Preguntas más frecuentes sobre Azure Front Door

Azure Front Door es una red de entrega de aplicaciones (ADN) como servicio que ofrece diversas funcionalidades de equilibrio de carga de capa 7 para sus aplicaciones. Proporciona aceleración de sitios dinámicos (DSA), junto con equilibrio de carga global con conmutación por error casi en tiempo real. Es un servicio altamente disponible y escalable que está completamente administrado por Azure.

Azure Front Door admite la aceleración de sitios dinámicos (DSA), la descarga de TLS/SSL y TLS de un extremo a otro, firewall de aplicaciones web, afinidad de sesión basada en cookies, enrutamiento basado en ruta de dirección URL, certificados gratuitos y administración de múltiples dominios, entre otras características. Para obtener una lista completa de las características admitidas, consulte Overview of Azure Front Door (Información general de Azure Front Door).

Si bien tanto Front Door como Application Gateway son equilibradores de carga de capa 7 (HTTP/HTTPS), la principal diferencia es que Front Door es un servicio global, mientras que Application Gateway es un servicio regional. Front Door puede equilibrar la carga entre las diferentes unidades de escalado/clústeres/unidades de marca entre regiones, y Application Gateway, por su parte, le permite equilibrar la carga entre las máquinas virtuales y contenedores, entre otros, que se encuentran dentro de la unidad de escalado.

Los principales escenarios en que se debería usar Application Gateway detrás de Front Door son los siguientes:

• Front Door puede realizar el equilibrio de carga basado en rutas solo a nivel global, pero si se desea equilibrar la carga del tráfico incluso a nivel de la red virtual, debería utilizarse Application Gateway.
• Puesto que Front Door no funciona en un nivel de máquina virtual o el contenedor, no puede hacer purga de conexiones. Por contra, Application Gateway sí le permite hacer purga de conexiones.
• Con una instancia de Application Gateway detrás de Front Door, es posible lograr el 100 % de la descarga de TLS/SSL y enrutar solo solicitudes HTTP dentro de su red virtual (VNET).
• Tanto Front Door como Application Gateway admiten la afinidad de la sesión. Mientras que Front Door puede dirigir el tráfico posterior desde una sesión de usuario en el mismo clúster o back-end en una región determinada, Application Gateway puede establecer la afinidad del tráfico al mismo servidor en el clúster.

Azure Front Door necesita una VIP pública o un nombre DNS disponible públicamente al que enrutar el tráfico. La implementación de Azure Load Balancer detrás de Front Door es un caso de uso común.

Azure Front Door admite HTTP, HTTPS y HTTP/2.

La compatibilidad con el protocolo HTTP/2 está disponible únicamente para los clientes que se conectan a Azure Front Door. La comunicación con los back-end en el grupo de back-end se produce a través de HTTP/1.1. La compatibilidad con HTTP/2 está habilitada de forma predeterminada.

Los grupos de back-end pueden estar compuestos de instancias de Storage, aplicaciones web, Kubernetes o cualquier otro nombre de host personalizado que tenga conectividad pública. Azure Front Door requiere que los back-end se definan a través de una dirección IP pública o un nombre de host DNS que pueda resolverse públicamente. Los miembros de grupos de back-end pueden estar entre zonas, regiones e incluso fuera de Azure, siempre y cuando dispongan de conectividad pública.

Azure Front Door es un servicio global y no está asociado a ninguna región de Azure específica. La única ubicación que debe especificar al crear una instancia de Front Door es la ubicación del grupo de recursos, que es básicamente dónde se almacenarán los metadatos para el grupo de recursos. El propio recurso de Front Door se crea como un recurso global, y la configuración se implementa globalmente en todas las ubicaciones perimetrales.

Para obtener la lista completa de las ubicaciones perimetrales de Azure Front Door, consulte Ubicaciones perimetrales de Azure Front Door.

