Azure Front Door 的常見問題

本文會回答有關 Azure Front Door 特性和功能的常見問題。 如果您沒有看到問題的解答,您可以透過下列管道與我們連絡(依呈報順序):

  1. 本文的批注區段。

  2. Azure Front Door 意見反應

  3. Microsoft 支援服務:若要建立新的支援要求,請在 [Azure 入口網站] 的 [說明] 索引標籤上,選取 [說明 + 支援] 按鈕,然後選取 [新增支援要求]。

一般

Azure Front Door 是什麼?

Azure Front Door 是雲端式服務,可更快速且更可靠地提供您的應用程式。 它會使用第 7 層負載平衡,將流量分散到多個區域和端點。 它也提供動態網站加速 (DSA) 來優化 Web 效能和近乎即時的故障轉移,以確保高可用性。 Azure Front Door 是完全受控的服務,因此您不必擔心調整或維護。

Azure Front Door 支援哪些功能?

Azure Front Door 是一項服務,可為您的 Web 應用程式提供許多優點,例如動態網站加速 (DSA),可改善網站的效能和用戶體驗。 Azure Front Door 也會處理 TLS/SSL 卸除和端對端 TLS,以增強 Web 流量的安全性和加密。 此外,Azure Front Door 還提供 Web 應用程式防火牆、以 Cookie 為基礎的會話親和性、URL 路徑型路由、免費憑證和多個網域管理等等。 若要深入瞭解 Azure Front Door 的特性和功能,請參閱 階層比較

Azure Front Door 與 Azure 應用程式閘道之間有何差異?

Azure Front Door 和 Azure 應用程式閘道 都是 HTTP/HTTPS 流量的負載平衡器,但它們有不同的範圍。 Front Door 是一項全域服務,可跨區域散發要求,而 應用程式閘道 是區域服務,可在區域內平衡要求。 Azure Front Door 適用於縮放單位、叢集或戳記單位,而 Azure 應用程式閘道 與相同縮放單位中的 VM、容器或其他資源搭配運作。

何時應該在 Front Door 後方部署 應用程式閘道?

Front Door 後方 應用程式閘道 在這些情況下很有用:

  • 您想要不僅全域平衡流量,而且要平衡虛擬網路內的流量。 Front Door 只能在全域層級執行路徑型負載平衡,但 應用程式閘道 可以在虛擬網路內執行。
  • 您需要 連線 清空,Front Door 不支援。 應用程式閘道 可以為您的 VM 或容器啟用 連線 清空。
  • 您想要卸除所有 TLS/SSL 處理,並只在虛擬網路中使用 HTTP 要求。 Front Door 後面的 應用程式閘道 可以達到此設定。
  • 您想要在區域和伺服器層級使用會話親和性。 Front Door 可以將來自用戶會話的流量傳送至區域中的相同後端,但 應用程式閘道 可以將流量傳送至後端中的相同伺服器。

我可以在 Front Door 後方部署 Azure Load Balancer 嗎?

若要使用 Azure Front Door,您必須具有可公開存取的公用 VIP 或 DNS 名稱。 Azure Front Door 會使用公用 IP 將流量路由傳送至您的來源。 常見的案例是在 Front Door 後方部署 Azure Load Balancer。 您也可以使用 Private Link 搭配 Azure Front Door 進階版 來連線到內部負載平衡器。 如需詳細資訊,請參閱 使用內部負載平衡器啟用 Private Link。

Azure Front Door 支援哪些通訊協定?

Azure Front Door 支援 HTTP、HTTPS 和 HTTP/2。

Azure Front Door 如何支援 HTTP/2?

Azure Front Door 支援用戶端連線的 HTTP/2 通訊協定。 不過,後端集區通訊會使用 HTTP/1.1 通訊協定。 HTTP/2 支援預設為開啟。

目前哪種類型的資源是作為原始來源相容?

您可以針對 Azure Front Door 使用不同的來源類型,例如:

  • 儲存體 (Azure Blob、傳統、靜態網站)
  • 雲端服務
  • 應用程式服務
  • 靜態 Web 應用程式
  • API 管理
  • 應用程式閘道
  • 公用 IP 位址
  • 流量管理員
  • Azure Spring Apps
  • 容器執行個體
  • 容器應用程式
  • 具有公用存取權的任何自定義主機名。

來源必須具有可公開解析的公用IP或 DNS 主機名。 只要可公開存取,您就可以混合和比對來自不同區域、區域或甚至 Azure 外部的後端。

我可以部署 Azure Front Door 服務的區域為何?

