Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Front Door to globalny moduł równoważenia obciążenia i sieć dostarczania zawartości (CDN), która kieruje ruch HTTP i HTTPS. Usługa Azure Front Door dostarcza i dystrybuuje ruch najbliższy użytkownikom aplikacji.
Artykuł ten zakłada, że jako architekt zapoznałeś się z opcjami równoważenia obciążenia i wybrałeś Azure Front Door jako urządzenie równoważenia obciążenia dla swojego obciążenia. Przyjęto również założenie, że aplikacja jest wdrażana w wielu regionach w modelu aktywny-aktywny lub aktywny-pasywny. Wskazówki zawarte w tym artykule zawierają zalecenia dotyczące architektury mapowane na zasady filarów Azure Well-Architected Framework.
Ważny
Jak używać tego przewodnika
Każda sekcja zawiera listę kontrolną projektu , która przedstawia obszary architektury wymagające uwagi oraz strategii projektowania dopasowanych do zakresu technologii.
Ten artykuł zawiera również zalecenia na temat możliwości technologicznych, które pomagają zmaterializować te strategie. Zalecenia nie reprezentują wyczerpującej listy wszystkich konfiguracji dostępnych dla usługi Azure Front Door i jej zależności. Zamiast tego wyświetlają listę kluczowych zaleceń odnoszących się do perspektyw projektowych. Skorzystaj z zaleceń, aby utworzyć weryfikację koncepcji lub zoptymalizować istniejące środowiska.
Podstawowa architektura, demonstrująca kluczowe zalecenia: bazowa architektura o krytycznym znaczeniu z mechanizmami kontroli sieci.
Zakres technologii
Ten przegląd koncentruje się na powiązanych decyzjach dotyczących następujących zasobów platformy Azure:
- Usługa Azure Front Door
Niezawodność
Celem filaru niezawodności jest zapewnienie ciągłej funkcjonalności poprzez budowanie wystarczającej odporności i zdolności do szybkiego odzyskiwania po awariach.
Zasady projektowania niezawodności zapewniają ogólną strategię projektowania stosowaną dla poszczególnych składników, przepływów systemowych i całego systemu.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem niezawodności. Określ jego znaczenie dla wymagań biznesowych, pamiętając o warstwach i możliwościach usługi CDN. Rozszerz strategię w celu uwzględnienia większej liczby podejść zgodnie z potrzebami.
Wybierz strategię wdrażania. Podstawowe podejścia wdrażania to aktywne-aktywne i aktywne-pasywne. Wdrożenie aktywne-aktywne oznacza, że wiele środowisk lub sygnatur, które uruchamiają obciążenie obsługują ruch. Wdrożenie aktywno-pasywne oznacza, że tylko region podstawowy obsługuje cały ruch sieciowy, ale w razie potrzeby następuje przełączenie do regionu pomocniczego. We wdrożeniu obejmującym wiele regionów stemple lub wystąpienia aplikacji działają w różnych regionach, aby zapewnić wyższą dostępność przy użyciu globalnego modułu równoważenia obciążenia, takiego jak Azure Front Door, który dystrybuuje ruch. Dlatego ważne jest skonfigurowanie modułu równoważenia obciążenia pod kątem odpowiedniego podejścia do wdrażania.
Usługa Azure Front Door obsługuje kilka metod routingu, które można skonfigurować do dystrybucji ruchu w modelu aktywny-aktywny lub aktywny-pasywny.
Powyższe modele mają wiele odmian. Na przykład można wdrożyć model aktywny-pasywny z ciepłą rezerwą. W takim przypadku pomocnicza usługa hostowana jest wdrażana z minimalnym możliwym rozmiarem mocy obliczeniowej i wielkością danych oraz działa bez obciążenia. Po przejściu w tryb failover zasoby obliczeniowe i zasoby danych są skalowane w celu obsługi obciążenia z regionu podstawowego. Aby uzyskać więcej informacji, zobacz Kluczowe strategie projektowania dla projektów wieloregionalnych.
Niektóre aplikacje wymagają, aby połączenia użytkownika pozostawały na tym samym serwerze pochodzenia podczas sesji użytkownika. Z perspektywy niezawodności nie zalecamy utrzymywania połączeń użytkowników na tym samym serwerze pochodzenia. Unikaj przylegania sesji, jak to tylko możliwe.
Użyj tej samej nazwy hosta w każdej warstwie. Aby upewnić się, że pliki cookie lub adresy URL przekierowania działają prawidłowo, zachowaj oryginalną nazwę hosta HTTP podczas korzystania z zwrotnego serwera proxy, takiego jak usługa Azure Front Door, przed aplikacją internetową.
