Gyakori kérdések az Azure Front Doorról

Az Azure Front Door egy felhőalapú szolgáltatás, amely gyorsabban és megbízhatóabban biztosítja az alkalmazásokat. A 7. rétegbeli terheléselosztást használja a forgalom több régió és végpont közötti elosztásához. Emellett dinamikus helygyorsítást (DSA) is kínál a webes teljesítmény optimalizálásához és közel valós idejű feladatátvételhez a magas rendelkezésre állás biztosítása érdekében. Az Azure Front Door egy teljes mértékben felügyelt szolgáltatás, így nem kell aggódnia a skálázás vagy a karbantartás miatt.

Az Azure Front Door egy szolgáltatás, amely számos előnnyel jár a webalkalmazások számára, például a dinamikus webhelygyorsítás (DSA), amely javítja a webhelyek teljesítményét és felhasználói élményét. Az Azure Front Door a TLS/SSL kiszervezést és a végpontok közötti TLS-t is kezeli, ami növeli a webes forgalom biztonságát és titkosítását. Az Azure Front Door emellett webalkalmazási tűzfalat, cookie-alapú munkamenet-affinitást, URL-útvonalalapú útválasztást, ingyenes tanúsítványokat és több tartománykezelést is biztosít. Az Azure Front Door funkcióival és képességeivel kapcsolatos további információkért tekintse meg a rétegek összehasonlítását.

Az Azure Front Door és a Azure-alkalmazás Gateway egyaránt terheléselosztó a HTTP/HTTPS-forgalomhoz, de különböző hatókörrel rendelkeznek. A Front Door egy globális szolgáltatás, amely régiók közötti kérelmeket képes elosztani, míg az Application Gateway egy regionális szolgáltatás, amely kiegyensúlyozza a régión belüli kéréseket. Az Azure Front Door skálázási egységekkel, fürtökkel vagy bélyegegységekkel működik, míg Azure-alkalmazás átjáró ugyanabban a skálázási egységben lévő virtuális gépekkel, tárolókkal vagy más erőforrásokkal dolgozik.

A Front Door mögötti Application Gateway az alábbi helyzetekben hasznos:

• A forgalmat nem csak globálisan, hanem a virtuális hálózaton belül is ki szeretné egyensúlyozni. A Front Door csak globális szinten végezhet útvonalalapú terheléselosztást, de az Application Gateway ezt a virtuális hálózaton belül is megteheti.
• Szüksége van Csatlakozás ion drainingre, amelyet a Front Door nem támogat. Az Application Gateway engedélyezheti a virtuális gépek vagy tárolók Csatlakozás ion ürítését.
• Ki szeretné kapcsolni az összes TLS/SSL-feldolgozást, és csak HTTP-kéréseket szeretne használni a virtuális hálózaton. A Front Door mögötti Application Gateway el tudja érni ezt a beállítást.
• A munkamenet-affinitást regionális és kiszolgálói szinten is használni szeretné. A Front Door a felhasználói munkamenetek forgalmát egy régióban ugyanahhoz a háttérrendszerhez küldheti, de az Application Gateway a háttérrendszerben lévő kiszolgálóra is elküldheti.

Az Azure Front Door használatához nyilvános VIP-címnek vagy nyilvánosan elérhető DNS-névnek kell lennie. Az Azure Front Door a nyilvános IP-cím használatával irányítja a forgalmat az Ön forrásához. Gyakori forgatókönyv egy Azure Load Balancer üzembe helyezése a Front Door mögött. A Private Link és az Azure Front Door Premium használatával is csatlakozhat egy belső terheléselosztóhoz. További információ: Privát kapcsolat engedélyezése belső terheléselosztóval.

Az Azure Front Door támogatja a HTTP, a HTTPS és a HTTP/2 protokollt.

Az Azure Front Door támogatja a HTTP/2 protokollt az ügyfélkapcsolatokhoz. A háttérkészlet kommunikációja azonban HTTP/1.1 protokollt használ. A HTTP/2 támogatása alapértelmezés szerint be van kapcsolva.