Azure Front Door 不限於任何 Azure 區域,而是在全球運作。 建立 Front Door 時必須選擇的唯一位置是資源群組的位置,這會決定資源群組元數據的儲存位置。 Front Door 配置檔是全域資源,其設定會分散到全球所有邊緣位置。

Azure Front Door POP 的位置為何(存在點)?

如需提供 Azure Front Door 全域負載平衡和內容傳遞之存在點的完整清單,請參閱 Azure Front Door POP 位置。 隨著新增或移除新的 POP,此列表會定期更新。 您也可以使用 Azure Resource Manager API,以程式設計方式查詢目前的 POP 清單。

Azure Front Door 如何在不同的客戶之間配置其資源?

Azure Front Door 是一項服務,可將您的應用程式分散到多個區域。 它會使用由其所有客戶共用的通用基礎結構,但您可以自定義自己的 Front Door 設定檔來設定應用程式的特定需求。 其他客戶的設定不會影響您的 Front Door 組態,這與他們的設定隔離。

Azure Front Door 是否支援 HTTP 至 HTTPS 重新導向?

您可以使用 Azure Front Door 重新導向 URL 的主機、路徑和查詢字串元件。 若要瞭解如何設定 URL 重新導向,請參閱 URL 重新 導向

Azure Front Door 如何判斷路由規則的順序?

Front Door 不會排序 Web 應用程式的路由。 相反地,它會選擇最符合要求的路由。 若要瞭解 Front Door 如何比對路由的要求,請參閱 Front Door 如何比對路由規則的要求。

將後端的存取限制為僅限 Azure Front Door 的步驟為何?

為了確保 Front Door 功能的最佳效能,您應該只允許來自 Azure Front Door 的流量到達您的來源。 因此,未經授權的或惡意要求遇到 Front Door 的安全性和路由原則,並遭到拒絕存取。 若要瞭解如何保護您的來源,請參閱 保護 Azure Front Door 來源的流量。

我的 Front Door 的任何廣播 IP 在其存留期內是否保持不變?

Front Door 前端的 IP 位址是固定的,只要您使用 Front Door,就可能不會變更。 不過,Front Door 前端 Anycast 的固定 IP 位址並不保證。 避免直接依賴IP。

Azure Front Door 是否提供靜態或專用 IP?

Azure Front Door 是動態服務,會將流量路由傳送至最佳的可用後端。 目前不提供靜態或專用前端任何廣播IP。

AFD 是否提供遙測來顯示每個要求的規則引擎規則 AFD 處理程式?

是。 請參閱 Access Logs 底下的 MatchedRulesSetName 屬性。

AFD 是否可以提供 「HTTP/2 快速重設」DDoS 攻擊的保護?

是。 如需詳細資訊,請參閱 Microsoft 針對 HTTP/2 的 DDoS 攻擊回應。

Azure Front Door 是否保留 'x-forwarded-for' 標頭?

Azure Front Door 支援 X-Forwarded-For、X-Forwarded-Host 和 X-Forwarded-Proto 標頭。 這些標頭可協助 Front Door 識別原始用戶端 IP 和通訊協定。 如果 X-Forwarded-For 已經存在,Front Door 會將用戶端套接字 IP 新增至清單結尾。 否則,它會使用用戶端套接字IP作為值來建立標頭。 針對 X-Forwarded-Host 和 X-Forwarded-Proto,Front Door 會以自己的值取代現有的值。

如需詳細資訊,請參閱 Front Door 支援的 HTTP 標頭

部署 Azure Front Door 的預估時間為何? 我的 Front Door 是否在更新程式期間維持運作?

新 Front Door 設定的部署時間會根據變更的類型而有所不同。 一般而言,變更需要 3 到 20 分鐘,才會傳播到全球所有邊緣位置。

注意

自定義 TLS/SSL 憑證更新可能需要更長的時間,從數分鐘到一小時,才能全域部署。

更新 路由或來源群組/後端集區是順暢的,而且不會造成任何停機時間(假設新的組態正確)。 憑證更新也會以不可部分完成,因此不會有中斷的風險。

組態

Azure Front Door 是否能夠對虛擬網路內的流量進行負載平衡或路由傳送?

若要使用 Azure Front Door Standard、進階版 或 (傳統) 層,您需要可公開解析的公用 IP 或 DNS 名稱。 公用IP或可公開解析的 DNS 名稱這項需求可讓 Azure Front Door 將流量路由傳送至後端資源。 您可以使用 azure 資源,例如 應用程式閘道 或 Azure Load Balancer,將流量路由傳送至虛擬網路中的資源。 如果您使用 Front Door 進階版 層,您可以使用 Private Link 連線到具有私人端點的內部負載平衡器後方來源。 如需詳細資訊,請參閱 使用 Private Link 保護來源。

為 Azure Front Door 建立原始來源和來源群組的最佳做法為何?