Azure Front Door es un servicio multiinquilino distribuido globalmente. Por lo tanto, la infraestructura de Front Door se comparte entre todos sus clientes. Sin embargo, cuando crea un perfil de Front Door, define la configuración específica necesaria para la aplicación y ninguno de los campos realizados a su Front Door afectan a otras configuraciones de Front Door.

Sí. De hecho, el servicio Azure Front Door admite la redirección de cadenas de host, ruta de acceso y consulta, así como de parte de la URL. Obtenga más información sobre la redirección de URL.

Las rutas de Front Door no están ordenadas y se selecciona una ruta específica en función de la mejor coincidencia. Obtenga más información sobre cómo hace coincidir Front Door las solicitudes con una regla de enrutamiento.

Para que la aplicación solo acepte tráfico procedente su instancia específica de Front Door, debe configurar listas de control de acceso de IP para el back-end y, a continuación, restringir el tráfico del back-end al valor específico del encabezado "X-Azure-FDID" enviado por Front Door. Estos pasos se detallan a continuación:

• Configure la creación de listas de control de acceso de IP de los back-end para que acepten tráfico únicamente del espacio de direcciones IP de back-end de Azure Front Door y de los servicios de infraestructura de Azure. Consulte los detalles de IP siguientes para la creación de listas de control de acceso en el back-end:

  • Consulte la sección AzureFrontDoor.Backend en Etiquetas de servicio e intervalos de direcciones IP de Azure para el intervalo de direcciones IP del back-end de Front Door. También puede usar la etiqueta de servicio AzureFrontDoor.Backend en sus grupos de seguridad en red.
  • Servicios de infraestructura básica de Azure través de direcciones IP de host virtualizado: 168.63.129.16 y 169.254.169.254

  Advertencia

  El espacio de back-end IP de Front Door puede cambiar más adelante; sin embargo, nos aseguraremos de que antes de que eso suceda nos hayamos integrado con los intervalos de IP y etiquetas de servicio de Azure. Recomendamos que se suscriba a los intervalos de IP y etiquetas de servicio de Azure para conocer los cambios o actualizaciones.

• Busque el valor de Front Door ID en la sección de información general de la página del portal de Front Door. Después, puede usar ese valor para filtrar el encabezado entrante "X-Azure-FDID" que Front Door envió al back-end para asegurarse de que solo se permite su propia instancia de Front Door específica (porque los intervalos IP anteriores se comparten con otras instancias de Front Door de otros clientes).

• Aplique el filtrado de reglas en el servidor web back-end para restringir el tráfico basado en el valor del encabezado "X-Azure-FDID" resultante. Tenga en cuenta que algunos servicios como Azure App Service proporcionan esta funcionalidad de filtrado basado en encabezados sin necesidad de cambiar la aplicación o el host.

  Este es un ejemplo de Microsoft Internet Information Services (IIS):

  <?xml version="1.0" encoding="UTF-8"?>
  <configuration>
      <system.webServer>
          <rewrite>
              <rules>
                  <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
                      <match url="*" />
                      <conditions>
                          <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
                      </conditions>
                      <action type="AbortRequest" />
                  </rule>
              </rules>
          </rewrite>
      </system.webServer>
  </configuration>
  

• Azure Front Door también admite la etiqueta de servicio AzureFrontDoor.Frontend, que proporciona la lista de direcciones IP que los clientes usan al conectarse a Front Door. Puede usar la etiqueta de servicio AzureFrontDoor.Frontend al controlar el tráfico saliente que se debe permitir para conectarse a los servicios implementados detrás de Azure Front Door. Azure Front Door también admite una etiqueta de servicio adicional, AzureFrontDoor.FirstParty, para integrarse internamente con otros servicios de Azure. Consulte las etiquetas de servicio disponibles para obtener más información sobre casos de uso de etiquetas de servicio de Azure Front Door.

Si usa Application Gateway como back-end para Azure Front Door, la comprobación del encabezado X-Azure-FDID se puede realizar en una regla de WAF personalizada. Para más información, consulte Creación y uso de reglas personalizadas de Firewall de aplicaciones web v2 en Application Gateway.

