Рекомендации по работе с Front Door
В этой статье собраны рекомендации по использованию Azure Front Door.
Общие рекомендации
Понимание того, когда объединить Диспетчер трафика и Front Door
Для большинства решений рекомендуется использовать Front Door или Диспетчер трафика Azure, но не оба. Диспетчер трафика Azure — это подсистема балансировки нагрузки на основе DNS. Он отправляет трафик непосредственно в конечные точки источника. В отличие от этого, Azure Front Door завершает подключения в точках присутствия (PoPs) рядом с клиентом и устанавливает отдельные длительные подключения к источникам. Эти продукты работают по-разному и предназначены для различных вариантов использования.
Если вам требуется кэширование содержимого и доставка (CDN), завершение сеанса TLS, расширенные возможности маршрутизации или брандмауэр веб-приложений (WAF), рассмотрите возможность использования Front Door. Для простой глобальной балансировки нагрузки с прямыми подключениями от клиента к конечным точкам рассмотрите возможность использования Диспетчера трафика. Дополнительные сведения о выборе параметра балансировки нагрузки см. в разделе Параметры балансировки нагрузки.
Однако в рамках сложной архитектуры, требующей высокой доступности, вы можете поместить Диспетчер трафика Azure перед Azure Front Door. В маловероятном случае, когда Azure Front Door недоступна, Диспетчер трафика Azure затем может направлять трафик в альтернативное место назначения, например Шлюз приложений Azure или сеть доставки содержимого партнера (CDN).
Внимание
Не помещайте Диспетчер трафика Azure за Azure Front Door. Диспетчер трафика Azure всегда должны находиться перед Azure Front Door.
Ограничение трафика в источниках
Функции Front Door лучше всего работают, когда трафик проходит только через Front Door. Необходимо настроить источник для блокировки трафика, который не был отправлен через Front Door. Дополнительные сведения см. в разделе "Безопасный трафик" в источники Azure Front Door.
Использование последней версии API и версии пакета SDK
При работе с Front Door с помощью API, шаблонов ARM, Bicep или пакетов SDK Azure важно использовать последнюю доступную версию API или пакета SDK. Обновления API и пакета SDK происходят при наличии новых функциональных возможностей, а также содержат важные обновления системы безопасности и исправления ошибок.
Настройка журналов
Front Door отслеживает обширные данные телеметрии о каждом запросе. При включении кэширования серверы-источники могут не получать каждый запрос, поэтому важно использовать журналы Front Door, чтобы понять, как работает ваше решение и отвечает на них. Дополнительные сведения о метриках и журналах, записях Azure Front Door, см. в разделе "Мониторинг метрик и журналов" в журналах Azure Front Door и WAF.
Сведения о настройке ведения журнала для собственного приложения см. в статье "Настройка журналов Azure Front Door"
Рекомендации по использованию TLS
Используйте сквозной протокол TLS
Front Door завершает подключения TCP и TLS из клиентов. Затем он устанавливает новые подключения из каждой точки присутствия (PoP) к источнику. Рекомендуется защитить каждое из этих подключений с помощью TLS, даже в отношении источников, размещенных в Azure. Такой подход гарантирует, что данные всегда шифруются во время передачи.
Дополнительные сведения см. в разделе Сквозной протокол TLS для Azure Front Door.
Используйте перенаправление из HTTP в HTTPS
Для клиентов рекомендуется использовать протокол HTTPS для подключения к службе. Однако иногда необходимо принимать HTTP-запросы, чтобы предоставить допуск старым клиентам или клиентам, которые, возможно, не понимают данной рекомендации.
Front Door можно настроить для автоматического перенаправления HTTP-запросов на использование протокола HTTPS. Требуется включить настройку Перенаправлять весь трафик на использование HTTPS в маршруте.
Используйте управляемые сертификаты TLS
Когда Front Door управляет сертификатами TLS, это снижает эксплуатационные затраты и помогает избежать дорогостоящих сбоев, вызванных тем, что вы забыли продлить сертификат. Front Door автоматически выпускает и заменяет управляемые сертификаты TLS.