Zaimplementuj wzorzec monitorowania punktu końcowego kondycji. Aplikacja powinna uwidaczniać punkty końcowe kondycji, które agregują stan krytycznych usług i zależności wymaganych przez aplikację do obsługi żądań. Sondy kondycji usługi Azure Front Door używają punktu końcowego do wykrywania kondycji serwerów pochodzenia. Aby uzyskać więcej informacji, zobacz wzorzec monitorowania punktów końcowych kondycji .
Cache zawartości statycznej. Funkcja dostarczania zawartości usługi Azure Front Door ma setki lokalizacji brzegowych i może pomóc wytrzymać wzrosty ruchu i rozproszone ataki typu "odmowa usługi" (DDoS). Te możliwości pomagają zwiększyć niezawodność.
Rozważ nadmiarową opcję zarządzania ruchem. Azure Front Door to globalnie rozproszona usługa, która działa jako pojedyncza usługa w środowisku. Usługa Azure Front Door jest potencjalnym pojedynczym punktem awarii w systemie. Jeśli usługa ulegnie awarii, klienci nie będą mogli uzyskać dostępu do aplikacji podczas przestoju.
Nadmiarowe implementacje mogą być złożone i kosztowne. Należy je wziąć pod uwagę tylko w przypadku obciążeń o znaczeniu krytycznym, które mają bardzo niską tolerancję na awarię. Starannie rozważ kompromisy .
- Jeśli absolutnie potrzebujesz nadmiarowego routingu, zobacz globalna nadmiarowość routingu.
- Jeśli potrzebujesz nadmiarowości tylko do obsługi buforowanej zawartości, zobacz Globalne dostarczanie zawartości.
Zalecenia
| Zalecenie | Korzyść |
|---|---|
| Wybierz metodę routingu, która obsługuje strategię wdrażania. Metoda ważona, dystrybuująca ruch na podstawie skonfigurowanego współczynnika wagowego, obsługuje modele aktywno-aktywne. Wartość oparta na priorytcie, która konfiguruje region podstawowy tak, aby odbierał cały ruch i wysyłał ruch do regionu pomocniczego jako kopia zapasowa obsługuje modele aktywne-pasywne. Połącz powyższe metody z konfiguracjami uwrażliwienia na opóźnienie, aby źródło z najniższym opóźnieniem otrzymywało ruch. |
Możesz wybrać najlepszy zasób pochodzenia, korzystając z serii kroków decyzyjnych i projektu. Wybrane źródło obsługuje ruch w zakresie dozwolonych opóźnień według określonego stosunku wag. |
| Wspieranie nadmiarowości przez wiele źródeł w jednej lub więcej grupach źródeł. Zawsze miej nadmiarowe wystąpienia aplikacji i upewnij się, że każde wystąpienie uwidacznia punkt początkowy. Te źródła można umieścić w co najmniej jednej grupie pochodzenia. |
Wiele punktów początkowych wspiera redundancję, poprzez dystrybucję ruchu pomiędzy wieloma wystąpieniami aplikacji. Jeśli jedno wystąpienie jest niedostępne, inne źródła nadal mogą przyjmować ruch. |
|
Skonfiguruj sondy zdrowotne na źródła. Skonfiguruj usługę Azure Front Door do przeprowadzania sprawdzania kondycji, aby określić, czy serwer źródłowy jest dostępny i gotowy do kontynuowania odbierania żądań. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące sond kondycji. |
Włączone sondy kondycji są częścią implementacji wzorca monitorowania kondycji. Sondy kondycji zapewniają, że usługa Azure Front Door kieruje ruch tylko do wystąpień, które spełniają warunki do obsługi żądań. |
| Ustaw limit czasu przekazywania żądań do źródła i unikaj długotrwałych żądań. Dostosuj ustawienie limitu czasu zgodnie z wymaganiami twoich punktów końcowych. Jeśli tego nie zrobisz, usługa Azure Front Door może zamknąć połączenie, zanim źródło wyśle odpowiedź. Możesz również obniżyć domyślny limit czasu dla usługi Azure Front Door, jeśli wszystkie źródła mają krótszy limit czasu. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z nieodpowiadającymi żądaniami. |
Długotrwałe żądania zużywają zasoby systemowe. Limity czasu pomagają zapobiegać problemom z wydajnością i dostępnością, przerywając żądania, które trwają dłużej niż oczekiwano. |
