Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel vindt u een overzicht van de aanbevolen procedures voor het gebruik van Azure Front Door.
Algemene aanbevolen procedures
Inzicht in wanneer Traffic Manager en Front Door moeten worden gecombineerd
Voor de meeste oplossingen raden we het gebruik van Front Door ofAzure Traffic Manager aan, maar niet beide. Azure Traffic Manager is een load balancer op basis van DNS. Het verzendt verkeer rechtstreeks naar de eindpunten van uw oorsprong. Azure Front Door beëindigt daarentegen verbindingen bij points of presence (PoPs) in de buurt van de client en legt afzonderlijke langdurige verbindingen naar de bronnen vast. De producten werken anders en zijn bedoeld voor verschillende gebruiksvoorbeelden.
Als u caching en levering van inhoud (CDN), TLS-terminering, geavanceerde routeringsmogelijkheden of een webapplication firewall (WAF) nodig hebt, overweeg dan het gebruik van Front Door. Voor eenvoudige globale taakverdeling met directe verbindingen van uw client naar uw eindpunten kunt u Traffic Manager gebruiken. Zie Opties voor taakverdeling voor meer informatie over het selecteren van een taakverdelingsoptie.
Als onderdeel van een complexe architectuur waarvoor hoge beschikbaarheid is vereist, kunt u azure Traffic Manager echter vóór een Azure Front Door plaatsen. In het onwaarschijnlijke geval dat Azure Front Door niet beschikbaar is, kan Azure Traffic Manager vervolgens verkeer routeren naar een alternatieve bestemming, zoals Azure-toepassing Gateway of een netwerk voor contentlevering van partners (CDN).
Belangrijk
Plaats Azure Traffic Manager niet achter Azure Front Door. Azure Traffic Managers moeten altijd voor Azure Front Door staan.
Verkeer naar uw oorsprong beperken
De functies van Front Door werken het beste wanneer verkeer alleen door Front Door stroomt. U moet uw oorsprong configureren om verkeer te blokkeren dat niet via Front Door is verzonden. Zie Verkeer beveiligen naar Azure Front Door-origins voor meer informatie.
De nieuwste API-versie en SDK-versie gebruiken
Wanneer u met Front Door werkt met behulp van API's, ARM-sjablonen, Bicep of Azure SDK's, is het belangrijk dat u de nieuwste beschikbare API- of SDK-versie gebruikt. API- en SDK-updates treden op wanneer er nieuwe functionaliteit beschikbaar is en bevatten ook belangrijke beveiligingspatches en oplossingen voor fouten.
Logboeken configureren
Front Door houdt uitgebreide telemetrie bij over elke aanvraag. Wanneer u caching inschakelt, ontvangen uw oorspronkelijke servers mogelijk niet elke aanvraag, dus het is belangrijk dat u de Front Door-logboeken gebruikt om te begrijpen hoe uw oplossing wordt uitgevoerd en reageert op uw clients. Voor meer informatie over de metrische gegevens en logboeken die Azure Front Door vastlegt, zie Metrische gegevens en logboeken bewaken in Azure Front Door en WAF-logboeken.
Als u logboekregistratie voor uw eigen toepassing wilt configureren, kunt u Azure Front Door-logboeken configureren raadplegen.
Best practices voor TLS
End-to-end TLS gebruiken
Front Door beëindigt TCP- en TLS-verbindingen van clients. Vervolgens worden nieuwe verbindingen tot stand gebracht vanaf elk aanwezigheidspunt (PoP) naar de oorsprong. Het is een goede gewoonte om elk van deze verbindingen te beveiligen met TLS, zelfs voor origins die worden gehost in Azure. Deze aanpak zorgt ervoor dat uw gegevens altijd tijdens de overdracht worden versleuteld.
Zie End-to-end TLS met Azure Front Door voor meer informatie.
HTTP naar HTTPS-omleiding gebruiken
Het is een goede gewoonte voor clients om HTTPS te gebruiken om verbinding te maken met uw service. Soms moet u echter HTTP-aanvragen accepteren om oudere clients of clients toe te staan die de aanbevolen procedure mogelijk niet begrijpen.
U kunt Front Door zo configureren dat HTTP-aanvragen automatisch worden omgeleid om het HTTPS-protocol te gebruiken. U moet de instelling Alle verkeer omleiden naar HTTPS inschakelen op uw route.
Beheerde TLS-certificaten gebruiken
Wanneer Front Door uw TLS-certificaten beheert, worden uw operationele kosten verlaagd en kunt u kostbare storingen voorkomen die worden veroorzaakt door het vergeten een certificaat te vernieuwen. Front Door geeft en roteert automatisch de beheerde TLS-certificaten.