Az Azure Front Doorhoz különböző típusú forrásokat használhat, például:

• Storage (Azure Blob, Klasszikus, Statikus webhelyek)
• Felhőszolgáltatás
• App Service
• Statikus webalkalmazás
• API Management
• Application Gateway
• Nyilvános IP-cím
• Traffic Manager
• Azure Spring Apps
• Container Instances
• Container Apps
• Bármely nyilvános hozzáférésű egyéni gazdagépnév.

A forrásnak nyilvános IP-címpel vagy nyilvánosan feloldható DNS-állomásnévvel kell rendelkeznie. A háttérrendszereket különböző zónákból, régiókból vagy akár az Azure-on kívül is kombinálhatja és egyeztetheti, amennyiben azok nyilvánosan elérhetők.

Az Azure Front Door nem korlátozódik egyetlen Azure-régióra sem, de globálisan működik. A Front Door létrehozásakor csak az erőforráscsoport helyét kell választania, amely meghatározza az erőforráscsoport metaadatainak tárolási helyét. A Front Door-profil egy globális erőforrás, és konfigurációja világszerte minden peremhálózati helyre el van osztva.

Az Azure Front Door globális terheléselosztását és tartalomkézbesítését biztosító jelenléti pontok (POP-k) teljes listáját az Azure Front Door POP-helyei között találja. Ez a lista rendszeresen frissül az új POP-k hozzáadásakor vagy eltávolításakor. Az Azure Resource Manager API-val programozott módon is lekérdezheti a POP-k aktuális listáját.

Az Azure Front Door egy olyan szolgáltatás, amely globálisan osztja el az alkalmazást több régióban. Egy olyan közös infrastruktúrát használ, amelyet az összes ügyfél megoszt, de testre szabhatja saját Front Door-profilját az alkalmazás egyedi követelményeinek konfigurálásához. Más ügyfelek konfigurációi nem befolyásolhatják a Front Door konfigurációját, amely elkülönítve van az övéktől.

Egy URL gazdagépét, elérési útját és lekérdezési sztringösszetevőit átirányíthatja az Azure Front Door használatával. Az URL-átirányítás konfigurálásához tekintse meg az URL-átirányítást.

A Front Door nem rendezi a webalkalmazás útvonalait. Ehelyett a kérésnek leginkább megfelelő útvonalat választja ki. Ha szeretné megtudni, hogy a Front Door hogyan egyezteti meg az útvonalakra irányuló kérelmeket, olvassa el a Front Door útválasztási szabályra vonatkozó kéréseinek egyezését ismertető témakört.

A Front Door funkcióinak optimális teljesítményének biztosítása érdekében csak az Azure Front Doorból érkező forgalomnak kell engedélyeznie a forrás elérését. Ennek eredményeképpen a jogosulatlan vagy rosszindulatú kérések a Front Door biztonsági és útválasztási szabályzatával találkoznak, és megtagadják a hozzáférést. A forrás biztonságossá tételéről további információt az Azure Front Door-eredetű adatok biztonságossá tételéről olvashat.

A Front Door előtérének IP-címe javítva van, és előfordulhat, hogy nem változik mindaddig, amíg a Front Doort használja. A Front Door előtéri címének rögzített IP-címe azonban nem garancia. Ne támaszkodjon közvetlenül az IP-címre.

Az Azure Front Door egy dinamikus szolgáltatás, amely a forgalmat a legjobban elérhető háttérrendszerhez irányítja. Jelenleg nem kínál statikus vagy dedikált előtérbeli ip-címeket.

Igen. Tekintse meg az Access-naplók alatt található MatchedRulesSetName tulajdonságot.

Igen. További információ: Microsoft válasz a HTTP/2 elleni DDoS-támadásokra.

Az Azure Front Door támogatja az X-Forwarded-For, az X-Forwarded-Host és az X-Forwarded-Proto fejléceket. Ezek a fejlécek segítenek a Front Doornak azonosítani az eredeti ügyfél IP-címét és protokollját. Ha az X-Forwarded-For már jelen van, a Front Door hozzáadja az ügyfélcsatorna IP-címét a lista végéhez. Ellenkező esetben az ügyfélcsatorna IP-címével hozza létre a fejlécet értékként. Az X-Forwarded-Host és az X-Forwarded-Proto esetében a Front Door a meglévő értékeket a sajátjára cseréli.

