Поделиться через


Перспектива Azure Well-Architected Framework в Azure Front Door

Azure Front Door — это глобальная подсистема балансировки нагрузки и сеть доставки содержимого, которая направляет трафик HTTP и HTTPS. Azure Front Door предоставляет и распределяет трафик, ближайший к пользователям приложения.

В этой статье предполагается, что как архитектор вы ознакомились с вариантами балансировки нагрузки и выбрали Azure Front Door в качестве подсистемы балансировки нагрузки для рабочей нагрузки. Кроме того, предполагается, что приложение развернуто в нескольких регионах в модели "активный — активный — активный" или "активный — пассивный". В этой статье приведены рекомендации по архитектуре, сопоставленные с принципами основных принципов Azure Well-Architected Framework.

Важно!

Как пользоваться руководством

В каждом разделе содержится контрольный список проектов, в которых представлены интересующие архитектурные области и стратегии проектирования, локализованные для технологии область.

В этой статье также содержатся рекомендации по технологическим возможностям, которые помогают материализовать эти стратегии. Рекомендации не представляют исчерпывающий список всех конфигураций, доступных для Azure Front Door и ее зависимостей. Вместо этого они перечисляют ключевые рекомендации, сопоставленные с перспективами проектирования. Используйте рекомендации для создания подтверждения концепции или оптимизации существующих сред.

Базовая архитектура, демонстрирующая основные рекомендации: критически важная базовая архитектура с элементами управления сетью.

Технологические область

В этом обзоре рассматриваются взаимосвязанные решения для следующих ресурсов Azure:

  • Azure Front Door

Надежность

Цель компонента "Надежность" — обеспечить постоянную функциональность, создав достаточную устойчивость и возможность быстрого восстановления после сбоев.

Принципы проектирования надежности обеспечивают высокоуровневую стратегию проектирования, применяемую для отдельных компонентов, системных потоков и системы в целом.

Контрольный список проектирования

Начните свою стратегию проектирования на основе контрольного списка проверки проектирования для обеспечения надежности. Определите его релевантность для бизнес-требований, учитывая уровни и возможности сети доставки содержимого Azure. Расширьте стратегию, чтобы включить дополнительные подходы по мере необходимости.

  • Оцените шаблон и объем трафика. Количество запросов от клиента к пограничной службе Azure Front Door может повлиять на выбор уровня. Если требуется поддержка большого объема запросов, рассмотрите уровень Azure Front Door Premium, так как производительность в конечном итоге влияет на доступность. Тем не менее, есть компромисс затрат. Эти уровни описаны в разделе Эффективность производительности.

  • Выберите стратегию развертывания. Основные подходы к развертыванию : "активный — активный " и "активный — пассивный". Развертывание "активный — активный" означает, что несколько сред или меток, выполняющих рабочую нагрузку, обслуживают трафик. Развертывание "активный — пассивный" означает, что весь трафик обрабатывается только в основном регионе, но при необходимости выполняется отработка отказа в дополнительный регион. В развертывании с несколькими регионами метки выполняются в разных регионах для повышения доступности с помощью глобальной подсистемы балансировки нагрузки, такой как Azure Front Door, которая распределяет трафик. Поэтому важно настроить подсистему балансировки нагрузки для соответствующего подхода к развертыванию.

    Azure Front Door поддерживает несколько методов маршрутизации, которые можно настроить для распределения трафика в модели "активный — активный — активный" или "активный — пассивный".

    Предыдущие модели имеют много вариантов. Например, можно развернуть модель "активный — пассивный" с теплой запасной. В этом случае вторичная размещенная служба развертывается с минимальными возможными вычислениями и размерами данных и выполняется без нагрузки. После отработки отказа вычислительные ресурсы и ресурсы данных масштабируется для обработки нагрузки из основного региона. Дополнительные сведения см. в разделе Ключевые стратегии проектирования для проектирования в нескольких разных регионах.

    Некоторым приложениям требуется, чтобы пользовательские подключения оставались на том же сервере-источнике во время сеанса пользователя. С точки зрения надежности не рекомендуется сохранять подключения пользователей на том же сервере-источнике. Избегайте сходства сеансов, насколько это возможно.

