أفضل الممارسات ل Front Door
تلخص هذه المقالة أفضل الممارسات لاستخدام Azure App Service.
أفضل الممارسات العامة
تجنب الجمع بين Traffic Manager و Front Door
بالنسبة لمعظم الحلول، نوصي باستخدام Front Door أوAzure Traffic Manager، ولكن ليس كليهما. Azure Traffic Manager هو موازن تحميل يستند إلى DNS. يرسل نسبة استخدام الشبكة مباشرة إلى نقاط نهاية الأصل. في المقابل، ينهي Azure Front Door الاتصالات عند نقاط التواجد (PoPs) بالقرب من العميل وينشئ اتصالات منفصلة طويلة الأمد بالأصول. تعمل المنتجات بشكل مختلف وهي مخصصة لحالات استخدام مختلفة.
إذا كنت بحاجة إلى التخزين المؤقت للمحتوى والتسليم (CDN) أو إنهاء TLS أو قدرات التوجيه المتقدمة أو جدار حماية تطبيق الويب (WAF)، ففكر في استخدام Front Door. لموازنة التحميل العمومية البسيطة مع الاتصالات المباشرة من العميل إلى نقاط النهاية الخاصة بك، ضع في اعتبارك استخدام Traffic Manager. لمزيد من المعلومات حول تحديد خيار موازنة التحميل، راجع خيارات موازنة التحميل.
ومع ذلك، كجزء من بنية معقدة تتطلب توفرا عاليا، يمكنك وضع Azure Traffic Manager أمام Azure Front Door. في حالة عدم توفر Azure Front Door، يمكن ل Azure Traffic Manager توجيه نسبة استخدام الشبكة إلى وجهة بديلة، مثل Azure Application Gateway أو شبكة تسليم محتوى الشريك (CDN).
هام
لا تضع Azure Traffic Manager خلف Azure Front Door. يجب أن يكون Azure Traffic Manager دائما أمام Azure Front Door.
تقييد نسبة استخدام الشبكة إلى أصولك
تعمل ميزات Front Door بشكل أفضل عندما تتدفق نسبة استخدام الشبكة فقط عبر Front Door. يجب تكوين الأصل الخاص بك لمنع حركة المرور التي لم يتم إرسالها من خلال Front Door. لمزيد من المعلومات، راجع تأمين حركة المرور إلى أصول Azure Front Door.
استخدام أحدث إصدار من واجهة برمجة التطبيقات وإصدار SDK
عند العمل مع Front Door باستخدام واجهات برمجة التطبيقات أو قوالب ARM أو Bicep أو Azure SDKs، من المهم استخدام أحدث إصدارات API أو SDK المتوفرة. تحدث تحديثات API وSDK عند توفر وظائف جديدة، وتحتوي أيضًا على تصحيحات أمان وإصلاحات أخطاء مهمة.
تكوين السجلات
يتتبع Front Door بيانات تتبع الاستخدام الشاملة حول كل طلب. عند تمكين التخزين المؤقت، قد لا تتلقى خوادم الأصل كل طلب، لذلك من المهم استخدام سجلات Front Door لفهم كيفية تشغيل الحل والاستجابة لعملائك. لمزيد من المعلومات حول المقاييس والسجلات التي يسجلها Azure Front Door، راجع مراقبة المقاييس والسجلات في Azure Front Door وسجلات WAF.
لتكوين التسجيل للتطبيق الخاص بك، راجع تكوين سجلات Azure Front Door
أفضل ممارسات TLS
استخدم بروتوكول TLS من طرف إلى طرف
ينهي Front Door اتصالات TCP وTLS من العملاء. ثم يقوم بإنشاء اتصالات جديدة من كل نقطة حضور (PoP) إلى الأصل. من الممارسات الجيدة تأمين كل من هذه الاتصالات مع TLS، حتى بالنسبة إلى الأصول المستضافة في Azure. يضمن هذا النهج تشفير بياناتك دائمًا أثناء النقل.
لمزيد من المعلومات، راجع TLS من طرف إلى طرف باستخدام Azure Front Door.
إعادة توجيه HTTP إلى HTTPS
من الممارسات الجيدة للعملاء استخدام HTTPS للاتصال بالخدمة الخاصة بك. ومع ذلك، في بعض الأحيان تحتاج إلى قبول طلبات HTTP للسماح للعملاء الأقدم أو العملاء الذين قد لا يفهمون أفضل الممارسات.
يمكنك تكوين Front Door لإعادة توجيه طلبات HTTP تلقائيًا لاستخدام بروتوكول HTTPS. يجب تمكين إعداد إعادة توجيه كل حركة المرور لاستخدام HTTPS على المسار الخاص بك.
استخدام شهادات TLS المُدارة
عندما يدير Front Door شهادات TLS الخاصة بك، فإنه يقلل من تكاليف التشغيل الخاصة بك، ويساعدك على تجنب الانقطاعات المكلفة الناجمة عن نسيان تجديد الشهادة. يصدر Front Door شهادات TLS المدارة ويدورها تلقائيا.
