Aanbevolen procedures voor Front Door
In dit artikel vindt u een overzicht van de aanbevolen procedures voor het gebruik van Azure Front Door.
Algemene aanbevolen procedures
Vermijd het combineren van Traffic Manager en Front Door
Voor de meeste oplossingen raden we het gebruik van Front Door ofAzure Traffic Manager aan, maar niet beide. Azure Traffic Manager is een load balancer op basis van DNS. Het verzendt verkeer rechtstreeks naar de eindpunten van uw oorsprong. Azure Front Door beëindigt daarentegen verbindingen op aanwezigheidspunten (PoPs) in de buurt van de client en brengt afzonderlijke langdurige verbindingen met de oorsprongen tot stand. De producten werken anders en zijn bedoeld voor verschillende gebruiksvoorbeelden.
Als u inhoudscaching en -levering (CDN) nodig hebt, kunt u TLS-beëindiging, geavanceerde routeringsmogelijkheden of een Web Application Firewall (WAF) gebruiken. Voor eenvoudige globale taakverdeling met directe verbindingen van uw client naar uw eindpunten kunt u Traffic Manager gebruiken. Zie Opties voor taakverdeling voor meer informatie over het selecteren van een taakverdelingsoptie.
Als onderdeel van een complexe architectuur waarvoor hoge beschikbaarheid is vereist, kunt u azure Traffic Manager echter vóór een Azure Front Door plaatsen. In het onwaarschijnlijke geval dat Azure Front Door niet beschikbaar is, kan Azure Traffic Manager vervolgens verkeer routeren naar een alternatieve bestemming, zoals Azure-toepassing Gateway of een netwerk voor contentlevering van partners (CDN).
Belangrijk
Plaats Azure Traffic Manager niet achter Azure Front Door. Azure Traffic Managers moeten altijd voor Azure Front Door staan.
Verkeer naar uw oorsprong beperken
De functies van Front Door werken het beste wanneer verkeer alleen door Front Door stroomt. U moet uw oorsprong configureren om verkeer te blokkeren dat niet via Front Door is verzonden. Zie Verkeer beveiligen naar Azure Front Door-origins voor meer informatie.
De nieuwste API-versie en SDK-versie gebruiken
Wanneer u met Front Door werkt met behulp van API's, ARM-sjablonen, Bicep of Azure SDK's, is het belangrijk dat u de nieuwste beschikbare API- of SDK-versie gebruikt. API- en SDK-updates treden op wanneer er nieuwe functionaliteit beschikbaar is en bevatten ook belangrijke beveiligingspatches en oplossingen voor fouten.
Logboeken configureren
Front Door houdt uitgebreide telemetrie bij over elke aanvraag. Wanneer u caching inschakelt, ontvangen uw oorspronkelijke servers mogelijk niet elke aanvraag, dus het is belangrijk dat u de Front Door-logboeken gebruikt om te begrijpen hoe uw oplossing wordt uitgevoerd en reageert op uw clients. Zie Metrische gegevens en logboeken bewaken in Azure Front Door- en WAF-logboeken voor meer informatie over de metrische gegevens en logboeken die door Azure Front Door worden vastgelegd.
Als u logboekregistratie voor uw eigen toepassing wilt configureren, raadpleegt u Azure Front Door-logboeken configureren
Best practices voor TLS
End-to-end TLS gebruiken
Front Door beëindigt TCP- en TLS-verbindingen van clients. Vervolgens worden nieuwe verbindingen tot stand gebracht vanaf elk aanwezigheidspunt (PoP) naar de oorsprong. Het is een goede gewoonte om elk van deze verbindingen te beveiligen met TLS, zelfs voor origins die worden gehost in Azure. Deze aanpak zorgt ervoor dat uw gegevens altijd tijdens de overdracht worden versleuteld.
Zie End-to-end TLS met Azure Front Door voor meer informatie.
HTTP naar HTTPS-omleiding gebruiken
Het is een goede gewoonte voor clients om HTTPS te gebruiken om verbinding te maken met uw service. Soms moet u echter HTTP-aanvragen accepteren om oudere clients of clients toe te staan die de aanbevolen procedure mogelijk niet begrijpen.
U kunt Front Door zo configureren dat HTTP-aanvragen automatisch worden omgeleid om het HTTPS-protocol te gebruiken. U moet alle verkeer omleiden inschakelen voor het gebruik van de HTTPS-instelling op uw route.
