Domande frequenti su Frontdoor di Azure

Frontdoor di Azure è un servizio basato sul cloud che offre le applicazioni in modo più rapido e affidabile. Usa il bilanciamento del carico di livello 7 per distribuire il traffico tra più aree ed endpoint. Offre anche la funzione DSA (Dynamic Site Acceleration) per ottimizzare le prestazioni Web e il failover near real-time per garantire la disponibilità elevata. Frontdoor di Azure è un servizio completamente gestito, quindi non è necessario occuparsi del ridimensionamento o della manutenzione.

Frontdoor di Azure è un servizio che offre molti vantaggi per le applicazioni Web, ad esempio DSA (Dynamic Site Acceleration), che migliora le prestazioni e l'esperienza utente dei siti. Frontdoor di Azure gestisce inoltre l'offload TLS/SSL e TLS end-to-end, migliorando la sicurezza e la crittografia del traffico Web. Frontdoor di Azure offre anche WAF (Web Application Firewall), affinità di sessione basata su cookie, routing basato sul percorso URL, certificati gratuiti, gestioni di più domini e altro. Per altre informazioni sulle funzionalità e sulle caratteristiche di Frontdoor di Azure, vedere il confronto tra livelli.

Frontdoor di Azure e Gateway applicazione di Azure sono entrambi servizi di bilanciamento del carico per il traffico HTTP/HTTPS, ma hanno ambiti diversi. Frontdoor è un servizio globale in grado di distribuire le richieste tra aree, mentre Gateway applicazione è un servizio a livello di area in grado di bilanciare le richieste all'interno di un'area. Frontdoor di Azure funziona con unità di scala, cluster o unità stamp, mentre Gateway applicazione di Azure funziona con macchine virtuali, contenitori o altre risorse nella stessa unità di scala.

Gateway applicazione dietro Frontdoor è utile in queste situazioni:

• Si desidera bilanciare il traffico non solo a livello globale, ma anche all'interno della rete virtuale. Frontdoor può eseguire solo il bilanciamento del carico basato sul percorso a livello globale, ma con Gateway applicazione è possibile anche all'interno della rete virtuale.
• È necessario lo svuotamento della connessione, non supportato da Frontdoor. Gateway applicazione può abilitare lo svuotamento della connessione per macchine virtuali o contenitori.
• Si desidera eseguire l'offload di tutta l'elaborazione TLS/SSL e usare le richieste HTTP solo nella propria rete virtuale. Con Gateway applicazione dietro Frontdoor è possibile ottenere questa configurazione.
• Si desidera usare l'affinità di sessione sia a livello di area che a livello di server. Frontdoor può inviare il traffico da una sessione utente allo stesso back-end in un'area, ma il gateway applicazione può inviarlo allo stesso server nel back-end.

Per usare Frontdoor di Azure, è necessario avere un indirizzo VIP pubblico o un nome DNS accessibile pubblicamente. Frontdoor di Azure usa l'indirizzo IP pubblico per instradare il traffico all'origine. Uno scenario comune è costituito dalla distribuzione di Azure Load Balancer dietro Frontdoor. È anche possibile usare il collegamento privato con Frontdoor di Azure Premium per connettersi a un servizio di bilanciamento del carico interno. Per altre informazioni, vedere abilitare il collegamento privato con il bilanciamento del carico interno.

Frontdoor di Azure supporta i protocolli HTTP, HTTPS e HTTP/2.

Frontdoor di Azure supporta il protocollo HTTP/2 per le connessioni client. La comunicazione del pool back-end, tuttavia, usa il protocollo HTTP/1.1. Il supporto per il protocollo HTTP/2 è attivo per impostazione predefinita.

È possibile usare diversi tipi di origini per Frontdoor di Azure, ad esempio:

• Archiviazione (BLOB di Azure, Classic, siti Web statici)
• Servizio cloud
• Servizio app
• App Web statica
• Gestione API
• Gateway applicazione
• Indirizzo IP pubblico
• Azure Spring Apps
• Istanze di contenitore
• App contenitore
• Qualunque nome host personalizzato con accesso pubblico.

L'origine deve avere un indirizzo IP pubblico o un nome host DNS risolvibile pubblicamente. È possibile combinare e associare back-end di zone e aree diverse o persino all'esterno di Azure, purché siano accessibili pubblicamente.

Frontdoor di Azure non è limitato ad alcuna area di Azure, ma opera a livello globale. L'unica posizione che è necessario scegliere quando si crea un Frontdoor è la posizione del gruppo di risorse, che determina dove vengono archiviati i metadati del gruppo di risorse. Il profilo Frontdoor è una risorsa globale e la relativa configurazione viene distribuita in tutte le posizioni perimetrali in tutto il mondo.

