Perspectief van Azure Well-Architected Framework op Azure Front Door
Azure Front Door is een wereldwijde load balancer en netwerk voor inhoudslevering waarmee HTTP- en HTTPS-verkeer wordt gerouteerd. Azure Front Door levert en distribueert verkeer dat zich het dichtst bij de toepassingsgebruikers bevindt.
In dit artikel wordt ervan uitgegaan dat u als architect de opties voor taakverdeling hebt bekeken en Azure Front Door hebt gekozen als de load balancer voor uw workload. Er wordt ook van uitgegaan dat uw toepassing is geïmplementeerd in meerdere regio's in een actief-actief- of actief-passief-model. De richtlijnen in dit artikel bevatten architectuuraanbevelingen die zijn toegewezen aan de principes van de Azure Well-Architected Framework-pijlers.
Belangrijk
Het gebruik van deze handleiding
Elke sectie heeft een ontwerpcontrolelijst met aandachtsgebieden voor architectuur en ontwerpstrategieën die zijn gelokaliseerd in het technologiebereik.
Dit artikel bevat ook aanbevelingen over de technologische mogelijkheden waarmee deze strategieën worden gerealiseerd. De aanbevelingen geven geen volledige lijst weer van alle configuraties die beschikbaar zijn voor Azure Front Door en de bijbehorende afhankelijkheden. In plaats daarvan worden de belangrijkste aanbevelingen vermeld die zijn toegewezen aan de ontwerpperspectieven. Gebruik de aanbevelingen om uw proof-of-concept te bouwen of uw bestaande omgevingen te optimaliseren.
Basisarchitectuur die de belangrijkste aanbevelingen demonstreert: Bedrijfskritieke basislijnarchitectuur met netwerkbeheer.
Technologiebereik
Deze beoordeling is gericht op de onderling gerelateerde beslissingen voor de volgende Azure-resources:
- Azure Front Door
Betrouwbaarheid
Het doel van de betrouwbaarheidspijler is om doorlopende functionaliteit te bieden door voldoende tolerantie te bouwen en de mogelijkheid om snel te herstellen van storingen.
De ontwerpprincipes voor betrouwbaarheid bieden een ontwerpstrategie op hoog niveau die wordt toegepast op afzonderlijke onderdelen, systeemstromen en het systeem als geheel.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor betrouwbaarheid. Bepaal de relevantie voor uw bedrijfsvereisten en houd daarbij rekening met de lagen en mogelijkheden van Azure Content Delivery Network. Breid de strategie zo nodig uit met meer benaderingen.
Het verkeerspatroon en -volume schatten. Het aantal aanvragen van de client naar de Azure Front Door Edge kan van invloed zijn op uw laagkeuze. Als u een groot aantal aanvragen wilt ondersteunen, kunt u de Azure Front Door Premium-laag overwegen, omdat prestaties uiteindelijk van invloed zijn op de beschikbaarheid. Er is echter een kostennadelen. Deze lagen worden beschreven in Prestatie-efficiëntie.
Kies uw implementatiestrategie. De fundamentele implementatiemethoden zijn actief-actief en actief-passief. Actief-actief-implementatie betekent dat meerdere omgevingen of stempels die de workload uitvoeren verkeer dienen. Actief-passieve implementatie betekent dat alleen de primaire regio al het verkeer verwerkt, maar dat er indien nodig een failover naar de secundaire regio wordt uitgevoerd. In een implementatie met meerdere regio's worden stempels uitgevoerd in verschillende regio's voor een hogere beschikbaarheid met een globale load balancer, zoals Azure Front Door, die verkeer distribueert. Daarom is het belangrijk om de load balancer te configureren voor de juiste implementatiebenadering.
Azure Front Door ondersteunt verschillende routeringsmethoden, die u kunt configureren om verkeer te distribueren in een actief-actief- of actief-passief-model.
De voorgaande modellen hebben veel variaties. U kunt bijvoorbeeld het actief-passieve model implementeren met een warme reserve. In dit geval wordt de secundaire gehoste service geïmplementeerd met de minimaal mogelijke reken- en gegevensgrootte en wordt deze zonder belasting uitgevoerd. Bij een failover worden de reken- en gegevensresources geschaald om de belasting van de primaire regio af te handelen. Zie Belangrijke ontwerpstrategieën voor ontwerpen met meerdere regio's voor meer informatie.
