Redigera

Dela via


Vanliga frågor och svar om Azure Front Door

Den här artikeln besvarar vanliga frågor om Funktioner och funktioner i Azure Front Door. Om du inte ser svaret på din fråga kan du kontakta oss via följande kanaler (i eskalerande ordning):

  1. Kommentarsavsnittet i den här artikeln.

  2. Feedback om Azure Front Door.

  3. Microsoft Support: Om du vill skapa en ny supportbegäran går du till Azure Portal på fliken Hjälp, väljer knappen Hjälp + support och väljer sedan Ny supportbegäran.

Allmänt

Vad är Azure Front Door?

Azure Front Door är en molnbaserad tjänst som levererar dina program snabbare och mer tillförlitligt. Den använder layer 7-belastningsutjämning för att distribuera trafik över flera regioner och slutpunkter. Den erbjuder också dynamisk webbplatsacceleration (DSA) för att optimera webbprestanda och nära realtidsredundans för att säkerställa hög tillgänglighet. Azure Front Door är en fullständigt hanterad tjänst, så du behöver inte bekymra dig om skalning eller underhåll.

Vilka funktioner stöder Azure Front Door?

Azure Front Door är en tjänst som erbjuder många fördelar för dina webbprogram, till exempel dynamisk webbplatsacceleration (DSA), vilket förbättrar prestanda och användarupplevelse för dina webbplatser. Azure Front Door hanterar även TLS/SSL-avlastning och TLS från slutpunkt till slutpunkt, vilket förbättrar säkerheten och krypteringen för webbtrafiken. Dessutom tillhandahåller Azure Front Door brandvägg för webbprogram, cookiebaserad sessionstillhörighet, url-sökvägsbaserad routning, kostnadsfria certifikat och flera domänhanteringar med mera. Mer information om funktionerna i Azure Front Door finns i nivåjämförelse.

Vad är skillnaden mellan Azure Front Door och Azure Application Gateway?

Azure Front Door och Azure Application Gateway är båda lastbalanserare för HTTP/HTTPS-trafik, men de har olika omfång. Front Door är en global tjänst som kan distribuera begäranden mellan regioner, medan Application Gateway är en regional tjänst som kan balansera begäranden inom en region. Azure Front Door fungerar med skalningsenheter, kluster eller stämpelenheter, medan Azure Application Gateway fungerar med virtuella datorer, containrar eller andra resurser i samma skalningsenhet.

När ska jag distribuera en Application Gateway bakom Front Door?

Application Gateway bakom Front Door är användbart i följande situationer:

  • Du vill balansera trafiken inte bara globalt, utan även i ditt virtuella nätverk. Front Door kan bara utföra sökvägsbaserad belastningsutjämning på global nivå, men Application Gateway kan göra det i ditt virtuella nätverk.
  • Du behöver anslutningsdränering, vilket Front Door inte stöder. Application Gateway kan aktivera anslutningsdränering för dina virtuella datorer eller containrar.
  • Du vill avlasta all TLS/SSL-bearbetning och endast använda HTTP-begäranden i det virtuella nätverket. Application Gateway bakom Front Door kan uppnå den här konfigurationen.
  • Du vill använda sessionstillhörighet på både regional nivå och servernivå. Front Door kan skicka trafiken från en användarsession till samma serverdel i en region, men Application Gateway kan skicka den till samma server i serverdelen.

Kan jag distribuera ett annat CDN från en extern leverantör bakom eller framför Front Door?

Att länka två CDN är i allmänhet inte en rekommenderad metod, det skulle fungera men levereras med följande nackdelar

  1. CDN:s senaste milacceleration använder sig av att hålla anslutningsströmmen med ursprunget och hitta en optimal väg till ursprunget för att uppnå bästa resultat. Att länka ihop två CDN:er innebär vanligtvis några av fördelarna med acceleration under den senaste milen.
  2. Säkerhetskontroller blir mindre effektiva vid den andra CDN:n. Klient-IP-baserad ACLLing fungerar inte på den andra CDN:n eftersom den andra CDN:n ser den första CDN-slutnoden som klient-IP-adresser. Innehållsnyttolasten kommer fortfarande att inspekteras.
  3. Många organisationer kan inte hantera komplexiteten i att felsöka två CDN:er som är länkade och när ett problem blir svårt att ta reda på vilket CDN som har problemet.

