Procedure consigliate per Frontdoor
Questo articolo riepiloga le procedure consigliate per l'uso di Frontdoor di Azure.
Procedure consigliate generali
Comprendere quando combinare Gestione traffico e Frontdoor
Per la maggior parte delle soluzioni, è consigliabile usare Frontdoor o Gestione traffico di Azure, ma non entrambi. Gestione traffico di Azure è un servizio di bilanciamento del carico basato su DNS. Invia il traffico direttamente agli endpoint dell'origine. Al contrario, Frontdoor di Azure termina le connessioni a punti di presenza (PoP) vicino al client e stabilisce connessioni separate di lunga durata alle origini. I prodotti funzionano in modo diverso e sono destinati a casi d'uso diversi.
Se è necessaria la memorizzazione nella cache e la distribuzione di contenuti (CDN), la terminazione TLS, le funzionalità di routing avanzate o un web application firewall (WAF), è consigliabile usare Frontdoor. Per un semplice bilanciamento del carico globale con connessioni dirette dal client agli endpoint, è consigliabile usare Gestione traffico. Per altre informazioni sulla selezione di un'opzione di bilanciamento del carico, vedere Opzioni di bilanciamento del carico.
Tuttavia, come parte di un'architettura complessa che richiede disponibilità elevata, è possibile inserire un Gestione traffico di Azure davanti a una frontdoor di Azure. Nel caso improbabile che Frontdoor di Azure non sia disponibile, Gestione traffico di Azure può instradare il traffico a una destinazione alternativa, ad esempio app Azure lication Gateway o una rete cdn (Content Delivery Network).
Importante
Non inserire Gestione traffico di Azure dietro Frontdoor di Azure. Gestione traffico di Azure devono essere sempre davanti a Frontdoor di Azure.
Limitare il traffico alle origini
Le funzionalità di Frontdoor funzionano meglio quando il traffico passa solo attraverso Frontdoor. È consigliabile configurare l'origine per bloccare il traffico che non è stato inviato tramite Frontdoor. Per altre informazioni, vedere Proteggere il traffico verso le origini di Frontdoor di Azure.
Usare la versione più recente dell'API e dell'SDK
Quando si usa Frontdoor usando API, modelli arm, Bicep o Azure SDK, è importante usare la versione più recente disponibile dell'API o dell'SDK. Gli aggiornamenti dell'API e dell'SDK si verificano quando sono disponibili nuove funzionalità e contengono anche importanti patch di sicurezza e correzioni di bug.
Configurare i log
Frontdoor tiene traccia di dati di telemetria estesi su ogni richiesta. Quando si abilita la memorizzazione nella cache, i server di origine potrebbero non ricevere tutte le richieste, quindi è importante usare i log di Frontdoor per comprendere come viene eseguita la soluzione e rispondere ai client. Per altre informazioni sulle metriche e i log registrati da Frontdoor di Azure, vedere Monitorare metriche e log in Frontdoor di Azure e log WAF.
Per configurare la registrazione per un'applicazione personalizzata, vedere Configurare i log di Frontdoor di Azure
Procedure consigliate per TLS
Usare TLS end-to-end
Frontdoor termina le connessioni TCP e TLS dai client. Stabilisce quindi nuove connessioni da ogni punto di presenza (PoP) all'origine. È consigliabile proteggere ognuna di queste connessioni con TLS, anche per le origini ospitate in Azure. Questo approccio garantisce che i dati vengano sempre crittografati durante il transito.
Per altre informazioni, vedere TLS end-to-end con Frontdoor di Azure.
Usare il reindirizzamento DA HTTP a HTTPS
È consigliabile che i client usino HTTPS per connettersi al servizio. Tuttavia, a volte è necessario accettare richieste HTTP per consentire client o client meno recenti che potrebbero non comprendere la procedura consigliata.
È possibile configurare Frontdoor per reindirizzare automaticamente le richieste HTTP per l'uso del protocollo HTTPS. È necessario abilitare l'impostazione Reindirizza tutto il traffico per l'uso di HTTPS nella route.
Usare i certificati TLS gestiti
Quando Frontdoor gestisce i certificati TLS, riduce i costi operativi e consente di evitare costose interruzioni causate dal dimenticare di rinnovare un certificato. Frontdoor genera automaticamente ed esegue la rotazione dei certificati TLS gestiti.