Voor sommige toepassingen moeten de gebruikersverbindingen op dezelfde oorspronkelijke server blijven tijdens de gebruikerssessie. Vanuit het oogpunt van betrouwbaarheid raden we u af om gebruikersverbindingen op dezelfde oorspronkelijke server te houden. Vermijd sessieaffiniteit zoveel mogelijk.
Gebruik dezelfde hostnaam op Azure Front Door en de oorspronkelijke servers. Om ervoor te zorgen dat cookies of omleidings-URL's correct werken, behoudt u de oorspronkelijke HTTP-hostnaam wanneer u een omgekeerde proxy gebruikt, zoals een load balancer, voor een webtoepassing.
Implementeer het patroon voor statuseindpuntbewaking. Uw toepassing moet statuseindpunten beschikbaar maken, die de status aggregeren van de kritieke services en afhankelijkheden die uw toepassing nodig heeft om aanvragen te verwerken. Azure Front Door-statustests gebruiken het eindpunt om de status van de oorspronkelijke servers te detecteren. Zie Health Endpoint Monitoring pattern (Patroon statuseindpuntbewaking) voor meer informatie.
Profiteer van de ingebouwde netwerkfunctionaliteit voor contentlevering in Azure Front Door. De functie contentleveringsnetwerk van Azure Front Door heeft honderden edge-locaties en kan bestand zijn tegen DDoS-aanvallen (Distributed Denial of Service). Deze mogelijkheden helpen de betrouwbaarheid te verbeteren.
Overweeg een redundante optie voor verkeersbeheer. Azure Front Door is een wereldwijd gedistribueerde service die als een singleton in een omgeving wordt uitgevoerd. Azure Front Door is een potentieel Single Point of Failure in het systeem. Als de service mislukt, hebben clients geen toegang tot uw toepassing tijdens de downtime.
Redundante implementaties kunnen complex en kostbaar zijn. Beschouw ze alleen voor bedrijfskritieke workloads met een zeer lage tolerantie voor storingen. Denk goed na over de afwegingen.
- Zie Algemene routeringredundantie als u absoluut redundante routering nodig hebt.
- Als u alleen redundantie nodig hebt om inhoud in de cache te leveren, raadpleegt u Levering van algemene inhoud.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Kies een routeringsmethode die ondersteuning biedt voor uw implementatiestrategie. De gewogen methode, die verkeer verdeelt op basis van de geconfigureerde gewichtscoëfficiënt, ondersteunt actief-actief-modellen. Een op prioriteit gebaseerde waarde die de primaire regio configureert om al het verkeer te ontvangen en verkeer als back-up naar de secundaire regio te verzenden, ondersteunt actief-passieve modellen. Combineer de voorgaande methoden met latentie, zodat de oorsprong met de laagste latentie verkeer ontvangt. |
U kunt de beste origin-resource selecteren met behulp van een reeks beslissingsstappen en uw ontwerp. De geselecteerde oorsprong dient verkeer binnen het toegestane latentiebereik in de opgegeven verhouding van gewichten. |
| Ondersteuning voor redundantie door meerdere origins in een of meer back-endpools te hebben. Zorg altijd voor redundante exemplaren van uw toepassing en zorg ervoor dat elk exemplaar een eindpunt of oorsprong beschikbaar maakt. U kunt deze oorsprongen in een of meer back-endpools plaatsen. |
Meerdere origins ondersteunen redundantie door verkeer te distribueren over meerdere exemplaren van de toepassing. Als één exemplaar niet beschikbaar is, kunnen andere back-end origins nog steeds verkeer ontvangen. |
|
Stel statustests in op de oorsprong. Configureer Azure Front Door om statuscontroles uit te voeren om te bepalen of het back-endexemplaren beschikbaar is en klaar is om aanvragen te blijven ontvangen. |
Ingeschakelde statustests maken deel uit van de implementatie van het statuscontrolepatroon. Statustests zorgen ervoor dat Azure Front Door alleen verkeer routeert naar exemplaren die in orde zijn om aanvragen te verwerken. Zie Best practices voor statustests voor meer informatie. |