| Użyj tej samej nazwy hosta w usłudze Azure Front Door i źródła. Usługa Azure Front Door może zmienić nagłówek hosta w żądaniach przychodzących, co jest przydatne, gdy masz wiele niestandardowych nazw domen, które kierują do jednego punktu początkowego. Jednak ponowne zapisywanie nagłówka hosta może powodować problemy z plikami cookie żądania i przekierowaniem URL-i. Aby uzyskać więcej informacji, zobacz [Zachowanie oryginalnej nazwy hosta HTTP](/azure/architecture/best-practices/host-name-preservation) pomiędzy zwrotnym serwerem proxy a jego początkową aplikacją internetową. |
Ustaw tę samą nazwę hosta, aby zapobiec awarii z koligacją sesji, uwierzytelnianiem i autoryzacją. |
| Zdecyduj, czy aplikacja wymaga afinitetu sesji . Jeśli masz wymagania dotyczące wysokiej niezawodności, zalecamy wyłączenie powiązania sesji. | W przypadku koligacji sesji połączenia użytkowników pozostają na tym samym początku podczas sesji użytkownika. W niektórych sytuacjach pojedyncze źródło może stać się przeciążone żądaniami, podczas gdy inne źródła są bezczynne. Jeśli to źródło stanie się niedostępne, środowisko użytkownika może zostać zakłócone. |
| Skorzystaj z reguł ograniczania szybkości , które są dołączone do zapory aplikacji internetowej (WAF). | Ogranicz żądania, aby uniemożliwić klientom wysyłanie zbyt dużego ruchu do aplikacji. Limity szybkości mogą pomóc uniknąć problemów, takich jak nawał prób ponownych. |
Bezpieczeństwo
Celem filaru Zabezpieczenia jest zapewnienie poufności, integralności i dostępności gwarancji dla obciążenia.
Zasady projektowania zabezpieczeń zapewniają strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów, stosując podejścia do projektu technicznego w ograniczaniu ruchu przechodzącego przez usługę Azure Front Door.
Lista kontrolna projektu
Rozpocznij strategię projektowania w oparciu o listę kontrolną przeglądu zabezpieczeń dla projektu. Identyfikowanie luk w zabezpieczeniach i mechanizmów kontroli w celu poprawy stanu zabezpieczeń. Rozszerz strategię w celu uwzględnienia większej liczby podejść zgodnie z potrzebami.
Przejrzyj punkt odniesienia zabezpieczeń dla usługi Azure Front Door.
Chroń serwery pochodzenia. Usługa Azure Front Door działa jako warstwa frontendowa i stanowi pojedynczy punkt dostępu do aplikacji.
Usługa Azure Front Door używa usługi Azure Private Link do uzyskiwania dostępu do źródła aplikacji. Usługa Private Link tworzy segmentację, aby źródła nie musiały ujawniać publicznych adresów IP i punktów końcowych. Aby uzyskać więcej informacji, zobacz Zabezpieczanie źródła za pomocą usługi Private Link w usłudze Azure Front Door Premium.
Skonfiguruj usługi zaplecza tak, aby akceptowały tylko żądania o tej samej nazwie hosta, którego usługa Azure Front Door używa zewnętrznie.
Zezwalaj tylko na autoryzowany dostęp do płaszczyzny sterowania. Użyj usługi Azure Front Door kontroli dostępu opartej na rolach (RBAC), aby ograniczyć dostęp tylko do tożsamości, które jej potrzebują.
blokuj typowe zagrożenia na brzegu sieci. WAF jest zintegrowany z usługą Azure Front Door. Włącz reguły WAF na frontach, aby chronić aplikacje przed typowymi exploitami i lukami w zabezpieczeniach na obrzeżach sieci, bliżej źródła ataku. Rozważ filtrowanie geograficzne, aby ograniczyć dostęp do aplikacji internetowej według krajów lub regionów.
Aby uzyskać więcej informacji, zobacz Azure Web Application Firewall na platformie Azure Front Door.
Chroń przed nieoczekiwanym ruchem. Architektura usługi Azure Front Door zapewnia wbudowaną ochronę przed atakami DDoS w celu ochrony punktów końcowych aplikacji przed atakami DDoS. Jeśli musisz uwidocznić inne publiczne adresy IP z aplikacji, rozważ dodanie planu standardowego usługi Azure DDoS Protection dla tych adresów w celu zapewnienia zaawansowanej ochrony i możliwości wykrywania.
Istnieją również zestawy reguł zapory WAF, które wykrywają ruch botów lub nieoczekiwanie duże natężenie ruchu, które mogą być potencjalnie złośliwe.
Chroń dane podczas przesyłania. Włącz kompleksowe zabezpieczenia protokołu Transport Layer Security (TLS), przekierowanie HTTP do protokołu HTTPS i zarządzane certyfikaty TLS, jeśli ma to zastosowanie. Aby uzyskać więcej informacji, zobacz najlepsze praktyki dotyczące protokołu TLS dla usługi Azure Front Door.