  • Используйте одно и то же имя узла на серверах-источниках Azure Front Door. Чтобы обеспечить правильную работу файлов cookie или URL-адресов перенаправления, сохраните исходное имя узла HTTP при использовании обратного прокси-сервера, например подсистемы балансировки нагрузки, перед веб-приложением.

  • Реализуйте шаблон мониторинга конечных точек работоспособности. Приложение должно предоставлять конечные точки работоспособности, которые агрегируют состояние критически важных служб и зависимостей, необходимых приложению для обслуживания запросов. Пробы работоспособности Azure Front Door используют конечную точку для обнаружения работоспособности серверов-источников. Дополнительные сведения см. в статье Шаблон мониторинга конечных точек работоспособности.

  • Воспользуйтесь встроенными функциями сети доставки содержимого в Azure Front Door. Функция сети доставки содержимого Azure Front Door имеет сотни пограничных расположений и может помочь противостоять распределенным атакам типа "отказ в обслуживании" (DDoS). Эти возможности помогают повысить надежность.

  • Рассмотрите возможность избыточного управления трафиком. Azure Front Door — это глобально распределенная служба, которая работает как отдельная служба в среде. Azure Front Door — это потенциальная единственная точка отказа в системе. Если служба завершается сбоем, клиенты не смогут получить доступ к приложению во время простоя.

    Избыточные реализации могут быть сложными и дорогостоящими. Рассмотрите их только для критически важных рабочих нагрузок, которые имеют очень низкую устойчивость к сбоям. Тщательно продумайте компромиссы.

Рекомендации

Рекомендация Преимущество
Выберите метод маршрутизации , поддерживающий стратегию развертывания.

Взвешанный метод, который распределяет трафик на основе настроенного коэффициента веса, поддерживает модели "активный — активный".

Значение на основе приоритета, которое настраивает основной регион для получения всего трафика и отправки трафика в дополнительный регион в качестве резервной копии, поддерживает модели "активный — пассивный".

Объедините описанные выше методы с задержкой, чтобы источник с наименьшей задержкой получал трафик.
Вы можете выбрать лучший источник ресурса, выполнив ряд шагов по принятию решений и проект. Выбранный источник обслуживает трафик в пределах допустимого диапазона задержки в заданном соотношении весовых коэффициентов.
Поддержка избыточности путем наличия нескольких источников в одном или нескольких внутренних пулах.

Всегда иметь избыточные экземпляры приложения и убедитесь, что каждый экземпляр предоставляет конечную точку или источник. Эти источники можно разместить в одном или нескольких внутренних пулах.
Несколько источников поддерживают избыточность, распределяя трафик между несколькими экземплярами приложения. Если один экземпляр недоступен, то другие серверные источники по-прежнему могут получать трафик.
Настройте пробы работоспособности в источнике.

Настройте Azure Front Door для проведения проверок работоспособности, чтобы определить, доступен ли внутренний экземпляр и готов ли он продолжать получать запросы.
Включенные пробы работоспособности являются частью реализации шаблона мониторинга работоспособности. Пробы работоспособности позволяют убедиться, что Azure Front Door направляет трафик только в экземпляры, достаточно работоспособные для обработки запросов.
Дополнительные сведения см. в разделе Рекомендации по пробам работоспособности.
Установите время ожидания для переадресации запросов в серверную часть.

Настройте параметр времени ожидания в соответствии с потребностями конечных точек. В противном случае Azure Front Door может закрыть подключение до того, как источник отправит ответ.
Вы также можете уменьшить время ожидания по умолчанию для Azure Front Door, если у всех источников меньше времени ожидания.
Дополнительные сведения см. в разделе Устранение неполадок с запросами, не отвечающими на запросы.
Время ожидания помогает предотвратить проблемы с производительностью и доступностью, завершая запросы, которые занимают больше времени, чем ожидалось.
Используйте одно и то же имя узла в Azure Front Door и в источнике.

