Compartilhar via


Perguntas frequentes sobre o Azure Front Door

Este artigo fornece respostas para as perguntas mais frequentes sobre os recursos e a funcionalidade do Azure Front Door. Se você não encontrar a resposta para sua pergunta, entre em contato conosco por meio dos seguintes canais (em ordem crescente):

  1. A seção de comentários deste artigo.

  2. Comentários do Azure Front Door.

  3. Suporte da Microsoft: Para criar uma nova solicitação de suporte, no portal do Azure, na guia Ajuda , selecione o botão Ajuda + suporte e, em seguida, selecione Nova solicitação de suporte.

Geral

O que é o Azure Front Door?

O Azure Front Door é um serviço baseado em nuvem que fornece seus aplicativos de forma mais rápida e confiável. Ele usa o balanceamento de carga da camada 7 para distribuir o tráfego entre várias regiões e endpoints. Ele também oferece aceleração dinâmica de site (DSA) para otimizar o desempenho da Web e failover quase em tempo real para garantir alta disponibilidade. O Azure Front Door é um serviço totalmente gerenciado, portanto, você não precisa se preocupar com dimensionamento ou manutenção.

Qual a diferença entre o Azure Front Door e o Gateway de Aplicativo do Azure?

O Azure Front Door e o Gateway de Aplicativo do Azure são balanceadores de carga para tráfego HTTP/HTTPS, mas têm escopos diferentes. O Front Door é um serviço global que pode distribuir solicitações entre regiões, enquanto o Gateway de Aplicativo é um serviço regional que pode equilibrar solicitações dentro de uma região. O Azure Front Door funciona com unidades de escala, clusters ou unidades de selo, enquanto o Gateway de Aplicativo do Azure funciona com VMs, contêineres ou outros recursos na mesma unidade de escala.

Que tipo de recursos são atualmente compatíveis como origem?

Você pode usar diferentes tipos de origens para o Azure Front Door, como:

  • Armazenamento (Blob do Azure, Clássico, sites estáticos)
  • serviço de nuvem
  • Serviço de Aplicativo
  • Aplicativo Web estático
  • Gerenciamento de API
  • Portal de Aplicações
  • Endereço IP público
  • Aplicativos Spring do Azure
  • Instâncias de Contêiner
  • Aplicativos de contêiner
  • Qualquer nome de host personalizado com acesso público.

A origem deve ter um IP público ou um nome de host DNS que possa ser resolvido publicamente. Você pode misturar e combinar back-ends de diferentes zonas, regiões ou até mesmo fora do Azure, desde que sejam acessíveis publicamente.

Em quais regiões posso implantar os serviços do Azure Front Door?

O Azure Front Door não se limita a nenhuma região do Azure, mas opera globalmente. O único local que você precisa escolher ao criar um Front Door é o local do grupo de recursos, que determina onde os metadados do grupo de recursos são armazenados. O perfil do Front Door é um recurso global e sua configuração é distribuída para todos os locais de borda em todo o mundo.

Quais são os locais dos POPs (pontos de presença) do Azure Front Door?

Para obter a lista completa de POPs (pontos de presença) que fornecem balanceamento de carga global e entrega de conteúdo para o Azure Front Door, consulte Locais POP do Azure Front Door. Essa lista é atualizada regularmente à medida que novos POPs são adicionados ou removidos. Você também pode usar a API do Azure Resource Manager para consultar a lista atual de POPs programaticamente.

Como o Azure Front Door aloca seus recursos entre diferentes clientes?

O Azure Front Door é um serviço que distribui seu aplicativo globalmente em várias regiões. Ele usa uma infraestrutura comum que é compartilhada por todos os seus clientes, mas você pode personalizar seu próprio perfil do Front Door para configurar os requisitos específicos do aplicativo. As configurações de outros clientes não podem afetar a configuração do Front Door, que é isolada da deles.

Como o Azure Front Door determina a ordem das regras de roteamento?

O Front Door não classifica as rotas para seu aplicativo Web. Em vez disso, ele escolhe a rota que melhor se adapta à solicitação. Para descobrir como o Front Door corresponde solicitações a rotas, consulte Como o Front Door corresponde solicitações a uma regra de roteamento.

Quais são as etapas para restringir o acesso ao meu back-end apenas ao Azure Front Door?

