Vanliga frågor och svar om Azure Front Door

Azure Front Door är en molnbaserad tjänst som levererar dina program snabbare och mer tillförlitligt. Den använder layer 7-belastningsutjämning för att distribuera trafik över flera regioner och slutpunkter. Den erbjuder också dynamisk webbplatsacceleration (DSA) för att optimera webbprestanda och nära realtidsredundans för att säkerställa hög tillgänglighet. Azure Front Door är en fullständigt hanterad tjänst, så du behöver inte bekymra dig om skalning eller underhåll.

Azure Front Door är en tjänst som erbjuder många fördelar för dina webbprogram, till exempel dynamisk webbplatsacceleration (DSA), vilket förbättrar prestanda och användarupplevelse för dina webbplatser. Azure Front Door hanterar även TLS/SSL-avlastning och TLS från slutpunkt till slutpunkt, vilket förbättrar säkerheten och krypteringen för webbtrafiken. Dessutom tillhandahåller Azure Front Door brandvägg för webbprogram, cookiebaserad sessionstillhörighet, url-sökvägsbaserad routning, kostnadsfria certifikat och flera domänhanteringar med mera. Mer information om funktionerna i Azure Front Door finns i nivåjämförelse.

Azure Front Door och Azure Application Gateway är båda lastbalanserare för HTTP/HTTPS-trafik, men de har olika omfång. Front Door är en global tjänst som kan distribuera begäranden mellan regioner, medan Application Gateway är en regional tjänst som kan balansera begäranden inom en region. Azure Front Door fungerar med skalningsenheter, kluster eller stämpelenheter, medan Azure Application Gateway fungerar med virtuella datorer, containrar eller andra resurser i samma skalningsenhet.

Application Gateway bakom Front Door är användbart i följande situationer:

• Du vill balansera trafiken inte bara globalt, utan även i ditt virtuella nätverk. Front Door kan bara utföra sökvägsbaserad belastningsutjämning på global nivå, men Application Gateway kan göra det i ditt virtuella nätverk.
• Du behöver Anslut ion Draining, som Front Door inte stöder. Application Gateway kan aktivera Anslut dränering för dina virtuella datorer eller containrar.
• Du vill avlasta all TLS/SSL-bearbetning och endast använda HTTP-begäranden i det virtuella nätverket. Application Gateway bakom Front Door kan uppnå den här konfigurationen.
• Du vill använda sessionstillhörighet på både regional nivå och servernivå. Front Door kan skicka trafiken från en användarsession till samma serverdel i en region, men Application Gateway kan skicka den till samma server i serverdelen.

Om du vill använda Azure Front Door måste du ha en offentlig VIP eller ett DNS-namn som är offentligt tillgängligt. Azure Front Door använder den offentliga IP-adressen för att dirigera trafiken till ditt ursprung. Ett vanligt scenario är att distribuera en Azure Load Balancer bakom Front Door. Du kan också använda Private Link med Azure Front Door Premium för att ansluta till en intern lastbalanserare. Mer information finns i aktivera Private Link med intern lastbalanserare.

Azure Front Door stöder HTTP, HTTPS och HTTP/2.

Azure Front Door stöder HTTP/2-protokoll för klientanslutningar. Serverdelspoolens kommunikation använder dock HTTP/1.1-protokollet. HTTP/2-stöd är aktiverat som standard.

Du kan använda olika typer av ursprung för Azure Front Door, till exempel:

• Lagring (Azure Blob, klassiska, statiska webbplatser)
• Molntjänst
• App Service
• Statisk webbapp
• API Management
• Application Gateway
• Offentlig IP-adress
• Traffic Manager
• Azure Spring Apps
• Container Instances
• Container Apps
• Alla anpassade värdnamn med offentlig åtkomst.

Ursprunget måste ha en offentlig IP-adress eller ett DNS-värdnamn som kan matchas offentligt. Du kan blanda och matcha serverdelar från olika zoner, regioner eller till och med utanför Azure, så länge de är offentligt tillgängliga.

Azure Front Door är inte begränsat till någon Azure-region, utan fungerar globalt. Den enda plats du behöver välja när du skapar en Front Door är platsen för resursgruppen, som avgör var resursgruppens metadata lagras. Front Door-profilen är en global resurs och dess konfiguration distribueras till alla gränsplatser över hela världen.