La dirección IP de difusión por proximidad de su instancia de Front Door normalmente no debería cambiar y es posible que permanezca estática durante la vigencia de Front Door. Sin embargo, esto no se puede garantizar. No asuma ninguna dependencia directa de la dirección IP.

No, Azure Front Door actualmente no admite direcciones IP de difusión por proximidad de front-end estáticas o dedicadas.

Sí, Azure Front Door admite los encabezados X-Forwarded-For, X-Forwarded-Host y X-Forwarded-Proto. Para X-Forwarded-For, si el encabezado ya estaba presente, Front Door le agrega la dirección IP del socket del cliente. En caso contrario, agrega el encabezado con la dirección IP del socket del cliente como valor. En el caso de For X-Forwarded-Host y X-Forwarded-Proto, el valor se invalida.

Obtenga más información sobre los encabezados HTTP que admite Front Door.

Se crean la mayoría de las instancias de Front Door, y las actualizaciones tardan entre 3 y 20 minutos en implementarse globalmente en toda la ubicación perimetral.

Las actualizaciones de las rutas o los grupos de back-end se realizan sin problemas y no provocarán ningún tiempo de inactividad (si la nueva configuración es correcta). Las actualizaciones de certificados también son atómicas y no provocarán ninguna interrupción, a menos que se cambie de "AFD Managed" (Administrado por AFD) a "Use your own cert" (Usar certificado propio) o viceversa.

Azure Front Door (AFD) requiere una dirección IP pública o un nombre DNS que pueda resolverse públicamente para enrutar el tráfico. Por lo tanto, la respuesta es que ninguna instancia de AFD puede enrutar directamente dentro de una red virtual, pero el uso de Application Gateway o Azure Load Balancer en medio resolverá este escenario.

Conozca todos los tiempos de espera y límites documentados del servicio Azure Front Door.

La mayoría de las actualizaciones de la configuración del motor de reglas se completan en menos de 20 minutos. Puede esperar que la regla surta efecto en cuanto se complete la actualización.

Azure Front Door y Azure CDN no se pueden configurar juntos porque ambos servicios usan los mismos sitios perimetrales de Azure al responder a las solicitudes.

Azure Front Door es una plataforma multiinquilino distribuida globalmente con grandes volúmenes de capacidad para satisfacer las necesidades de escalabilidad de la aplicación. Ofrecida desde el perímetro de la red global de Microsoft, Front Door proporciona una funcionalidad de equilibrio de carga global que le permite conmutar por error la aplicación entera o incluso microservicios individuales a través de regiones o nubes diferentes.

Todos los perfiles de Front Door creados después de septiembre de 2019 usan TLS 1.2 como valor mínimo predeterminado.

Front Door admite las versiones 1.0, 1.1 y 1.2 de TLS. Aún no se admite TLS 1.3. Consulte TLS de un extremo a otro con Azure Front Door para obtener más detalles.

Los recursos de Azure Front Door, como los perfiles y las reglas de enrutamiento de Front Door, no se facturan si están deshabilitados. Las directivas y reglas de WAF se facturan incluso si están deshabilitadas.

Para obtener información sobre los registros y otras funcionalidades de diagnóstico, consulte Monitoring metrics and logs for Front Door (Supervisión de métricas y registros para Front Door).

Los registros de diagnóstico fluyen hacia la cuenta de almacenamiento de los clientes y estos pueden establecer la directiva de retención según sus preferencias. Los registros de diagnóstico también se pueden enviar a un centro de eventos o a registros de Azure Monitor. Para más información, consulte el artículo sobre el diagnóstico de Azure Front Door.

Los registros de auditoría están disponibles para Azure Front Door. En el portal, haga clic en Registro de actividad en la hoja de menú de su instancia de Front Door para acceder al registro de auditoría.

Sí, Azure Front Door admite las alertas. Las alertas se configuran en métricas.

Pasos siguientes

• Aprenda a crear una instancia de Front Door.
• Más información acerca de cómo funciona Front Door.