Per l'elenco completo dei punti di presenza (POP) che forniscono il bilanciamento del carico globale e la consegna di contenuti per Frontdoor di Azure, vedere Posizioni POP di Frontdoor di Azure. Questo elenco viene aggiornato regolarmente mano a mano che vengono aggiunti o rimossi nuovi POP. È anche possibile usare l'API di Azure Resource Manager per eseguire query sull'elenco corrente di POP a livello di codice.

Frontdoor di Azure è un servizio che distribuisce un'applicazione a livello globale in più aree. Usa un'infrastruttura comune che viene condivisa da tutti i clienti, ma è possibile personalizzare il proprio profilo Frontdoor per configurare i requisiti specifici della propria applicazione. Le configurazioni di altri clienti non possono influire sulla propria configurazione di Frontdoor, che è isolata dalle loro.

È possibile reindirizzare componenti host, percorso e stringa di query di un URL con Frontdoor di Azure. Per informazioni su come configurare il reindirizzamento URL, fare riferimento a Reindirizzamento URL.

Frontdoor non ordina i percorsi per l'applicazione Web. Sceglie, invece, il percorso più adatto alla richiesta. Per informazioni su come Frontdoor abbina le richieste ai percorsi, vedere Modalità di corrispondenza delle richieste con una regola di gestione.

Per garantire prestazioni ottimali delle funzionalità di Frontdoor, è consigliabile consentire solo al traffico proveniente da Frontdoor di Azure di raggiungere l'origine. Di conseguenza, le richieste non autorizzate o dannose incontrano i criteri di sicurezza e routing di Frontdoor e viene loro negato l'accesso. Per informazioni su come proteggere l'origine, vedere Proteggere il traffico verso le origini di Frontdoor di Azure.

L'indirizzo IP dell'anycast front-end di Frontdoor è fisso e potrebbe non cambiare finché si usa Frontdoor. Tuttavia, l'indirizzo IP fisso dell’aycast front-end di Frontdoor non è una garanzia. Evitare di basarsi direttamente sull'IP.

Frontdoor di Azure è un servizio dinamico che indirizza il traffico al back-end migliore disponibile. Al momento non offre indirizzi IP front-end statici o dedicati.

Sì. Fare riferimento alla proprietà MatchedRulesSetName in Accedere ai log.

Sì. Per altre informazioni, vedere Risposta di Microsoft agli attacchi DDoS contro HTTP/2.

Frontdoor di Azure supporta le intestazioni X-Forwarded-For, X-Forwarded-Host e X-Forwarded-Proto. Queste intestazioni consentono a Frontdoor di identificare il protocollo e l'IP client originali. Se X-Forwarded-For è già presente, Frontdoor aggiunge l'indirizzo IP del socket client alla fine dell'elenco. In caso contrario, crea l'intestazione con l'indirizzo IP del socket client come valore. Per X-Forwarded-Host e X-Forwarded-Proto, Frontdoor sostituisce i valori esistenti con i propri.

Per altre informazioni, vedere Intestazioni HTTP supportate da Frontdoor.

Il tempo di distribuzione per le nuove configurazioni di Frontdoor varia a seconda del tipo di modifica. In genere, sono necessari dai 3 ai 20 minuti perché le modifiche vengano propagate a tutte le nostre posizioni perimetrali in tutto il mondo.

Gli aggiornamenti ai percorsi o ai gruppi di origine/pool back-end sono facili e non causano tempi di inattività (presupponendo che la nuova configurazione sia corretta). Anche gli aggiornamenti dei certificati vengono eseguiti in modo atomico, quindi non esiste alcun rischio di interruzione.

No. Attualmente Frontdoor di Azure supporta solo HTTP/1.1 dal perimetro all'origine. Per il funzionamento di gRPC, è necessario HTTP/2.

Per usare il livello Frontdoor di Azure Standard, Premium o (classic), è necessario un indirizzo IP pubblico o un nome DNS che può essere risolto pubblicamente. Questo requisito di un indirizzo IP pubblico o di un nome DNS che può essere risolto pubblicamente consente a Frontdoor di Azure di instradare il traffico alle risorse back-end. È possibile usare risorse di Azure come gateway applicazione o servizi di bilanciamento del carico di Azure per instradare il traffico alle risorse in una rete virtuale. Se si usa il livello Premium di Frontdoor, è possibile usare Collegamento privato di Azure per connettersi alle origini dietro un servizio di bilanciamento del carico interno con un endpoint privato. Per altre informazioni, vedere Origini sicure con Collegamento privato di Azure.

Un gruppo di origine è una raccolta di origini in grado di gestire tipi simili di richieste. È necessario un gruppo di origine diverso per ogni applicazione o carico di lavoro diverso.

