Dela via


Metodtips för Front Door

Den här artikeln sammanfattar metodtips för att använda Azure Front Door.

Allmänna metodtips

Förstå när du ska kombinera Traffic Manager och Front Door

För de flesta lösningar rekommenderar vi att du använder antingen Front Door eller Azure Traffic Manager, men inte båda. Azure Traffic Manager är en DNS-baserad lastbalanserare. Den skickar trafik direkt till ursprungets slutpunkter. Azure Front Door avslutar däremot anslutningar vid närvaropunkter (PoPs) nära klienten och upprättar separata långvariga anslutningar till ursprunget. Produkterna fungerar annorlunda och är avsedda för olika användningsfall.

Om du behöver cachelagring och leverans av innehåll (CDN), TLS-avslutning, avancerade routningsfunktioner eller en brandvägg för webbprogram (WAF) bör du överväga att använda Front Door. Överväg att använda Traffic Manager för enkel global belastningsutjämning med direkta anslutningar från klienten till dina slutpunkter. Mer information om hur du väljer ett alternativ för belastningsutjämning finns i Alternativ för belastningsutjämning.

Men som en del av en komplex arkitektur som kräver hög tillgänglighet kan du placera en Azure Traffic Manager framför en Azure Front Door. Om Azure Front Door inte är tillgängligt kan Azure Traffic Manager sedan dirigera trafik till ett alternativt mål, till exempel Azure Application Gateway eller ett partnernätverk för innehållsleverans (CDN).

Viktigt!

Placera inte Azure Traffic Manager bakom Azure Front Door. Azure Traffic Managers bör alltid stå framför Azure Front Door.

Begränsa trafik till ditt ursprung

Front Door-funktionerna fungerar bäst när trafiken endast flödar genom Front Door. Du bör konfigurera ditt ursprung för att blockera trafik som inte har skickats via Front Door. Mer information finns i Skydda trafik till Azure Front Door-ursprung.

Använda den senaste API-versionen och SDK-versionen

När du arbetar med Front Door med hjälp av API:er, ARM-mallar, Bicep eller Azure SDK:er är det viktigt att använda den senaste tillgängliga API- eller SDK-versionen. API- och SDK-uppdateringar sker när nya funktioner är tillgängliga och innehåller även viktiga säkerhetskorrigeringar och buggkorrigeringar.

Konfigurera loggar

Front Door spårar omfattande telemetri om varje begäran. När du aktiverar cachelagring kanske dina ursprungsservrar inte får alla förfrågningar, så det är viktigt att du använder Front Door-loggarna för att förstå hur din lösning körs och svarar på dina klienter. Mer information om de mått och loggar som Azure Front Door registrerar finns i Övervaka mått och loggar i Azure Front Door - och WAF-loggar.

Information om hur du konfigurerar loggning för ditt eget program finns i Konfigurera Azure Front Door-loggar

Metodtips för TLS

Använda TLS från slutpunkt till slutpunkt

Front Door avslutar TCP- och TLS-anslutningar från klienter. Sedan upprättas nya anslutningar från varje närvaropunkt (PoP) till ursprunget. Det är en bra idé att skydda var och en av dessa anslutningar med TLS, även för ursprung som finns i Azure. Den här metoden säkerställer att dina data alltid krypteras under överföringen.

Mer information finns i TLS från slutpunkt till slutpunkt med Azure Front Door.

Använda HTTP till HTTPS-omdirigering

Det är en bra idé för klienter att använda HTTPS för att ansluta till din tjänst. Ibland måste du dock acceptera HTTP-begäranden för att tillåta äldre klienter eller klienter som kanske inte förstår bästa praxis.

Du kan konfigurera Front Door för att automatiskt omdirigera HTTP-begäranden till att använda HTTPS-protokollet. Du bör aktivera omdirigering av all trafik för att använda HTTPS-inställningen på din väg.

Använd hanterade TLS-certifikat

När Front Door hanterar dina TLS-certifikat minskar dina driftskostnader vilket hjälper dig undvika kostsamma avbrott som orsakas av att du glömmer att förnya ett certifikat. Front Door utfärdar och roterar automatiskt de hanterade TLS-certifikaten.

Mer information finns i Konfigurera HTTPS på en anpassad Azure Front Door-domän med hjälp av Azure Portal.