Kan jag distribuera Azure Load Balancer bakom Front Door?

Om du vill använda Azure Front Door måste du ha en offentlig VIP eller ett DNS-namn som är offentligt tillgängligt. Azure Front Door använder den offentliga IP-adressen för att dirigera trafiken till ditt ursprung. Ett vanligt scenario är att distribuera en Azure Load Balancer bakom Front Door. Du kan också använda Private Link med Azure Front Door Premium för att ansluta till en intern lastbalanserare. Mer information finns i aktivera Private Link med intern lastbalanserare.

Vilka protokoll stöder Azure Front Door?

Azure Front Door stöder HTTP, HTTPS och HTTP/2.

Hur stöder Azure Front Door HTTP/2?

Azure Front Door stöder HTTP/2-protokoll för klientanslutningar. Serverdelspoolens kommunikation använder dock HTTP/1.1-protokollet. HTTP/2-stöd är aktiverat som standard.

Vilken typ av resurser är för närvarande kompatibla som ursprung?

Du kan använda olika typer av ursprung för Azure Front Door, till exempel:

  • Lagring (Azure Blob, klassiska, statiska webbplatser)
  • Molntjänst
  • App Service
  • Statisk webbapp
  • API Management
  • Application Gateway
  • Offentlig IP-adress
  • Azure Spring Apps
  • Container Instances
  • Container Apps
  • Alla anpassade värdnamn med offentlig åtkomst.

Ursprunget måste ha en offentlig IP-adress eller ett DNS-värdnamn som kan matchas offentligt. Du kan blanda och matcha serverdelar från olika zoner, regioner eller till och med utanför Azure, så länge de är offentligt tillgängliga.

I vilka regioner kan jag distribuera Azure Front Door-tjänster?

Azure Front Door är inte begränsat till någon Azure-region, utan fungerar globalt. Den enda plats du behöver välja när du skapar en Front Door är platsen för resursgruppen, som avgör var resursgruppens metadata lagras. Front Door-profilen är en global resurs och dess konfiguration distribueras till alla gränsplatser över hela världen.

Vilka är platserna för Azure Front Door-IP-adresser (närvaropunkter)?

En fullständig lista över närvaropunkter (POP:er) som tillhandahåller global belastningsutjämning och innehållsleverans för Azure Front Door finns i Azure Front Door POP-platser. Den här listan uppdateras regelbundet när nya IP-adresser läggs till eller tas bort. Du kan också använda Azure Resource Manager-API:et för att köra frågor mot den aktuella listan med IP-adresser programmatiskt.

Hur allokerar Azure Front Door sina resurser mellan olika kunder?

Azure Front Door är en tjänst som distribuerar ditt program globalt över flera regioner. Den använder en gemensam infrastruktur som delas av alla kunder, men du kan anpassa din egen Front Door-profil för att konfigurera programmets specifika krav. Andra kunders konfigurationer kan inte påverka din Front Door-konfiguration, som är isolerad från deras.

Har Azure Front Door stöd för HTTP till HTTPS-omdirigering?

Du kan omdirigera komponenterna värd, sökväg och frågesträng i en URL med Azure Front Door. Information om hur du konfigurerar URL-omdirigering finns i URL-omdirigering.

Hur avgör Azure Front Door ordningen på routningsregler?

Front Door sorterar inte vägarna för webbappen. I stället väljer den den väg som passar bäst för begäran. Information om hur Front Door matchar begäranden till vägar finns i Hur Front Door matchar begäranden till en routningsregel.

Vilka är stegen för att begränsa åtkomsten till min serverdel till endast Azure Front Door?