Para garantir o desempenho ideal dos recursos do Front Door, você só deve permitir que o tráfego proveniente do Azure Front Door chegue à sua origem. Como resultado, solicitações não autorizadas ou mal-intencionadas encontram as políticas de segurança e roteamento do Front Door e têm o acesso negado. Para saber como proteger sua origem, consulte Proteger o tráfego para origens do Azure Front Door.

Qual é o tempo estimado para implantar um Azure Front Door? Meu Front Door permanece operacional durante o processo de atualização?

O tempo de implantação para novas configurações do Front Door varia dependendo do tipo de alteração. Normalmente, leva entre 3 e 20 minutos para que as alterações se propaguem para todos os nossos pontos de presença em todo o mundo.

Observação

As atualizações de certificado TLS/SSL personalizadas podem levar mais tempo, de vários minutos a uma hora, para serem implantadas globalmente.

As atualizações de rotas ou grupos de origem/pools de back-end são contínuas e não causam nenhum tempo de inatividade (supondo que a nova configuração esteja correta). As atualizações de certificado também são feitas atomicamente, portanto, não há risco de interrupção.

Posso mover perfis do Front Door e da CDN entre grupos de recursos ou assinaturas sem nenhum tempo de inatividade?

  • Os perfis do Front Door Standard/Premium e da CDN do Azure podem ser movidos entre grupos de recursos ou assinaturas sem nenhum tempo de inatividade. Para executar a movimentação, siga estas instruções.
  • O Front Door Classic não dá suporte à movimentação entre grupos de recursos ou assinaturas. Em vez disso, você pode migrar o perfil Classic para Standard/Premium e executar a movimentação.
  • Se o cliente tiver o WAF associado ao Front Door Standard/Premium, a operação de movimentação falhará. O cliente precisa desassociar as políticas do WAF primeiro, mover e depois associar.

Recursos e protocolos

Quais recursos são compatíveis com o Azure Front Door?

O Azure Front Door é um serviço que oferece muitos benefícios para seus aplicativos Web, como DSA (aceleração dinâmica de site), que melhora o desempenho e a experiência do usuário de seus sites. O Azure Front Door também lida com o descarregamento de TLS/SSL e o TLS de ponta a ponta, o que aprimora a segurança e a criptografia do tráfego da Web. Além disso, o Azure Front Door fornece Firewall de Aplicativo Web, afinidade de sessão baseada em cookie, roteamento baseado em caminho de URL, certificados gratuitos e vários gerenciamentos de domínio e muito mais. Para saber mais sobre os recursos e as funcionalidades do Azure Front Door, consulte comparação de camadas.

Quais protocolos são compatíveis com o Azure Front Door?

O Azure Front Door dá suporte a HTTP, HTTPS e HTTP/2.

Como o Azure Front Door dá suporte ao HTTP/2?

O Azure Front Door dá suporte ao protocolo HTTP/2 para conexões de cliente. No entanto, a comunicação do pool de back-end usa o protocolo HTTP/1.1. O suporte a HTTP/2 está ativado por padrão.

O Azure Front Door dá suporte ao gRPC?

Não. Atualmente, o Azure Front Door só dá suporte ao HTTP/1.1 da borda até a origem. Para que o gRPC funcione, o HTTP/2 é necessário.

O Azure Front Door dá suporte ao redirecionamento de HTTP para HTTPS?

Você pode redirecionar componentes de host, caminho e cadeia de caracteres de consulta de uma URL com o Azure Front Door. Para saber como configurar o redirecionamento de URL, consulte Redirecionamento de URL.

O AFD fornece telemetria para mostrar quais regras o mecanismo de regras que o AFD processa para cada solicitação?

Sim. Consulte a propriedade MatchedRulesSetName em Logs de acesso.

O AFD pode fornecer proteção contra ataques DDoS 'HTTP/2 Rapid Reset'?

Sim. Para obter mais informações, consulte Resposta da Microsoft a ataques DDoS contra HTTP/2.

O Azure Front Door preserva os cabeçalhos 'x-forwarded-for'?