In un gruppo di origine si crea un'origine per ogni server o servizio in grado di gestire le richieste. Se l'origine ha un servizio di bilanciamento del carico, ad esempio Gateway applicazione di Azure, o è ospitato in una PaaS con un servizio di bilanciamento del carico, il gruppo di origine ha una sola origine. L'origine si occupa del failover e del bilanciamento del carico tra origini che Frontdoor non vede.

Ad esempio, se si ospita un'applicazione in Servizio app di Azure, il modo in cui si configura Frontdoor dipende dal numero di istanze dell'applicazione disponibili:

• Distribuzione in una singola area: creare un solo gruppo di origine. In tale gruppo di origine, creare una sola origine per l'app Servizio app di Azure. L'app Servizio app di Azure potrebbe aumentare il numero di ruoli di lavoro, ma Frontdoor vede una sola origine.
• Distribuzione attiva/passiva in più aree: creare un solo gruppo di origine. In tale gruppo di origine, creare un’origine per ogni app Servizio app di Azure. Impostare la priorità di ogni origine in modo che l'applicazione principale abbia una priorità più alta rispetto all'applicazione di backup.
• Distribuzione attiva/attiva in più aree: creare un solo gruppo di origine. In tale gruppo di origine, creare un’origine per ogni app Servizio app di Azure. Impostare la stessa priorità per ogni origine. Impostare il peso di ogni origine per controllare il numero di richieste inviate a tale origine.

Per altre informazioni, vedere Origini e gruppi di origine in Frontdoor di Azure.

Frontdoor di Azure è un servizio che offre una consegna Web veloce e affidabile per le applicazioni. Offre funzionalità come la memorizzazione nella cache, il bilanciamento del carico, la sicurezza e il routing. È necessario, tuttavia, tenere presenti alcuni timeout e limiti applicabili a Frontdoor di Azure. Questi timeout e limiti includono le dimensioni massime della richiesta, le dimensioni massime della risposta, le dimensioni massime dell'intestazione, il numero massimo di intestazioni, il numero massimo di regole e il numero massimo di gruppi di origine. È possibile trovare informazioni dettagliate su questi timeout e limiti nella Documentazione di Frontdoor di Azure.

Gli aggiornamenti della configurazione per la maggior parte dei set di regole vengono eseguiti in meno di 20 minuti. La regola verrà applicata immediatamente al termine dell'aggiornamento.

Frontdoor di Azure e Rete CDN di Azure sono due servizi che offrono la consegna Web veloce e affidabile per le applicazioni. Tuttavia, non sono compatibili tra loro perché condividono la stessa rete di siti perimetrali di Azure per recapitare il contenuto agli utenti. Questa rete condivisa causa conflitti tra i criteri di routing e di memorizzazione nella cache. È necessario, quindi, scegliere Frontdoor di Azure o Rete CDN di Azure per un'applicazione in base ai requisiti di prestazioni e sicurezza.

Il fatto che entrambi i profili usino gli stessi siti perimetrali di Azure per gestire le richieste in ingresso causa questa limitazione che impedisce di annidare un profilo Frontdoor di Azure dietro un altro. Questa configurazione causerebbe conflitti di routing e problemi di prestazioni. È necessario, quindi, accertarsi che i profili Frontdoor di Azure siano indipendenti e non concatenati se è necessario usare più profili per le applicazioni.

Frontdoor di Azure usa tre tag di servizio per gestire il traffico tra i client e le origini:

• Il tag del servizio AzureFrontDoor.Backend contiene gli indirizzi IP usati da Frontdoor di Azure per accedere alle origini. È possibile applicare questo tag del servizio quando si configura la sicurezza per le origini.
• Il tag del servizio AzureFrontDoor.Frontend contiene gli indirizzi IP usati dai client per raggiungere Frontdoor. È possibile applicare il tag del servizio AzureFrontDoor.Frontend quando si vuole controllare il traffico in uscita che può connettersi ai servizi dietro Frontdoor di Azure.
• AzureFrontDoor.FirstParty è un tag speciale riservato a un gruppo selezionato di servizi Microsoft ospitati in Frontdoor di Azure.

Per altre informazioni sugli scenari dei tag del servizio Frontdoor di Azure, vedere i tag del servizio disponibili.

Frontdoor di Azure ha un timeout di 5 secondi per la ricezione delle intestazioni dal client. La connessione termina se il client non invia intestazioni entro 5 secondi a Frontdoor di Azure dopo aver stabilito la connessione TCP/TLS. Il valore di questo timeout non può essere configurato.

Frontdoor di Azure ha un timeout keep-alive HTTP di 90 secondi. La connessione termina se il client non invia dati per 90 secondi, ovvero il timeout keep-alive HTTP per Frontdoor di Azure. Il valore di questo timeout non può essere configurato.