| Stel een time-out in voor het doorsturen van aanvragen naar de back-end. Pas de time-outinstelling aan op basis van de behoeften van uw eindpunten. Als u dat niet doet, kan Azure Front Door de verbinding sluiten voordat de oorsprong het antwoord verzendt. U kunt ook de standaardtime-out voor Azure Front Door verlagen als al uw origins een kortere time-out hebben. Zie Problemen met niet-reagerende aanvragen oplossen voor meer informatie. |
Time-outs helpen prestatieproblemen en beschikbaarheidsproblemen te voorkomen door aanvragen te beëindigen die langer duren dan verwacht. |
| Gebruik dezelfde hostnaam op Azure Front Door en uw oorsprong. Azure Front Door kan de hostheader van binnenkomende aanvragen herschrijven. Dit is handig wanneer u meerdere aangepaste domeinnamen hebt die naar één origin worden gerouteerd. Het herschrijven van de hostheader kan echter problemen veroorzaken met aanvraagcookies en URL-omleiding. |
Stel dezelfde hostnaam in om storingen met sessieaffiniteit, verificatie en autorisatie te voorkomen. Zie De oorspronkelijke HTTP-hostnaam behouden tussen een omgekeerde proxy en de bijbehorende back-endwebtoepassing voor meer informatie. |
| Bepaal of uw toepassing sessieaffiniteit vereist. Als u hoge betrouwbaarheidsvereisten hebt, raden we u aan sessieaffiniteit uit te schakelen. | Met sessieaffiniteit blijven gebruikersverbindingen op dezelfde oorsprong tijdens de gebruikerssessie. Als die oorsprong niet meer beschikbaar is, kan de gebruikerservaring worden onderbroken. |
| Profiteer van de regels voor snelheidsbeperking die zijn opgenomen in een Web Application Firewall (WAF). | Beperk aanvragen om te voorkomen dat clients te veel verkeer naar uw toepassing verzenden. Met snelheidsbeperking kunt u problemen zoals een storm voor nieuwe pogingen voorkomen. |
Beveiliging
Het doel van de pijler Beveiliging is om vertrouwelijkheid, integriteit en beschikbaarheidsgaranties voor de workload te bieden.
De ontwerpprincipes voor beveiliging bieden een ontwerpstrategie op hoog niveau om deze doelen te bereiken door benaderingen toe te passen op het technische ontwerp om verkeer dat via Azure Front Door komt te beperken.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor beveiliging. Beveiligingsproblemen en controles identificeren om de beveiligingspostuur te verbeteren. Breid de strategie uit met meer benaderingen als dat nodig is.
Bekijk de beveiligingsbasislijn voor Azure Front Door.
De back-endservers beveiligen. De front-end fungeert als het enige ingangspunt voor de toepassing.
Azure Front Door gebruikt Azure Private Link om toegang te krijgen tot de oorsprong van een toepassing. Private Link maakt segmentatie, zodat de back-ends geen openbare IP-adressen en eindpunten beschikbaar hoeven te maken. Zie Uw oorsprong beveiligen met Private Link in Azure Front Door Premium voor meer informatie.
Configureer uw back-endservices om alleen aanvragen te accepteren met dezelfde hostnaam die azure Front Door extern gebruikt.
Alleen geautoriseerde toegang tot het besturingsvlak toestaan. Gebruik op rollen gebaseerd toegangsbeheer (RBAC) van Azure Front Door om de toegang te beperken tot alleen de identiteiten die dit nodig hebben.
Algemene bedreigingen aan de rand blokkeren. WAF is geïntegreerd met Azure Front Door. Schakel WAF-regels aan de front-ends in om toepassingen te beschermen tegen veelvoorkomende aanvallen en beveiligingsproblemen aan de netwerkrand, dichter bij de aanvalsbron. U kunt geofiltering gebruiken om de toegang tot uw webtoepassing te beperken op basis van landen of regio's.
Zie Azure Web Application Firewall op Azure Front Door voor meer informatie.