Monitorowanie nietypowych działań. Regularnie przeglądaj dzienniki, aby sprawdzić, czy nie ma ataków i wyników fałszywie dodatnich. Wyślij dzienniki zapory aplikacji internetowej z usługi Azure Front Door do scentralizowanego systemu zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) twojej organizacji, takiego jak Microsoft Sentinel, aby wykryć wzorce zagrożeń i uwzględnić środki zapobiegawcze w projekcie obciążeniowym.
Zalecenia
| Zalecenie | Korzyść |
|---|---|
| Włącz zestawy reguł zapory aplikacji internetowej, które mogą wykrywać i blokować potencjalnie złośliwy ruch. Ta funkcja jest dostępna w warstwie Premium. Zalecamy następujące zestawy reguł: - domyślna - ochrona botów - ograniczenia adresu IP - filtrowanie geograficzne - ograniczanie szybkości |
Domyślne zestawy reguł są często aktualizowane na podstawie typów ataków OWASP top-10 i informacji z analizy zagrożeń firmy Microsoft. Wyspecjalizowane zestawy reguł wykrywają niektóre przypadki użycia. Na przykład reguły botów klasyfikują boty jako dobre, złe lub nieznane na podstawie adresów IP klienta. Blokują również złe boty i znane adresy IP oraz ograniczają ruch w oparciu o lokalizację geograficzną osób wywołujących. Używając kombinacji zestawów reguł, można wykrywać i blokować ataki z różnymi intencjami. |
|
Tworzenie wykluczeń dla zarządzanych zestawów reguł. Przetestuj politykę WAF (zapory aplikacji internetowej) w trybie wykrywania przez kilka tygodni i dostosuj wszelkie wyniki fałszywie dodatnie przed jej wdrożeniem. |
Zmniejsz liczbę wyników fałszywie dodatnich i zezwalaj na uzasadnione żądania dla twojej aplikacji. |
| Wyślij nagłówek hosta do źródła. | Usługi zaplecza powinny mieć świadomość nazwy hosta, aby umożliwić tworzenie reguł akceptowania ruchu tylko z tego hosta. |
Zabezpieczanie połączeń z usługi Azure Front Door do źródeł początkowych.
Włącz łączność Private Link z obsługiwanymi źródłami. Jeśli źródło nie obsługuje łączności usługi Private Link, użyj tagów usługi i nagłówka X-Azure-FDID, aby sprawdzić, czy źródłem żądania jest profil usługi Azure Front Door. |
Upewnij się, że cały ruch sieciowy przepływa przez Azure Front Door i korzysta z zabezpieczeń, takich jak ochrona przed atakami DDoS i inspekcja z użyciem zapory aplikacji internetowej (WAF). |
| Włącz kompleksowy TLS, przekierowywanie HTTP do HTTPS oraz zarządzane certyfikaty TLS, jeśli ma to zastosowanie. Zapoznaj się z najlepszymi rozwiązaniami dotyczącymi protokołu TLS dla usługi Azure Front Door. Użyj protokołu TLS w wersji 1.2 jako minimalnej dozwolonej wersji z szyframi, które są istotne dla aplikacji. Certyfikaty zarządzane przez usługę Azure Front Door powinny być twoim domyślnym wyborem w celu ułatwienia wykonywania operacji. Jeśli jednak chcesz zarządzać cyklem życia certyfikatów, użyj własnych certyfikatów w usłudze niestandardowych punktów końcowych usługi Azure Front Door punktów końcowych i zapisz je w usłudze Key Vault. |
Protokół TLS zapewnia, że wymiana danych między przeglądarką, usługą Azure Front Door i źródłami jest szyfrowana, aby zapobiec manipulacji. Usługa Key Vault oferuje obsługę certyfikatów zarządzanych oraz proste odnawianie i rotację certyfikatów. |
Optymalizacja kosztów
Optymalizacja kosztów koncentruje się na wykrywaniu wzorców wydatków, określaniu priorytetów inwestycji w krytycznych obszarach i optymalizacji w innych w celu spełnienia budżetu organizacji przy jednoczesnym spełnieniu wymagań biznesowych.
Zasady projektowania optymalizacji kosztów zapewniają strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów i podejmowania kompromisów w razie potrzeby w projekcie technicznym związanym z usługą Azure Front Door i jej środowiskiem.
Lista kontrolna projektu
Rozpocznij strategię projektową na podstawie listy kontrolnej do przeglądu projektu dla optymalizacji kosztów inwestycji. Dostosuj projekt tak, aby obciążenie było dostosowane do budżetu przydzielonego dla obciążenia. Projekt powinien korzystać z odpowiednich możliwości platformy Azure, monitorować inwestycje i znajdować możliwości optymalizacji w czasie.
