Поделиться через


Лучшие практики для входной двери

В этой статье приведены рекомендации по использованию Azure Front Door.

Общие рекомендации

Когда следует объединять Traffic Manager и Front Door

Для большинства решений рекомендуется использовать либо Front Door, либоAzure Traffic Manager, но не оба сразу. Диспетчер трафика Azure — это подсистема балансировки нагрузки на основе DNS. Он отправляет трафик непосредственно на конечные точки вашего источника. В отличие от этого, Azure Front Door завершает подключения в точках присутствия (PoP) рядом с клиентом и устанавливает отдельные долгосрочные подключения к источникам. Продукты работают по-разному и предназначены для разных сценариев использования.

Если вам требуется кэширование и доставка содержимого (CDN), завершение TLS, расширенные возможности маршрутизации или брандмауэр веб-приложения (WAF), рассмотрите возможность использования Front Door. Для простой глобальной балансировки нагрузки с прямыми подключениями от клиента к конечным точкам рассмотрите возможность использования диспетчера трафика. Дополнительные сведения о выборе параметра балансировки нагрузки см. в разделе Параметры балансировки нагрузки.

Однако в рамках сложной архитектуры, требующей высокого уровня доступности, вы можете разместить диспетчер трафика Azure перед Azure Front Door. В маловероятном случае, если Azure Front Door недоступен, диспетчер трафика Azure может направить трафик в альтернативное место назначения, например в шлюз приложений Azure или партнерскую сеть доставки содержимого (CDN).

Это важно

Не размещайте диспетчер трафика Azure позади Azure Front Door. Диспетчеры трафика Azure всегда должны находиться перед Azure Front Door.

Ограничьте трафик на свои серверы-источники

Функции Front Door работают лучше всего, когда трафик проходит только через Front Door. Необходимо настроить источник так, чтобы он блокировал трафик, который не был отправлен через Front Door. Дополнительные сведения см. в разделе Безопасный трафик к источникам Azure Front Door.

Используйте последнюю версию API и версию SDK

При работе с Front Door с помощью API, шаблонов ARM, Bicep или пакетов SDK Azure важно использовать последнюю доступную версию API или пакета SDK. Обновления API и SDK происходят при появлении новых функций, а также содержат важные патчи безопасности и исправления ошибок.

Настройка журналов

Front Door отслеживает обширную телеметрию по каждому запросу. При включении кэширования исходные серверы могут получать не все запросы, поэтому важно использовать журналы Front Door, чтобы понять, как ваше решение работает и реагирует на запросы клиентов. Дополнительные сведения о метриках и журналах, которые записывает Azure Front Door, см. в Мониторинг метрик и журналов в Azure Front Door и логах WAF.

Сведения о настройке ведения журнала для собственного приложения см. в статье Настройка журналов Azure Front Door

Рекомендации по TLS

Используйте сквозное шифрование TLS

Front Door завершает соединения TCP и TLS от клиентов. Затем он устанавливает новые соединения от каждой точки присутствия (PoP) до источника. Рекомендуется защищать каждое из этих подключений с помощью TLS, даже для источников, размещенных в Azure. Такой подход гарантирует, что ваши данные всегда будут зашифрованы во время передачи.

Дополнительные сведения см. в статье Комплексный протокол TLS с Azure Front Door.

Используйте перенаправление с HTTP на HTTPS

Клиентам рекомендуется использовать протокол HTTPS для подключения к вашему сервису. Однако иногда необходимо принимать HTTP-запросы, чтобы разрешить доступ к старым клиентам или клиентам, которые могут не понимать рекомендации.

Вы можете настроить Front Door для автоматического перенаправления HTTP-запросов на использование протокола HTTPS. Вы должны включить настройку Перенаправлять весь трафик на использование HTTPS на вашем маршруте.

Используйте управляемые сертификаты TLS

Когда Front Door управляет сертификатами TLS, это снижает эксплуатационные затраты и помогает избежать дорогостоящих сбоев, вызванных тем, что вы забыли продлить сертификат. Front Door автоматически выпускает и вращает управляемые сертификаты TLS.

Дополнительные сведения см. в статье Настройка протокола HTTPS в личном домене Azure Front Door с помощью портала Azure.

