Поделиться через

Ускорение и защита веб-приложения с помощью Azure Front Door

Azure Front Door — это глобально распределенная сеть доставки содержимого (CDN), которая обеспечивает более низкую задержку и быструю доставку веб-приложения и содержимого. Кроме того, Front Door обеспечивает доступность содержимого с высоким уровнем устойчивости и предоставляет широкий спектр функций, включая расширенный балансировщик нагрузки приложений, ускорение трафика и безопасность.

Рассмотрите возможность развертывания Front Door перед любым общедоступным веб-приложением.

Хорошо спроектированные решения в Azure

Платформа Azure Well-Architected Framework описывает пять основных принципов архитектуры. Azure Front Door помогает решить каждую из пяти основных компонентов с помощью встроенных функций и возможностей.

Оптимизация производительности

Front Door предоставляет несколько функций, которые помогают ускорить производительность приложения.

  • Кэширование: Front Door предоставляет мощную сеть доставки содержимого (CDN) для кэширования содержимого на пограничной сети. Почти все веб-приложения содержат кэшируемое содержимое. Статические ресурсы, такие как изображения и файлы JavaScript, кэшируются. Кроме того, многие API возвращают ответы, которые можно кэшировать даже в течение короткого времени. Кэширование помогает повысить производительность приложения и снизить нагрузку на серверы приложений.
  • Сжатие.Многие типы ответов можно сжать, что может улучшить время отклика приложения.
  • Глобальное ускорение трафика: глобальные возможности ускорения трафика Front Door помогают повысить производительность динамических веб-приложений путем маршрутизации запросов через высокоскоростную магистральную сеть Майкрософт.
  • Завершение TLS: соединения с Front Door завершаются в ближайшей точке присутствия Front Door (PoP). Расшифровка TLS выполняется PoP. Самое значительное снижение производительности при расшифровке TLS связано с начальным рукопожатием. Для повышения производительности сервер, выполняющий расшифровку, кэширует идентификаторы сеанса TLS и управляет тикетами сеансов TLS. Если подключения TLS завершаются в PoP Front Door, все запросы от одного клиента могут использовать кэшированные значения. Если это делается на серверах-источниках, каждый раз, когда запросы клиента отправляются на другой сервер, клиент должен повторно пройти проверку подлинности. Использование запросов TLS может помочь устранить эту проблему, но они не поддерживаются всеми клиентами и могут быть трудно настроить и управлять ими.

Безопасность

Возможности безопасности Front Door помогают защитить серверы приложений от нескольких различных типов угроз.

  • Сквозное шифрование TLS: Front Door поддерживает сквозное шифрование на основе TLS. Разгрузка TLS/SSL в Azure Front Door завершает подключение TLS, расшифровывает трафик непосредственно в Azure Front Door и повторно шифрует его перед пересылкой на бекенд.
  • Управляемые сертификаты TLS: Front Door может выдавать сертификаты и управлять ими, обеспечивая защиту приложений с помощью строгого шифрования и доверия.
  • Пользовательские сертификаты TLS: если вам нужно принести собственные сертификаты TLS, Front Door позволяет использовать управляемое удостоверение для доступа к хранилищу ключей, содержащей сертификат.
  • Брандмауэр веб-приложения: брандмауэр веб-приложений Front Door (WAF) предоставляет ряд возможностей безопасности для приложения. Управляемые наборы правил проверяют входящие запросы на подозрительное содержимое. Правила защиты ботов определяют и реагируют на трафик от ботов. Функции геофильтрации и ограничения скорости защищают серверы приложений от неожиданного трафика.
  • Блокировка протокола: Front Door принимает трафик только по протоколам HTTP и HTTPS и обрабатывает только допустимые запросы с известным Host заголовком. Из-за этого приложение защищается от многих типов атак в различных протоколах.
  • Защита от атак DDoS: из-за архитектуры Front Door она также может поглощать крупные распределенные атаки типа "отказ в обслуживании" (DDoS) и предотвращать доступ к трафику приложения.
  • Источники Private Link:интеграция Private Link помогает защитить внутренние приложения, гарантируя, что трафик может достичь ваших приложений только путем передачи через Front Door и его средства безопасности.

Если у вас есть строгие требования к безопасности сети, вы можете использовать Azure Front Door для управления входящим трафиком HTTP и HTTPS в приложение, а также использовать Брандмауэр Azure для управления трафиком, отличным от HTTP и исходящего трафика.

Надежность

С помощью Front Door можно создавать устойчивые и высокодоступные решения.

  • Балансировка нагрузки и аварийное переключение: Служба Front Door — это глобальная система балансировки нагрузки. Front Door отслеживает работоспособность серверов-источников и если источник становится недоступным, Front Door может направлять запросы к альтернативному источнику. Вы также можете использовать Front Door для распределения трафика между источниками, чтобы уменьшить нагрузку на любой сервер-источник.
  • Маршрутизация anycast: Front Door имеет большое количество pops, каждое из которых может обслуживать трафик для любого запроса. Эникаст-маршрутизация направляет трафик к ближайшему доступному узлу Front Door PoP, и если PoP недоступен, клиенты автоматически перенаправляются к следующему ближайшему PoP.
  • Кэширование. Используя кэш Front Door, вы уменьшаете нагрузку на серверы приложений. Если серверы недоступны, Front Door может продолжать обслуживать кэшированные ответы до восстановления приложения.

Оптимизация затрат

Front Door поможет вам сократить затраты на выполнение решения Azure.