O Azure Front Door dá suporte aos cabeçalhos X-Forwarded-For, X-Forwarded-Host e X-Forwarded-Proto. Esses cabeçalhos ajudam o Front Door a identificar o IP e o protocolo do cliente original. Se o X-Forwarded-For já estiver presente, o Front Door adicionará o IP do soquete do cliente ao final da lista. Caso contrário, ele cria o cabeçalho com o IP do soquete do cliente como o valor. Para X-Forwarded-Host e X-Forwarded-Proto, o Front Door substitui os valores existentes pelos seus próprios.

Para obter mais informações, consulte Cabeçalhos HTTP com suporte do Front Door.

O Azure Front Door tem a capacidade de balancear a carga ou rotear o tráfego em uma rede virtual?

Para usar o Azure Front Door Standard ou a camada (clássica), você precisa de um IP público ou um nome DNS que possa ser resolvido publicamente. Esse requisito de um IP público ou um nome DNS que pode ser resolvido publicamente permite que o Azure Front Door roteie o tráfego para seus recursos de back-end. Você pode usar recursos do Azure, como Gateways de Aplicativo ou Azure Load Balancers, para rotear o tráfego para recursos em uma rede virtual. Se você usar a camada Premium do Front Door, poderá usar o Link Privado para se conectar a origens por trás de um balanceador de carga interno com um ponto de extremidade privado. Para obter mais informações, consulte Origens seguras com Link Privado.

Implantando o Front Door com outros serviços

Quando devo implantar um Gateway de Aplicativo atrás do Front Door?

O Gateway de Aplicativo atrás do Front Door é útil nestas situações:

  • Você deseja equilibrar o tráfego não apenas globalmente, mas também dentro de sua rede virtual. O Front Door só pode fazer o balanceamento de carga baseado em caminho no nível global, mas o Gateway de Aplicativo pode fazer isso em sua rede virtual.
  • Você precisa de drenagem de conexão, que o Front Door não suporta. O Gateway de Aplicativo pode habilitar a Drenagem de Conexão para suas VMs ou contêineres.
  • Você deseja descarregar todo o processamento TLS/SSL e usar apenas solicitações HTTP em sua rede virtual. O Gateway de Aplicativo por trás do Front Door pode realizar essa configuração.
  • Você deseja usar a afinidade de sessão no nível regional e do servidor. O Front Door pode enviar o tráfego de uma sessão de usuário para o mesmo back-end em uma região, mas o Gateway de Aplicativo pode enviá-lo para o mesmo servidor no back-end.

Posso implantar outra CDN de um fornecedor externo atrás ou na frente do Front Door?

Encadear dois CDNs geralmente não é uma abordagem recomendada, funcionaria, mas vem com os seguintes contras

  1. A aceleração de última milha da CDN utiliza manter o fluxo de conexão com a origem e encontrar o caminho ideal para a origem para obter melhores resultados. Encadear dois CDNs normalmente anula alguns dos benefícios da aceleração de última milha.
  2. Os controles de segurança tornam-se menos eficazes na segunda CDN. Qualquer ACLing baseada em IP do cliente não funcionará no segundo CDN, pois o segundo CDN verá o nó de saída do primeiro CDN como IPs do cliente. A carga útil do conteúdo ainda será inspecionada.
  3. Muitas organizações não conseguem lidar com a complexidade de solucionar problemas de duas CDNs encadeadas e, quando há um problema, fica difícil descobrir qual CDN está tendo o problema.

Posso implantar o Azure Load Balancer atrás do Front Door?

Para usar o Azure Front Door, você deve ter um VIP público ou um nome DNS acessível publicamente. O Azure Front Door usa o IP público para rotear o tráfego para sua origem. Um cenário comum é implantar um Azure Load Balancer atrás do Front Door. Você também pode usar o Link Privado com o Azure Front Door Premium para se conectar a um balanceador de carga interno. Para obter mais informações, consulte habilitar o Link Privado com o balanceador de carga interno.

É possível configurar a CDN do Azure por trás do meu perfil/ponto de extremidade do Front Door ou vice-versa?

O Azure Front Door e a CDN do Azure são dois serviços que fornecem entrega na Web rápida e confiável para seus aplicativos. No entanto, eles não são compatíveis entre si, pois compartilham a mesma rede de sites de borda do Azure para fornecer conteúdo aos usuários. Essa rede compartilhada causa conflitos entre suas políticas de roteamento e cache. Portanto, você precisa escolher o Azure Front Door ou a CDN do Azure para seu aplicativo, dependendo dos requisitos de desempenho e segurança.

