFD non supporta la compressione dinamica per contenuti superiori a 8 MB. Tuttavia, se il contenuto è già stato compresso dall'origine, Frontdoor supporta la gestione di contenuto compresso statico superiore a 8 MB, purché la richiesta di intervallo sia supportata e la codifica di trasferimento in blocchi non sia abilitata.

No

Per informazioni sui log e altre funzionalità di diagnostica, vedere Monitoraggio delle metriche e dei log per Frontdoor.

È possibile archiviare i log di diagnostica nel proprio account di archiviazione e scegliere per quanto tempo conservarli. In alternativa, i log di diagnostica possono essere inviati a Hub eventi o ai log di Monitoraggio di Azure. Per altre informazioni, vedere Diagnostica in Frontdoor di Azure.

Per accedere ai log di controllo di Frontdoor di Azure, è necessario visitare il portale. Selezionare Frontdoor dalla pagina del menu e selezionare Log attività. Il log attività fornisce i record delle operazioni di Frontdoor di Azure.

È possibile configurare gli avvisi per Frontdoor di Azure in base alle metriche o ai log. In questo modo, è possibile monitorare le prestazioni e l'integrità degli host front-end.

Per informazioni su come creare avvisi per Frontdoor di Azure Standard e Premium, vedere Configurare gli avvisi.

Contenuto correlato

• Informazioni su come creare un profilo Frontdoor di Azure.
• Informazioni sull'architettura di Frontdoor di Azure.