För att säkerställa optimala prestanda för Front Door-funktioner bör du endast tillåta att trafik som kommer från Azure Front Door når ditt ursprung. Det innebär att obehöriga eller skadliga begäranden stöter på säkerhets- och routningsprinciperna för Front Door och nekas åtkomst. Information om hur du skyddar ditt ursprung finns i Skydda trafik till Azure Front Door-ursprung.

Förblir anycast-IP:en för min Front Door densamma under hela sin livstid?

IP-adressen för frontdörrens klientdel anycast är fast och kanske inte ändras så länge du använder Front Door. Den fasta IP-adressen för frontdörrens klientdel anycast är dock ingen garanti. Undvik att förlita dig direkt på IP-adressen.

Erbjuder Azure Front Door statiska eller dedikerade IP-adresser?

Azure Front Door är en dynamisk tjänst som dirigerar trafik till den bästa tillgängliga serverdelen. Den erbjuder inte statiska eller dedikerade klientdels-ANYCAST-IP-adresser just nu.

Tillhandahåller AFD telemetri för att visa vilka regelmotorregler AFD-processer för varje begäran?

Ja. Se egenskapen MatchedRulesSetName under Åtkomstloggar.

Kan AFD ge skydd mot "HTTP/2 Snabb återställning" DDoS-attacker?

Ja. Mer information finns i Microsofts svar på DDoS-attacker mot HTTP/2.

Bevarar Azure Front Door "x-forwarded-for"-huvuden?

Azure Front Door stöder rubrikerna X-Forwarded-For, X-Forwarded-Host och X-Forwarded-Proto. Dessa rubriker hjälper Front Door att identifiera den ursprungliga klientens IP-adress och protokoll. Om X-Forwarded-For redan finns lägger Front Door till klient socket-IP i slutet av listan. Annars skapas huvudet med klient socket-IP som värde. För X-Forwarded-Host och X-Forwarded-Proto ersätter Front Door de befintliga värdena med sina egna.

Mer information finns i HTTP-huvuden som stöds av Front Door.

Vilken är den beräknade tiden för att distribuera en Azure Front Door? Fortsätter min Front Door att fungera under uppdateringsprocessen?

Distributionstiden för nya Front Door-konfigurationer varierar beroende på typ av ändring. Normalt tar det mellan 3 och 20 minuter innan ändringarna sprids till alla våra gränsplatser över hela världen.

Kommentar

Anpassade TLS/SSL-certifikatuppdateringar kan ta längre tid, från flera minuter upp till en timme, att distribueras globalt.

Uppdateringar av vägar eller ursprungsgrupper/serverdelspooler är sömlösa och orsakar ingen stilleståndstid (förutsatt att den nya konfigurationen är korrekt). Certifikatuppdateringar görs också atomiskt, så det finns ingen risk för avbrott.

Har Azure Front Door stöd för gRPC?

Nej. För närvarande stöder Azure Front Door endast HTTP/1.1 från gränsen till ursprunget. För att gRPC ska fungera krävs HTTP/2.

Kan jag flytta Front Door- och CDN-profiler mellan resursgrupper eller prenumerationer utan avbrott?

  • Front Door Standard/Premium- och Azure CDN-profiler kan flyttas mellan resursgrupper eller prenumerationer utan avbrott. Följ de här anvisningarna för att utföra flytten.
  • Front Door Classic stöder inte flytt mellan resursgrupper eller prenumerationer. Du kan i stället migrera den klassiska profilen till Standard/Premium och sedan köra flytten.
  • Om kunden har WAF associerat med Front Door Standard/Premium misslyckas flyttåtgärden. Kunden måste först koppla bort WAF-principer, flytta och sedan associera.

Konfiguration

Har Azure Front Door möjlighet att belastningsutjämning eller dirigera trafik i ett virtuellt nätverk?

Om du vill använda Azure Front Door Standard-, Premium- eller (klassisk) nivå behöver du en offentlig IP-adress eller ett DNS-namn som kan lösas offentligt. Det här kravet på en offentlig IP-adress eller ett DNS-namn som kan lösas offentligt gör att Azure Front Door kan dirigera trafik till dina serverdelsresurser. Du kan använda Azure-resurser som Application Gateways eller Azure Load Balancers för att dirigera trafik till resurser i ett virtuellt nätverk. Om du använder Front Door Premium-nivån kan du använda Private Link för att ansluta till ursprung bakom en intern lastbalanserare med en privat slutpunkt. Mer information finns i Skydda ursprung med Private Link.

