Vanliga frågor och svar om Azure Front Door

Azure Front Door är ett ADN (Application Delivery Network) som en tjänst och erbjuder olika layer 7-belastningsutjämningsfunktioner för dina program. Den erbjuder acceleration av dynamisk webbplats tillsammans med global belastningsutjämning med redundansväxling nästan i realtid. Tjänsten har hög tillgänglighet och skalbarhet, och hanteras helt av Azure.

Azure Front Door stöder acceleration av dynamisk webbplats (DSA), TLS/SSL-avlastning och TLS från start till slut, Web Application Firewall, cookiebaserad sessionstillhörighet, URL-sökvägsbaserad routning, kostnadsfria certifikat och hantering av flera domäner med mera. En fullständig lista över funktioner som stöds finns i Översikt över Azure Front Door.

Både Front Door och Application Gateway är lastbalanserare för Layer 7 (HTTP/HTTPS), men den största skillnaden är att Front Door är en global tjänst medan Application Gateway är en regional tjänst. Även Front Door kan belastningsutjämna mellan dina olika skalningsenheter/kluster/stämpelenheter mellan regioner, kan du med Application Gateway belastningsutjämna mellan dina virtuella datorer/containrar osv. som finns i skalningsenheten.

De viktigaste scenarierna varför man bör använda Application Gateway bakom Front Door är:

• Front Door kan endast utföra sökvägsbaserad belastningsutjämning på global nivå, men om man vill belastningsutjämna trafiken ytterligare inom sitt virtuella nätverk (VNET) bör de använda Application Gateway.
• Eftersom Front Door fungerar inte på VM-/containernivå, så det går inte att göra anslutningstömning. Men Application Gateway kan du göra anslutningstömning.
• Med en Application Gateway bakom Front Door kan du uppnå 100 % TLS/SSL-avlastning och endast dirigera HTTP-begäranden inom deras virtuella nätverk (VNET).
• Front Door och Application Gateway båda stöder sessionstillhörighet. Även Front Door kan dirigera efterföljande trafik från en användarsession till samma kluster eller server i en viss region, kan Application Gateway dirigera tillhörighet till samma server i klustret.

Azure Front Door behöver en offentlig VIP eller ett offentligt tillgängligt DNS-namn för att dirigera trafiken till. Att distribuera en Azure Load Balancer bakom Front Door är ett vanligt användningsfall.

Azure Front Door stöder HTTP, HTTPS och HTTP/2.

Protokollstöd för HTTP/2 är endast tillgängligt för klienter som ansluter Azure Front Door. Kommunikationen till backends i backend-poolen är över HTTP/1.1. HTTP/2-stöd är aktiverat som standard.

Backend-pooler kan bestå av Storage, Web App, Kubernetes-instanser eller andra anpassade värdnamn som har offentlig anslutning. Azure Front Door kräver att serverparterna definieras antingen via en offentlig IP-adress eller ett offentligt matchat DNS-värdnamn. Medlemmar i backend-pooler kan vara mellan zoner, regioner eller till och med utanför Azure så länge de har offentlig anslutning.

Azure Front Door är en global tjänst och är inte kopplad till någon specifik Azure-region. Den enda plats du behöver ange när du skapar en Front Door är resursgruppens plats, som i princip anger var metadata för resursgruppen ska lagras. Front Door skapas som en global resurs och konfigurationen distribueras globalt till alla gränsplatser.

En fullständig lista över Azure Front Door gränsplatser finns i Azure Front Door gränsplatser.

Azure Front Door är en globalt distribuerad tjänst för flera innehavare. Därför delas infrastrukturen för Front Door alla sina kunder. Men genom att skapa en Front Door-profil definierar du den specifika konfiguration som krävs för ditt program och inga ändringar som görs i Front Door påverkar andra Front Door konfigurationer.

Ja. Faktum är att Azure Front Door stöder omdirigering av värdar, sökvägar och frågesträngar samt en del av URL-omdirigering. Läs mer om URL-omdirigering.

Vägar för Front Door är inte ordnade och en specifik väg väljs baserat på den bästa matchningen. Läs mer om hur Front Door matchar begäranden till en routningsregel.

Om du vill låsa ditt program så att det endast accepterar trafik från din specifika Front Door måste du konfigurera IP-ACL:er för din backend och sedan begränsa trafiken på din backend till det specifika värdet för rubriken "X-Azure-FDID" som skickas av Front Door. De här stegen beskrivs nedan:

• Konfigurera IP ACLing för dina backends så att de accepterar trafik från Azure Front Door ip-adressutrymmet i backend och endast Azures infrastrukturtjänster. Se IP-informationen nedan för acling av din backend:

  • Se avsnittet AzureFrontDoor.Backend i Azure IP-intervall och tjänsttaggar för IP-adressintervallet för Front Door-backend eller så kan du också använda tjänsttaggen AzureFrontDoor.Backend i dina nätverkssäkerhetsgrupper.
  • Azures grundläggande infrastrukturtjänster via virtualiserade värd-IP-adresser: 168.63.129.16 och 169.254.169.254

  Varning

  Front Door ip-adressutrymmet för backend kan dock komma att ändras senare, men vi kommer att se till att vi tidigare har integrerat med Azures IP-intervall och tjänsttaggar. Vi rekommenderar att du prenumererar på IP-intervall och tjänsttaggar i Azure för eventuella ändringar eller uppdateringar.