Azure Front Door beveiligen tegen onverwacht verkeer. Azure Front Door maakt gebruik van het basisplan van Azure DDoS-beveiliging om toepassingseindpunten te beschermen tegen DDoS-aanvallen. Als u andere openbare IP-adressen van uw toepassing beschikbaar wilt maken, kunt u overwegen om het DDoS Protection-standaardplan voor die adressen toe te voegen voor geavanceerde beveiliging en detectiemogelijkheden.
Er zijn ook WAF-regelsets die botverkeer of onverwacht grote hoeveelheden verkeer detecteren dat mogelijk schadelijk kan zijn.
Gegevens tijdens overdracht beveiligen. Schakel end-to-end TLS (Transport Layer Security), HTTP-naar-HTTPS-omleiding en beheerde TLS-certificaten in, indien van toepassing. Zie TLS-best practices voor Azure Front Door voor meer informatie.
Bewaak afwijkende activiteiten. Controleer regelmatig de logboeken om te controleren op aanvallen en fout-positieven. Verzend WAF-logboeken van Azure Front Door naar het gecentraliseerde SIEM (Security Information and Event Management) van uw organisatie, zoals Microsoft Sentinel, om bedreigingspatronen te detecteren en preventieve maatregelen op te nemen in het workloadontwerp.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Schakel WAF-regelsets in die mogelijk schadelijk verkeer detecteren en blokkeren. Deze functie is beschikbaar in de Premium-laag. We raden deze regelsets aan: - Standaard - Botbeveiliging - IP-beperking - Geofiltering - Snelheidsbeperking |
Standaardregelsets worden regelmatig bijgewerkt op basis van de OWASP top-10 aanvalstypen en informatie van Microsoft Threat Intelligence. De gespecialiseerde regelsets detecteren bepaalde use-cases. Botregels classificeren bots bijvoorbeeld als goed, slecht of onbekend op basis van de IP-adressen van de client. Ze blokkeren ook ongeldige bots en bekende IP-adressen en beperken het verkeer op basis van de geografische locatie van de bellers. Met behulp van een combinatie van regelsets kunt u aanvallen met verschillende intenties detecteren en blokkeren. |
|
Uitsluitingen maken voor beheerde regelsets. Test een WAF-beleid enkele weken in de detectiemodus en pas eventuele fout-positieven aan voordat u het implementeert. |
Verminder fout-positieven en sta legitieme aanvragen voor uw toepassing toe. |
| Verzend de hostheader naar de back-end. | De back-endservices moeten op de hoogte zijn van de hostnaam, zodat ze regels kunnen maken om alleen verkeer van die host te accepteren. |
| Schakel end-to-end-TLS-, HTTP-naar-HTTPS-omleiding en beheerde TLS-certificaten in, indien van toepassing. Bekijk de best practices voor TLS voor Azure Front Door. Gebruik TLS-versie 1.2 als de minimaal toegestane versie met coderingen die relevant zijn voor uw toepassing. Beheerde Azure Front Door-certificaten moeten uw standaardkeuze zijn voor eenvoudige bewerkingen. Als u echter de levenscyclus van de certificaten wilt beheren, gebruikt u uw eigen certificaten in aangepaste azure Front Door-domeineindpunten en slaat u deze op in Key Vault. |
TLS zorgt ervoor dat gegevensuitwisseling tussen de browser, Azure Front Door en de back-end-origins worden versleuteld om manipulatie te voorkomen. Key Vault biedt ondersteuning voor beheerde certificaten en eenvoudige certificaatvernieuwing en -rotatie. |
Kostenoptimalisatie
Kostenoptimalisatie is gericht op het detecteren van uitgavenpatronen, het prioriteren van investeringen in kritieke gebieden en het optimaliseren van andere uitgaven om aan het budget van de organisatie te voldoen en tegelijkertijd te voldoen aan de bedrijfsvereisten.
De ontwerpprincipes van Cost Optimization bieden een ontwerpstrategie op hoog niveau om deze doelen te bereiken en waar nodig compromissen te maken in het technische ontwerp met betrekking tot Azure Front Door en de omgeving ervan.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Kostenoptimalisatie voor investeringen. Stem het ontwerp zo af dat de workload wordt afgestemd op het budget dat voor de workload is toegewezen. Uw ontwerp moet gebruikmaken van de juiste Azure-mogelijkheden, investeringen bewaken en kansen vinden om in de loop van de tijd te optimaliseren.