  • Кэширование: при включении кэширования содержимое возвращается из глобальных узлов Edge сети Front Door. Этот подход снижает расходы на глобальную пропускную способность и повышает производительность.
  • Сжатие: когда Front Door сжимает ваши ответы, это помогает снизить расходы на пропускную способность вашего решения.
  • Распределите трафик между источниками: используйте Front Door для уменьшения необходимости масштабирования серверов приложений или увеличения емкости серверов для пиковых объемов трафика. Каждый PoP Front Door может возвращать кэшированное содержимое, если оно доступно, что снижает нагрузку на серверы приложений. Вы также можете распределять трафик между несколькими внутренними серверами, уменьшая нагрузку на каждый отдельный сервер.
  • Общий профиль: для многих различных приложений можно использовать один профиль Front Door. При настройке нескольких приложений в Front Door вы разделяете затраты на каждое приложение, и вы можете уменьшить конфигурацию, необходимую для выполнения.

Эффективность работы

Front Door может помочь снизить операционную нагрузку на работу современного интернет-приложения и позволит вам внести некоторые изменения в решение без изменения приложений.

  • Управляемые сертификаты TLS: Front Door может выдавать сертификаты и управлять ими. Эта функция означает, что вам не нужно управлять продлением сертификатов и снизить вероятность сбоя, вызванного использованием недопустимого или истекшего срока действия TLS-сертификата.
  • Сертификаты TLS с подстановочными знаками: поддержка Front Door для доменов подстановочных знаков, включая сертификаты DNS и TLS, позволяет использовать несколько имен узлов без перенастройки Front Door для каждого поддомена.
  • HTTP/2. Front Door может помочь вам модернизировать устаревшие приложения с поддержкой HTTP/2 без изменения серверов приложений.
  • Обработчик правил: подсистема правил Front Door позволяет изменять внутреннюю архитектуру решения, не затрагивая клиентов.
  • Инфраструктура как код. Вы также можете развертывать и настраивать Front Door с помощью технологий инфраструктуры как кода (IaC), включая Bicep, Terraform, шаблоны ARM, Azure PowerShell и Azure CLI.

Архитектура решения

При развертывании решения, использующего Azure Front Door, следует учитывать, как трафик передается от клиента к Front Door и из Front Door в источники.

На следующей схеме показана универсальная архитектура решения с помощью Front Door:

Схема маршрутизации пользовательского трафика Azure Front Door в конечные точки.

Клиент — Входная Дверь

Трафик от клиента сначала прибывает в PoP Front Door. Front Door имеет большое количество PoP распределенных по всему миру, и Anycast направляет клиентов к их ближайшему PoP.

Когда запрос получает PoP Front Door, Front Door использует имя вашего личного домена для обслуживания запроса. Front Door выполняет разгрузку TLS с помощью сертификата TLS, управляемого Front Door, или пользовательского сертификата TLS.

PoP выполняет множество функций на основе конфигурации, указанной в профиле Front Door, включая следующее:

  • Защита решения от многих типов атак DDoS.
  • Сканирование запроса на наличие известных уязвимостей с использованием Front Door WAF.
  • Возврат кэшированных ответов для повышения производительности, если они хранятся в PoP Front Door и подходят для запроса.
  • Сжатие ответов для повышения производительности.
  • Возврат ответов HTTP перенаправления непосредственно из Front Door.
  • Выбор оптимального источника для получения трафика, основанный на архитектуре маршрутизации.
  • Изменение запроса с помощью обработчика правил.

После завершения обработки входящего запроса Front Door он либо отвечает непосредственно клиенту (например, при возврате кэшированного результата) или перенаправляет запрос в источник.

Узел Front Door для доступа к исходному источнику

Front Door может отправлять трафик в ваш источник двумя разными способами: с помощью Private Link и общедоступных IP-адресов.

премиум SKU для Front Door поддерживает отправку трафика к определенным источникам с помощью Private Link. При настройке Private Link для вашего источника трафик использует частные IP-адреса. Этот подход можно использовать, чтобы гарантировать, что источник принимает трафик только из конкретного экземпляра Front Door, и вы можете заблокировать трафик, поступающий из Интернета.

Когда Front Door PoP отправляет запросы на ваш исходный ресурс, используя общедоступный IP-адрес, он инициирует новое TCP-подключение. Из-за этого сервер-источник видит запрос, исходящий из IP-адреса Front Door, а не клиента.

Любой подход, используемый для отправки трафика в источник, обычно рекомендуется настроить источник, чтобы ожидать трафика от профиля Front Door и блокировать трафик, который не проходит через Front Door. Дополнительные сведения см. в разделе Безопасный трафик к источникам Azure Front Door.

Обработка ответа

PoP Front Door также обрабатывает исходящий ответ. Обработка ответов может включать следующие действия:

  • Сохранение ответа на кэш PoP для ускорения последующих запросов.
  • Изменение заголовка ответа с помощью обработчика правил.

Аналитика и составление отчетов

Так как Front Door обрабатывает все входящие запросы, он имеет видимость всего трафика, который проходит через решение. Вы можете использовать отчеты, метрики и журналы Front Door для понимания ваших шаблонов трафика.

Совет

При использовании Front Door некоторые запросы могут не обрабатываться сервером-источником. Например, веб-апликационный экран (WAF) Front Door может блокировать некоторые запросы и возвращать кэшированные ответы для других запросов. Используйте данные телеметрии Front Door, чтобы понять шаблоны трафика вашего решения.

Следующие шаги

Узнайте, как создать профиль Front Door.