Domande frequenti su Frontdoor di Azure

Frontdoor di Azure è un servizio basato sul cloud che offre le applicazioni in modo più rapido e affidabile. Usa il bilanciamento del carico di livello 7 per distribuire il traffico tra più aree ed endpoint. Offre anche l'accelerazione del sito dinamico (DSA) per ottimizzare le prestazioni Web e il failover quasi in tempo reale per garantire la disponibilità elevata. Frontdoor di Azure è un servizio completamente gestito, quindi non è necessario preoccuparsi del ridimensionamento o della manutenzione.

Frontdoor di Azure è un servizio che offre molti vantaggi per le applicazioni Web, ad esempio l'accelerazione del sito dinamico (DSA), che migliora le prestazioni e l'esperienza utente dei siti. Frontdoor di Azure gestisce anche l'offload TLS/SSL e TLS end-to-end, che migliora la sicurezza e la crittografia del traffico Web. Frontdoor di Azure offre anche web application firewall, affinità di sessione basata su cookie, routing basato sul percorso URL, certificati gratuiti e più gestizioni di dominio e altro ancora. Per altre informazioni sulle funzionalità e sulle funzionalità di Frontdoor di Azure, vedere Confronto tra livelli.

Frontdoor di Azure e gateway di app Azure lication sono entrambi servizi di bilanciamento del carico per il traffico HTTP/HTTPS, ma hanno ambiti diversi. Frontdoor è un servizio globale in grado di distribuire le richieste tra aree, mentre gateway applicazione è un servizio a livello di area in grado di bilanciare le richieste all'interno di un'area. Frontdoor di Azure funziona con unità di scala, cluster o unità stamp, mentre app Azure lication Gateway funziona con macchine virtuali, contenitori o altre risorse nella stessa unità di scala.

gateway applicazione dietro Frontdoor è utile in queste situazioni:

• Si vuole bilanciare il traffico non solo a livello globale, ma anche all'interno della rete virtuale. Frontdoor può eseguire solo il bilanciamento del carico basato sul percorso a livello globale, ma gateway applicazione può farlo all'interno della rete virtuale.
• È necessario Connessione svuotamento, che Frontdoor non supporta. gateway applicazione possibile abilitare lo svuotamento delle Connessione per le macchine virtuali o i contenitori.
• Si vuole eseguire l'offload di tutta l'elaborazione TLS/SSL e usare solo le richieste HTTP nella rete virtuale. gateway applicazione dietro Frontdoor può ottenere questa configurazione.
• Si vuole usare l'affinità di sessione sia a livello di area che a livello di server. Frontdoor può inviare il traffico da una sessione utente allo stesso back-end in un'area, ma gateway applicazione può inviarlo allo stesso server nel back-end.

Per usare Frontdoor di Azure, è necessario avere un indirizzo VIP pubblico o un nome DNS accessibile pubblicamente. Frontdoor di Azure usa l'indirizzo IP pubblico per instradare il traffico all'origine. Uno scenario comune consiste nel distribuire un'istanza di Azure Load Balancer dietro Frontdoor. È anche possibile usare collegamento privato con Frontdoor di Azure Premium per connettersi a un servizio di bilanciamento del carico interno. Per altre informazioni, vedere Abilitare collegamento privato con il servizio di bilanciamento del carico interno.

Frontdoor di Azure supporta i protocolli HTTP, HTTPS e HTTP/2.

Frontdoor di Azure supporta il protocollo HTTP/2 per le connessioni client. Tuttavia, la comunicazione del pool back-end usa il protocollo HTTP/1.1. Il supporto HTTP/2 è attivato per impostazione predefinita.

È possibile usare diversi tipi di origini per Frontdoor di Azure, ad esempio:

• Archiviazione (BLOB di Azure, versione classica, siti Web statici)
• Servizio cloud
• Servizio app
• App Web statica
• Gestione API
• Gateway applicazione
• Indirizzo IP pubblico
• Gestione traffico
• Azure Spring Apps
• Istanze di contenitore
• App contenitore
• Qualsiasi nome host personalizzato con accesso pubblico.

L'origine deve avere un indirizzo IP pubblico o un nome host DNS che può essere risolto pubblicamente. È possibile combinare e associare back-end da zone, aree o persino all'esterno di Azure, purché siano accessibili pubblicamente.

Frontdoor di Azure non è limitato ad alcuna area di Azure, ma opera a livello globale. L'unica posizione che è necessario scegliere quando si crea un frontdoor è la posizione del gruppo di risorse, che determina dove vengono archiviati i metadati del gruppo di risorse. Il profilo frontdoor è una risorsa globale e la relativa configurazione viene distribuita in tutte le posizioni perimetrali in tutto il mondo.

