Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Azure Front Door é um CDN (balanceador de carga e rede de distribuição de conteúdo) global que roteia o tráfego HTTP e HTTPS. O Azure Front Door entrega e distribui o tráfego da maneira mais próxima aos usuários do aplicativo.
Este artigo pressupõe que, como arquiteto, você revisou as opções de balanceamento de carga e escolheu o Azure Front Door como o balanceador de carga para sua carga de trabalho. Ele também pressupõe que seu aplicativo seja implantado em várias regiões em um modelo ativo-ativo ou ativo-passivo. As diretrizes neste artigo fornecem recomendações arquitetônicas que são mapeadas para os princípios dos pilares do Azure Well-Architected Framework.
Escopo da tecnologia
Esta revisão se concentra nas decisões interrelacionadas para os seguintes recursos do Azure:
- Azure Front Door
Reliability
A finalidade do pilar confiabilidade é fornecer funcionalidade contínua criando resiliência suficiente e a capacidade de se recuperar rapidamente de falhas.
Os princípios de design de confiabilidade fornecem uma estratégia de design de alto nível aplicada a componentes individuais, fluxos do sistema e o sistema como um todo.
Lista de verificação de design de carga de trabalho
Comece sua estratégia de design com base na lista de verificação de revisão de design para confiabilidade. Determine sua relevância para seus requisitos de negócios, tendo em mente as camadas e as funcionalidades da CDN. Estenda a estratégia para incluir mais abordagens conforme necessário.
Escolha sua estratégia de implantação. As abordagens de implantação fundamentais são ativa-ativas e ativas-passivas. A implantação ativo-ativo significa que vários ambientes ou instâncias que executam o workload atendem ao tráfego. A implantação ativo-passivo significa que apenas a região primária gerencia todo o tráfego, mas faz a transição para a região secundária quando necessário. Em uma implantação multirregional, unidades ou instâncias de aplicativo operam em diferentes regiões para alta disponibilidade, com um balanceador de carga global, como o Azure Front Door, que distribui o tráfego. Portanto, é importante configurar o balanceador de carga para a abordagem de implantação apropriada.
O Azure Front Door dá suporte a vários métodos de roteamento, que você pode configurar para distribuir o tráfego em um modelo ativo-ativo ou ativo-passivo.
Os modelos anteriores têm muitas variações. Por exemplo, você pode implantar o modelo ativo-passivo com uma reposição a quente. Nesse caso, o serviço hospedado secundário é implantado com a capacidade mínima possível de computação e dimensionamento de dados, e funciona sem carga. Após o failover, a computação e os recursos de dados são dimensionados para lidar com a carga da região primária. Para obter mais informações, consulte estratégias de arquitetura para design de várias regiões.
Alguns aplicativos precisam que as conexões de usuário permaneçam no mesmo servidor de origem durante a sessão do usuário. Do ponto de vista da confiabilidade, não recomendamos manter conexões de usuário no mesmo servidor de origem. Evite a afinidade de sessão o máximo possível.
Usar o mesmo nome de host em cada camada. Para garantir que cookies ou URLs de redirecionamento funcionem corretamente, preserve o nome do host HTTP original ao usar um proxy reverso, como o Azure Front Door, na frente de um aplicativo Web.
Implementar o padrão de monitoramento de pontos de extremidade de integridade. Seu aplicativo deve expor pontos de extremidade de integridade, que agregam o estado dos serviços críticos e das dependências que seu aplicativo precisa para atender às solicitações. As probes de integridade do Azure Front Door usam o endpoint para detectar a integridade dos servidores de origem. Para obter mais informações, consulte Padrão de monitoramento de ponto de extremidade de integridade.
Armazenar conteúdo estático em cache. O recurso de entrega de conteúdo do Azure Front Door tem centenas de locais de borda e pode ajudar a resistir a surtos de tráfego e ataques de DDoS (negação de serviço distribuído). Esses recursos ajudam a melhorar a confiabilidade.
Considere uma opção de gerenciamento de tráfego redundante. O Azure Front Door é um serviço distribuído globalmente que opera como uma única instância em um ambiente. O Azure Front Door é um possível ponto único de falha no sistema. Se o serviço falhar, os clientes não poderão acessar seu aplicativo durante o tempo de inatividade.
