Metodtips för Front Door
Den här artikeln sammanfattar metodtips för att använda Azure Front Door.
Allmänna metodtips
Förstå när du ska kombinera Traffic Manager och Front Door
För de flesta lösningar rekommenderar vi att du använder antingen Front Door eller Azure Traffic Manager, men inte båda. Azure Traffic Manager är en DNS-baserad lastbalanserare. Den skickar trafik direkt till ursprungets slutpunkter. Azure Front Door avslutar däremot anslutningar vid närvaropunkter (PoPs) nära klienten och upprättar separata långvariga anslutningar till ursprunget. Produkterna fungerar annorlunda och är avsedda för olika användningsfall.
Om du behöver cachelagring och leverans av innehåll (CDN), TLS-avslutning, avancerade routningsfunktioner eller en brandvägg för webbprogram (WAF) bör du överväga att använda Front Door. Överväg att använda Traffic Manager för enkel global belastningsutjämning med direkta anslutningar från klienten till dina slutpunkter. Mer information om hur du väljer ett alternativ för belastningsutjämning finns i Alternativ för belastningsutjämning.
Men som en del av en komplex arkitektur som kräver hög tillgänglighet kan du placera en Azure Traffic Manager framför en Azure Front Door. Om Azure Front Door inte är tillgängligt kan Azure Traffic Manager sedan dirigera trafik till ett alternativt mål, till exempel Azure Application Gateway eller ett partnernätverk för innehållsleverans (CDN).
Viktigt!
Placera inte Azure Traffic Manager bakom Azure Front Door. Azure Traffic Managers bör alltid stå framför Azure Front Door.
Begränsa trafik till ditt ursprung
Front Door-funktionerna fungerar bäst när trafiken endast flödar genom Front Door. Du bör konfigurera ditt ursprung för att blockera trafik som inte har skickats via Front Door. Mer information finns i Skydda trafik till Azure Front Door-ursprung.
Använda den senaste API-versionen och SDK-versionen
När du arbetar med Front Door med hjälp av API:er, ARM-mallar, Bicep eller Azure SDK:er är det viktigt att använda den senaste tillgängliga API- eller SDK-versionen. API- och SDK-uppdateringar sker när nya funktioner är tillgängliga och innehåller även viktiga säkerhetskorrigeringar och buggkorrigeringar.
Konfigurera loggar
Front Door spårar omfattande telemetri om varje begäran. När du aktiverar cachelagring kanske dina ursprungsservrar inte får alla förfrågningar, så det är viktigt att du använder Front Door-loggarna för att förstå hur din lösning körs och svarar på dina klienter. Mer information om de mått och loggar som Azure Front Door registrerar finns i Övervaka mått och loggar i Azure Front Door - och WAF-loggar.
Information om hur du konfigurerar loggning för ditt eget program finns i Konfigurera Azure Front Door-loggar
Metodtips för TLS
Använda TLS från slutpunkt till slutpunkt
Front Door avslutar TCP- och TLS-anslutningar från klienter. Sedan upprättas nya anslutningar från varje närvaropunkt (PoP) till ursprunget. Det är en bra idé att skydda var och en av dessa anslutningar med TLS, även för ursprung som finns i Azure. Den här metoden säkerställer att dina data alltid krypteras under överföringen.
Mer information finns i TLS från slutpunkt till slutpunkt med Azure Front Door.
Använda HTTP till HTTPS-omdirigering
Det är en bra idé för klienter att använda HTTPS för att ansluta till din tjänst. Ibland måste du dock acceptera HTTP-begäranden för att tillåta äldre klienter eller klienter som kanske inte förstår bästa praxis.
Du kan konfigurera Front Door för att automatiskt omdirigera HTTP-begäranden till att använda HTTPS-protokollet. Du bör aktivera omdirigering av all trafik för att använda HTTPS-inställningen på din väg.
Använd hanterade TLS-certifikat
När Front Door hanterar dina TLS-certifikat minskar dina driftskostnader vilket hjälper dig undvika kostsamma avbrott som orsakas av att du glömmer att förnya ett certifikat. Front Door utfärdar och roterar automatiskt de hanterade TLS-certifikaten.
Mer information finns i Konfigurera HTTPS på en anpassad Azure Front Door-domän med hjälp av Azure Portal.