Azure Front Door может переписать заголовок узла входящих запросов, что полезно при наличии нескольких личных доменных имен, которые направляются в один источник. Однако при перезаписи заголовка узла могут возникнуть проблемы с файлами cookie запросов и перенаправлением URL-адресов.
Задайте одно и то же имя узла, чтобы предотвратить неполадки с сопоставлением сеансов, проверкой подлинности и авторизацией. Дополнительные сведения см. в статье Сохранение исходного имени узла HTTP между обратным прокси-сервером и его серверным веб-приложением.
Решите, требуется ли приложению сходство сеансов. При наличии высоких требований к надежности рекомендуется отключить сходство сеансов. При сопоставлении сеансов подключения пользователей остаются в одном источнике во время сеанса пользователя. Если этот источник становится недоступным, взаимодействие с пользователем может быть нарушено.
Воспользуйтесь преимуществами правил ограничения скорости , которые входят в состав брандмауэра веб-приложения (WAF). Ограничьте запросы, чтобы предотвратить отправку клиентами слишком большого объема трафика в приложение. Ограничение скорости помогает избежать таких проблем, как повторный шторм.

Безопасность

Цель компонента безопасности — обеспечение конфиденциальности, целостности и доступности для рабочей нагрузки.

Принципы проектирования безопасности предоставляют высокоуровневую стратегию проектирования для достижения этих целей, применяя подходы к техническому проектированию для ограничения трафика, поступающего через Azure Front Door.

Контрольный список проектирования

Начните свою стратегию проектирования на основе контрольного списка проверки проекта для обеспечения безопасности. Выявление уязвимостей и элементов управления для повышения уровня безопасности. Расширьте стратегию, чтобы включить дополнительные подходы по мере необходимости.

  • Ознакомьтесь с базовыми показателями безопасности для Azure Front Door.

  • Защитите внутренние серверы. Внешний интерфейс выступает в качестве единой точки входящего трафика для приложения.

    Azure Front Door использует Приватный канал Azure для доступа к источнику приложения. Приватный канал создает сегментацию, чтобы внутренние части не предоставляли общедоступные IP-адреса и конечные точки. Дополнительные сведения см. в статье Защита источника с помощью Приватный канал в Azure Front Door ценовой категории "Премиум".

    Настройте внутренние службы так, чтобы они принимали только запросы с тем же именем узла, которое Azure Front Door использует для внешних служб.

  • Разрешить только авторизованный доступ к плоскости управления. Используйте управление доступом на основе ролей (RBAC) Azure Front Door, чтобы ограничить доступ только для удостоверений, которым он нужен.

  • Блокировать распространенные угрозы на границе. WAF интегрирован с Azure Front Door. Включите правила WAF на внешних интерфейсах, чтобы защитить приложения от распространенных эксплойтов и уязвимостей на границе сети, ближе к источнику атаки. Рассмотрите возможность геофильтрации, чтобы ограничить доступ к веб-приложению по странам или регионам.

    Дополнительные сведения см. в статье Azure Брандмауэр веб-приложений в Azure Front Door.

  • Защитите Azure Front Door от непредвиденного трафика. Azure Front Door использует базовый план защиты от атак DDoS Azure для защиты конечных точек приложений от атак DDoS. Если вам нужно предоставить другие общедоступные IP-адреса из приложения, рассмотрите возможность добавления стандартного плана защиты от атак DDoS для этих адресов для расширенных возможностей защиты и обнаружения.

    Существуют также наборы правил WAF, которые обнаруживают трафик бота или неожиданно большие объемы трафика, который может быть потенциально вредоносным.

  • Защита передаваемых данных. Включите сквозной протокол TLS, перенаправление HTTP в HTTPS и управляемые сертификаты TLS, если это применимо. Дополнительные сведения см. в статье Рекомендации по TLS для Azure Front Door.

  • Мониторинг аномальной активности. Регулярно просматривайте журналы, чтобы проверка атак и ложных срабатываний. Отправляйте журналы WAF из Azure Front Door в централизованное управление информационной безопасностью и событиями безопасности (SIEM), например Microsoft Sentinel, для обнаружения шаблонов угроз и включения профилактических мер в структуру рабочей нагрузки.

Рекомендации

Рекомендация Преимущество
Включите наборы правил WAF, которые обнаруживают и блокируют потенциально вредоносный трафик. Эта функция доступна на уровне "Премиум". Рекомендуется использовать следующие наборы правил:
- По умолчанию
- Защита от ботов
- Ограничение IP-адресов
- Геофильтрация
- Ограничение скорости
Наборы правил по умолчанию часто обновляются на основе 10 основных типов атак OWASP и информации из Microsoft Threat Intelligence.
Специализированные наборы правил обнаруживают определенные варианты использования. Например, правила ботов классифицируют ботов как хорошие, плохие или неизвестные на основе IP-адресов клиента. Они также блокируют недопустимые боты и известные IP-адреса и ограничивают трафик в зависимости от географического расположения вызывающих объектов.