Дополнительные сведения см. в разделе Настройка протокола HTTPS в личном домене Azure Front Door с помощью портала Azure.
Используйте последнюю версию сертификатов, управляемых клиентом
Если вы решите использовать собственные сертификаты TLS, попробуйте задать для версии сертификата Key Vault значение Latest (Последняя). С заданным значением Latest не нужно перенастраивать Front Door для использования новых версий сертификата и ожидать развертывания сертификата в средах Front Door.
Дополнительные сведения см. в разделе Выбор сертификата для развертывания в Azure Front Door.
Рекомендации по доменным именам
Используйте одно и то же доменное имя в Front Door и источнике
Front Door может переписать заголовок входящих запросов Host
. Эта функция может быть полезна при управлении набором ориентированных на клиента личных доменных имен, которые направляются в один источник. Эта функция также может помочь, если вы хотите избежать настройки имен пользовательских доменов в Front Door и в вашем источнике. Однако при перезаписи заголовка Host
процессы запроса о файлах cookie и перенаправления URL-адресов могут нарушиться. В частности, при использовании таких платформ, как Служба приложений Azure, такие функции, как сходство сеансов и проверка подлинности и авторизация, могут работать неправильно.
Прежде чем перезаписать заголовок запросов Host
, тщательно подумайте, будет ли приложение работать правильно.
Дополнительные сведения см. в разделе Сохранение исходного имени узла HTTP между обратным прокси-сервером и его серверным веб-приложением.
Брандмауэр веб-приложения (WAF)
Включение WAF
Для приложений, взаимодействующих с Интернетом, рекомендуется включить брандмауэр веб-приложения (WAF) Front Door и настроить его для использования управляемых правил. При использовании правил WAF и Майкрософт приложение защищено от широкого спектра атак.
Дополнительные сведения см. в разделе Брандмауэр веб-приложения (WAF) в Azure Front Door.
Следуйте приведенным далее рекомендациям по использованию WAF
WAF для Front Door имеет собственный набор рекомендаций по настройке и использованию. Дополнительные сведения см. в разделе Рекомендации по брандмауэру веб-приложения в Azure Front Door.
Рекомендации по выполнению пробы работоспособности
Отключите пробы работоспособности при наличии только одного источника в группе источников
Пробы работоспособности Front Door предназначены для обнаружения ситуаций, когда источник недоступен или неработоспособен. Если при выполнении пробы работоспособности обнаруживается проблема с источником, Front Door можно настроить для отправки трафика в другой источник в группе источников.
Если имеется только один источник, Front Door всегда направляет трафик в этот источник, даже если его при пробе работоспособности появляется сообщение о неработоспособном состоянии. Результаты пробы работоспособности ничего не меняют в действиях Front Door. В этом сценарии пробы работоспособности не дают преимущества, и их следует отключить, чтобы уменьшить трафик, направленный в источник.
Для получения дополнительной информации см. Зонды работоспособности.
Выбор конечных точек пробы работоспособности
Рассмотрим расположение, в котором вы указываете Front Door провести пробу работоспособности. Обычно рекомендуется отслеживать веб-страницу или расположение, специально предназначенные для мониторинга работоспособности. Логика приложения может учитывать состояние всех критически важных компонентов, необходимых для обслуживания рабочего трафика, включая серверы приложений, базы данных и кэш. Таким образом, если работа какого-либо компонента завершается сбоем, Front Door может направлять трафик в другой экземпляр службы.
Дополнительные сведения см. в разделе Шаблон мониторинга конечных точек работоспособности
Используйте пробы работоспособности HEAD
Пробы работоспособности могут использовать метод HTTP GET или HEAD. Для проб работоспособности рекомендуется использовать метод HEAD, что снижает нагрузку трафика на источник.
Дополнительные сведения см. в разделе Поддерживаемые методы HTTP для проб работоспособности.
Следующие шаги
Узнайте, как создать профиль Front Door.