További információ: Front Door által támogatott HTTP-fejlécek.

Az új Front Door-konfigurációk üzembehelyezési ideje a változás típusától függően változik. Általában 3–20 percet vesz igénybe, amíg a módosítások világszerte minden peremhálózati helyre propagálásra kerülnek.

Frissítések útvonalak vagy forráscsoportok/háttérkészletek zökkenőmentesek, és nem okoznak állásidőt (feltéve, hogy az új konfiguráció helyes). A tanúsítványfrissítések atomi módon is elvégezhetők, így nincs kimaradás kockázata.

Az Azure Front Door Standard, Premium vagy (klasszikus) szint használatához nyilvános IP-címre vagy nyilvánosan feloldható DNS-névre van szükség. A nyilvános IP-cím vagy a nyilvánosan feloldható DNS-név követelménye lehetővé teszi, hogy az Azure Front Door átirányítsa a forgalmat a háttérerőforrásokhoz. Az Olyan Azure-erőforrások, mint az Application Gateways vagy az Azure Load Balancers segítségével irányíthatja a forgalmat egy virtuális hálózat erőforrásaihoz. Ha a Front Door Premium szintet használja, a Private Link használatával csatlakozhat egy belső terheléselosztó mögötti forrásokhoz egy privát végponttal. További információ: Biztonságos források a Private Link használatával.

A forráscsoport olyan forrásgyűjtemény, amely képes kezelni a hasonló típusú kéréseket. Minden alkalmazáshoz vagy számítási feladathoz eltérő forráscsoportra van szükség.

Egy forráscsoportban minden olyan kiszolgálóhoz vagy szolgáltatáshoz létrehoz egy forrást, amely képes kiszolgálni a kéréseket. Ha a forrás rendelkezik terheléselosztóval (például Azure-alkalmazás Átjáróval), vagy egy terheléselosztóval rendelkező PaaS-en van üzemeltetve, akkor a forráscsoport csak egy forrással rendelkezik. A forrás gondoskodik a feladatátvételről és a terheléselosztásról az olyan források között, amelyeket a Front Door nem lát.

Ha például egy alkalmazást üzemeltet a Azure-alkalmazás Szolgáltatásban, a Front Door beállítása attól függ, hogy hány alkalmazáspéldánya van:

• Egyrégiós üzembe helyezés: Hozzon létre egy forráscsoportot. Ebben a forráscsoportban hozzon létre egy forrást az App Service-alkalmazáshoz. Előfordulhat, hogy az App Service-alkalmazás felskálázható a dolgozók között, de a Front Door egy forrást lát.
• Többrégiós aktív/passzív üzembe helyezés: Hozzon létre egy forráscsoportot. Ebben a forráscsoportban hozzon létre egy forrást minden App Service-alkalmazáshoz. Állítsa be az egyes források prioritását, hogy a fő alkalmazás prioritása magasabb legyen, mint a biztonsági mentési alkalmazás.
• Többrégiós aktív/aktív üzembe helyezés: Hozzon létre egy forráscsoportot. Ebben a forráscsoportban hozzon létre egy forrást minden App Service-alkalmazáshoz. Állítsa be az egyes források prioritását ugyanazzal a beállítással. Állítsa be az egyes források súlyát annak szabályozására, hogy hány kérelem legyen az adott forráshoz.

További információ: Origins and origin groups in Azure Front Door.

Az Azure Front Door egy szolgáltatás, amely gyors és megbízható webkézbesítést biztosít az alkalmazások számára. Olyan funkciókat kínál, mint a gyorsítótárazás, a terheléselosztás, a biztonság és az útválasztás. Tisztában kell lennie azonban az Azure Front Doorra vonatkozó időtúllépésekkel és korlátozásokkal. Ezek az időtúllépések és korlátok közé tartozik a kérelmek maximális mérete, a maximális válaszméret, a maximális fejlécméret, az élőfejek maximális száma, a szabályok maximális száma és a forráscsoportok maximális száma. Ezekről az időtúllépésekről és korlátokról az Azure Front Door dokumentációjában talál részletes információt.