En fullständig lista över närvaropunkter (POP:er) som tillhandahåller global belastningsutjämning och innehållsleverans för Azure Front Door finns i Azure Front Door POP-platser. Den här listan uppdateras regelbundet när nya IP-adresser läggs till eller tas bort. Du kan också använda Azure Resource Manager-API:et för att köra frågor mot den aktuella listan med IP-adresser programmatiskt.

Azure Front Door är en tjänst som distribuerar ditt program globalt över flera regioner. Den använder en gemensam infrastruktur som delas av alla kunder, men du kan anpassa din egen Front Door-profil för att konfigurera programmets specifika krav. Andra kunders konfigurationer kan inte påverka din Front Door-konfiguration, som är isolerad från deras.

Du kan omdirigera komponenterna värd, sökväg och frågesträng i en URL med Azure Front Door. Information om hur du konfigurerar URL-omdirigering finns i URL-omdirigering.

Front Door sorterar inte vägarna för webbappen. I stället väljer den den väg som passar bäst för begäran. Information om hur Front Door matchar begäranden till vägar finns i Hur Front Door matchar begäranden till en routningsregel.

För att säkerställa optimala prestanda för Front Door-funktioner bör du endast tillåta att trafik som kommer från Azure Front Door når ditt ursprung. Det innebär att obehöriga eller skadliga begäranden stöter på säkerhets- och routningsprinciperna för Front Door och nekas åtkomst. Information om hur du skyddar ditt ursprung finns i Skydda trafik till Azure Front Door-ursprung.

IP-adressen för frontdörrens klientdel anycast är fast och kanske inte ändras så länge du använder Front Door. Den fasta IP-adressen för frontdörrens klientdel anycast är dock ingen garanti. Undvik att förlita dig direkt på IP-adressen.

Azure Front Door är en dynamisk tjänst som dirigerar trafik till den bästa tillgängliga serverdelen. Den erbjuder inte statiska eller dedikerade klientdels-ANYCAST-IP-adresser just nu.

Ja. Se egenskapen MatchedRulesSetName under Åtkomstloggar.

Ja. Mer information finns i Microsofts svar på DDoS-attacker mot HTTP/2.

Azure Front Door stöder rubrikerna X-Forwarded-For, X-Forwarded-Host och X-Forwarded-Proto. Dessa rubriker hjälper Front Door att identifiera den ursprungliga klientens IP-adress och protokoll. Om X-Forwarded-For redan finns lägger Front Door till klient socket-IP i slutet av listan. Annars skapas huvudet med klient socket-IP som värde. För X-Forwarded-Host och X-Forwarded-Proto ersätter Front Door de befintliga värdena med sina egna.

Mer information finns i HTTP-huvuden som stöds av Front Door.

Distributionstiden för nya Front Door-konfigurationer varierar beroende på typ av ändring. Normalt tar det mellan 3 och 20 minuter innan ändringarna sprids till alla våra gränsplatser över hela världen.

Uppdateringar till vägar eller ursprungsgrupper/serverdelspooler är sömlösa och orsakar inte någon stilleståndstid (förutsatt att den nya konfigurationen är korrekt). Certifikatuppdateringar görs också atomiskt, så det finns ingen risk för avbrott.

Om du vill använda Azure Front Door Standard-, Premium- eller (klassisk) nivå behöver du en offentlig IP-adress eller ett DNS-namn som kan lösas offentligt. Det här kravet på en offentlig IP-adress eller ett DNS-namn som kan lösas offentligt gör att Azure Front Door kan dirigera trafik till dina serverdelsresurser. Du kan använda Azure-resurser som Application Gateways eller Azure Load Balancers för att dirigera trafik till resurser i ett virtuellt nätverk. Om du använder Front Door Premium-nivån kan du använda Private Link för att ansluta till ursprung bakom en intern lastbalanserare med en privat slutpunkt. Mer information finns i Skydda ursprung med Private Link.

En ursprungsgrupp är en samling ursprung som kan hantera liknande typer av begäranden. Du behöver en annan ursprungsgrupp för varje program eller arbetsbelastning som skiljer sig åt.

I en ursprungsgrupp skapar du ett ursprung för varje server eller tjänst som kan hantera begäranden. Om ditt ursprung har en lastbalanserare, till exempel Azure Application Gateway, eller finns på en PaaS som har en lastbalanserare, har ursprungsgruppen bara ett ursprung. Ditt ursprung tar hand om redundans och belastningsutjämning mellan ursprung som Front Door inte ser.