Przejrzyj poziomy usług i cennik. Skorzystaj z kalkulatora cen , aby oszacować realistyczne koszty dla każdej warstwy usługi Azure Front Door. Porównanie funkcji i przydatności każdej warstwy dla danego scenariusza. Na przykład tylko warstwa Premium obsługuje nawiązywanie połączenia z źródłem za pośrednictwem usługi Private Link.
Standardowe SKU jest tańsze i odpowiednie dla scenariuszy umiarkowanego ruchu. W wersji Premium SKU płacisz wyższą stawkę jednostkową, ale uzyskujesz dostęp do korzyści w zakresie zabezpieczeń i zaawansowanych funkcji, takich jak zarządzane reguły w WAF (zapora aplikacji internetowej) oraz w Private Link. Rozważ kompromisy dotyczące niezawodności i zabezpieczeń na podstawie wymagań biznesowych.
Rozważ koszty przepustowości. Koszty przepustowości usługi Azure Front Door zależą od wybranej warstwy i typu transferu danych. Aby dowiedzieć się więcej na temat rozliczeń usługi Azure Front Door, zobacz Omówienie rozliczeń usługi Azure Front Door.
Usługa Azure Front Door udostępnia wbudowane raporty dotyczące rozliczanych metryk. Aby ocenić koszty związane z pasmem i dowiedzieć się, gdzie możesz skoncentrować swoje wysiłki optymalizacyjne, zobacz raporty usługi Azure Front Door.
Optymalizowanie żądań przychodzących. Usługa Azure Front Door rozlicza żądania przychodzące. Ograniczenia można ustawić w konfiguracji projektu.
Zmniejsz liczbę żądań przy użyciu wzorców projektowych, takich jak Backend for Frontends i Gateway Aggregation. Te wzorce mogą zwiększyć wydajność operacji.
Reguły zapory aplikacji internetowej (WAF) ograniczają ruch przychodzący, co może pomóc w optymalizacji kosztów. Na przykład użyj ograniczania szybkości, aby zapobiec nietypowo wysokim poziomom ruchu lub użyć filtrowania geograficznego, aby zezwolić na dostęp tylko z określonych regionów lub krajów.
Wydajne korzystanie z zasobów. Usługa Azure Front Door używa metody routingu, która pomaga w optymalizacji zasobów. O ile obciążenie nie jest bardzo wrażliwe na opóźnienia, równomiernie dystrybuować ruch we wszystkich środowiskach, aby efektywnie korzystać z wdrożonych zasobów.
Punkty końcowe usługi Azure Front Door mogą obsługiwać wiele plików. Jednym ze sposobów zmniejszenia kosztów przepustowości jest użycie kompresji.
Buforowanie w usłudze Azure Front Door umożliwia korzystanie z zawartości, która nie zmienia się często. Ponieważ zawartość jest obsługiwana z pamięci podręcznej, można zaoszczędzić na kosztach przepustowości, które są naliczane po przesłaniu żądania do źródeł.
Rozważ użycie wystąpienia udostępnionego przez organizację. Koszty ponoszone z usług scentralizowanych są współdzielone między obciążeniami. Należy jednak rozważyć kompromis z niezawodnością . W przypadku aplikacji o znaczeniu krytycznym, które mają wysokie wymagania dotyczące dostępności, zalecamy instancję autonomiczną.
Zwróć uwagę na ilość zarejestrowanych danych. Koszty związane z przepustowością i magazynem mogą być naliczane, jeśli niektóre żądania nie są konieczne lub jeśli dane rejestrowania są przechowywane przez długi czas.
Zalecenia
| Zalecenie | Korzyść |
|---|---|
| Użyj buforowania dla punktów końcowych, które go obsługują. | Buforowanie optymalizuje koszty transferu danych, ponieważ zmniejsza liczbę wywołań z wystąpienia usługi Azure Front Door do źródła. |
|
Rozważ włączenie kompresji plików. W przypadku tej konfiguracji aplikacja musi obsługiwać kompresję i buforowanie musi być włączona. |
Kompresja zmniejsza zużycie przepustowości i zwiększa wydajność. |
| Wyłącz sprawdzanie kondycji w grupach źródeł z jednym źródłem. Jeśli w grupie źródeł usługi Azure Front Door skonfigurowano tylko jedno źródło, te wywołania są niepotrzebne. |
Możesz zaoszczędzić na kosztach przepustowości, wyłączając żądania kontroli kondycji, które nie są wymagane do podejmowania decyzji dotyczących routingu. |
Doskonałość operacyjna
Doskonałość operacyjna koncentruje się głównie na procedurach praktyk programistycznych, wglądu i zarządzania wydaniami.