Zie HTTPS configureren in een aangepast Azure Front Door-domein met behulp van Azure Portal voor meer informatie.
De nieuwste versie gebruiken voor door de klant beheerde certificaten
Als u besluit uw eigen TLS-certificaten te gebruiken, kunt u overwegen om de Key Vault-certificaatversie in te stellen op 'Nieuwste'. Door 'Nieuwste' te gebruiken, hoeft u Front Door niet opnieuw te configureren om nieuwe versies van uw certificaat te gebruiken en te wachten totdat het certificaat in de omgevingen van Front Door wordt geïmplementeerd.
Zie Het certificaat voor Azure Front Door selecteren om te implementeren voor meer informatie.
Beste praktijken voor domeinnamen
Aangepaste domeinen gebruiken
Gebruik aangepaste domeinen voor uw Front Door-eindpunten om een betere beschikbaarheid en flexibiliteit te garanderen bij het beheren van uw domeinen en verkeer. AfD-opgegeven domeinen (zoals *.azurefd.z01.net) in uw clients/codebases/firewall niet hardcoderen. Gebruik aangepaste domeinen voor dergelijke scenario's.
Gebruik dezelfde domeinnaam voor Front Door en uw oorsprong
Front Door kan de Host header van binnenkomende aanvragen opnieuw schrijven. Deze functie kan handig zijn wanneer u een set klantgerichte aangepaste domeinnamen beheert die naar één oorsprong worden gerouteerd. Deze functie kan ook helpen wanneer u wilt voorkomen dat aangepaste domeinnamen in Front Door en bij uw oorsprong worden geconfigureerd. Wanneer u de Host header echter herschrijft, kunnen cookies en URL-omleidingen worden verbroken. Met name wanneer u platforms zoals Azure-app Service gebruikt, werken functies zoals sessieaffiniteit en verificatie en autorisatie mogelijk niet correct.
Voordat u de Host header van uw aanvragen herschrijft, moet u zorgvuldig overwegen of uw toepassing correct werkt.
Zie De oorspronkelijke HTTP-hostnaam behouden tussen een omgekeerde proxy en de bijbehorende back-endwebtoepassing voor meer informatie.
Web Application Firewall (WAF)
De WAF inschakelen
Voor internetgerichte toepassingen wordt u aangeraden de Front Door Web Application Firewall (WAF) in te schakelen en deze te configureren voor het gebruik van beheerde regels. Wanneer u een door WAF en Door Microsoft beheerde regels gebruikt, wordt uw toepassing beschermd tegen een breed scala aan aanvallen.
Zie Web Application Firewall (WAF) in Azure Front Door voor meer informatie.
Volg de beste praktijken voor WAF
De WAF voor Front Door heeft een eigen set aanbevolen procedures voor de configuratie en het gebruik ervan. Zie Best practices voor Web Application Firewall in Azure Front Door voor meer informatie.
Best practices voor gezondheidscontrole
Gezondheidstests uitschakelen wanneer er slechts één origine in een oorsprongsgroep is
De statustests van Front Door zijn ontworpen om situaties te detecteren waarin een bron niet beschikbaar of ongezond is. Wanneer een statustest een probleem met een oorsprong detecteert, kan Front Door worden geconfigureerd voor het verzenden van verkeer naar een andere oorsprong in de oorspronkelijke groep.
Als u slechts één origine hebt, stuurt Front Door altijd verkeer naar die origine, zelfs als de gezondheidstest een ongezonde status rapporteert. De status van de gezondheidscontrole beïnvloedt het gedrag van Front Door niet. In dit scenario bieden gezondheidsprobes geen voordeel en moet u deze uitschakelen om het verkeer op uw bronserver te verminderen.
Zie Gezondheidsonderzoeken voor meer informatie.
Selecteer goede gezondheidstesteindpunten
Let op de locatie die u aangeeft voor de monitoring door de statustest van Front Door. Het is meestal een goed idee om een webpagina of locatie te monitoren die speciaal ontworpen is voor gezondheidsmonitoring. Uw toepassingslogica kan rekening houden met de status van alle essentiële onderdelen die nodig zijn voor productieverkeer, waaronder toepassingsservers, databases en caches. Als er een onderdeel uitvalt, kan Front Door uw verkeer doorsturen naar een ander exemplaar van uw service.
Zie voor meer informatie het patroon Gezondheidseindpuntbewaking.
HEAD-statustests gebruiken
Gezondheidstesten kunnen gebruikmaken van de GET- of HEAD HTTP-methode. Het is een goede gewoonte om de HEAD-methode te gebruiken voor statustests, waardoor de verkeersbelasting naar uw bronnen wordt verminderd.
Zie Ondersteunde HTTP-methoden voor statustests voor meer informatie.