Используя сочетание наборов правил, можно обнаруживать и блокировать атаки с различными намерениями.
Создание исключений для управляемых наборов правил.

Протестируйте политику WAF в режиме обнаружения в течение нескольких недель и настройте все ложные срабатывания перед ее развертыванием.
Сократите количество ложных срабатываний и разрешите допустимые запросы для приложения.
Отправьте заголовок узла в серверную часть. Серверные службы должны знать имя узла, чтобы они могли создавать правила для приема трафика только с этого узла.
Включите сквозное перенаправление TLS, HTTP в HTTPS и управляемые сертификаты TLS, если это применимо.

Ознакомьтесь с рекомендациями по TLS для Azure Front Door.

Используйте TLS версии 1.2 в качестве минимально допустимой версии с шифрами, которые относятся к вашему приложению.

Управляемые сертификаты Azure Front Door должны быть вашим выбором по умолчанию для упрощения операций. Однако если вы хотите управлять жизненным циклом сертификатов, используйте собственные сертификаты в конечных точках личного домена Azure Front Door и сохраните их в Key Vault.
Протокол TLS гарантирует, что обмен данными между браузером, Azure Front Door и серверными источниками шифруется, чтобы предотвратить незаконное изменение.

Key Vault предлагает поддержку управляемых сертификатов, а также простое продление и смену сертификатов.

Оптимизация затрат

Оптимизация затрат сосредоточена на обнаружении закономерностей расходов, определении приоритетов инвестиций в критически важных областях и оптимизации в других областях в соответствии с бюджетом организации при одновременном выполнении бизнес-требований.

Принципы проектирования оптимизации затрат предоставляют высокоуровневую стратегию проектирования для достижения этих целей и достижения компромиссов при необходимости в техническом проектировании, связанном с Azure Front Door и ее средой.

Контрольный список проектирования

Начните свою стратегию проектирования на основе контрольного списка проверки проекта для оптимизации затрат для инвестиций. Настройте структуру таким образом, чтобы рабочая нагрузка соответствовала бюджету, выделенному для рабочей нагрузки. Ваш проект должен использовать правильные возможности Azure, отслеживать инвестиции и находить возможности для оптимизации с течением времени.

  • Ознакомьтесь с уровнями и ценами Azure Front Door. Используйте калькулятор цен , чтобы оценить реалистичные затраты для каждого уровня. Сравните возможности и пригодность каждого уровня для вашего сценария. Например, только уровень "Премиум" поддерживает подключение к источнику через Приватный канал.

    Номер SKU "Стандартный" является более экономичным и подходит для сценариев с умеренным трафиком. В SKU "Премиум" вы платите более высокую ставку за единицу, но получаете доступ к преимуществам безопасности и расширенным функциям, таким как управляемые правила в WAF и Приватный канал. Рассмотрите компромиссы в отношении надежности и безопасности в зависимости от бизнес-требований.

  • Рассмотрите затраты на пропускную способность. Затраты на пропускную способность Azure Front Door зависят от выбранного уровня и типа передачи данных. Azure Front Door предоставляет встроенные отчеты для оплачиваемых метрик. Чтобы оценить затраты, связанные с пропускной способностью, и сосредоточить усилия по оптимизации, см. статью Отчеты Azure Front Door.

  • Оптимизируйте входящие запросы. Azure Front Door выставляет счета за входящие запросы. Ограничения можно задать в конфигурации проектирования.

    Сократите количество запросов с помощью шаблонов разработки, таких как серверная часть для интерфейсов и агрегирование шлюза. Эти шаблоны могут повысить эффективность операций.

    Правила WAF ограничивают входящий трафик, что может оптимизировать затраты. Например, используйте ограничение скорости, чтобы предотвратить аномально высокий уровень трафика, или геофильтруйте, чтобы разрешить доступ только из определенных регионов или стран.