Zasady projektowania doskonałości operacyjnej oferują strategię projektowania na wysokim poziomie, aby osiągnąć cele związane z wymaganiami operacyjnymi obciążenia.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu , skupiającej się na doskonałości operacyjnej, aby zdefiniować procesy dotyczące obserwacji, testowania i wdrażania związane z usługą Azure Front Door.
Korzystaj z technologii infrastruktury jako kodu (IaC). Użyj technologii IaC, takich jak szablonów Bicep i Azure Resource Manager, aby aprowizować wystąpienie usługi Azure Front Door. Te podejścia deklaratywne zapewniają spójność i prostą konserwację. Na przykład przy użyciu technologii IaC można łatwo przyjąć nowe wersje zestawu reguł. Zawsze używaj najnowszej wersji interfejsu API.
Uproszczenie konfiguracji. Użyj usługi Azure Front Door, aby łatwo zarządzać konfiguracjami. Załóżmy na przykład, że twoja architektura obsługuje mikrousługi. Usługa Azure Front Door obsługuje możliwości przekierowania, dzięki czemu można użyć przekierowania opartego na ścieżkach do kierowania na poszczególne usługi. Innym przypadkiem zastosowania jest konfiguracja domen dowolnych.
Obsługa progresywnej ekspozycji. Usługa Azure Front Door udostępnia wiele metod routingu. W przypadku podejścia równoważenia obciążenia ważonego można użyć wdrożenia kanarowego, aby wysłać określony procent ruchu do źródła. Takie podejście ułatwia testowanie nowych funkcji i wydań w kontrolowanym środowisku przed ich wdrożeniem.
Zbieranie i analizowanie danych operacyjnych w ramach monitorowania obciążenia. Przechwyć odpowiednie dzienniki i metryki usługi Azure Front Door za pomocą dzienników usługi Azure Monitor. Te dane ułatwiają rozwiązywanie problemów, zrozumienie zachowań użytkowników i optymalizowanie operacji.
Odciąż zarządzanie certyfikatami w usłudze Azure. Złagodzić obciążenie operacyjne związane z rotacją i odnawianiem certyfikatów.
Zalecenia
| Zalecenie | Korzyść |
|---|---|
| użyj przekierowania HTTP do HTTPS, aby zapewnić zgodność w przyszłości. | Po włączeniu przekierowania usługa Azure Front Door automatycznie przekierowuje klientów używających starszego protokołu do korzystania z protokołu HTTPS w celu zapewnienia bezpiecznego środowiska. |
|
Przechwyć dzienniki i metryki. Uwzględnij dzienniki aktywności zasobów, dzienniki dostępu, dzienniki kontroli kondycji i dzienniki zapory aplikacji internetowej. Skonfiguruj alerty. |
Monitorowanie przepływu ruchu przychodzącego jest kluczowym elementem monitorowania aplikacji. Chcesz śledzić żądania i wprowadzać ulepszenia wydajności i zabezpieczeń. Potrzebujesz danych do debugowania konfiguracji usługi Azure Front Door. Dzięki alertom można otrzymywać natychmiastowe powiadomienia o wszelkich krytycznych problemach operacyjnych. |
| Przejrzyj wbudowane raporty analityczne . | Holistyczny widok profilu usługi Azure Front Door pomaga wprowadzać usprawnienia na podstawie raportów dotyczących ruchu i zabezpieczeń za pośrednictwem metryk WAF. |
| użyj zarządzanych certyfikatów TLS, gdy jest to możliwe. | Usługa Azure Front Door może wystawiać certyfikaty i zarządzać nimi. Ta funkcja eliminuje konieczność odnawiania certyfikatu i minimalizuje ryzyko awarii z powodu nieprawidłowego lub wygasłego certyfikatu TLS. |
| Użyj certyfikatów TLS z symbolami wieloznacznymi. | Nie musisz modyfikować konfiguracji, aby dodać lub określić każdą poddomenę oddzielnie. |
Wydajność
Efektywność wydajności polega na utrzymaniu doświadczenia użytkownika nawet wtedy, gdy występuje wzrost obciążenia dzięki zarządzaniu wydajnością. Strategia obejmuje skalowanie zasobów, identyfikowanie i optymalizowanie potencjalnych wąskich gardeł oraz optymalizowanie pod kątem szczytowej wydajności.
Zasady projektowania wydajności zapewniają strategię projektowania na wysokim poziomie w celu osiągnięcia tych celów wydajności względem oczekiwanego użycia.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem wydajności. Zdefiniuj punkt odniesienia oparty na kluczowych wskaźnikach wydajności dla usługi Azure Front Door.