Om du till exempel är värd för ett program i Azure App Service beror hur du konfigurerar Front Door på hur många programinstanser du har:

• Distribution med en region: Skapa en ursprungsgrupp. I den ursprungsgruppen skapar du ett ursprung för App Service-appen. Din App Service-app kan skalas ut mellan arbetare, men Front Door ser ett ursprung.
• Aktiv/passiv distribution i flera regioner: Skapa en ursprungsgrupp. I ursprungsgruppen skapar du ett ursprung för varje App Service-app. Ange prioriteten för varje ursprung så att huvudprogrammet har högre prioritet än säkerhetskopieringsprogrammet.
• Aktiv/aktiv distribution i flera regioner: Skapa en ursprungsgrupp. I ursprungsgruppen skapar du ett ursprung för varje App Service-app. Ange samma prioritet för varje ursprung. Ange varje ursprungs vikt för att styra hur många begäranden som ska gå till det ursprunget.

Mer information finns i Ursprung och ursprungsgrupper i Azure Front Door.

Azure Front Door är en tjänst som ger snabb och tillförlitlig webbleverans för dina program. Den erbjuder funktioner som cachelagring, belastningsutjämning, säkerhet och routning. Du måste dock vara medveten om vissa tidsgränser och begränsningar som gäller för Azure Front Door. Dessa tidsgränser och begränsningar inkluderar den maximala storleken på begäran, den maximala svarsstorleken, den maximala rubrikstorleken, det maximala antalet rubriker, det maximala antalet regler och det maximala antalet ursprungsgrupper. Du hittar detaljerad information om dessa tidsgränser och begränsningar i Azure Front Door-dokumentationen.

Konfigurationsuppdateringarna för de flesta regeluppsättningar görs på mindre än 20 minuter. Regeln tillämpas direkt när uppdateringen är klar.

Azure Front Door och Azure CDN är två tjänster som ger snabb och tillförlitlig webbleverans för dina program. De är dock inte kompatibla med varandra eftersom de delar samma nätverk med Azure Edge-webbplatser för att leverera innehåll till dina användare. Det här delade nätverket orsakar konflikter mellan deras routnings- och cachelagringsprinciper. Därför måste du välja antingen Azure Front Door eller Azure CDN för ditt program, beroende på dina prestanda- och säkerhetskrav.

Det faktum att båda profilerna använder samma Azure Edge-webbplatser för att hantera inkommande begäranden orsakar den här begränsningen som hindrar dig från att kapsla en Azure Front Door-profil bakom en annan. Den här konfigurationen skulle orsaka routningskonflikter och prestandaproblem. Därför bör du se till att dina Azure Front Door-profiler är oberoende och inte sammanlänkade om du behöver använda flera profiler för dina program.

Azure Front Door använder tre tjänsttaggar för att hantera trafiken mellan dina klienter och ditt ursprung:

• Tjänsttaggen AzureFrontDoor.Backend innehåller DE IP-adresser som Front Door använder för att komma åt ditt ursprung. Du kan använda den här tjänsttaggen när du konfigurerar säkerhet för ditt ursprung.
• Tjänsttaggen AzureFrontDoor.Frontend innehåller de IP-adresser som klienter använder för att nå Front Door. Du kan använda AzureFrontDoor.Frontend tjänsttaggen när du vill styra den utgående trafik som kan ansluta till tjänster bakom Azure Front Door.
• Tjänsttaggen AzureFrontDoor.FirstParty är reserverad för en utvald grupp med Microsoft-tjänster som finns på Azure Front Door.

Mer information om scenarier med Azure Front Door-tjänsttaggar finns i tillgängliga tjänsttaggar.

Azure Front Door har en tidsgräns på 5 sekunder för att ta emot huvuden från klienten. Anslutningen avslutas om klienten inte skickar rubriker inom 5 sekunder till Azure Front Door efter att TCP/TLS-anslutningen har upprättats. Du kan inte konfigurera det här tidsgränsvärdet.

Azure Front Door har en tidsgräns på 90 sekunder för HTTP keep-alive. Anslutningen avslutas om klienten inte skickar data på 90 sekunder, vilket är tidsgränsen för HTTP keep-alive för Azure Front Door. Du kan inte konfigurera det här tidsgränsvärdet.