É possível configurar um perfil/ponto de extremidade do Azure Front Door atrás de outro perfil/ponto de extremidade do Front Door ou o contrário?

O fato de que ambos os perfis/pontos de extremidade usariam o mesmo POP de borda do Azure para lidar com solicitações de entrada causa uma limitação que impede que você aninhe um perfil/ponto de extremidade do Azure Front Door atrás de outro. Essa configuração causaria conflitos de roteamento e problemas de desempenho. Portanto, você deve garantir que seus perfis/pontos de extremidade do Azure Front Door não estejam encadeados, se você precisar usar vários perfis/pontos de extremidade para seus aplicativos.

Endereços IP e marcas de serviço do Front Door

O IP anycast do meu Front Door permanece o mesmo durante toda a sua vida útil?

O endereço IP do anycast de front-end do Front Door é fixo e pode não mudar enquanto você usar o Front Door. No entanto, o endereço IP fixo do anycast de front-end do Front Door não é uma garantia. Evite confiar diretamente no IP. Para se manter informado e tomar as medidas apropriadas durante as alterações nos endereços IP, desenvolva automação para buscar regularmente os endereços IP mais recentes usando a API Service Tag Discovery ou o arquivo JSON.

O Azure Front Door oferece IPs estáticos ou dedicados?

O Azure Front Door é um serviço dinâmico que roteia o tráfego para o melhor back-end disponível. Ele não oferece IPs anycast de front-end estáticos ou dedicados no momento.

Quais são as marcas de serviço de rede compatíveis com o Front Door?

O Azure Front Door usa três marcas de serviço para gerenciar o tráfego entre seus clientes e suas origens:

  • A marca de serviço AzureFrontDoor.Backend contém os endereços IP que o Front Door usa para acessar suas origens. Você pode aplicar essa marca de serviço ao configurar a segurança para as origens.
  • A marca de serviço AzureFrontDoor.Frontend contém os endereços IP que os clientes usam para acessar o Front Door. Você pode aplicar a marca de serviço quando quiser controlar o tráfego de saída que pode se conectar aos serviços por trás do AzureFrontDoor.Frontend Azure Front Door.
  • A marca de serviço AzureFrontDoor.FirstParty é reservada para um grupo seleto de serviços da Microsoft hospedados no Azure Front Door.

Para obter mais informações sobre cenários de marcas de serviço do Azure Front Door, consulte marcas de serviço disponíveis. Para se manter informado e tomar as medidas apropriadas durante as alterações nos endereços IP, desenvolva automação para buscar regularmente os endereços IP mais recentes usando a API Service Tag Discovery ou o arquivo JSON.

Configuração

Quais são as práticas recomendadas para criar origens e grupos de origem para o Azure Front Door?

Um grupo de origens é uma coleção de origens que pode lidar com tipos semelhantes de solicitações. Você precisa de um grupo de origem diferente para cada aplicativo ou carga de trabalho diferente.

Em um grupo de origens, você cria uma origem para cada servidor ou serviço que pode atender a solicitações. Se a origem tiver um balanceador de carga, como o Gateway de Aplicativo do Azure, ou estiver hospedada em uma PaaS que tenha um balanceador de carga, o grupo de origem terá apenas uma origem. Sua origem cuida do failover e do balanceamento de carga entre origens que o Front Door não vê.

Por exemplo, se você hospedar um aplicativo no Serviço de Aplicativo do Azure, a forma como você configura o Front Door depende de quantas instâncias de aplicativo você tem:

  • Implantação de região única: crie um grupo de origens. Nesse grupo de origens, crie uma origem para o aplicativo do Serviço de Aplicativo. Seu aplicativo do Serviço de Aplicativo pode ser escalado horizontalmente entre os trabalhadores, mas o Front Door vê uma origem.
  • Implantação ativa/passiva de várias regiões: crie um grupo de origens. Nesse grupo de origem, crie uma origem para cada aplicativo do Serviço de Aplicativo. Defina a prioridade de cada origem para que o aplicativo principal tenha uma prioridade mais alta do que o aplicativo de backup.
  • Implantação ativa/ativa de várias regiões: crie um grupo de origens. Nesse grupo de origem, crie uma origem para cada aplicativo do Serviço de Aplicativo. Defina a prioridade de cada origem para ser a mesma. Defina o peso de cada origem para controlar quantas solicitações vão para essa origem.