A legtöbb szabálykészlet konfigurációfrissítései kevesebb mint 20 perc alatt befejeződnek. A szabály közvetlenül a frissítés befejezése után lesz alkalmazva.

Az Azure Front Door és az Azure CDN két olyan szolgáltatás, amely gyors és megbízható webkézbesítést biztosít az alkalmazások számára. Azonban nem kompatibilisek egymással, mivel ugyanazzal az Azure Edge-webhelyhálózattal rendelkeznek, hogy tartalmat nyújtsanak a felhasználóknak. Ez a megosztott hálózat ütközéseket okoz az útválasztási és a gyorsítótárazási szabályzatok között. Ezért a teljesítménytől és a biztonsági követelményektől függően az Azure Front Doort vagy az Azure CDN-t kell választania az alkalmazáshoz.

Az a tény, hogy mindkét profil ugyanazt az Azure Edge-webhelyet használja a bejövő kérések kezeléséhez, ez a korlátozás megakadályozza, hogy egy Azure Front Door-profilt egymás mögé ágyazz. Ez a beállítás útválasztási ütközéseket és teljesítményproblémákat okozhat. Ezért gondoskodnia kell arról, hogy az Azure Front Door-profilok függetlenek és ne legyenek összekapcsolva, ha több profilt kell használnia az alkalmazásokhoz.

Az Azure Front Door három szolgáltatáscímkével kezeli az ügyfelek és a források közötti forgalmat:

• Az AzureFrontDoor.Backend szolgáltatáscímke tartalmazza azokat az IP-címeket, amelyeket a Front Door használ a forrás eléréséhez. Ezt a szolgáltatáscímkét akkor alkalmazhatja, ha az eredetbiztonságot konfigurálja.
• Az AzureFrontDoor.Frontend szolgáltatáscímke tartalmazza azokat az IP-címeket, amelyeket az ügyfelek a Front Door eléréséhez használnak. A szolgáltatáscímkét akkor alkalmazhatja AzureFrontDoor.Frontend , ha szabályozni szeretné az Azure Front Door mögötti szolgáltatásokhoz csatlakozni képes kimenő forgalmat.
• Az AzureFrontDoor.FirstParty szolgáltatáscímke az Azure Front Dooron üzemeltetett Microsoft-szolgáltatások egy bizonyos csoportjához van fenntartva.

További információ az Azure Front Door szolgáltatáscímkék forgatókönyvéről: elérhető szolgáltatáscímkék.

Az Azure Front Door 5 másodperces időtúllépést biztosít a fejlécek ügyféltől való fogadásához. A kapcsolat megszakad, ha az ügyfél 5 másodpercen belül nem küld fejléceket az Azure Front Doornak a TCP/TLS-kapcsolat létrehozása után. Ez az időtúllépési érték nem konfigurálható.

Az Azure Front Door 90 másodperces HTTP-életben tartási időtúllépéssel rendelkezik. A kapcsolat megszakad, ha az ügyfél 90 másodpercig nem küld adatokat, ami az Azure Front Door HTTP-életben tartásának időtúllépése. Ez az időtúllépési érték nem konfigurálható.

Nem használhatja ugyanazt a tartományt több Front Door-végponthoz, mert a Front Doornak meg kell különböztetnie az egyes kérések útvonalát (protokoll + gazdagép + útvonal kombináció). Ha ismétlődő útvonalakat futtat különböző végpontokon, az Azure Front Door nem tudja megfelelően feldolgozni a kéréseket.

Jelenleg nem kínálunk lehetőséget tartományok áthelyezésére egyik végpontról a másikra a szolgáltatás megszakítása nélkül. Ha tartományait egy másik végpontra szeretné migrálni, terveznie kell némi állásidőt.

Az Azure Front Door egy olyan platform, amely elosztja a forgalmat az egész világon, és felskálázható az alkalmazás igényeinek megfelelően. A Microsoft globális hálózati peremhálózatát használja a globális terheléselosztási képesség biztosításához, amely lehetővé teszi, hogy a teljes alkalmazást vagy adott mikroszolgáltatást különböző régiókra vagy felhőkre váltsa, ha hiba történt.