Bekijk de Lagen en prijzen van Azure Front Door. Gebruik de prijscalculator om de realistische kosten voor elke laag te schatten. Vergelijk de functies en geschiktheid van elke laag voor uw scenario. Alleen de Premium-laag ondersteunt bijvoorbeeld het maken van verbinding met uw origin via Private Link.
De Standard-SKU is rendabeler en geschikt voor scenario's met gemiddeld verkeer. In de Premium-SKU betaalt u een hoger eenheidstarief, maar krijgt u toegang tot beveiligingsvoordelen en geavanceerde functies, zoals beheerde regels in WAF en Private Link. Houd rekening met de compromissen met betrekking tot betrouwbaarheid en beveiliging op basis van uw bedrijfsvereisten.
Houd rekening met bandbreedtekosten. De bandbreedtekosten van Azure Front Door zijn afhankelijk van de laag die u kiest en het type gegevensoverdracht. Azure Front Door biedt ingebouwde rapporten voor factureerbare metrische gegevens. Zie Azure Front Door-rapporten om uw kosten met betrekking tot bandbreedte te beoordelen en waar u zich kunt richten op uw optimalisatie-inspanningen.
Binnenkomende aanvragen optimaliseren. Azure Front Door factureert de binnenkomende aanvragen. U kunt beperkingen instellen in uw ontwerpconfiguratie.
Verminder het aantal aanvragen met behulp van ontwerppatronen zoals back-end voor front-ends en gatewayaggregatie. Deze patronen kunnen de efficiëntie van uw bewerkingen verbeteren.
WAF-regels beperken binnenkomend verkeer, waardoor de kosten kunnen worden geoptimaliseerd. Gebruik bijvoorbeeld snelheidsbeperking om abnormaal hoge verkeersniveaus te voorkomen of gebruik geofiltering om alleen toegang toe te staan vanuit specifieke regio's of landen.
Resources efficiënt gebruiken. Azure Front Door maakt gebruik van een routeringsmethode die helpt bij het optimaliseren van resources. Tenzij de workload zeer latentiegevoelig is, moet u verkeer gelijkmatig verdelen over alle omgevingen om effectief gebruik te maken van geïmplementeerde resources.
Azure Front Door-eindpunten kunnen veel bestanden verwerken. Een manier om de bandbreedtekosten te verlagen, is door compressie te gebruiken.
Gebruik caching in Azure Front Door voor inhoud die niet vaak wordt gewijzigd. Omdat inhoud wordt geleverd vanuit een cache, bespaart u op bandbreedtekosten die worden gemaakt wanneer de aanvraag wordt doorgestuurd naar de back-ends.
Overweeg het gebruik van een gedeeld exemplaar dat wordt geleverd door de organisatie. Kosten van gecentraliseerde services worden gedeeld tussen de workloads. Houd echter rekening met het compromis met betrouwbaarheid. Voor bedrijfskritieke toepassingen met hoge beschikbaarheidsvereisten raden we een autonoom exemplaar aan.
Let op de hoeveelheid gegevens die worden geregistreerd. Kosten met betrekking tot zowel bandbreedte als opslag kunnen oplopen als bepaalde aanvragen niet nodig zijn of als logboekregistratiegegevens gedurende een lange periode worden bewaard.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Gebruik caching voor eindpunten die dit ondersteunen. | Caching optimaliseert de kosten voor gegevensoverdracht, omdat hierdoor het aantal aanroepen van uw Azure Front Door-exemplaar naar de oorsprong wordt verminderd. |
|
Overweeg bestandscompressie in te schakelen. Voor deze configuratie moet de toepassing compressie ondersteunen en moet caching zijn ingeschakeld. |
Compressie vermindert het bandbreedteverbruik en verbetert de prestaties. |
| Statuscontroles in enkele back-endpools uitschakelen. Als u slechts één origin hebt geconfigureerd in de oorspronggroep van Azure Front Door, zijn deze aanroepen niet nodig. |
U kunt besparen op bandbreedtekosten door aanvragen uit te schakelen die niet nodig zijn om routeringsbeslissingen te nemen. |
Operationele topprestaties
Operational Excellence richt zich voornamelijk op procedures voor ontwikkelprocedures, waarneembaarheid en releasebeheer.