Per l'elenco completo dei punti di presenza (POP) che forniscono il bilanciamento del carico globale e la distribuzione di contenuti per Frontdoor di Azure, vedere Percorsi POP di Frontdoor di Azure. Questo elenco viene aggiornato regolarmente man mano che vengono aggiunti o rimossi nuovi POP. È anche possibile usare l'API di Azure Resource Manager per eseguire query sull'elenco corrente di POP a livello di codice.

Frontdoor di Azure è un servizio che distribuisce l'applicazione a livello globale in più aree. Usa un'infrastruttura comune che viene condivisa da tutti i clienti, ma è possibile personalizzare il proprio profilo frontdoor per configurare i requisiti specifici dell'applicazione. Le configurazioni di altri clienti non possono influire sulla configurazione di Frontdoor, che è isolata dalle relative configurazioni.

È possibile reindirizzare componenti host, percorso e stringa di query di un URL con Frontdoor di Azure. Per informazioni su come configurare il reindirizzamento URL, vedere Reindirizzamento URL.

Frontdoor non ordina le route per l'applicazione Web. Sceglie invece la route più adatta alla richiesta. Per informazioni su come Frontdoor corrisponde alle richieste alle route, vedere Come Frontdoor corrisponde alle richieste a una regola di routing.

Per garantire prestazioni ottimali delle funzionalità di Frontdoor, è consigliabile consentire solo il traffico proveniente da Frontdoor di Azure per raggiungere l'origine. Di conseguenza, le richieste non autorizzate o dannose riscontrano i criteri di sicurezza e routing di Frontdoor e vengono negati l'accesso. Per informazioni su come proteggere l'origine, vedere Proteggere il traffico verso le origini di Frontdoor di Azure.

L'indirizzo IP dell'anycast front-end di Frontdoor è fisso e potrebbe non cambiare finché si usa Frontdoor. Tuttavia, l'indirizzo IP fisso del front-end anycast di Frontdoor non è una garanzia. Evitare di basarsi direttamente sull'IP.

Frontdoor di Azure è un servizio dinamico che indirizza il traffico al back-end migliore disponibile. Al momento non offre indirizzi IP front-end statici o dedicati.

Sì. Fare riferimento alla proprietà MatchedRulesSetName in Log di accesso.

Sì. Per altre informazioni, vedere Risposta Microsoft agli attacchi DDoS contro HTTP/2.

Frontdoor di Azure supporta le intestazioni X-Forwarded-For, X-Forwarded-Host e X-Forwarded-Proto. Queste intestazioni consentono a Frontdoor di identificare l'IP e il protocollo client originali. Se X-Forwarded-For è già presente, Frontdoor aggiunge l'INDIRIZZO IP del socket client alla fine dell'elenco. In caso contrario, crea l'intestazione con l'INDIRIZZO IP del socket client come valore. Per X-Forwarded-Host e X-Forwarded-Proto, Frontdoor sostituisce i valori esistenti con i propri.

Per altre informazioni, vedere Intestazioni HTTP supportate da Frontdoor.

Il tempo di distribuzione per le nuove configurazioni di Frontdoor varia a seconda del tipo di modifica. In genere, sono necessari tra 3 e 20 minuti perché le modifiche vengano propagate a tutte le nostre sedi perimetrali in tutto il mondo.

Aggiornamenti alle route o ai gruppi di origine/pool back-end sono facili e non causano tempi di inattività (presupponendo che la nuova configurazione sia corretta). Anche gli aggiornamenti dei certificati vengono eseguiti in modo atomico, quindi non esiste alcun rischio di interruzione.

Per usare il livello Frontdoor di Azure Standard, Premium o (versione classica), è necessario un indirizzo IP pubblico o un nome DNS che può essere risolto pubblicamente. Questo requisito di un indirizzo IP pubblico o di un nome DNS che può essere risolto pubblicamente consente a Frontdoor di Azure di instradare il traffico alle risorse back-end. È possibile usare risorse di Azure come gateway applicazione o Azure Load Balancers per instradare il traffico alle risorse in una rete virtuale. Se si usa il livello Premium di Frontdoor, è possibile usare collegamento privato per connettersi alle origini dietro un servizio di bilanciamento del carico interno con un endpoint privato. Per altre informazioni, vedere Proteggere le origini con collegamento privato.

Un gruppo di origine è una raccolta di origini in grado di gestire tipi simili di richieste. È necessario un gruppo di origine diverso per ogni applicazione o carico di lavoro diverso.