Ha el szeretné kerülni a nagy méretű fájlok kézbesítésével kapcsolatos hibákat, győződjön meg arról, hogy a forráskiszolgáló tartalmazza a Content-Range fejlécet a válaszban, és hogy a fejléc értéke megegyezik a válasz törzsének tényleges méretével.

További információt arról talál, hogyan konfigurálhatja a forrást és a Front Doort a nagy méretű fájlok kézbesítéséhez.

A domain fronting egy hálózati technika, amellyel a támadó elrejtheti egy rosszindulatú kérés tényleges célját egy másik tartománynév használatával a TLS kézfogásában és a HTTP-gazdagép fejlécében.

A 2022. november 8. után létrehozott Microsoft(klasszikus) erőforrásokból származó Azure Front Door (Standard, Prémium és Klasszikus szint) vagy Azure CDN Standard engedélyezve van a tartományelőtér-blokkolással. Ahelyett, hogy letiltanánk a nem egyező SNI- és gazdagépfejlécekkel rendelkező kéréseket, akkor engedélyezzük az eltérést, ha a két tartomány ugyanahhoz az előfizetéshez tartozik, és szerepelnek az útvonalak/útválasztási szabályok között. A domain fronting blocking enforcement 2024. január 22-én kezdődik az összes meglévő tartomány esetében. A végrehajtáshoz legfeljebb két hétre lehet szükség ahhoz, hogy minden régióba propagáljanak.

Ha a Front Door egy eltérés miatt blokkolja a kérést:

• Az ügyfél HTTP-hibakód-választ 421 Misdirected Request kap.
• Az Azure Front Door az SSLMismatchedSNI értékkel rögzíti a diagnosztikai naplókban lévő blokkot az SslMismatchedSNI értékkel.

A tartományelőtérezésről további információt az Azure-on belüli tartományelőtér-kialakítással kapcsolatos megközelítésünk biztonságossá tételéről, valamint az Azure Front Door és az Azure CDN Standard microsoftos (klasszikus) tartományi előtérrendszerének tiltásáról szóló cikkben talál.

A Front Door a TLS 1.2-t használja a 2019 szeptembere után létrehozott összes profil minimális verziójaként.

Választhatja a TLS 1.0, 1.1, 1.2 vagy 1.3 használatát az Azure Front Door használatával. További információkért olvassa el az Azure Front Door végpontok közötti TLS-cikkét .

Az Azure Front Door egy gyors és biztonságos webkézbesítést biztosító szolgáltatás. Ez lehetővé teszi a webes forgalom irányításának és optimalizálásának meghatározását több régióban és végponton. Az Azure Front Door-erőforrások, például a Front Door-profilok és az útválasztási szabályok csak akkor kerülnek felszámításra, ha engedélyezve vannak. A webalkalmazási tűzfal (WAF) szabályzatai és szabályai azonban állapotuktól függetlenül díjkötelesek. Még ha letilt egy WAF-szabályzatot vagy szabályt is, az költségekkel jár az Ön számára.

Naplókra és más diagnosztikai funkciókra vonatkozó információk: Front Door-metrikák és -naplók monitorozása.

A diagnosztikai naplókat a saját tárfiókjukban tárolhatja, és kiválaszthatja, hogy mennyi ideig őrizze meg őket. Alternatív megoldásként a diagnosztikai naplók elküldhetők az Event Hubsba vagy az Azure Monitor naplóiba. További információkért tekintse meg az Azure Front Door diagnosztikát.

Az Azure Front Door naplózási naplóinak eléréséhez meg kell látogatnia a portált. Válassza ki a Front Doort a menülapon, és válassza a Tevékenységnapló lehetőséget. A tevékenységnapló tartalmazza az Azure Front Door műveleteinek rekordjait.

Metrikák vagy naplók alapján riasztásokat állíthat be az Azure Front Doorhoz. Ezzel monitorozhatja az előtérbeli gazdagépek teljesítményét és állapotát.

Ha tudni szeretné, hogyan hozhat létre riasztásokat az Azure Front Door Standard és a Premium rendszerhez, tekintse meg a riasztások konfigurálását ismertető cikket.

Következő lépések

• Megtudhatja, hogyan hozhat létre Azure Front Door-profilt .
• Ismerje meg az Azure Front Door architektúráját.