Vilka är metodtipsen för att skapa ursprung och ursprungsgrupper för Azure Front Door?

En ursprungsgrupp är en samling ursprung som kan hantera liknande typer av begäranden. Du behöver en annan ursprungsgrupp för varje program eller arbetsbelastning som skiljer sig åt.

I en ursprungsgrupp skapar du ett ursprung för varje server eller tjänst som kan hantera begäranden. Om ditt ursprung har en lastbalanserare, till exempel Azure Application Gateway, eller finns på en PaaS som har en lastbalanserare, har ursprungsgruppen bara ett ursprung. Ditt ursprung tar hand om redundans och belastningsutjämning mellan ursprung som Front Door inte ser.

Om du till exempel är värd för ett program i Azure App Service beror hur du konfigurerar Front Door på hur många programinstanser du har:

  • Distribution med en region: Skapa en ursprungsgrupp. I den ursprungsgruppen skapar du ett ursprung för App Service-appen. Din App Service-app kan skalas ut mellan arbetare, men Front Door ser ett ursprung.
  • Aktiv/passiv distribution i flera regioner: Skapa en ursprungsgrupp. I ursprungsgruppen skapar du ett ursprung för varje App Service-app. Ange prioriteten för varje ursprung så att huvudprogrammet har högre prioritet än säkerhetskopieringsprogrammet.
  • Aktiv/aktiv distribution i flera regioner: Skapa en ursprungsgrupp. I ursprungsgruppen skapar du ett ursprung för varje App Service-app. Ange samma prioritet för varje ursprung. Ange varje ursprungs vikt för att styra hur många begäranden som ska gå till det ursprunget.

Mer information finns i Ursprung och ursprungsgrupper i Azure Front Door.

Vilka är standardvärdena och maxvärdena för tidsgränserna och gränserna för Azure Front Door?

Azure Front Door är en tjänst som ger snabb och tillförlitlig webbleverans för dina program. Den erbjuder funktioner som cachelagring, belastningsutjämning, säkerhet och routning. Du måste dock vara medveten om vissa tidsgränser och begränsningar som gäller för Azure Front Door. Dessa tidsgränser och begränsningar inkluderar den maximala storleken på begäran, den maximala svarsstorleken, den maximala rubrikstorleken, det maximala antalet rubriker, det maximala antalet regler och det maximala antalet ursprungsgrupper. Du hittar detaljerad information om dessa tidsgränser och begränsningar i Azure Front Door-dokumentationen.

Hur lång tid behöver Azure Front Door för att tillämpa en ny regel som läggs till i Front Door-regelmotorn?

Konfigurationsuppdateringarna för de flesta regeluppsättningar görs på mindre än 20 minuter. Regeln tillämpas direkt när uppdateringen är klar.

Går det att konfigurera Azure CDN bakom min Front Door-profil eller tvärtom?

Azure Front Door och Azure CDN är två tjänster som ger snabb och tillförlitlig webbleverans för dina program. De är dock inte kompatibla med varandra eftersom de delar samma nätverk med Azure Edge-webbplatser för att leverera innehåll till dina användare. Det här delade nätverket orsakar konflikter mellan deras routnings- och cachelagringsprinciper. Därför måste du välja antingen Azure Front Door eller Azure CDN för ditt program, beroende på dina prestanda- och säkerhetskrav.

Går det att konfigurera Azure Front Door bakom en annan Front Door-profil eller tvärtom?

Det faktum att båda profilerna använder samma Azure Edge-webbplatser för att hantera inkommande begäranden orsakar den här begränsningen som hindrar dig från att kapsla en Azure Front Door-profil bakom en annan. Den här konfigurationen skulle orsaka routningskonflikter och prestandaproblem. Därför bör du se till att dina Azure Front Door-profiler är oberoende och inte sammanlänkade om du behöver använda flera profiler för dina program.