Använda den senaste versionen för kundhanterade certifikat
Om du bestämmer dig för att använda dina egna TLS-certifikat kan du överväga att ange Key Vault-certifikatversionen till "Senaste". Genom att använda "Senaste" undviker du att behöva konfigurera om Front Door för att använda nya versioner av certifikatet och vänta på att certifikatet ska distribueras i Front Door-miljöer.
Mer information finns i Välj certifikatet för Azure Front Door att distribuera.
Metodtips för domännamn
Anta anpassade domäner
Anta anpassade domäner för dina Front Door-slutpunkter för att säkerställa bättre tillgänglighet och flexibilitet samtidigt som du hanterar dina domäner och trafik. Hårdkoda inte AFD-angivna domäner (till exempel *.azurefd.z01.net) i dina klienter/codebases/brandvägg. Använd anpassade domäner för sådana scenarier.
Använd samma domännamn på Front Door och ditt ursprung
Front Door kan skriva om rubriken för Host
inkommande begäranden. Den här funktionen kan vara användbar när du hanterar en uppsättning kundinriktade anpassade domännamn som dirigeras till ett enda ursprung. Den här funktionen kan också vara till hjälp när du vill undvika att konfigurera anpassade domännamn i Front Door och i ditt ursprung. Men när du skriver om Host
rubriken kan begärandecookies och URL-omdirigeringar brytas. När du använder plattformar som Azure App Service kanske funktioner som sessionstillhörighet och autentisering och auktorisering inte fungerar korrekt.
Innan du skriver om rubriken för Host
dina begäranden bör du noga överväga om programmet kommer att fungera korrekt.
Mer information finns i Bevara det ursprungliga HTTP-värdnamnet mellan en omvänd proxy och dess serverdelswebbprogram.
Brandvägg för webbaserade program (WAF)
Aktivera WAF
För internetuppkopplade program rekommenderar vi att du aktiverar Brandväggen för Front Door-webbprogram (WAF) och konfigurerar den för att använda hanterade regler. När du använder en WAF och Microsoft-hanterade regler skyddas ditt program från en mängd olika attacker.
Mer information finns i Brandvägg för webbprogram (WAF) på Azure Front Door.
Följ WAF-metodtips
WAF för Front Door har en egen uppsättning metodtips för konfiguration och användning. Mer information finns i Metodtips för brandväggen för webbprogram på Azure Front Door.
Metodtips för hälsoavsökning
Inaktivera hälsoavsökningar när det bara finns ett ursprung i en ursprungsgrupp
Front Door hälsoavsökningar är utformade för att identifiera situationer där ett ursprung är otillgängligt eller inte är felfritt. När en hälsoavsökning identifierar ett problem med ett ursprung kan Front Door konfigureras för att skicka trafik till ett annat ursprung i ursprungsgruppen.
Om du bara har ett enda ursprung dirigerar startpunkten alltid trafik till det ursprunget även om hälsoavsökningen rapporterar en status som inte är felfri. Statusen för hälsoavsökningen gör ingenting för att ändra funktionaliteten för startpunkten. I det här scenariot ger hälsoavsökningar ingen fördel och du bör inaktivera dem för att minska trafiken på ditt ursprung.
Mer information finns i Hälsoavsökningar.
Välj bra slutpunkter för hälsoavsökning
Överväg den plats där du uppmanar Front Door hälsoavsökning att övervaka. Det är vanligtvis en bra idé att övervaka en webbsida eller plats som du specifikt utformar för hälsoövervakning. Din programlogik kan ta hänsyn till statusen för alla viktiga komponenter som krävs för att hantera produktionstrafik, inklusive programservrar, databaser och cacheminnen. På så sätt kan Front Door, om någon komponent misslyckas, dirigera trafiken till en annan instans av tjänsten.
Mer information finns i mönstret Hälsoslutpunktsövervakning
Använd HEAD-hälsoavsökningar
Hälsoavsökningar kan använda antingen GET- eller HEAD HTTP-metoden. Det är en bra idé att använda HEAD-metoden för hälsoavsökningar, vilket minskar mängden trafikbelastning på dina ursprung.
Mer information finns i HTTP-metoder som stöds för hälsoavsökningar.
Nästa steg
Lär dig hur du skapar en Front Door-profil.