Non è possibile usare gli stessi domini per più di un endpoint Frontdoor perché Frontdoor deve distinguere il percorso (protocollo + host + combinazione percorso) per ogni richiesta. Se sono presenti percorsi duplicati tra endpoint diversi, Frontdoor di Azure non è in grado di elaborare correttamente le richieste.

Al momento, non è possibile spostare i domini da un endpoint a un altro senza interruzioni nel servizio. È necessario pianificare alcuni tempi di inattività se si vuole eseguire la migrazione dei domini a un endpoint diverso.

Frontdoor di Azure è una piattaforma che distribuisce il traffico in tutto il mondo e può adattarsi alle esigenze di ogni applicazione. Usa la rete perimetrale globale di Microsoft per offrire funzionalità di bilanciamento del carico globali che consentono di passare l'intera applicazione o specifici microservizi ad aree o cloud diversi in caso di errore.

Per evitare errori durante il recapito di file di grandi dimensioni, accertarsi che il server di origine includa l'intestazione Content-Range nella risposta e che il valore dell'intestazione corrisponda alle dimensioni effettive del corpo della risposta.

Per altre informazioni su come configurare l'origine e Frontdoor per il recapito di file di grandi dimensioni, vedere Recapito di file di grandi dimensioni.

Il fronting del dominio è una tecnica di rete che consente a un utente malintenzionato di nascondere la destinazione effettiva di una richiesta dannosa usando un nome di dominio diverso nell'handshake TLS e nell'intestazione host HTTP.

Frontdoor di Azure (livello Standard, Premium e Classic) o Rete CDN Standard di Azure delle risorse Microsoft (classic) create dopo l'8 novembre 2022 hanno il blocco del fronting del dominio abilitato. Invece di bloccare una richiesta con intestazioni SNI e host non corrispondenti, si consente la discrepanza se i due domini appartengono alla stessa sottoscrizione e sono inclusi nelle regole di gestione/percorsi. L'imposizione del blocco del fronting del dominio inizierà il 22 gennaio 2024 per tutti i domini esistenti. La propagazione dell'imposizione in tutte le aree può richiedere fino a due settimane.

Quando Frontdoor blocca una richiesta a causa di una mancata corrispondenza:

• Il client riceve una risposta con codice di errore HTTP 421 Misdirected Request.
• Frontdoor di Azure registra il blocco nei log di diagnostica nella proprietà Informazioni errore con il valore SSLMismatchedSNI.

Per altre informazioni sul fronting del dominio, vedere Protezione dell’approccio di Microsoft per il fronting del dominio in Azure e Divieto del fronting del dominio in Frontdoor di Azure e Rete CDN di Azure Standard da Microsoft (classic).

Frontdoor usa TLS 1.2 come versione minima per tutti i profili creati dopo settembre 2019.

È possibile scegliere di usare TLS 1.0, 1.1, 1.2 o 1.3 con Frontdoor di Azure. Per altre informazioni, vedere l'articolo TLS end-to-end con Frontdoor di Azure.

Frontdoor di Azure è un servizio che offre una consegna Web veloce e affidabile. Consente di definire il modo in cui il traffico Web viene instradato e ottimizzato in più aree ed endpoint. Le risorse di Frontdoor di Azure, ad esempio i profili Frontdoor e le regole di gestione, vengono addebitate solo quando sono abilitate. Tuttavia, i criteri e le regole WAF (Web Application Firewall) vengono addebitati indipendentemente dal relativo stato. Anche se si disabilita un criterio o una regola WAF, vengono comunque addebitati i costi.

Per informazioni sui log e altre funzionalità di diagnostica, vedere Monitoraggio di metriche e log in Frontdoor di Azure.

È possibile archiviare i log di diagnostica nel proprio account di archiviazione e scegliere per quanto tempo mantenerli. I log di diagnostica possono anche essere inviati al log di Monitoraggio di Azure o Hub eventi. Per altre informazioni, vedere Diagnostica in Frontdoor di Azure.

Per accedere ai log di controllo di Frontdoor di Azure, è necessario visitare il portale. Selezionare il proprio Frontdoor dalla pagina di menu e selezionare Log attività. Il log attività fornisce i record delle operazioni di Frontdoor di Azure.

È possibile configurare avvisi per Frontdoor di Azure in base a metriche o log. In questo modo, è possibile monitorare le prestazioni e l'integrità degli host front-end.

Per informazioni su come creare avvisi per Frontdoor Standard e Premium di Azure, vedere configurare avvisi.

Passaggi successivi

• Informazioni su come creare un profilo Frontdoor di Azure.
• Informazioni sull'architettura di Frontdoor di Azure.