De ontwerpprincipes van Operational Excellence bieden een ontwerpstrategie op hoog niveau om deze doelstellingen voor de operationele vereisten van de workload te bereiken.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Operational Excellence voor het definiëren van processen voor waarneembaarheid, testen en implementatie met betrekking tot Azure Front Door.
IaC-technologieën (Infrastructure as Code) gebruiken. Gebruik IaC-technologieën zoals Bicep en Azure Resource Manager-sjablonen om het Azure Front Door-exemplaar in te richten. Deze declaratieve benaderingen bieden consistentie en eenvoudig onderhoud. Met behulp van IaC-technologieën kunt u bijvoorbeeld eenvoudig nieuwe regelsetversies aannemen. Gebruik altijd de nieuwste API-versie.
Configuraties vereenvoudigen. Gebruik Azure Front Door om configuraties eenvoudig te beheren. Stel dat uw architectuur microservices ondersteunt. Azure Front Door ondersteunt omleidingsmogelijkheden, zodat u padgebaseerde omleiding kunt gebruiken om afzonderlijke services te targeten. Een andere use-case is de configuratie van jokertekendomeinen.
Afhandelen van progressieve blootstelling met behulp van Routeringsmethoden van Azure Front Door. Voor een benadering van gewogen taakverdeling kunt u een canary-implementatie gebruiken om een specifiek percentage van het verkeer naar een back-end te verzenden. Met deze aanpak kunt u nieuwe functies en releases testen in een gecontroleerde omgeving voordat u ze uitrolt.
Verzamel en analyseer operationele gegevens van Azure Front Door als onderdeel van uw workloadbewaking. Leg relevante Azure Front Door-logboeken en metrische gegevens vast met Azure Monitor-logboeken. Deze gegevens helpen u bij het oplossen van problemen, het begrijpen van gebruikersgedrag en het optimaliseren van bewerkingen.
Certificaatbeheer offloaden naar Azure. Versoepel de operationele last die gepaard gaat met de rotatie en verlenging van certificeringen.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Gebruik HTTP-naar-HTTPS-omleiding ter ondersteuning van doorstuurcompatibiliteit. | Wanneer omleiding is ingeschakeld, leidt Azure Front Door clients die een ouder protocol gebruiken automatisch om om HTTPS te gebruiken voor een veilige ervaring. |
|
Logboeken en metrische gegevens vastleggen. Neem resourceactiviteitslogboeken, toegangslogboeken, statustestlogboeken en WAF-logboeken op. Waarschuwingen instellen. |
Het bewaken van de stroom voor inkomend verkeer is een cruciaal onderdeel van het bewaken van een toepassing. U wilt aanvragen bijhouden en prestatie- en beveiligingsverbeteringen aanbrengen. U hebt gegevens nodig om fouten op te sporen in uw Azure Front Door-configuratie. Met waarschuwingen kunt u direct meldingen ontvangen van kritieke operationele problemen. |
| Bekijk de ingebouwde analyserapporten. | Een holistische weergave van uw Azure Front Door-profiel helpt bij het verbeteren van verbeteringen op basis van verkeers- en beveiligingsrapporten via metrische WAF-gegevens. |
| Gebruik indien mogelijk beheerde TLS-certificaten . | Azure Front Door kan certificaten voor u uitgeven en beheren. Deze functie elimineert de noodzaak van certificaatvernieuwing en minimaliseert het risico op een storing als gevolg van een ongeldig of verlopen TLS-certificaat. |
| Gebruik TLS-certificaten met jokertekens. | U hoeft de configuratie niet te wijzigen om elk subdomein afzonderlijk toe te voegen of op te geven. |
Prestatie-efficiëntie
Prestatie-efficiëntie gaat over het behouden van de gebruikerservaring, zelfs wanneer de belasting toeneemt door capaciteit te beheren. De strategie omvat het schalen van resources, het identificeren en optimaliseren van mogelijke knelpunten en het optimaliseren van piekprestaties.
De ontwerpprincipes voor prestatieefficiëntie bieden een ontwerpstrategie op hoog niveau om deze capaciteitsdoelen te bereiken ten opzichte van het verwachte gebruik.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Prestatie-efficiëntie. Definieer een basislijn die is gebaseerd op key performance indicators voor Azure Front Door.