In un gruppo di origine si crea un'origine per ogni server o servizio in grado di gestire le richieste. Se l'origine ha un servizio di bilanciamento del carico, ad esempio app Azure lication Gateway o è ospitato in un servizio di bilanciamento del carico con un servizio di bilanciamento del carico, il gruppo di origine ha una sola origine. L'origine si occupa del failover e del bilanciamento del carico tra origini non visualizzate da Frontdoor.

Ad esempio, se si ospita un'applicazione nel servizio app Azure, la configurazione di Frontdoor dipende dal numero di istanze dell'applicazione disponibili:

• Distribuzione a singola area: creare un gruppo di origine. In tale gruppo di origine creare un'origine per l'app servizio app. L'app servizio app potrebbe aumentare il numero di istanze tra i ruoli di lavoro, ma Frontdoor vede un'origine.
• Distribuzione attiva/passiva in più aree: creare un gruppo di origine. In tale gruppo di origine creare un'origine per ogni app servizio app. Impostare la priorità di ogni origine in modo che l'applicazione principale abbia una priorità più alta rispetto all'applicazione di backup.
• Distribuzione attiva/attiva in più aree: creare un gruppo di origine. In tale gruppo di origine creare un'origine per ogni app servizio app. Impostare la priorità di ogni origine come uguale. Impostare il peso di ogni origine per controllare il numero di richieste inviate a tale origine.

Per altre informazioni, vedere Origini e gruppi di origine in Frontdoor di Azure.

Frontdoor di Azure è un servizio che offre distribuzione Web veloce e affidabile per le applicazioni. Offre funzionalità come la memorizzazione nella cache, il bilanciamento del carico, la sicurezza e il routing. Tuttavia, è necessario tenere presente alcuni timeout e limiti applicabili a Frontdoor di Azure. Questi timeout e limiti includono le dimensioni massime delle richieste, le dimensioni massime della risposta, le dimensioni massime dell'intestazione, il numero massimo di intestazioni, il numero massimo di regole e il numero massimo di gruppi di origine. È possibile trovare le informazioni dettagliate su questi timeout e limiti nella documentazione di Frontdoor di Azure.

Gli aggiornamenti della configurazione per la maggior parte dei set di regole vengono eseguiti in meno di 20 minuti. La regola verrà applicata subito dopo il completamento dell'aggiornamento.

Frontdoor di Azure e Rete CDN di Azure sono due servizi che offrono un recapito Web rapido e affidabile per le applicazioni. Tuttavia, non sono compatibili tra loro, perché condividono la stessa rete di siti perimetrali di Azure per distribuire contenuto agli utenti. Questa rete condivisa causa conflitti tra i criteri di routing e memorizzazione nella cache. Pertanto, è necessario scegliere Frontdoor di Azure o Rete CDN di Azure per l'applicazione, a seconda dei requisiti di prestazioni e sicurezza.

Il fatto che entrambi i profili usino gli stessi siti perimetrali di Azure per gestire le richieste in ingresso causano questa limitazione che impedisce di annidare un profilo frontdoor di Azure dietro un altro. Questa configurazione causerebbe conflitti di routing e problemi di prestazioni. È quindi necessario assicurarsi che i profili frontdoor di Azure siano indipendenti e non concatenati, se è necessario usare più profili per le applicazioni.

Frontdoor di Azure usa tre tag di servizio per gestire il traffico tra i client e le origini:

• Il tag del servizio AzureFrontDoor.Backend contiene gli indirizzi IP usati da Frontdoor per accedere alle origini. È possibile applicare questo tag di servizio quando si configura la sicurezza per le origini.
• Il tag del servizio AzureFrontDoor.Frontend contiene gli indirizzi IP usati dai client per raggiungere Frontdoor. È possibile applicare il tag del AzureFrontDoor.Frontend servizio quando si vuole controllare il traffico in uscita che può connettersi ai servizi dietro Frontdoor di Azure.
• Il tag del servizio AzureFrontDoor.FirstParty è riservato per un gruppo selezionato di servizi Microsoft ospitato in Frontdoor di Azure.

Per altre informazioni sugli scenari di tag del servizio Frontdoor di Azure, vedere i tag del servizio disponibili.

Frontdoor di Azure ha un timeout di 5 secondi per la ricezione di intestazioni dal client. La connessione viene terminata se il client non invia intestazioni entro 5 secondi a Frontdoor di Azure dopo aver stabilito la connessione TCP/TLS. Non è possibile configurare questo valore di timeout.

Frontdoor di Azure ha un timeout keep-alive HTTP di 90 secondi. La connessione viene terminata se il client non invia dati per 90 secondi, ovvero il timeout keep-alive HTTP per Frontdoor di Azure. Non è possibile configurare questo valore di timeout.