原始群組是可以處理類似要求類型的來源集合。 針對每個不同應用程式或工作負載,您需要不同的原始群組。

在原始群組中,您會為每個可處理要求的伺服器或服務建立來源。 如果您的來源具有負載平衡器,例如 Azure 應用程式閘道,或裝載在具有負載平衡器的 PaaS 上,則原始群組只有一個來源。 您的來源會負責 Front Door 未看到的來源之間的故障轉移和負載平衡。

例如,如果您在 Azure App 服務 上裝載應用程式,設定 Front Door 的方式取決於您擁有的應用程式實例數目:

  • 單一區域部署:建立一個原始群組。 在該原始群組中,為 App Service 應用程式建立一個原始來源。 您的 App Service 應用程式可能會相應放大背景工作角色,但 Front Door 會看到一個來源。
  • 多區域主動/被動部署:建立一個原始來源群組。 在該原始群組中,為每個 App Service 應用程式建立原點。 設定每個來源的優先順序,讓主要應用程式具有高於備份應用程式的優先順序。
  • 多區域主動/主動部署:建立一個原始來源群組。 在該原始群組中,為每個 App Service 應用程式建立原點。 將每個來源的優先順序設定為相同。 設定每個原始來源的權數,以控制有多少要求移至該原始來源。

若要深入瞭解,請參閱 Azure Front Door 中的來源和來源群組。

Azure Front Door 逾時和限制的預設值和最大值為何?

Azure Front Door 是一項服務,可為您的應用程式提供快速且可靠的 Web 傳遞。 它提供快取、負載平衡、安全性和路由等功能。 不過,您必須注意一些適用於 Azure Front Door 的逾時和限制。 這些逾時和限制包括要求大小上限、回應大小上限、標頭大小上限、標頭數目上限、規則數目上限,以及來源群組數目上限。 您可以在 Azure Front Door 檔中找到這些逾時和限制的詳細資訊。

Azure Front Door 需要多少時間才能套用新增至 Front Door 規則引擎的新規則?

大部分規則集的組態更新會在20分鐘內完成。 更新完成之後,將會立即套用規則。

是否可以在 Front Door 配置檔後面設定 Azure CDN,或以其他方式進行設定?

Azure Front Door 和 Azure CDN 是兩項服務,可為您的應用程式提供快速且可靠的 Web 傳遞。 不過,它們彼此不相容,因為它們會共用相同的 Azure 邊緣網站網路,以將內容傳遞給使用者。 此共享網路會導致其路由和快取原則之間的衝突。 因此,您必須根據您的效能和安全性需求,為您的應用程式選擇 Azure Front Door 或 Azure CDN。

是否可以在另一個 Front Door 配置檔後面設定 Azure Front Door,或以其他方式進行設定?

這兩個配置檔都會使用相同的 Azure 邊緣網站來處理連入要求,這會導致這項限制讓您無法將一個 Azure Front Door 配置檔巢狀置於另一個後方。 此設定會導致路由衝突和效能問題。 因此,如果您需要對應用程式使用多個配置檔,您應該確定您的 Azure Front Door 設定檔是獨立的,且不會鏈結在一起。

Front Door 支援的網路服務卷標為何?

Azure Front Door 使用三個服務標籤來管理用戶端與來源之間的流量:

  • AzureFrontDoor.Backend 服務標籤包含 Front Door 用來存取來源的 IP 位址。 設定來源的安全性時,您可以套用此服務標籤。
  • AzureFrontDoor.Frontend 服務標籤包含用戶端用來連線 Front Door 的 IP 位址。 當您想要控制可連線到 Azure Front Door 後方服務的輸出流量時,您可以套用 AzureFrontDoor.Frontend 服務標籤。
  • AzureFrontDoor.FirstParty 服務標籤會保留給 Azure Front Door 上裝載 Microsoft 服務 選取群組。

如需 Azure Front Door 服務標籤案例的詳細資訊,請參閱 可用的服務標籤

從用戶端到 Azure Front Door 的標頭逾時值為何?

Azure Front Door 有 5 秒的逾時,可從用戶端接收標頭。 如果在建立 TCP/TLS 連線之後,用戶端未在 5 秒內將標頭傳送至 Azure Front Door,則會終止連線。 您無法設定此逾時值。

Azure Front Door 的 HTTP 保持運作逾時值為何?