  • Эффективное использование ресурсов. Azure Front Door использует метод маршрутизации, который помогает оптимизировать ресурсы. Если рабочая нагрузка не очень чувствительна к задержкам, равномерно распределяйте трафик между всеми средами, чтобы эффективно использовать развернутые ресурсы.

    Конечные точки Azure Front Door могут обслуживать множество файлов. Одним из способов снижения затрат на пропускную способность является использование сжатия.

    Используйте кэширование в Azure Front Door для содержимого, которое меняется редко. Так как содержимое обслуживается из кэша, вы экономите затраты на пропускную способность, которые возникают при пересылке запроса в серверную часть.

  • Рассмотрите возможность использования общего экземпляра, предоставленного организацией. Затраты, связанные с централизованным обслуживанием, распределяются между рабочими нагрузками. Однако рассмотрите компромисс с надежностью. Для критически важных приложений с высокими требованиями к доступности рекомендуется использовать автономный экземпляр.

  • Обратите внимание на объем зарегистрированных данных. Затраты, связанные с пропускной способностью и хранилищем, могут начисляться, если определенные запросы не нужны или если данные журнала хранятся в течение длительного периода времени.

Рекомендации

Рекомендация Преимущество
Используйте кэширование для конечных точек, которые его поддерживают. Кэширование оптимизирует затраты на передачу данных, так как сокращает количество вызовов от экземпляра Azure Front Door к источнику.
Рассмотрите возможность включения сжатия файлов.
Для этой конфигурации приложение должно поддерживать сжатие и должно быть включено кэширование.
Сжатие снижает потребление пропускной способности и повышает производительность.
Отключите проверки работоспособности в отдельных внутренних пулах.
Если в группе источников Azure Front Door настроен только один источник, эти вызовы не нужны.
Вы можете сэкономить на пропускной способности, отключив запросы, которые не требуются для принятия решений о маршрутизации.

Эффективность операционных процессов

Операционная эффективность в основном ориентирована на процедуры разработки, наблюдаемости и управления выпусками.

Принципы проектирования операционной эффективности обеспечивают высокоуровневую стратегию проектирования для достижения этих целей в соответствии с операционными требованиями рабочей нагрузки.

Контрольный список проектирования

Начните свою стратегию проектирования на основе контрольного списка проверки проектирования для операционной эффективности для определения процессов наблюдаемости, тестирования и развертывания, связанных с Azure Front Door.

  • Используйте технологии инфраструктуры как кода (IaC). Используйте технологии IaC, такие как Bicep и шаблоны Azure Resource Manager, для подготовки экземпляра Azure Front Door. Эти декларативные подходы обеспечивают согласованность и простоту обслуживания. Например, с помощью технологий IaC можно легко внедрить новые версии набора правил. Всегда используйте последнюю версию API.

  • Упрощение конфигураций. Используйте Azure Front Door для простого управления конфигурациями. Например, предположим, что архитектура поддерживает микрослужбы. Azure Front Door поддерживает возможности перенаправления, поэтому вы можете использовать перенаправление на основе пути для отдельных служб. Другим вариантом использования является конфигурация доменов с подстановочными знаками.

  • Обработка прогрессивной экспозиции с помощью методов маршрутизации Azure Front Door. Для взвешивания балансировки нагрузки можно использовать канареечного развертывания для отправки определенного процента трафика во внутренний элемент. Этот подход помогает протестировать новые функции и выпуски в управляемой среде перед их развертыванием.

  • Сбор и анализ операционных данных Azure Front Door в рамках мониторинга рабочей нагрузки. Записывайте соответствующие журналы и метрики Azure Front Door с помощью журналов Azure Monitor. Эти данные помогают устранять неполадки, понимать поведение пользователей и оптимизировать операции.

  • Разгрузите управление сертификатами в Azure. Облегчить операционную нагрузку, связанную с ротацией и продлением сертификации.

Рекомендации

Рекомендация Преимущество
Используйте перенаправление HTTP в HTTPS для поддержки совместимости с перенаправлением. Если перенаправление включено, Azure Front Door автоматически перенаправляет клиенты, использующие старый протокол, для безопасного использования ПРОТОКОЛА HTTPS.
Запись журналов и метрик.

Включите журналы действий ресурсов, журналы доступа, журналы проб работоспособности и журналы WAF.