Non è possibile usare gli stessi domini per più di un endpoint frontdoor, perché Frontdoor deve distinguere la route (protocollo + host + combinazione di percorso) per ogni richiesta. Se sono presenti route duplicate tra endpoint diversi, Frontdoor di Azure non è in grado di elaborare correttamente le richieste.

Al momento, non è possibile spostare i domini da un endpoint a un altro senza interruzioni nel servizio. È necessario pianificare alcuni tempi di inattività se si vuole eseguire la migrazione dei domini a un endpoint diverso.

Frontdoor di Azure è una piattaforma che distribuisce il traffico in tutto il mondo e può aumentare le prestazioni per soddisfare le esigenze dell'applicazione. Usa la rete perimetrale globale di Microsoft per offrire funzionalità di bilanciamento del carico globali che consentono di spostare l'intera applicazione o specifici microservizi in aree o cloud diversi in caso di errore.

Per evitare errori durante il recapito di file di grandi dimensioni, assicurarsi che il server di origine includa l'intestazione Content-Range nella risposta e che il valore dell'intestazione corrisponda alle dimensioni effettive del corpo della risposta.

Per altre informazioni su come configurare l'origine e Frontdoor per il recapito di file di grandi dimensioni, vedere Recapito di file di grandi dimensioni.

Il fronting del dominio è una tecnica di rete che consente a un utente malintenzionato di nascondere la destinazione effettiva di una richiesta dannosa usando un nome di dominio diverso nell'handshake TLS e nell'intestazione host HTTP.

Frontdoor di Azure (livello Standard, Premium e classico) o Rete CDN di Azure Standard dalle risorse Microsoft (classiche) create dopo l'8 novembre 2022, hanno il blocco del dominio abilitata. Invece di bloccare una richiesta con intestazioni SNI e host non corrispondenti, si consente la discrepanza se i due domini appartengono alla stessa sottoscrizione e sono inclusi nelle regole di routing/route. L'imposizione del blocco del fronting del dominio inizierà il 22 gennaio 2024 per tutti i domini esistenti. L'imposizione può richiedere fino a due settimane per propagarsi in tutte le aree.

Quando Frontdoor blocca una richiesta a causa di una mancata corrispondenza:

• Il client riceve una risposta al codice di errore HTTP 421 Misdirected Request .
• Frontdoor di Azure registra il blocco nei log di diagnostica nella proprietà Informazioni errore con il valore SSLMismatchedSNI.

Per altre informazioni sul fronting del dominio, vedere Protezione dell'approccio al fronting del dominio in Azure e Proibizione del fronting del dominio in Frontdoor di Azure e Rete CDN di Azure Standard da Microsoft (versione classica).

Frontdoor usa TLS 1.2 come versione minima per tutti i profili creati dopo settembre 2019.

È possibile scegliere di usare TLS 1.0, 1.1, 1.2 o 1.3 con Frontdoor di Azure. Per altre informazioni, vedere l'articolo Tls end-to-end di Frontdoor di Azure.

Frontdoor di Azure è un servizio che offre distribuzione Web veloce e sicura. Consente di definire il modo in cui il traffico Web viene instradato e ottimizzato in più aree ed endpoint. Le risorse frontdoor di Azure, ad esempio i profili frontdoor e le regole di routing, vengono addebitate solo quando sono abilitate. Tuttavia, i criteri e le regole web application firewall (WAF) vengono addebitati indipendentemente dal relativo stato. Anche se si disabilita un criterio o una regola WAF, vengono comunque addebitati i costi.

Per informazioni sui log e altre funzionalità di diagnostica, vedere Monitoraggio di metriche e log in Frontdoor di Azure.

È possibile archiviare i log di diagnostica nel proprio account di archiviazione e scegliere per quanto tempo mantenerli. In alternativa, i log di diagnostica possono essere inviati a Hub eventi o ai log di Monitoraggio di Azure. Per altre informazioni, vedere Diagnostica di Frontdoor di Azure.

Per accedere ai log di controllo di Frontdoor di Azure, è necessario visitare il portale. Selezionare Frontdoor dalla pagina del menu e selezionare Log attività. Il log attività fornisce i record delle operazioni di Frontdoor di Azure.

È possibile configurare avvisi per Frontdoor di Azure in base a metriche o log. In questo modo, è possibile monitorare le prestazioni e l'integrità degli host front-end.

Per informazioni su come creare avvisi per Frontdoor di Azure Standard e Premium, vedere Configurare gli avvisi.

Passaggi successivi

• Informazioni su come creare un profilo frontdoor di Azure.
• Informazioni sull'architettura di Frontdoor di Azure.