Para saber mais, confira Origens e grupos de origem no Azure Front Door.

Quais são os valores padrão e máximos para os tempos limite e limites do Azure Front Door?

O Azure Front Door é um serviço que fornece entrega rápida e confiável da Web para seus aplicativos. Ele oferece recursos como cache, balanceamento de carga, segurança e roteamento. No entanto, você precisa estar ciente de alguns tempos limite e limites que se aplicam ao Azure Front Door. Esses tempos limite e limites incluem o tamanho máximo da solicitação, o tamanho máximo da resposta, o tamanho máximo do cabeçalho, o número máximo de cabeçalhos, o número máximo de regras e o número máximo de grupos de origem. Você pode encontrar as informações detalhadas sobre esses tempos limite e limites na documentação do Azure Front Door.

Quanto tempo o Azure Front Door requer para aplicar uma nova regra adicionada ao Mecanismo de Regras do Front Door?

As atualizações de configuração para a maioria dos conjuntos de regras são feitas em menos de 20 minutos. A regra será aplicada logo após a conclusão da atualização.

Qual é o valor do tempo limite do cabeçalho do cliente para o Azure Front Door?

O Azure Front Door tem um tempo limite de 5 segundos para receber cabeçalhos do cliente. A conexão será encerrada se o cliente não enviar cabeçalhos dentro de 5 segundos para o Azure Front Door depois de estabelecer a conexão TCP/TLS. Você não pode configurar esse valor de tempo limite.

Qual é o valor do tempo limite de keep-alive HTTP para o Azure Front Door?

O Azure Front Door tem um tempo limite de manutenção de atividade HTTP de 90 segundos. A conexão será encerrada se o cliente não enviar dados por 90 segundos, que é o tempo limite de keep-alive HTTP para o Azure Front Door. Você não pode configurar esse valor de tempo limite.

É possível usar o mesmo domínio para dois pontos de extremidade diferentes do Front Door?

Você não pode usar os mesmos domínios para mais de um ponto de extremidade do Front Door, pois o Front Door precisa distinguir a rota (combinação de protocolo + host + caminho) para cada solicitação. Se você tiver rotas duplicadas em pontos de extremidade diferentes, o Azure Front Door não poderá processar as solicitações corretamente.

É possível migrar um domínio de um ponto de extremidade do Front Door para outro ponto de extremidade do Front Door sem nenhum tempo de inatividade?

No momento, não oferecemos a opção de mover domínios de um endpoint para outro sem qualquer interrupção no serviço. Você precisa planejar algum tempo de inatividade se quiser migrar seus domínios para um endpoint diferente.

O recurso Link Privado do Azure Front Door é independente da região e funcionará mesmo se você escolher uma região diferente da região em que sua origem está localizada. Nesses casos, para garantir uma latência mais baixa, você sempre deve escolher uma região do Azure mais próxima de sua origem ao optar por habilitar o ponto de extremidade do Link Privado do Azure Front Door. Estamos no processo de permitir o apoio a mais regiões. Depois que uma nova região for compatível, você poderá seguir estas instruções para mudar gradualmente o tráfego para a nova região.

Desempenho

Como o Azure Front Door garante alta disponibilidade e escalabilidade para seus serviços?

O Azure Front Door é uma plataforma que distribui o tráfego em todo o mundo e pode ser dimensionada para atender às demandas do seu aplicativo. Ele usa a borda de rede global da Microsoft para fornecer capacidade de balanceamento de carga global que permite alternar todo o seu aplicativo ou microsserviços específicos para diferentes regiões ou nuvens se houver falha.

Quais são as condições para armazenar em cache respostas variadas da minha origem?

Para evitar erros ao entregar arquivos grandes, certifique-se de que o servidor de origem inclua o Content-Range cabeçalho na resposta e que o valor do cabeçalho corresponda ao tamanho real do corpo da resposta.

Você pode encontrar mais detalhes sobre como configurar sua origem e o Front Door para entrega de arquivos grandes em Entrega de arquivos grandes.

Configuração TLS

Como o Azure Front Door bloqueia a frente de domínio?