Zaplanuj przepustowość, analizując oczekiwane wzorce ruchu. Przeprowadź dokładne testowanie, aby zrozumieć, jak aplikacja działa pod różnymi obciążeniami. Rozważ czynniki, takie jak jednoczesne transakcje, stawki żądań i transfer danych.
Oprzyj swoje wybory SKU na tym planowaniu. SKU "Standardowa" jest bardziej opłacalna i odpowiednia dla umiarkowanego ruchu. Jeśli przewidujesz wyższe obciążenia, zalecamy użycie jednostki SKU Premium.
Analizowanie danych wydajności, regularnie przeglądając metryki wydajności. raporty usługi Azure Front Door zapewniają wgląd w różne metryki, które służą jako wskaźniki wydajności na poziomie technologii.
Użyj raportów usługi Azure Front Door, aby ustawić realistyczne cele wydajności dla obciążenia. Rozważ czynniki, takie jak czasy odpowiedzi, przepływność i współczynniki błędów. Dopasuj cele do wymagań biznesowych i oczekiwań użytkowników.
Optymalizowanie transferów danych.
Buforowanie służy do zmniejszenia opóźnienia obsługi zawartości statycznej, takiej jak obrazy, arkusze stylów i pliki JavaScript lub zawartość, która nie zmienia się często.
Zoptymalizuj aplikację pod kątem buforowania. Użyj nagłówków wygasania pamięci podręcznej w aplikacji, które kontrolują, jak długo zawartość powinna być buforowana przez klientów i serwery proxy. Dłuższa ważność pamięci podręcznej oznacza mniej częste żądania do serwera pochodzenia, co powoduje zmniejszenie ruchu i mniejsze opóźnienie.
Zmniejsz rozmiar plików przesyłanych za pośrednictwem sieci. Mniejsze pliki prowadzą do szybszego ładowania i ulepszonego środowiska użytkownika.
Zminimalizuj liczbę żądań zaplecza w aplikacji.
Na przykład strona internetowa wyświetla profile użytkowników, ostatnie zamówienia, salda i inne powiązane informacje. Zamiast wysyłać oddzielne żądania dla każdego zestawu informacji, użyj wzorców projektowych, aby utworzyć strukturę aplikacji, aby wiele żądań było agregowanych w jednym żądaniu.
Zaktualizuj klientów do używania protokołu HTTP/2 , który może łączyć wiele żądań w jedno połączenie TCP.
Użyj obiektów WebSockets do obsługi komunikacji pełnodupleksowej w czasie rzeczywistym, zamiast podejmowania powtarzających się żądań HTTP lub sondowania.
Agregując żądania, wysyłasz mniej danych między frontonem a zapleczem i ustanawiasz mniej połączeń między klientem a zapleczem, co zmniejsza obciążenie. Ponadto usługa Azure Front Door obsługuje mniej żądań, co uniemożliwia przeciążenie.
Optymalizowanie korzystania z sond kondycji. Uzyskaj informacje zdrowotne z sond zdrowotnych tylko wtedy, gdy stan źródła ulegnie zmianie. Zachowanie równowagi między dokładnością monitorowania a zminimalizowaniem niepotrzebnego ruchu.
Sondy kondycji są zwykle używane do oceny kondycji wielu źródeł w grupie. Jeśli w grupie źródeł usługi Azure Front Door skonfigurowano tylko jedno źródło, wyłącz sondy zdrowotne, aby zmniejszyć niepotrzebny ruch na serwerze źródłowym. Ponieważ istnieje tylko jedno wystąpienie, stan sondy kondycji nie będzie mieć wpływu na routing.
Przejrzyj metodę routingu źródła. Usługa Azure Front Door udostępnia różne metody routingu, w tym oparte na opóźnieniach, oparte na priorytetach, ważone i oparte na koligacji sesji, do źródła. Te metody znacząco wpływają na wydajność aplikacji. Aby dowiedzieć się więcej na temat najlepszej opcji routingu ruchu dla danego scenariusza, zobacz Metody routingu ruchu do źródła.
Przejrzyj lokalizację serwerów pochodzenia. Lokalizacja serwerów pochodzenia ma wpływ na czas odpowiedzi aplikacji. Serwery źródłowe powinny być bliżej użytkowników. Usługa Azure Front Door zapewnia, że użytkownicy z określonej lokalizacji uzyskują dostęp do najbliższego punktu wejścia usługi Azure Front Door. Korzyści z wydajności obejmują szybsze środowisko użytkownika, lepsze wykorzystanie routingu opartego na opóźnieniach przez usługę Azure Front Door i zminimalizowanie czasu transferu danych przy użyciu buforowania, które przechowuje zawartość bliżej użytkowników.