Plan capaciteit door uw verwachte verkeerspatronen te analyseren. Voer grondige tests uit om te begrijpen hoe uw toepassing presteert onder verschillende belastingen. Houd rekening met factoren zoals gelijktijdige transacties, aanvraagsnelheden en gegevensoverdracht.
Baseer uw SKU-keuzes op die planning. De Standard-SKU is rendabeler en geschikter voor scenario's met gemiddeld verkeer. Als u hogere belastingen verwacht, raden we de Premium-SKU aan.
Analyseer prestatiegegevens door regelmatig Azure Front Door-rapporten te bekijken. Deze rapporten bieden inzicht in verschillende metrische gegevens die fungeren als prestatie-indicatoren op technologieniveau.
Gebruik Azure Front Door-rapporten om realistische prestatiedoelen voor uw workload in te stellen. Houd rekening met factoren zoals reactietijden, doorvoer en foutpercentages. Stem de doelen af op uw zakelijke vereisten en verwachtingen van gebruikers.
Gegevensoverdracht optimaliseren.
Gebruik caching om de latentie te verminderen bij het leveren van statische inhoud, zoals afbeeldingen, opmaakmodellen en JavaScript-bestanden, of inhoud die niet regelmatig wordt gewijzigd.
Uw toepassing optimaliseren voor caching. Gebruik cacheverloopheaders in de toepassing die bepalen hoe lang de inhoud in de cache moet worden opgeslagen door clients en proxy's. Langere cache geldigheid betekent minder frequente aanvragen naar de oorspronkelijke server, wat resulteert in minder verkeer en lagere latentie.
Verklein de grootte van bestanden die via het netwerk worden verzonden. Kleinere bestanden leiden tot snellere laadtijden en een verbeterde gebruikerservaring.
Minimaliseer het aantal back-endaanvragen in de toepassing.
Op een webpagina worden bijvoorbeeld gebruikersprofielen, recente orders, saldi en andere gerelateerde informatie weergegeven. In plaats van afzonderlijke aanvragen te maken voor elke set informatie, kunt u ontwerppatronen gebruiken om uw toepassing te structureren, zodat meerdere aanvragen worden samengevoegd tot één aanvraag.
Door aanvragen te aggregeren, verzendt u minder gegevens tussen de front-end en de back-end en brengt u minder verbindingen tot stand tussen de client en de back-end, waardoor de overhead wordt verminderd. Azure Front Door verwerkt ook minder aanvragen, waardoor overbelasting wordt voorkomen.
Het gebruik van statustests optimaliseren. Haal alleen statusinformatie op van statustests wanneer de status van de oorsprong verandert. Een balans vinden tussen bewakingsnauwkeurigheid en het minimaliseren van onnodig verkeer.
Statustests worden doorgaans gebruikt om de status van meerdere oorsprongen binnen een groep te beoordelen. Als u slechts één origin hebt geconfigureerd in de oorspronggroep van Azure Front Door, schakelt u statustests uit om onnodig verkeer op de oorspronkelijke server te verminderen. Omdat er slechts één exemplaar is, heeft de status van de statustest geen invloed op de routering.
Controleer de oorsprongrouteringsmethode. Azure Front Door biedt verschillende routeringsmethoden, waaronder routering op basis van latentie, op basis van prioriteit, gewogen en op sessieaffiniteit gebaseerde routering naar de oorsprong. Deze methoden hebben een aanzienlijke invloed op de prestaties van uw toepassing. Zie Verkeersrouteringsmethoden naar oorsprong voor meer informatie over de beste verkeersrouteringsoptie voor uw scenario.
Controleer de locatie van de oorspronkelijke servers. De locatie van uw oorspronkelijke servers is van invloed op de reactiesnelheid van uw toepassing. De oorspronkelijke servers moeten zich dichter bij de gebruikers bevinden. Azure Front Door zorgt ervoor dat gebruikers vanaf een specifieke locatie toegang hebben tot het dichtstbijzijnde Azure Front Door-toegangspunt. De prestatievoordelen zijn een snellere gebruikerservaring, een beter gebruik van routering op basis van latentie door Azure Front Door en een minimale tijd voor gegevensoverdracht door gebruik te maken van caching, waardoor inhoud dichter bij gebruikers wordt opgeslagen.