O fronting de domínio é uma técnica de rede que permite que um invasor oculte o destino real de uma solicitação mal-intencionada usando um nome de domínio diferente no handshake TLS e no cabeçalho do host HTTP.

Os recursos do Azure Front Door (camada Standard, Premium e Classic) ou CDN Standard do Azure Standard da Microsoft (clássico) criados após 8 de novembro de 2022 têm o bloqueio de fronting de domínio habilitado. Em vez de bloquear uma solicitação com SNI e cabeçalhos de host incompatíveis, permitimos a discrepância se os dois domínios pertencerem à mesma assinatura e estiverem incluídos nas regras de rotas/roteamento. A aplicação de bloqueio de fronting de domínio começará em 22 de janeiro de 2024 para todos os domínios existentes. A aplicação pode levar até duas semanas para ser propagada para todas as regiões.

Quando o Front Door bloqueia uma solicitação devido a uma incompatibilidade:

  • O cliente recebe uma resposta de código de erro HTTP 421 Misdirected Request .
  • O Azure Front Door registra o bloco nos logs de diagnóstico na propriedade Informações de Erro com o valor SSLMismatchedSNI.

Para obter mais informações sobre o fronting de domínio, consulte Protegendo nossa abordagem de fronting de domínio no Azure e Proibindo o fronting de domínio no Azure Front Door e na CDN Standard do Azure da Microsoft (clássica).

Quais versões do TLS têm suporte com o Azure Front Door?

O Front Door usa o TLS 1.2 como a versão mínima para todos os perfis criados após setembro de 2019.

Você pode optar por usar o TLS 1.2 ou 1.3 com o Azure Front Door. Para saber mais, leia o artigo TLS de ponta a ponta do Azure Front Door .

Faturamento

Sou cobrado pelos recursos do Azure Front Door que estão desabilitados?

Os recursos do Azure Front Door não podem ser desabilitados. Eles só podem ser excluídos. Medidores variáveis como Transferência de Dados, Transferência de Dados e Solicitações não são cobrados quando não há tráfego, mas a taxa base é cobrada mesmo que não haja tráfego. A taxa base será cobrada até que o perfil seja excluído. Para o AFD Classic, as políticas e as regras do WAF são cobradas independentemente de seu status. Mesmo que você desabilite uma política ou regra do WAF, ela ainda incorrerá em custos para você.

Armazenamento em cache

É possível usar o cabeçalho da solicitação HTTP como uma chave de cache?

Não.

O Front Door é compatível com ETag?

Não.

É possível suportar compactação para tamanhos de arquivo acima de 8 MB?

O AFD não oferece suporte à compactação dinâmica para conteúdo com mais de 8 MB. No entanto, se o conteúdo já tiver sido compactado pela origem, o Front Door dará suporte ao fornecimento de conteúdo compactado estático com mais de 8 MB, desde que haja suporte para a solicitação de intervalo e a codificação de transferência em partes não esteja habilitada.

O AFD oferece suporte à configuração do cabeçalho de autorização na solicitação HTTP se o cache estiver ativado?

Não.

Diagnóstico e registro de eventos

Quais são as métricas e os logs que o Azure Front Door fornece?

Para obter informações sobre logs e outros recursos de diagnóstico, consulte Monitorando métricas e logs do Front Door.

Qual é a duração da retenção dos logs de diagnóstico?

Você pode armazenar logs de diagnóstico em sua própria conta de armazenamento e escolher por quanto tempo mantê-los. Como alternativa, os logs de diagnóstico podem ser enviados para Hubs de Eventos ou logs do Azure Monitor. Para obter mais informações, confira Diagnóstico do Azure Front Door.

Quais são as etapas para acessar os logs de auditoria do Azure Front Door?

Para acessar os logs de auditoria do Azure Front Door, você precisa visitar o portal. Selecione o Front Door na página do menu e selecione Registro de atividades. O Log de Atividades fornece os registros das operações do Azure Front Door.

Como posso configurar alertas para o Azure Front Door?

Você pode configurar alertas para o Azure Front Door com base em métricas ou logs. Ao fazer isso, você pode monitorar o desempenho e a integridade de seus hosts front-end.

Para saber como criar alertas para o Azure Front Door Standard e Premium, consulte configurar alertas.