Aby uzyskać więcej informacji, zobacz raport o ruchu według lokalizacji .
Zalecenia
| Zalecenie | Korzyść |
|---|---|
|
Włącz buforowanie. Możesz zoptymalizować ciągi zapytania do buforowania. W przypadku zawartości statycznej zignoruj ciągi zapytań, aby zmaksymalizować użycie pamięci podręcznej. Jeśli aplikacja używa ciągów zapytania, rozważ uwzględnienie ich w kluczu pamięci podręcznej. Uwzględnienie ciągów zapytania w kluczu pamięci podręcznej umożliwia usłudze Azure Front Door obsługę buforowanych odpowiedzi lub innych odpowiedzi na podstawie konfiguracji. |
Usługa Azure Front Door oferuje niezawodne rozwiązanie sieciowe dostarczania zawartości, które buforuje zawartość na brzegu sieci. Buforowanie zmniejsza obciążenie serwerów pochodzenia i zmniejsza przenoszenie danych przez sieć, co pomaga odciążyć użycie przepustowości. |
| Użyj kompresji plików podczas uzyskiwania dostępu do zawartości możliwej do pobrania. | Kompresja w usłudze Azure Front Door pomaga dostarczać zawartość w optymalnym formacie, ma mniejszy ładunek i dostarcza zawartość użytkownikom szybciej. |
Podczas konfigurowania sond kondycji w usłudze Azure Front Door rozważ użycie żądań HEAD zamiast żądań GET. Sonda kondycji odczytuje tylko kod stanu, a nie zawartość. |
HEAD żądania umożliwiają wykonywanie zapytań o zmianę stanu bez pobierania całej zawartości. |
| Oceń, czy należy włączyć koligację sesji , gdy żądania od tego samego użytkownika powinny być kierowane do tego samego serwera pochodzenia. Z perspektywy niezawodności nie zalecamy tego podejścia. Jeśli używasz tej opcji, aplikacja powinna sprawnie przywrócić działanie bez przerywania sesji użytkowników. Istnieje również konieczność kompromisowego rozwiązania w zakresie równoważenia obciążenia, ponieważ ogranicza elastyczność równomiernego rozdzielania ruchu między wieloma źródłami. |
Zoptymalizuj wydajność i zachowaj ciągłość sesji użytkowników, zwłaszcza gdy aplikacje korzystają z lokalnego utrzymywania informacji o stanie. |
Zasady platformy Azure
Platforma Azure udostępnia obszerny zestaw wbudowanych zasad związanych z usługą Azure Front Door i jej zależnościami. Niektóre z powyższych zaleceń można przeprowadzić inspekcję za pomocą zasad platformy Azure. Możesz na przykład sprawdzić, czy:
- Do obsługi zarządzanych reguł zapory aplikacji internetowej i usługi Private Link w profilach usługi Azure Front Door potrzebna jest warstwa Premium.
- Musisz użyć minimalnej wersji protokołu TLS, która jest w wersji 1.2.
- Potrzebna jest bezpieczna, prywatna łączność między usługami Azure Front Door Premium i Azure PaaS.
- Należy włączyć dzienniki zasobów. Zapora aplikacji internetowej powinna mieć włączoną inspekcję treści żądania.
- Aby wymusić zestaw reguł zapory aplikacji internetowej (WAF), należy użyć zasad. Na przykład należy włączyć ochronę bota i włączyć reguły ograniczania szybkości.
Aby uzyskać kompleksowe zarządzanie, zapoznaj się z wbudowanymi definicjami dla Azure Content Delivery Network oraz innymi zasadami Azure Front Door, które są wymienione w wbudowanych definicjach zasad Azure Policy.
Rekomendacje usługi Azure Advisor
Azure Advisor to spersonalizowany konsultant ds. chmury, który pomaga stosować najlepsze rozwiązania w celu zoptymalizowania wdrożeń platformy Azure. Zalecenia doradcy są dostosowane do filarów Well-Architected Framework.
Aby uzyskać więcej informacji, zobacz zalecenia w Azure Advisor.
Następne kroki
Rozważ następujące artykuły jako zasoby, które przedstawiają zalecenia wyróżnione w tym artykule.
- Skorzystaj z następujących architektur referencyjnych jako przykładów sposobu zastosowania wskazówek tego artykułu do obciążenia:
- Utwórz wiedzę na temat implementacji, korzystając z następującej dokumentacji produktu:
- usługi Azure Front Door
- Najlepsze rozwiązania dotyczące usługi Azure Front Door