Vilka nätverkstjänsttaggar har Front Door stöd för?

Azure Front Door använder tre tjänsttaggar för att hantera trafiken mellan dina klienter och ditt ursprung:

  • Tjänsttaggen AzureFrontDoor.Backend innehåller DE IP-adresser som Front Door använder för att komma åt ditt ursprung. Du kan använda den här tjänsttaggen när du konfigurerar säkerhet för ditt ursprung.
  • Tjänsttaggen AzureFrontDoor.Frontend innehåller de IP-adresser som klienter använder för att nå Front Door. Du kan använda AzureFrontDoor.Frontend tjänsttaggen när du vill styra den utgående trafik som kan ansluta till tjänster bakom Azure Front Door.
  • Tjänsttaggen AzureFrontDoor.FirstParty är reserverad för en utvald grupp med Microsoft-tjänster som finns på Azure Front Door.

Mer information om scenarier med Azure Front Door-tjänsttaggar finns i tillgängliga tjänsttaggar.

Vad är värdet för tidsgränsen för sidhuvuden från klienten till Azure Front Door?

Azure Front Door har en tidsgräns på 5 sekunder för att ta emot huvuden från klienten. Anslutningen avslutas om klienten inte skickar rubriker inom 5 sekunder till Azure Front Door efter att TCP/TLS-anslutningen har upprättats. Du kan inte konfigurera det här tidsgränsvärdet.

Vad är värdet för tidsgränsen för HTTP keep-alive för Azure Front Door?

Azure Front Door har en tidsgräns på 90 sekunder för HTTP keep-alive. Anslutningen avslutas om klienten inte skickar data på 90 sekunder, vilket är tidsgränsen för HTTP keep-alive för Azure Front Door. Du kan inte konfigurera det här tidsgränsvärdet.

Går det att använda samma domän för två olika Front Door-slutpunkter?

Du kan inte använda samma domäner för mer än en Front Door-slutpunkt, eftersom Front Door måste särskilja vägen (kombination av protokoll + värd + sökväg) för varje begäran. Om du har duplicerade vägar över olika slutpunkter kan Azure Front Door inte bearbeta begäranden korrekt.

Går det att migrera en domän från en Front Door-slutpunkt till en annan Front Door-slutpunkt utan avbrott?

För närvarande erbjuder vi inte alternativet att flytta domäner från en slutpunkt till en annan utan avbrott i tjänsten. Du måste planera för viss stilleståndstid om du vill migrera dina domäner till en annan slutpunkt.

Azure Front Door Private Link-funktionen är regionberoende och fungerar även om du väljer en region som skiljer sig från den region där ditt ursprung finns. I sådana fall bör du alltid välja en Azure-region som är närmast ditt ursprung när du väljer att aktivera Azure Front Door Private Link-slutpunkten för att säkerställa lägre svarstid. Vi håller på att aktivera stöd för fler regioner. När en ny region stöds kan du följa dessa instruktioner för att gradvis flytta trafik till den nya regionen.

Prestanda

Hur säkerställer Azure Front Door hög tillgänglighet och skalbarhet för sina tjänster?

Azure Front Door är en plattform som distribuerar trafik över hela världen och kan skalas upp för att uppfylla programmets krav. Den använder Microsofts globala nätverksgräns för att leverera global belastningsutjämning som gör att du kan byta hela programmet eller specifika mikrotjänster till olika regioner eller moln om det uppstod ett fel.

Vilka är villkoren för cachelagring av intervallsvar från mitt ursprung?

Om du vill undvika fel när du levererar stora filer kontrollerar du att ursprungsservern innehåller Content-Range huvudet i svaret och att rubrikvärdet matchar den faktiska storleken på svarstexten.

Du hittar mer information om hur du konfigurerar ditt ursprung och Front Door för stor filleverans i Leverans av stora filer.

TLS-konfiguration

Hur blockerar Azure Front Door domänfronting?

