Procedimientos recomendados para Front Door

En este artículo se resumen los procedimientos recomendados para usar Azure Front Door.

Procedimientos recomendados generales

Evitar la combinación de Traffic Manager y Front Door

Para la mayoría de las soluciones, se recomienda usar o Front Door oAzure Traffic Manager, pero no ambos. Azure Traffic Manager es un equilibrador de carga basado en DNS. Envía tráfico directamente a los puntos de conexión del origen. En cambio, Azure Front Door finaliza las conexiones en puntos de presencia (PO) cerca del cliente y establece conexiones independientes de larga duración a los orígenes. Los productos funcionan de forma diferente y están diseñados para diferentes casos de uso.

Si necesita almacenamiento en caché y entrega de contenido (CDN), terminación TLS, funcionalidades de enrutamiento avanzadas o un firewall de aplicaciones web (WAF), considere la posibilidad de usar Front Door. Para un equilibrio de carga global sencillo con conexiones directas desde el cliente a los puntos de conexión, considere la posibilidad de usar Traffic Manager. Para obtener más información sobre cómo seleccionar una opción de equilibrio de carga, consulte Opciones de equilibrio de carga.

Sin embargo, como parte de una arquitectura compleja que requiere alta disponibilidad, puede colocar Azure Traffic Manager frente a Azure Front Door. En el improbable caso de que Azure Front Door no esté disponible, Azure Traffic Manager puede enrutar el tráfico a un destino alternativo, como Azure Application Gateway o una red de entrega de contenido de asociado (CDN).

Importante

No coloque Azure Traffic Manager detrás de Azure Front Door. Los administradores de tráfico de Azure siempre deben estar delante de Azure Front Door.

Restricción del tráfico a sus orígenes

Las características de Front Door funcionan mejor cuando el tráfico solo fluye a través de Front Door. Debe configurar el origen para bloquear el tráfico que no se ha enviado a través de Front Door. Para más información, consulte Protección del tráfico a los orígenes de Azure Front Door.

Uso de la versión más reciente de la API y la versión del SDK

Al trabajar con Front Door mediante API, plantillas de ARM, Bicep o SDK de Azure, es importante usar la versión más reciente disponible del SDK o la API. Las actualizaciones de API y SDK se producen cuando hay nuevas funcionalidades disponibles y también contienen revisiones de seguridad importantes y correcciones de errores.

Configuración de registros

Front Door realiza un seguimiento de la telemetría extensa sobre cada solicitud. Al habilitar el almacenamiento en caché, es posible que los servidores de origen no reciban todas las solicitudes, por lo que es importante que use los registros de Front Door para comprender cómo se ejecuta la solución y responde a los clientes. Para más información sobre las métricas y los registros que registra Azure Front Door, consulte Supervisión de métricas y registros en los registros de Azure Front Door y Registros de WAF.

Para configurar el registro de su propia aplicación, consulte Configuración de registros de Azure Front Door

Procedimientos recomendados para TLS

Uso de TLS de extremo a extremo

Front Door finaliza las conexiones TCP y TLS de los clientes. A continuación, establece nuevas conexiones desde cada punto de presencia (PoP) al origen. Se recomienda proteger cada una de estas conexiones con TLS, incluso para orígenes hospedados en Azure. Este enfoque garantiza que los datos siempre se cifren durante el tránsito.

Para más información, consulte TLS de extremo a extremo con Azure Front Door.

Uso del redireccionamiento de HTTP a HTTPS

Se recomienda que los clientes usen HTTPS para conectarse al servicio. Sin embargo, a veces es necesario aceptar solicitudes HTTP para permitir clientes o clientes más antiguos que podrían no entender el procedimiento recomendado.

Puede configurar Front Door para redirigir automáticamente las solicitudes HTTP para que usen el protocolo HTTPS. Debe habilitar la opción Redirigir todo el tráfico para usar HTTPS en la ruta.

Uso de certificados TLS administrados

Cuando Front Door administra los certificados TLS, reduce los costos operativos y le ayuda a evitar costosas interrupciones causadas por olvidar renovar un certificado. Front Door emite y rota automáticamente los certificados TLS administrados.