Azure Front Door 有 90 秒的 HTTP 保持運作逾時。 如果用戶端未傳送數據 90 秒,則會終止連線,這是 Azure Front Door 的 HTTP 保持運作逾時。 您無法設定此逾時值。

是否可以針對兩個不同的 Front Door 端點使用相同的網域?

您無法針對多個 Front Door 端點使用相同的網域,因為 Front Door 必須針對每個要求區分路由(通訊協定 + 主機 + 路徑組合)。 如果您有跨不同端點的重複路由,Azure Front Door 無法正確處理要求。

是否可以將網域從一個 Front Door 端點移轉至另一個 Front Door 端點,而不需要停機?

目前,我們不提供將網域從一個端點移至另一個端點的選項,而不會中斷服務。 如果您想要將網域移轉至不同的端點,則必須規劃一些停機時間。

效能

Azure Front Door 如何確保其服務的高可用性和延展性?

Azure Front Door 是一個平臺,可分散世界各地的流量,並可相應增加以符合應用程式的需求。 它會使用 Microsoft 的全球網路邊緣來提供全域負載平衡功能,讓您在發生失敗時,將整個應用程式或特定微服務切換至不同的區域或雲端。

從我的原始來源快取範圍回應的條件為何?

若要避免傳遞大型檔案時發生錯誤,請確定您的源伺服器在 Content-Range 回應中包含標頭,且標頭值符合回應本文的實際大小。

您可以在傳遞大型檔案中 ,找到有關如何設定來源和 Front Door 以傳遞大型檔案的詳細資訊。

TLS 設定

Azure Front Door 如何封鎖網域前端?

網域前端是一種網路技術,可讓攻擊者隱藏惡意要求的實際目的地,方法是在 TLS 交握和 HTTP 主機標頭中使用不同的功能變數名稱。

Azure Front Door(標準、進階版 和傳統層)或自 2022 年 11 月 8 日之後建立的 Microsoft(傳統)資源的 Azure CDN 標準,已啟用網域前端封鎖。 如果兩個網域屬於相同的訂用帳戶,而且包含在路由/路由規則中,我們不允許封鎖具有不相符 SNI 和主機標頭的要求。 網域前端封鎖強制執行將於 2024 年 1 月 22 日開始,所有現有的網域。 強制執行最多可能需要兩周才能傳播到所有區域。

當 Front Door 因不相符而封鎖要求時:

  • 用戶端會收到 HTTP 421 Misdirected Request 錯誤碼回應。
  • Azure Front Door 會在 [錯誤資訊] 屬性底下的診斷記錄中記錄區塊,並具有 SSLMismatchedSNI

如需網域前端的詳細資訊,請參閱保護我們在 Azure 中前端網域的方法,以及禁止從 Microsoft 進行 Azure Front Door 和 Azure CDN Standard 上的網域前端。

Azure Front Door 支援哪些 TLS 版本?

Front Door 會使用 TLS 1.2 作為 2019 年 9 月之後所建立之所有配置檔的最低版本。

您可以選擇搭配 Azure Front Door 使用 TLS 1.0、1.1、1.2 或 1.3。 若要深入瞭解,請閱讀 Azure Front Door 端對端 TLS 一文。

計費

我是否需支付已停用的 Azure Front Door 資源費用?

Azure Front Door 是一項服務,可提供快速且安全的 Web 傳遞。 它可讓您定義 Web 流量在多個區域和端點之間路由和優化的方式。 Azure Front Door 資源,例如 Front Door 配置檔和路由規則,只有在啟用前門配置檔和路由規則時才會收費。 不過,不論其狀態為何,Web 應用程式防火牆 (WAF) 原則和規則都會收費。 即使您停用 WAF 原則或規則,仍會產生費用。

診斷和記錄

Azure Front Door 所提供的計量和記錄為何?

如需記錄和其他診斷功能的詳細資訊,請參閱 Front Door 的監視計量和記錄

診斷記錄保留的持續時間為何?

您可以將診斷記錄儲存在自己的記憶體帳戶中,然後選擇保留多久時間。 或者,診斷記錄可以傳送至事件中樞或 Azure 監視器記錄。 如需詳細資訊,請參閱 Azure Front Door 診斷

存取 Azure Front Door 稽核記錄的步驟為何?

若要存取 Azure Front Door 的稽核記錄,您必須造訪入口網站。 從功能表頁面選取您的 Front Door,然後選取 [ 活動記錄]。 活動記錄提供 Azure Front Door 作業的記錄。

如何設定 Azure Front Door 的警示?

您可以根據 計量或記錄來設定 Azure Front Door 的警示。 如此一來,您就可以監視前端主機的效能和健康情況。

若要瞭解如何建立 Azure Front Door Standard 和 進階版 的警示,請參閱設定警示