Domänfronting är en nätverksteknik som gör det möjligt för en angripare att dölja det faktiska målet för en skadlig begäran med hjälp av ett annat domännamn i TLS-handskakningen och HTTP-värdhuvudet.

Azure Front Door (standard-, Premium- och klassisk nivå) eller Azure CDN Standard från Microsofts (klassiska) resurser som skapats efter den 8 november 2022 har domänblockering aktiverat. I stället för att blockera en begäran med felmatchade SNI- och värdhuvuden tillåter vi avvikelsen om de två domänerna tillhör samma prenumeration och ingår i routningsreglerna. Blockering av blockering av domäner startar den 22 januari 2024 för alla befintliga domäner. Verkställigheten kan kräva upp till två veckor för att spridas till alla regioner.

När Front Door blockerar en begäran på grund av ett matchningsfel:

  • Klienten får ett HTTP-felkodssvar 421 Misdirected Request .
  • Azure Front Door registrerar blocket i diagnostikloggarna under egenskapen Felinformation med värdet SSLMismatchedSNI.

Mer information om domänfronting finns i Skydda vår metod för domänfronting i Azure och Förhindra domänfronting på Azure Front Door och Azure CDN Standard från Microsoft (klassisk).

Vilka TLS-versioner stöds med Azure Front Door?

Front Door använder TLS 1.2 som lägsta version för alla profiler som skapats efter september 2019.

Du kan välja att använda TLS 1.0, 1.1, 1.2 eller 1.3 med Azure Front Door. Mer information finns i artikeln om TLS från slutpunkt till slutpunkt i Azure Front Door.

Fakturering

Debiteras jag för De Azure Front Door-resurser som är inaktiverade?

Azure Front Door är en tjänst som tillhandahåller snabb och säker webbleverans. Det gör att du kan definiera hur webbtrafiken dirigeras och optimeras över flera regioner och slutpunkter. Azure Front Door-resurser, till exempel Front Door-profiler och routningsregler, debiteras endast när de är aktiverade. Dock debiteras principer och regler för brandväggen för webbprogram (WAF) oavsett status. Även om du inaktiverar en WAF-princip eller regel medför det fortfarande kostnader för dig.

Cachelagring

Går det att använda HTTP-begärandehuvudet som en cachenyckel?

Nej.

Stöder Front Door ETag?

Nej.

Är det möjligt att stödja komprimering för filstorlekar över 8 MB?

AFD stöder inte dynamisk komprimering för innehåll som är större än 8 MB. Men om innehållet redan har komprimerats av ursprunget stöder Front Door servering av statiskt komprimerat innehåll över 8 MB så länge intervallbegäran stöds och segmenterad överföringskodning inte är aktiverad.

Har AFD stöd för att ange auktoriseringshuvudet i HTTP-begäran om cachelagring är aktiverat?

Nej.

Diagnostik och loggning

Vilka är de mått och loggar som Azure Front Door tillhandahåller?

Information om loggar och andra diagnostikfunktioner finns i Övervaka mått och loggar för Front Door.

Vad är varaktigheten för kvarhållning av diagnostikloggar?

Du kan lagra diagnostikloggar i deras eget lagringskonto och välja hur länge de ska behållas. Du kan också skicka diagnostikloggar till Event Hubs- eller Azure Monitor-loggar. Mer information finns i Azure Front Door-diagnostik.

Vilka är stegen för att komma åt granskningsloggarna för Azure Front Door?

För att komma åt granskningsloggarna för Azure Front Door måste du besöka portalen. Välj din Front Door på menysidan och välj på Aktivitetslogg. Aktivitetsloggen innehåller poster för din Azure Front Door-verksamhet.

Hur konfigurerar jag aviseringar för Azure Front Door?

Du kan konfigurera aviseringar för Azure Front Door baserat på mått eller loggar. På så sätt kan du övervaka prestanda och hälsa för dina klientdelsvärdar.

Information om hur du skapar aviseringar för Azure Front Door Standard och Premium finns i konfigurera aviseringar.

Nästa steg