Настройка оповещений.
Мониторинг входящего потока является важной частью мониторинга приложения. Вы хотите отслеживать запросы и улучшать производительность и безопасность. Данные требуются для отладки конфигурации Azure Front Door.

С помощью оповещений можно получать мгновенные уведомления о любых критических операционных проблемах.
Просмотрите встроенные аналитические отчеты. Целостное представление профиля Azure Front Door помогает улучшить отчеты о трафике и безопасности с помощью метрик WAF.
По возможности используйте управляемые сертификаты TLS . Azure Front Door может выдавать сертификаты и управлять ими. Эта функция устраняет необходимость в продлении сертификата и сводит к минимуму риск сбоя из-за недопустимого или истекающего сертификата TLS.
Используйте подстановочные сертификаты TLS. Вам не нужно изменять конфигурацию, чтобы добавить или указать каждый поддомен отдельно.

Уровень производительности

Эффективность производительности заключается в поддержании взаимодействия с пользователем даже при увеличении нагрузки за счет управления емкостью. Стратегия включает в себя масштабирование ресурсов, выявление и оптимизацию потенциальных узких мест, а также оптимизацию для пиковой производительности.

Принципы проектирования производительности обеспечивают высокоуровневую стратегию проектирования для достижения этих целей емкости в отношении ожидаемого использования.

Контрольный список проектирования

Начните свою стратегию проектирования на основе контрольного списка для повышения производительности. Определите базовые показатели, основанные на ключевых показателях эффективности для Azure Front Door.

  • Планирование емкости путем анализа ожидаемых шаблонов трафика. Проведите тщательное тестирование, чтобы понять, как приложение работает при различных нагрузках. Учитывайте такие факторы, как одновременные транзакции, скорость запросов и передача данных.

    Выберите SKU на основе этого планирования. SKU "Стандартный" является более экономичным и подходит для сценариев с умеренным трафиком. Если вы ожидаете более высокие нагрузки, рекомендуется использовать номер SKU "Премиум".

  • Анализируйте данные о производительности, регулярно просматривая отчеты Azure Front Door. Эти отчеты содержат аналитические сведения о различных метриках, которые служат индикаторами производительности на уровне технологий.

    Используйте отчеты Azure Front Door, чтобы задать реалистичные целевые показатели производительности для рабочей нагрузки. Учитывайте такие факторы, как время отклика, пропускная способность и частота ошибок. Сопоставьте целевые показатели с бизнес-требованиями и ожиданиями пользователей.

  • Оптимизация передачи данных.

    • Используйте кэширование, чтобы уменьшить задержку при обслуживании статического содержимого, такого как изображения, таблицы стилей и файлы JavaScript, или содержимого, которое не изменяется часто.

      Оптимизируйте приложение для кэширования. Используйте в приложении заголовки срока действия кэша, которые определяют, как долго содержимое должно кэшироваться клиентами и прокси-серверами. Более длительная срок действия кэша означает снижение частоты запросов к серверу-источнику, что приводит к сокращению трафика и снижению задержки.

    • Уменьшите размер файлов, передаваемых по сети. Меньшие файлы позволяют ускорить загрузку и улучшить взаимодействие с пользователем.

    • Сведите к минимуму количество внутренних запросов в приложении.

      Например, на веб-странице отображаются профили пользователей, последние заказы, балансы и другие связанные сведения. Вместо того чтобы выполнять отдельные запросы для каждого набора сведений, используйте конструктивные шаблоны для структурирования приложения таким образом, чтобы несколько запросов агрегировались в один запрос.

      Агрегируя запросы, вы отправляете меньше данных между интерфейсом и серверной частью и устанавливаете меньше подключений между клиентом и серверной частью, что сокращает затраты. Кроме того, Azure Front Door обрабатывает меньше запросов, что предотвращает перегрузку.

  • Оптимизируйте использование проб работоспособности. Получение сведений о работоспособности из проб работоспособности только при изменении состояния источников. Обеспечение баланса между точностью мониторинга и минимизацией ненужного трафика.

    Пробы работоспособности обычно используются для оценки работоспособности нескольких источников в группе. Если в группе источников Azure Front Door настроен только один источник, отключите пробы работоспособности, чтобы уменьшить ненужный трафик на сервере-источнике. Так как существует только один экземпляр, состояние пробы работоспособности не повлияет на маршрутизацию.