Использование "последней" версии для сертификатов, управляемых клиентом

Если вы решите использовать собственные сертификаты TLS, рассмотрите возможность установки версии сертификата Key Vault на «Последняя». Используя функцию «Последняя», вам не придется перенастраивать Front Door для использования новых версий сертификата и ждать, пока сертификат будет развернут во всех средах Front Door.

Дополнительные сведения см. в статье Выбор сертификата для развертывания Azure Front Door.

Передовой опыт работы с доменными именами

Внедрение личных доменов

Применяйте пользовательские домены для конечных точек Front Door, чтобы обеспечить более высокую доступность и гибкость при управлении доменами и трафиком. Не закодируйте жестко домены, предоставленные AFD (например, *.azurefd.z01.net) в ваших клиентах/кодовых базах/брандмауэре. Для таких сценариев используйте личные домены.

Используйте одно и то же доменное имя в Front Door и источнике

Front Door может переписывать заголовок Host входящих запросов. Эта функция может быть полезна при управлении набором пользовательских доменных имен, ориентированных на клиентов, которые направляются к одному источнику. Эта функция также может быть полезна, если вы не хотите настраивать пользовательские доменные имена в Front Door и в источнике домена. Однако при переписывании Host заголовка запросы cookie и перенаправления URL могут нарушиться. В частности, при использовании таких платформ, как служба приложений Azure, такие функции, как сходство сеансов , проверка подлинности и авторизация , могут работать неправильно.

Прежде чем переписывать заголовок Host ваших запросов, тщательно подумайте, будет ли ваше приложение работать корректно.

Дополнительные сведения см. в статье Сохранение исходного имени узла HTTP между обратным прокси-сервером и его серверным веб-приложением.

Межсетевой экран веб-приложений (WAF)

Включение WAF

Для приложений, выходящих из Интернета, рекомендуется включить брандмауэр веб-приложения Front Door (WAF) и настроить его на использование управляемых правил. При использовании WAF и правил, управляемых корпорацией Майкрософт, приложение защищено от широкого спектра атак.

Дополнительные сведения см. в статье Брандмауэр веб-приложения (WAF) в Azure Front Door.

Следуйте рекомендациям WAF

WAF for Front Door имеет собственный набор рекомендаций по настройке и использованию. Дополнительные сведения см. в статье Рекомендации по использованию брандмауэра веб-приложения в Azure Front Door.

Рекомендации по лучшим практикам использования "health probe" (проверка работоспособности)

Отключение проб работоспособности при наличии только одного источника в группе источников

Пробы работоспособности Front Door предназначены для обнаружения ситуаций, когда origin-сервер недоступен или находится в нерабочем состоянии. Когда проба работоспособности обнаруживает проблему с источником, Front Door можно настроить для отправки трафика на другой источник в группе источника.

Если у вас есть только один сервер источника, Front Door всегда направляет трафик к этому серверу, даже если его проверка здоровья сообщает о неработоспособном состоянии. Состояние пробы работоспособности никак не влияет на поведение Front Door. В этом сценарии здравоохранительные проверки не приносят пользы, поэтому рекомендуется отключить их, чтобы уменьшить трафик на оригинальном сервере.

Для получения дополнительной информации см. Зонды работоспособности.

Выбор хороших конечных точек пробы работоспособности

Подумайте о месте, где вы указываете зонду работоспособности Front Door для мониторинга. Как правило, рекомендуется отслеживать веб-страницу или место, которые вы специально разрабатываете для мониторинга состояния здоровья. Логика приложения может учитывать состояние всех критически важных компонентов, необходимых для обслуживания рабочего трафика, включая серверы приложений, базы данных и кэши. Таким образом, в случае сбоя любого компонента Front Door может перенаправить трафик на другой экземпляр вашей службы.

Дополнительные сведения см. в разделе Шаблон мониторинга конечных точек работоспособности

Используйте пробы работоспособности HEAD

Пробы работоспособности могут использовать HTTP-метод GET или HEAD. Хорошей практикой является использование метода HEAD для проверки состояния, что уменьшает нагрузку на исходную инфраструктуру.

Дополнительные сведения см. в разделе Поддерживаемые методы HTTP для проб работоспособности.

Дальнейшие шаги

Узнайте, как создать профиль Front Door.