Per altre informazioni, vedere Configurare HTTPS in un dominio personalizzato di Frontdoor di Azure usando il portale di Azure.
Usare la versione più recente per i certificati gestiti dal cliente
Se si decide di usare i propri certificati TLS, è consigliabile impostare la versione del certificato di Key Vault su 'Latest'. Usando 'Latest', evitare di dover riconfigurare Frontdoor per usare nuove versioni del certificato e attendere che il certificato venga distribuito negli ambienti di Frontdoor.
Per altre informazioni, vedere Selezionare il certificato per Frontdoor di Azure da distribuire.
Procedure consigliate per il nome di dominio
Usare lo stesso nome di dominio in Frontdoor e l'origine
Frontdoor può riscrivere l'intestazione Host
delle richieste in ingresso. Questa funzionalità può essere utile quando si gestisce un set di nomi di dominio personalizzati rivolti ai clienti che instradano a una singola origine. Questa funzionalità può essere utile anche quando si desidera evitare di configurare nomi di dominio personalizzati in Frontdoor e all'origine. Tuttavia, quando si riscrive l'intestazione Host
, è possibile che i cookie e i reindirizzamenti url vengano interrotti. In particolare, quando si usano piattaforme come app Azure Service, le funzionalità come l'affinità di sessione e l'autenticazione e l'autorizzazione potrebbero non funzionare correttamente.
Prima di riscrivere l'intestazione Host
delle richieste, valutare attentamente se l'applicazione funzionerà correttamente.
Per altre informazioni, vedere Mantenere il nome host HTTP originale tra un proxy inverso e l'applicazione Web back-end.
Web application firewall (WAF)
Abilitare WAF
Per le applicazioni con connessione Internet, è consigliabile abilitare frontdoor web application firewall (WAF) e configurarlo per l'uso delle regole gestite. Quando si usano un WAF e regole gestite da Microsoft, l'applicazione è protetta da un'ampia gamma di attacchi.
Per altre informazioni, vedere Web Application Firewall (WAF) in Frontdoor di Azure.
Seguire le procedure consigliate per WAF
WAF per Frontdoor ha un proprio set di procedure consigliate per la configurazione e l'uso. Per altre informazioni, vedere Procedure consigliate per Web Application Firewall in Frontdoor di Azure.
Procedure consigliate per i probe di integrità
Disabilitare i probe di integrità quando è presente una sola origine in un gruppo di origine
I probe di integrità di Frontdoor sono progettati per rilevare situazioni in cui un'origine non è disponibile o non integra. Quando un probe di integrità rileva un problema con un'origine, Frontdoor può essere configurato per inviare il traffico a un'altra origine nel gruppo di origine.
Se si ha un'unica origine, Frontdoor instrada sempre il traffico a tale origine anche se il probe di integrità segnala uno stato non integro. Lo stato del probe di integrità non esegue alcuna operazione per modificare il comportamento di Frontdoor. In questo scenario, i probe di integrità non offrono un vantaggio ed è consigliabile disabilitarli per ridurre il traffico nell'origine.
Per altre informazioni, vedere Probe di integrità.
Selezionare endpoint probe di integrità validi
Si consideri la posizione in cui si indica al probe di integrità di Frontdoor di monitorare. In genere è consigliabile monitorare una pagina Web o una posizione specificamente progettata per il monitoraggio dell'integrità. La logica dell'applicazione può considerare lo stato di tutti i componenti critici necessari per gestire il traffico di produzione, inclusi server applicazioni, database e cache. In questo modo, se un componente ha esito negativo, Frontdoor può instradare il traffico a un'altra istanza del servizio.
Per altre informazioni, vedere Modello di monitoraggio degli endpoint di integrità
Usare probe di integrità HEAD
I probe di integrità possono usare il metodo HTTP GET o HEAD. È consigliabile usare il metodo HEAD per i probe di integrità, riducendo così la quantità di carico del traffico sulle origini.
Per altre informazioni, vedere Metodi HTTP supportati per i probe di integrità.
Passaggi successivi
Informazioni su come creare un profilo frontdoor.