Du kan inte använda samma domäner för mer än en Front Door-slutpunkt, eftersom Front Door måste särskilja vägen (kombination av protokoll + värd + sökväg) för varje begäran. Om du har duplicerade vägar över olika slutpunkter kan Azure Front Door inte bearbeta begäranden korrekt.

För närvarande erbjuder vi inte alternativet att flytta domäner från en slutpunkt till en annan utan avbrott i tjänsten. Du måste planera för viss stilleståndstid om du vill migrera dina domäner till en annan slutpunkt.

Azure Front Door är en plattform som distribuerar trafik över hela världen och kan skalas upp för att uppfylla programmets krav. Den använder Microsofts globala nätverksgräns för att leverera global belastningsutjämning som gör att du kan byta hela programmet eller specifika mikrotjänster till olika regioner eller moln om det uppstod ett fel.

Om du vill undvika fel när du levererar stora filer kontrollerar du att ursprungsservern innehåller Content-Range huvudet i svaret och att rubrikvärdet matchar den faktiska storleken på svarstexten.

Du hittar mer information om hur du konfigurerar ditt ursprung och Front Door för stor filleverans i Leverans av stora filer.

Domänfronting är en nätverksteknik som gör det möjligt för en angripare att dölja det faktiska målet för en skadlig begäran med hjälp av ett annat domännamn i TLS-handskakningen och HTTP-värdhuvudet.

Azure Front Door (standard-, Premium- och klassisk nivå) eller Azure CDN Standard från Microsofts (klassiska) resurser som skapats efter den 8 november 2022 har domänblockering aktiverat. I stället för att blockera en begäran med felmatchade SNI- och värdhuvuden tillåter vi avvikelsen om de två domänerna tillhör samma prenumeration och ingår i routningsreglerna. Blockering av blockering av domäner startar den 22 januari 2024 för alla befintliga domäner. Verkställigheten kan kräva upp till två veckor för att spridas till alla regioner.

När Front Door blockerar en begäran på grund av ett matchningsfel:

• Klienten får ett HTTP-felkodssvar 421 Misdirected Request .
• Azure Front Door registrerar blocket i diagnostikloggarna under egenskapen Felinformation med värdet SSLMismatchedSNI.

Mer information om domänfronting finns i Skydda vår metod för domänfronting i Azure och Förhindra domänfronting på Azure Front Door och Azure CDN Standard från Microsoft (klassisk).

Front Door använder TLS 1.2 som lägsta version för alla profiler som skapats efter september 2019.

Du kan välja att använda TLS 1.0, 1.1, 1.2 eller 1.3 med Azure Front Door. Mer information finns i artikeln om TLS från slutpunkt till slutpunkt i Azure Front Door.

Azure Front Door är en tjänst som tillhandahåller snabb och säker webbleverans. Det gör att du kan definiera hur webbtrafiken dirigeras och optimeras över flera regioner och slutpunkter. Azure Front Door-resurser, till exempel Front Door-profiler och routningsregler, debiteras endast när de är aktiverade. Dock debiteras principer och regler för brandväggen för webbprogram (WAF) oavsett status. Även om du inaktiverar en WAF-princip eller regel medför det fortfarande kostnader för dig.

Information om loggar och andra diagnostikfunktioner finns i Övervaka mått och loggar för Front Door.

Du kan lagra diagnostikloggar i deras eget lagringskonto och välja hur länge de ska behållas. Du kan också skicka diagnostikloggar till Event Hubs- eller Azure Monitor-loggar. Mer information finns i Azure Front Door-diagnostik.

För att komma åt granskningsloggarna för Azure Front Door måste du besöka portalen. Välj din Front Door på menysidan och välj på Aktivitetslogg. Aktivitetsloggen innehåller poster för din Azure Front Door-verksamhet.

Du kan konfigurera aviseringar för Azure Front Door baserat på mått eller loggar. På så sätt kan du övervaka prestanda och hälsa för dina klientdelsvärdar.

Information om hur du skapar aviseringar för Azure Front Door Standard och Premium finns i konfigurera aviseringar.

Nästa steg

• Lär dig hur du skapar en Azure Front Door-profil .
• Lär dig mer om Azure Front Door-arkitekturen.