Använda den senaste versionen för kundhanterade certifikat

Om du bestämmer dig för att använda dina egna TLS-certifikat kan du överväga att ange Key Vault-certifikatversionen till "Senaste". Genom att använda "Senaste" undviker du att behöva konfigurera om Front Door för att använda nya versioner av certifikatet och vänta på att certifikatet ska distribueras i Front Door-miljöer.

Mer information finns i Välj certifikatet för Azure Front Door att distribuera.

Metodtips för domännamn

Anta anpassade domäner

Anta anpassade domäner för dina Front Door-slutpunkter för att säkerställa bättre tillgänglighet och flexibilitet samtidigt som du hanterar dina domäner och trafik. Hårdkoda inte AFD-angivna domäner (till exempel *.azurefd.z01.net) i dina klienter/codebases/brandvägg. Använd anpassade domäner för sådana scenarier.

Använd samma domännamn på Front Door och ditt ursprung

Front Door kan skriva om rubriken för Host inkommande begäranden. Den här funktionen kan vara användbar när du hanterar en uppsättning kundinriktade anpassade domännamn som dirigeras till ett enda ursprung. Den här funktionen kan också vara till hjälp när du vill undvika att konfigurera anpassade domännamn i Front Door och i ditt ursprung. Men när du skriver om Host rubriken kan begärandecookies och URL-omdirigeringar brytas. När du använder plattformar som Azure App Service kanske funktioner som sessionstillhörighet och autentisering och auktorisering inte fungerar korrekt.

Innan du skriver om rubriken för Host dina begäranden bör du noga överväga om programmet kommer att fungera korrekt.

Mer information finns i Bevara det ursprungliga HTTP-värdnamnet mellan en omvänd proxy och dess serverdelswebbprogram.

Brandvägg för webbaserade program (WAF)

Aktivera WAF

För internetuppkopplade program rekommenderar vi att du aktiverar Brandväggen för Front Door-webbprogram (WAF) och konfigurerar den för att använda hanterade regler. När du använder en WAF och Microsoft-hanterade regler skyddas ditt program från en mängd olika attacker.

Mer information finns i Brandvägg för webbprogram (WAF) på Azure Front Door.

Följ WAF-metodtips

WAF för Front Door har en egen uppsättning metodtips för konfiguration och användning. Mer information finns i Metodtips för brandväggen för webbprogram på Azure Front Door.

Metodtips för hälsoavsökning

Inaktivera hälsoavsökningar när det bara finns ett ursprung i en ursprungsgrupp

Front Door hälsoavsökningar är utformade för att identifiera situationer där ett ursprung är otillgängligt eller inte är felfritt. När en hälsoavsökning identifierar ett problem med ett ursprung kan Front Door konfigureras för att skicka trafik till ett annat ursprung i ursprungsgruppen.

Om du bara har ett enda ursprung dirigerar startpunkten alltid trafik till det ursprunget även om hälsoavsökningen rapporterar en status som inte är felfri. Statusen för hälsoavsökningen gör ingenting för att ändra funktionaliteten för startpunkten. I det här scenariot ger hälsoavsökningar ingen fördel och du bör inaktivera dem för att minska trafiken på ditt ursprung.

Mer information finns i Hälsoavsökningar.

Välj bra slutpunkter för hälsoavsökning

Överväg den plats där du uppmanar Front Door hälsoavsökning att övervaka. Det är vanligtvis en bra idé att övervaka en webbsida eller plats som du specifikt utformar för hälsoövervakning. Din programlogik kan ta hänsyn till statusen för alla viktiga komponenter som krävs för att hantera produktionstrafik, inklusive programservrar, databaser och cacheminnen. På så sätt kan Front Door, om någon komponent misslyckas, dirigera trafiken till en annan instans av tjänsten.

Mer information finns i mönstret Hälsoslutpunktsövervakning

Använd HEAD-hälsoavsökningar

Hälsoavsökningar kan använda antingen GET- eller HEAD HTTP-metoden. Det är en bra idé att använda HEAD-metoden för hälsoavsökningar, vilket minskar mängden trafikbelastning på dina ursprung.

Mer information finns i HTTP-metoder som stöds för hälsoavsökningar.

Nästa steg

Lär dig hur du skapar en Front Door-profil.