Zie Het rapport Verkeer per locatie voor meer informatie.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
|
Caching inschakelen. U kunt queryreeksen optimaliseren voor caching. Voor puur statische inhoud negeert u queryreeksen om uw gebruik van de cache te maximaliseren. Als uw toepassing queryreeksen gebruikt, kunt u overwegen deze op te nemen in de cachesleutel. Door de queryreeksen op te slaan in de cachesleutel, kan Azure Front Door antwoorden in de cache of andere antwoorden verwerken op basis van uw configuratie. |
Azure Front Door biedt een robuuste netwerkoplossing voor contentlevering die inhoud in de cache opslaat aan de rand van het netwerk. Caching vermindert de belasting van de back-endservers en vermindert de verplaatsing van gegevens over het netwerk, waardoor het bandbreedtegebruik wordt offload. |
| Gebruik bestandscompressie wanneer u downloadbare inhoud opent. | Compressie in Azure Front Door helpt bij het leveren van inhoud in de optimale indeling, heeft een kleinere nettolading en levert sneller inhoud aan de gebruikers. |
Wanneer u statustests configureert in Azure Front Door, kunt u overwegen om aanvragen te gebruiken HEAD in plaats van GET aanvragen. De statustest leest alleen de statuscode, niet de inhoud. |
HEAD met -aanvragen kunt u een query uitvoeren op een statuswijziging zonder de volledige inhoud op te halen. |
| Evalueer of u sessieaffiniteit moet inschakelen wanneer aanvragen van dezelfde gebruiker moeten worden omgeleid naar dezelfde back-endserver. Vanuit het oogpunt van betrouwbaarheid raden we deze benadering niet aan. Als u deze optie gebruikt, moet de toepassing probleemloos worden hersteld zonder gebruikerssessies te onderbreken. Er is ook een afweging tussen taakverdelingen, omdat het de flexibiliteit van het gelijkmatig verdelen van verkeer over meerdere back-ends beperkt. |
Prestaties optimaliseren en continuïteit behouden voor gebruikerssessies, met name wanneer toepassingen afhankelijk zijn van het lokaal onderhouden van statusgegevens. |
Azure-beleid
Azure biedt een uitgebreide set ingebouwde beleidsregels met betrekking tot Azure Front Door en de bijbehorende afhankelijkheden. Enkele van de voorgaande aanbevelingen kunnen worden gecontroleerd via Azure-beleid. U kunt bijvoorbeeld controleren of:
- U hebt de Premium-laag nodig om beheerde WAF-regels en Private Link in Azure Front Door-profielen te ondersteunen.
- U moet de minimale TLS-versie gebruiken, namelijk versie 1.2.
- U hebt veilige, persoonlijke connectiviteit nodig tussen Azure Front Door Premium en Azure PaaS-services.
- U moet resourcelogboeken inschakelen. WAF moet inspectie van de aanvraagbody hebben ingeschakeld.
- U moet beleidsregels gebruiken om de WAF-regelset af te dwingen. U moet bijvoorbeeld botbeveiliging inschakelen en regels voor snelheidsbeperking inschakelen.
Raadpleeg voor uitgebreide governance de ingebouwde definities voor Azure Content Delivery Network en andere Azure Front Door-beleidsregels die worden vermeld in Azure Policy ingebouwde beleidsdefinities.
Aanbevelingen voor Azure Advisor
Azure Advisor is een persoonlijke cloudconsultant die u helpt bij het volgen van best practices voor het optimaliseren van uw Azure-implementaties. Hier volgen enkele aanbevelingen die u kunnen helpen de betrouwbaarheid, beveiliging, kosteneffectiviteit, prestaties en operationele uitmuntendheid van Azure Front Door te verbeteren.
Volgende stappen
Bekijk de volgende artikelen als resources die de aanbevelingen laten zien die in dit artikel zijn gemarkeerd.
- Gebruik de volgende referentiearchitecturen als voorbeelden van hoe u de richtlijnen van dit artikel kunt toepassen op een workload:
- Bouw implementatie-expertise op met behulp van de volgende productdocumentatie: