Nejčastější dotazy k Azure Front Door

Azure Front Door je služba ADN (Application Delivery Network), která vašim aplikacím nabízí různé možnosti vyrovnávání zatížení vrstvy 7. Poskytuje akceleraci dynamického webu (DSA) spolu s globálním vyrovnáváním zatížení s převzetím služeb při selhání v téměř reálném čase. Jedná se o vysoce dostupnou a škálovatelnou službu, kterou plně spravuje Azure.

Azure Front Door podporuje akceleraci dynamického webu (DSA), přesměrování zpracování TLS/SSL a koncové šifrování TLS, Web Application Firewall, spřažení relací na základě souborů cookie, směrování na základě cest URL, bezplatné certifikáty, správu více domén a další. Úplný seznam podporovaných funkcí najdete v tématu Přehled Azure Front Door.

Přestože Front Door i Application Gateway nástroje pro vyrovnávání zatížení vrstvy 7 (HTTP/HTTPS), hlavní rozdíl spočívá v tom, že Front Door je globální služba, zatímco Application Gateway je regionální služba. I když Front Door zatížení mezi různými jednotkami škálování, clustery a jednotkami kolků napříč oblastmi, Application Gateway umožňuje vyvážit zatížení mezi virtuálními počítači, kontejnery atd. v rámci jednotky škálování.

Mezi klíčové scénáře, proč byste měli Application Gateway za Front Door, jsou:

• Front Door vyrovnávání zatížení na základě cesty pouze na globální úrovni, ale pokud chce vyrovnávání zatížení ještě více v rámci své virtuální sítě, měl by použít nástroj Application Gateway.
• Protože Front Door nefunguje na úrovni virtuálního počítače nebo kontejneru, takže nemůže vyprázdnění připojení provést. Funkce Application Gateway ale umožňuje vyprázdnění připojení.
• Díky Application Gateway za Front Door může dosáhnout 100% přesměrování zpracování TLS/SSL a směrovat pouze požadavky HTTP v rámci své virtuální sítě.
• Front Door i Application Gateway podporují spřažení relací. Přestože Front Door směrovat následný provoz z uživatelské relace do stejného clusteru nebo back-endu v dané oblasti, Application Gateway může směrovat spřažení provozu na stejný server v rámci clusteru.

Azure Front Door směrování provozu potřebuje veřejnou VIP nebo veřejně dostupný název DNS. Běžným případem Azure Load Balancer nasazení Front Door za virtuálním počítače.

Azure Front Door podporuje HTTP, HTTPS a HTTP/2.

Podpora protokolu HTTP/2 je dostupná jenom klientům, kteří se Azure Front Door připojení. Komunikace s back-endy v back-end fondu je přes protokol HTTP/1.1. Podpora HTTP/2 je ve výchozím nastavení povolená.

Back-endové fondy se mohou skládat z Storage, webové aplikace, instancí Kubernetes nebo jakéhokoli jiného vlastního názvu hostitele, který má veřejné připojení. Azure Front Door vyžaduje, aby se back-endy definovali buď prostřednictvím veřejné IP adresy, nebo veřejně překládání názvů hostitelů DNS. Členové back-endových fondů mohou být napříč zónami, oblastmi nebo dokonce mimo Azure, pokud mají veřejné připojení.

Azure Front Door je globální služba a není svázaná s žádnou konkrétní oblastí Azure. Jediné umístění, které je potřeba zadat při vytváření Front Door, je umístění skupiny prostředků, které v podstatě určuje, kde se budou ukládat metadata pro skupinu prostředků. Front Door se vytvoří jako globální prostředek a konfigurace se globálně nasadí do všech hraničních umístění.

Úplný seznam umístění hraničních Azure Front Door najdete v Azure Front Door hraničních umístěních.

Azure Front Door je globálně distribuovaná více tenantů. Proto se infrastruktura pro Front Door sdílí mezi všemi svými zákazníky. Vytvořením profilu Front Door ale definujete specifickou konfiguraci požadovanou pro vaši aplikaci a žádné změny provedené v Front Door nemají vliv na Front Door konfigurace.

Ano. Ve skutečnosti Azure Front Door hostitele, cestu a přesměrování řetězce dotazu a také část přesměrování adresy URL. Přečtěte si další informace o přesměrování adresy URL.

Trasy pro vaši Front Door nejsou seřazené a na základě nejlepší shody se vybere konkrétní trasa. Další informace o tom, Front Door odpovídá požadavkům na pravidlo směrování.

Pokud chcete aplikaci uzamknout tak, aby přijímala provoz jenom z konkrétního Front Door, musíte pro back-end nastavit seznamy ACL PROTOKOLU IP a pak omezit provoz na back-endu na konkrétní hodnotu hlavičky X-Azure-FDID odesílané službou Front Door. Tyto kroky jsou podrobně uvedené níže:

• Nakonfigurujte ACL protokolu IP pro back-endy tak, aby přijímaly provoz Azure Front Door adresního prostoru IP adres back-endu a služeb infrastruktury Azure. Informace o ACL back-endu najdete v níže uvedených podrobnostech o IP adrese:

  • Rozsah back-endových IP adres služby Front Door najdete v části AzureFrontDoor.Backend v části Rozsahy IP adres a značky služeb Azure. Ve skupinách zabezpečení sítě můžete také použít značku služby AzureFrontDoor.Backend.
  • Základní služby infrastruktury Azure prostřednictvím virtualizovaných IP adres 168.63.129.16 hostitele: a 169.254.169.254

  Upozornění

  Front Door se prostor IP adres back-endu může později změnit, ale než k tomu dojde, zajistíme, aby byly integrované s rozsahy IP adres Azure a značkami služeb. V případě jakýchkoli změn nebo aktualizací doporučujeme přihlásit se k odběru rozsahů IP adres a značek služeb Azure.

• Vyhledejte Front Door ID hodnotu v části Přehled na Front Door portálu. Pak můžete filtrovat příchozí hlavičku X-Azure-FDID odeslanou službou Front Door do back-endu s tuto hodnotou, abyste zajistili, že bude povolená jenom vaše vlastní konkrétní instance Front Door (protože výše uvedené rozsahy IP adres se sdílí s jinými instancemi Front Door jiných zákazníků).

• Použijte filtrování pravidel na back-end webovém serveru a omezte provoz na základě výsledné hodnoty hlavičky X-Azure-FDID. Všimněte si, že některé Azure App Service poskytují tuto funkci filtrování na základě hlaviček, aniž by bylo nutné měnit aplikaci nebo hostitele.

  Tady je příklad pro Microsoft Internetová informační služba (IIS):

  <?xml version="1.0" encoding="UTF-8"?>
  <configuration>
      <system.webServer>
          <rewrite>
              <rules>
                  <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
                      <match url="*" />
                      <conditions>
                          <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
                      </conditions>
                      <action type="AbortRequest" />
                  </rule>
              </rules>
          </rewrite>
      </system.webServer>
  </configuration>
  

• Azure Front Door podporuje také značku služby AzureFrontDoor.Frontend, která poskytuje seznam IP adres, které klienti používají při připojování k Front Door. Značku služby AzureFrontDoor.Frontend můžete použít při řízení odchozího provozu, který by měl mít povolený přístup ke službám nasazených za Azure Front Door. Azure Front Door také další značku služby, AzureFrontDoor.FirstParty, pro interní integraci s jinými službami Azure. Další podrobnosti o použití značek služeb najdete v Azure Front Door značek služeb.

Pokud Application Gateway jako back-end pro Azure Front Door, můžete kontrolu hlavičky provést ve vlastním X-Azure-FDID pravidle WAF. Další informace najdete v tématu Vytvoření a použití vlastních pravidel Web Application Firewall v2 na Application Gateway.

IP adresa front-endu pro všesměrové vysílání pro Front Door by se obvykle neměla měnit a může zůstat statická po celou dobu životnosti Front Door. Neexistují však žádné záruky pro stejnou dobu. Nezadáte žádné přímé závislosti na IP adrese.

Ne, Azure Front Door v současné době nepodporuje statické ani vyhrazené IP adresy front-endu.

Ano, Azure Front Door podporuje hlavičky X-Forwarded-For, X-Forwarded-Host a X-Forwarded-Proto. Pro X-Forwarded-For, pokud hlavička již byla přítomna, Front Door k ní připojí IP adresu soketu klienta. Jinak přidá jako hodnotu hlavičku s IP adresou soketu klienta. Pro X-Forwarded-Host a X-Forwarded-Proto se hodnota přepíše.

Přečtěte si další informace o Front Door podporovaných hlavičkách HTTP.

Většina nových Front Door a aktualizace po celém světě nasadí přibližně 3 až 20 minut.

Všechny aktualizace tras, back-endových fondů atd. jsou bezproblémové a způsobí nulový prostoj (pokud je nová konfigurace správná). Aktualizace certifikátů jsou také atomické a nezpůsobí žádný výpadk, pokud přepnete z AFD Managed na "Use your own cert" (Použít vlastní certifikát) nebo naopak.

Azure Front Door (AFD) ke směrování provozu vyžaduje veřejnou IP adresu nebo veřejně překládání názvů DNS. proto odpověď není AFD přímo v rámci virtuální sítě, ale při použití Application Gateway nebo Azure Load Balancer v nástroji se tento scénář vyřeší.

Přečtěte si o všech dokumentovaných časových limitech a omezeních pro přední dveře Azure.

Většina konfiguračních aktualizací modulu pravidel se dokončila za 20 minut. Můžete očekávat, že se pravidlo projeví až po dokončení aktualizace.

přední dvířka azure a Azure CDN není možné konfigurovat společně, protože obě služby využívají stejné lokality Azure edge při reagování na požadavky.

Přední dvířka Azure jsou globálně distribuovaná víceklientská platforma s obrovskými objemy kapacity pro potřeby škálovatelnosti vaší aplikace. Přední dveře dodávané z hranice globální sítě Microsoftu poskytují funkce pro vyrovnávání zatížení, které umožňují převzít služby při selhání celé aplikace nebo dokonce i jednotlivé mikroslužby napříč oblastmi nebo různými cloudy.

Všechny profily front-dveří vytvořené po září 2019 jako výchozí minimum používají TLS 1,2.

Přední dvířka podporují protokol TLS verze 1,0, 1,1 a 1,2. TLS 1,3 není zatím podporován. Další podrobnosti najdete v části Azure front-endové služby TLS .

Prostředky front-dveří pro Azure, jako jsou profily front, se pravidla směrování neúčtují jako zakázaná. Zásady WAF a pravidla se účtují i v případě, že jsou zakázané.

Informace o protokolech a dalších diagnostických možnostech najdete v tématu monitorování metrik a protokolů pro přední dveře.

Diagnostické protokoly se zaznamenávají do účtu úložiště zákazníků a zákazníci můžou nastavit zásady uchovávání informací na základě jejich preference. Diagnostické protokoly je také možné odeslat do centra událostí nebo do protokolů Azure Monitor. Další informace najdete v tématu Diagnostika front-dveří pro Azure.

Protokoly auditu jsou k dispozici pro přední dveře Azure. Na portálu klikněte v okně nabídky vaší přední dveře na Protokol aktivit , abyste měli přístup k protokolu auditu.

Ano, přední dveře Azure podporují výstrahy. Výstrahy jsou nakonfigurovány na metrikách.

Další kroky

• Přečtěte si, jak vytvořit Front Door.
• Přečtěte si, jak služba Front Door funguje.