Beheerde TLS-certificaten gebruiken
Wanneer Front Door uw TLS-certificaten beheert, worden uw operationele kosten verlaagd en kunt u kostbare storingen voorkomen die worden veroorzaakt door het vergeten een certificaat te vernieuwen. Front Door geeft en roteert automatisch de beheerde TLS-certificaten.
Zie HTTPS configureren in een aangepast Azure Front Door-domein met behulp van Azure Portal voor meer informatie.
De nieuwste versie gebruiken voor door de klant beheerde certificaten
Als u besluit uw eigen TLS-certificaten te gebruiken, kunt u overwegen om de Key Vault-certificaatversie in te stellen op 'Nieuwste'. Door 'Nieuwste' te gebruiken, hoeft u Front Door niet opnieuw te configureren om nieuwe versies van uw certificaat te gebruiken en te wachten totdat het certificaat in de omgevingen van Front Door wordt geïmplementeerd.
Zie Het certificaat voor Azure Front Door selecteren om te implementeren voor meer informatie.
Best practices voor domeinnaam
Gebruik dezelfde domeinnaam voor Front Door en uw oorsprong
Front Door kan de Host header van binnenkomende aanvragen opnieuw schrijven. Deze functie kan handig zijn wanneer u een set klantgerichte aangepaste domeinnamen beheert die naar één oorsprong worden gerouteerd. Deze functie kan ook helpen wanneer u wilt voorkomen dat aangepaste domeinnamen in Front Door en bij uw oorsprong worden geconfigureerd. Wanneer u de Host header echter herschrijft, kunnen cookies en URL-omleidingen worden verbroken. Met name wanneer u platforms zoals Azure-app Service gebruikt, werken functies zoals sessieaffiniteit en verificatie en autorisatie mogelijk niet correct.
Voordat u de Host header van uw aanvragen herschrijft, moet u zorgvuldig overwegen of uw toepassing correct werkt.
Zie De oorspronkelijke HTTP-hostnaam behouden tussen een omgekeerde proxy en de bijbehorende back-endwebtoepassing voor meer informatie.
Web Application Firewall (WAF)
De WAF inschakelen
Voor internetgerichte toepassingen wordt u aangeraden de Front Door Web Application Firewall (WAF) in te schakelen en deze te configureren voor het gebruik van beheerde regels. Wanneer u een door WAF en Door Microsoft beheerde regels gebruikt, wordt uw toepassing beschermd tegen een breed scala aan aanvallen.
Zie Web Application Firewall (WAF) in Azure Front Door voor meer informatie.
Best practices voor WAF volgen
De WAF voor Front Door heeft een eigen set aanbevolen procedures voor de configuratie en het gebruik ervan. Zie Best practices voor Web Application Firewall in Azure Front Door voor meer informatie.
Best practices voor statustest
Statustests uitschakelen wanneer er slechts één oorsprong in een oorsprongsgroep is
De statustests van Front Door zijn ontworpen om situaties te detecteren waarin een oorsprong niet beschikbaar of beschadigd is. Wanneer een statustest een probleem met een oorsprong detecteert, kan Front Door worden geconfigureerd voor het verzenden van verkeer naar een andere oorsprong in de oorspronkelijke groep.
Als u slechts één oorsprong hebt, stuurt Front Door altijd verkeer naar die oorsprong, zelfs als de statustest een beschadigde status rapporteert. De status van de statustest wijzigt het gedrag van Front Door niet. In dit scenario bieden statustests geen voordeel en moet u deze uitschakelen om het verkeer op uw oorsprong te verminderen.
Zie Statustests voor meer informatie.
Goede statustesteindpunten selecteren
Houd rekening met de locatie waar u de statustest van Front Door vertelt om te controleren. Het is meestal een goed idee om een webpagina of locatie te bewaken die u specifiek ontwerpt voor statuscontrole. Uw toepassingslogica kan rekening houden met de status van alle essentiële onderdelen die nodig zijn voor productieverkeer, waaronder toepassingsservers, databases en caches. Als er een onderdeel uitvalt, kan Front Door uw verkeer doorsturen naar een ander exemplaar van uw service.
Zie het patroon Statuseindpuntbewaking voor meer informatie
HEAD-statustests gebruiken
Statustests kunnen de GET- of HEAD HTTP-methode gebruiken. Het is een goede gewoonte om de HEAD-methode te gebruiken voor statustests, waardoor de belasting van het verkeer op uw oorsprong wordt verminderd.
Zie Ondersteunde HTTP-methoden voor statustests voor meer informatie.