  • Ознакомьтесь с методом маршрутизации источника. Azure Front Door предоставляет различные методы маршрутизации, включая маршрутизацию на основе задержки, приоритета, взвешаемую маршрутизацию и маршрутизацию на основе сходства сеансов, к источнику. Эти методы значительно влияют на производительность приложения. Дополнительные сведения о наилучшем варианте маршрутизации трафика для вашего сценария см. в статье Методы маршрутизации трафика к источнику.

  • Проверьте расположение серверов-источников. Расположение серверов-источников влияет на скорость реагирования приложения. Серверы-источники должны быть ближе к пользователям. Azure Front Door гарантирует, что пользователи из определенного расположения получают доступ к ближайшей точке входа Azure Front Door. Преимущества производительности включают более быстрое взаимодействие с пользователем, более эффективное использование маршрутизации на основе задержки в Azure Front Door и сокращение времени передачи данных за счет кэширования, при котором содержимое хранится ближе к пользователям.

    Дополнительные сведения см. в разделе Отчет о трафике по расположению.

Рекомендации

Рекомендация Преимущество
Включите кэширование.

Строки запросов можно оптимизировать для кэширования. Для чисто статического содержимого игнорируйте строки запроса, чтобы максимально эффективно использовать кэш.

Если приложение использует строки запроса, рекомендуется включить их в ключ кэша. Включение строк запроса в ключ кэша позволяет Azure Front Door обслуживать кэшированные ответы или другие ответы в зависимости от конфигурации.
Azure Front Door предлагает надежное сетевое решение для доставки содержимого, которое кэширует содержимое на границе сети. Кэширование снижает нагрузку на внутренние серверы и уменьшает перемещение данных по сети, что помогает уменьшить использование пропускной способности.
Используйте сжатие файлов при доступе к скачиваемому содержимому. Сжатие в Azure Front Door помогает доставлять содержимое в оптимальном формате, имеет меньшие полезные данные и быстрее доставляет содержимое пользователям.
При настройке проб работоспособности в Azure Front Door рекомендуется использовать HEAD запросы вместо GET запросов.
Проба работоспособности считывает только код состояния, но не содержимое.
HEAD запросы позволяют запрашивать изменение состояния, не извлекая все его содержимое.
Оцените, следует ли включить сходство сеансов , когда запросы от одного и того же пользователя должны направляться на тот же внутренний сервер.

С точки зрения надежности мы не рекомендуем этот подход. Если вы используете этот параметр, приложение должно корректно восстанавливаться без прерывания сеансов пользователей.

Существует также компромисс в балансировке нагрузки, так как он ограничивает гибкость распределения трафика между несколькими внутренними концами равномерно.
Оптимизируйте производительность и сохраняйте непрерывность сеансов пользователей, особенно если приложения полагаются на локальное обслуживание сведений о состоянии.

Политики Azure

Azure предоставляет широкий набор встроенных политик, связанных с Azure Front Door и ее зависимостями. Некоторые из предыдущих рекомендаций можно проверить с помощью Политик Azure. Например, можно проверка:

  • Уровень "Премиум" необходим для поддержки управляемых правил WAF и Приватный канал в профилях Azure Front Door.
  • Необходимо использовать минимальную версию TLS, которая является версией 1.2.
  • Вам требуется безопасное частное подключение между Azure Front Door premium и службами Azure PaaS.
  • Необходимо включить журналы ресурсов. В WAF должна быть включена проверка тела запроса.
  • Для применения набора правил WAF необходимо использовать политики. Например, следует включить защиту бота и включить правила ограничения скорости.

Для комплексного управления ознакомьтесь со встроенными определениями для сети доставки содержимого Azure и другими политиками Azure Front Door, перечисленными в Политика Azure встроенных определений политик.

Рекомендации Помощника по Azure

Помощник по Azure — это персонализированный облачный консультант, который помогает следовать рекомендациям по оптимизации развернутых служб Azure. Ниже приведены некоторые рекомендации, которые помогут повысить надежность, безопасность, экономичность, производительность и эффективность работы Azure Front Door.

Дальнейшие действия

Рассмотрим следующие статьи в качестве ресурсов, демонстрирующих рекомендации, описанные в этой статье.