• Leta efter värdet Front Door ID under avsnittet Översikt från Front Door portalsida. Du kan sedan filtrera på det inkommande huvudet X-Azure-FDID som skickas av Front Door till din server med det värdet för att se till att endast din egen specifika Front Door-instans tillåts (eftersom IP-intervallen ovan delas med andra Front Door-instanser av andra kunder).

• Tillämpa regelfiltrering på serverdelens webbserver för att begränsa trafiken baserat på det resulterande "X-Azure-FDID"-huvudvärdet. Observera att vissa tjänster som Azure App Service tillhandahåller den här rubrikbaserade filtreringen utan att du behöver ändra ditt program eller din värd.

  Här är ett exempel på Microsoft Internet Information Services (IIS):

  <?xml version="1.0" encoding="UTF-8"?>
  <configuration>
      <system.webServer>
          <rewrite>
              <rules>
                  <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
                      <match url="*" />
                      <conditions>
                          <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
                      </conditions>
                      <action type="AbortRequest" />
                  </rule>
              </rules>
          </rewrite>
      </system.webServer>
  </configuration>
  

• Azure Front Door också stöd för tjänsttaggen AzureFrontDoor.Frontend, som innehåller en lista över IP-adresser som klienter använder vid anslutning till Front Door. Du kan använda tjänsttaggen AzureFrontDoor.Frontend när du styr den utgående trafik som ska tillåtas att ansluta till tjänster som distribueras bakom Azure Front Door. Azure Front Door också stöd för ytterligare en tjänsttagg, AzureFrontDoor.FirstParty, för att integrera internt med andra Azure-tjänster. Mer information om användningsfall för Azure Front Door tjänsttaggar finns i tillgängliga tjänsttaggar.

Om du Application Gateway som en Azure Front Door kan kontrollen i rubriken göras i en anpassad X-Azure-FDID WAF-regel. Mer information finns i Skapa och använda anpassade Web Application Firewall v2 på Application Gateway.

Frontend anycast IP för din Front Door bör normalt inte ändras och kan vara statisk under livslängden för Front Door. Det finns dock inga garantier för samma sak. Ta inte några direkta beroenden på IP-adressen.

Nej, Azure Front Door stöder för närvarande inte statiska eller dedikerade anycast-IP-adresser för frontend.

Ja, Azure Front Door stöder rubrikerna X-Forwarded-For, X-Forwarded-Host och X-Forwarded-Proto. För X-Forwarded-For om -huvudet redan fanns lägger Front Door till klientens socket-IP-adress till den. Annars läggs rubriken till med klientens socket-IP som värde. För X-Forwarded-Host och X-Forwarded-Proto åsidosätts värdet.

Läs mer om de Front Door HTTP-huvuden som stöds.

De flesta Front Door skapar och uppdateringar tar cirka 3 till 20 minuter att distribuera över alla våra gränsplatser globalt.

Alla uppdateringar av vägar eller serverpooler osv. är sömlösa och leder till noll driftstopp (om den nya konfigurationen är korrekt). Certifikatuppdateringar är också atomiska och orsakar inte avbrott, såvida du inte växlar från "AFD-hanterad" till "Använd ditt eget certifikat" eller tvärtom.

Azure Front Door (AFD) kräver en offentlig IP-adress eller offentligt matchat DNS-namn för att dirigera trafik. Svaret är alltså att ingen AFD direkt kan dirigera inom ett virtuellt nätverk, men att använda en Application Gateway eller Azure Load Balancer däremellan löser det här scenariot.

Lär dig mer om alla dokumenterade tidsgränser och gränser för Azure Front Door.

De flesta konfigurationsuppdateringar för regelmotorn slutförs under 20 minuter. Du kan förvänta dig att regeln ska gälla så snart uppdateringen har slutförts.

Azure Front Door och Azure CDN kan inte konfigureras tillsammans eftersom båda tjänsterna använder samma Azure Edge-platser när de svarar på begäranden.

Azure Front Door är en globalt distribuerad plattform för flera innehavare med stora kapacitetsvolymer för att tillgodose programmets skalbarhetsbehov. Den levereras från Microsofts globala nätverk och Front Door tillhandahåller global belastningsutjämning som gör att du kan redundans redundans för hela programmet eller till och med enskilda mikrotjänster i flera regioner eller olika moln.

Alla Front Door profiler som skapats efter september 2019 använder TLS 1.2 som standardvärde.

Front Door stöder TLS-versionerna 1.0, 1.1 och 1.2. TLS 1.3 stöds inte ännu. Mer information Azure Front Door finns i TLS från Azure Front Door-till-slut.

Azure Front Door resurser, som Front Door-profiler, debiteras inte routningsregler i inaktiverade. WAF-principer och regler debiteras även om de är inaktiverade.

Information om loggar och andra diagnostikfunktioner finns i Monitoring metrics and logs for Front Door.

Diagnostikloggar flödar till kundernas lagringskonto och kunder kan ange kvarhållningsprincipen baserat på deras önskemål. Diagnostikloggar kan också skickas till en händelsehubb eller Azure Monitor loggar. Mer information finns i Azure Front Door Diagnostik.

Granskningsloggar är tillgängliga för Azure Front Door. I portalen klickar du på Aktivitetslogg på menybladet på Front Door för att komma åt granskningsloggen.

Ja, Azure Front Door stöder aviseringar. Aviseringar konfigureras för mått.

Nästa steg

• Läs hur du skapar en Front Door.
• Läs hur Front Door fungerar.