Para más información, consulte Configuración de HTTPS en un dominio personalizado de Azure Front Door mediante el Azure Portal.

Uso de la versión "Latest" (más reciente) para certificados administrados por el cliente

Si decide usar sus propios certificados TLS, considere la posibilidad de establecer la versión del certificado Key Vault en "Latest" (más reciente). Al usar "Latest" (más reciente), evita tener que volver a configurar Front Door para usar nuevas versiones del certificado y esperar a que el certificado se implemente en los entornos de Front Door.

Para más información, consulte Selección del certificado de Azure Front Door que se va a implementar.

Procedimientos recomendados de nombres de dominio

Use el mismo nombre de dominio en Front Door y su origen

Front Door puede volver a escribir el Host encabezado de las solicitudes entrantes. Esta característica puede resultar útil al administrar un conjunto de nombres de dominio personalizados orientados al cliente que se enrutan a un único origen. Esta característica también puede ayudar cuando quiera evitar la configuración de nombres de dominio personalizados en Front Door y en su origen. Sin embargo, al volver a escribir el Host encabezado, las cookies de solicitud y las redirecciones de direcciones URL podrían interrumpirse. En concreto, cuando se usan plataformas como Azure App Service, es posible que las características como la afinidad de sesión y la autenticación y la autorización no funcionen correctamente.

Antes de volver a escribir el Host encabezado de las solicitudes, considere detenidamente si la aplicación va a funcionar correctamente.

Para más información, consulte Conservar el nombre de host HTTP original entre un proxy inverso y su aplicación web back-end.

Firewall de aplicaciones web (WAF)

Habilitación del WAF

En el caso de las aplicaciones accesibles desde Internet, se recomienda habilitar el firewall de aplicaciones web (WAF) de Front Door y configurarlo para usar reglas administradas. Cuando se usa un WAF y reglas administradas por Microsoft, la aplicación está protegida frente a una amplia variedad de ataques.

Para más información, consulte el artículo Preguntas más frecuentes sobre el Firewall de aplicaciones web en Azure Front Door.

Siga los procedimientos recomendados de WAF

El WAF para Front Door tiene su propio conjunto de procedimientos recomendados para su configuración y uso. Para más información, consulte Procedimientos recomendados para el Firewall de aplicaciones web en Azure Front Door.

Procedimientos recomendados de sondeo de estado

Deshabilitación de sondeos de estado cuando solo hay un origen en un grupo de origen

Los sondeos de estado de Front Door están diseñados para detectar situaciones en las que un origen no está disponible o está en mal estado. Cuando un sondeo de estado detecta un problema con un origen, Front Door se puede configurar para enviar tráfico a otro origen del grupo de origen.

Si solo tiene un único origen, Front Door siempre enruta el tráfico a ese origen aunque su sondeo de estado notifique un estado incorrecto. El estado del sondeo de estado no hace nada para cambiar el comportamiento de Front Door. En este escenario, los sondeos de estado no proporcionan una ventaja y debe deshabilitarlos para reducir el tráfico en el origen.

Para más información, consulte Sondeos de estado.

Selección de puntos de conexión de sondeo de estado correctos

Tenga en cuenta la ubicación en la que se indica al sondeo de estado de Front Door que se va a supervisar. Normalmente es una buena idea supervisar una página web o una ubicación que diseñe específicamente para la supervisión del estado. La lógica de la aplicación puede considerar el estado de todos los componentes críticos necesarios para atender el tráfico de producción, incluidos los servidores de aplicaciones, las bases de datos y las memorias caché. De este modo, si se produce un error en algún componente, Front Door puede enrutar el tráfico a otra instancia del servicio.

Para más información, consulte el patrón Health Endpoint Monitoring

Uso de sondeos de estado HEAD

Los sondeos de estado pueden usar el método HTTP GET o HEAD. Se recomienda usar el método HEAD para sondeos de estado, lo que reduce la cantidad de carga de tráfico en los orígenes.

Para obtener más información, consulte Métodos HTTP admitidos para sondeos de estado.

Pasos siguientes

Aprenda a crear un perfil de Front Door.