لمزيد من المعلومات، راجع تكوين HTTPS على مجال Azure Front Door المخصص باستخدام مدخل Microsoft Azure.
استخدام الإصدار "الأحدث" للشهادات التي يديرها العميل
إذا قررت استخدام شهادات TLS الخاصة بك، ففكر في تعيين إصدار الشهادة Key Vault إلى "الأحدث". باستخدام "الأحدث"، يمكنك تجنب الحاجة إلى إعادة تكوين Front Door لاستخدام إصدارات جديدة من شهادتك وانتظار نشر الشهادة في جميع أنحاء بيئات Front Door.
لمزيدٍ من المعلومات، راجع حدد الشهادة الخاصة بـ Azure Front Door لنشرها.
أفضل ممارسات اسم المجال
استخدم نفس اسم المجال على Front Door وأصلك
يمكن ل Front Door إعادة كتابة Host رأس الطلبات الواردة. يمكن أن تكون هذه الميزة مفيدة عند إدارة مجموعة من أسماء المجالات المخصصة التي تواجه العملاء والتي توجه إلى أصل واحد. يمكن أن تساعد هذه الميزة أيضا عندما تريد تجنب تكوين أسماء المجالات المخصصة في Front Door وفي الأصل. ومع ذلك، عند إعادة كتابة Host العنوان، قد تتعطل ملفات تعريف الارتباط للطلب وإعادة توجيه عنوان URL. على وجه الخصوص، عند استخدام أنظمة أساسية مثل Azure App Service، قد لا تعمل ميزات مثل ترابط الجلسةوالمصادقة والتخويل بشكل صحيح.
قبل إعادة كتابة Host عنوان طلباتك، ضع في اعتبارك بعناية ما إذا كان تطبيقك سيعمل بشكل صحيح.
لمزيدٍ من المعلومات، راجع الاحتفاظ باسم مضيف HTTP الأصلي بين وكيل عكسي وتطبيق الويب الخلفي الخاص به.
جدار حماية تطبيق الويب (WAF)
تمكين WAF
بالنسبة للتطبيقات التي تواجه الإنترنت، نوصي بتمكين جدار حماية تطبيق الويب Front Door (WAF) وتكوينه لاستخدام القواعد المدارة. عند استخدام WAF وقواعد تديرها Microsoft، يكون تطبيقك محميا من مجموعة واسعة من الهجمات.
لمزيدٍ من المعلومات، راجع جدار حماية تطبيق الويب (WAF) على Azure Front Door.
متابعة أفضل الممارسات WAF
يحتوي WAF ل Front Door على مجموعة خاصة به من أفضل الممارسات لتكوينه واستخدامه. لمزيدٍ من المعلومات، راجع أفضل الممارسات لجدار حماية تطبيق الويب على Azure Front Door.
أفضل ممارسات التحقيق الصحي
تعطيل فحوصات السلامة عندما يكون هناك أصل واحد فقط في مجموعة أصل
تم تصميم الفحوصات الصحية ل Front Door للكشف عن الحالات التي يكون فيها الأصل غير متوفر أو غير صحي. عندما يكتشف فحص السلامة مشكلة في الأصل، يمكن تكوين Front Door لإرسال نسبة استخدام الشبكة إلى أصل آخر في مجموعة الأصل.
إذا كان لديك أصل واحد فقط، فإن Front Door يوجه دائمًا نسبة استخدام الشبكة إلى هذا الأصل حتى إذا أبلغ فحص السلامة الخاص به عن حالة غير صحية. لا تفعل حالة التحقيق الصحي أي شيء لتغيير سلوك Front Door. في هذا السيناريو، لا توفر فحوصات السلامة فائدة ويجب عليك تعطيلها لتقليل نسبة استخدام الشبكة على أصلك.
لمزيد من المعلومات، راجع فحوصات السلامة.
تحديد نقاط نهاية فحص السلامة الجيدة
ضع في اعتبارك الموقع الذي تخبر فيه فحوصات Front Door الصحية بمراقبته. عادةً ما يكون من الجيد مراقبة صفحة ويب أو موقع تقوم بتصميمه خصيصا لمراقبة الصحة. يمكن أن يأخذ منطق التطبيق الخاص بك في الاعتبار حالة جميع المكونات الهامة المطلوبة لخدمة حركة مرور الإنتاج بما في ذلك خوادم التطبيقات وقواعد البيانات وذاكرة التخزين المؤقت. وبهذه الطريقة، إذا فشل أي مكون، يمكن ل Front Door توجيه نسبة استخدام الشبكة إلى مثيل آخر من الخدمة.
لمزيدٍ من المعلومات، راجع نمط مراقبة نقطة النهاية الصحية
استخدام فحوصات السلامة
يمكن أن تستخدم تحقيقات السلامة إما أسلوب GET أو HEAD HTTP. من الممارسات الجيدة استخدام أسلوب HEAD للفحوصات الصحية، ما يقلل من كمية حمل نسبة استخدام الشبكة على أصولك.
لمزيدٍ من المعلومات، راجع أساليب HTTP المعتمدة لفحوصات السلامة.
الخطوات التالية
تعرف على كيفية إنشاء ملف تعريف Front Door.