Implementações redundantes podem ser complexas e caras. Considere-as apenas para cargas de trabalho críticas que têm uma tolerância muito baixa à interrupção. Considere cuidadosamente as compensações.
- Se você precisar absolutamente de roteamento redundante, consulte Redundância de roteamento global.
- Se você precisar de redundância apenas para fornecer conteúdo armazenado em cache, consulte distribuição global de conteúdo.
Recomendações de configuração
| Recommendation | Benefit |
|---|---|
| Escolha um método de roteamento que dê suporte à sua estratégia de implantação. O método ponderado, que distribui o tráfego com base no coeficiente de peso configurado, dá suporte a modelos ativos-ativos. Um valor baseado em prioridade que configura a região primária para receber todo o tráfego e enviar tráfego para a região secundária como um backup dá suporte a modelos ativos-passivos. Combine os métodos anteriores com configurações de sensibilidade à latência para que a origem com a menor latência receba o tráfego. |
Você pode selecionar o melhor recurso de origem usando uma série de etapas de decisão e seu design. A origem selecionada atende ao tráfego dentro do intervalo de latência permitido na taxa de pesos especificada. |
| Apoie a redundância tendo várias origens em um ou mais grupos de origem. Sempre tenha instâncias redundantes do seu aplicativo e verifique se cada instância expõe uma origem. Você pode colocar essas origens em um ou mais grupos de origem. |
Várias origens dão suporte à redundância distribuindo tráfego entre várias instâncias do aplicativo. Se uma instância não estiver disponível, outras origens ainda poderão receber tráfego. |
|
Configurar investigação de integridade na origem. Configure o Azure Front Door para realizar verificações de integridade para determinar se a instância de origem está disponível e pronta para continuar recebendo solicitações. Para obter mais informações, consulte Práticas recomendadas sobre sondas de saúde. |
Investigações de integridade habilitadas fazem parte da implementação do padrão de monitoramento de integridade. As investigações de integridade garantem que o Azure Front Door encaminhe o tráfego apenas para instâncias íntegras o suficiente para lidar com solicitações. |
| Defina um tempo limite para redirecionar solicitações para a origem e evite solicitações de execução prolongada. Ajuste o tempo limite de acordo com as necessidades dos pontos de extremidade. Caso contrário, o Azure Front Door poderá fechar a conexão antes que a origem envie a resposta. Você também pode reduzir o tempo limite padrão para o Azure Front Door se todas as suas origens tiverem um tempo limite menor. Para obter mais informações, consulte Solução de problemas de solicitações sem resposta. |
Solicitações de execução longa consomem recursos do sistema. Os tempos limite ajudam a evitar problemas de desempenho e problemas de disponibilidade encerrando solicitações que levam mais tempo do que o esperado para serem concluídas. |
| Use o mesmo nome de host no Azure Front Door e sua origem. O Azure Front Door pode reescrever o cabeçalho do host de solicitações de entrada, o que é útil quando você tem vários nomes de domínio personalizados que roteiam para uma origem. No entanto, reescrever o cabeçalho do host pode causar problemas com cookies de solicitação e redirecionamento de URL. Para obter mais informações, consulte [Preservar o nome original do host HTTP entre um proxy reverso e seu aplicativo web de origem](/azure/architecture/best-practices/host-name-preservation). |
Defina o mesmo nome de host para prevenir problemas com afinidade de sessão, autenticação e autorização. |
| Decida se seu aplicativo requer afinidade de sessão. Se você tiver requisitos elevados de confiabilidade, recomendamos que desabilite a afinidade de sessão. | Com a afinidade de sessão, as conexões dos usuários permanecem na mesma origem durante a sessão. Em algumas situações, uma única origem pode ficar sobrecarregada com solicitações enquanto outras origens estão ociosas. Se essa origem ficar indisponível, a experiência do usuário poderá ser interrompida. |
| Aproveite as regras de limitação de taxa incluídas com um WAF (firewall de aplicativo Web). | Limite as solicitações para impedir que os clientes enviem muito tráfego para seu aplicativo. A limitação de taxa pode ajudá-lo a evitar problemas como uma tempestade de tentativas repetidas. |
Segurança
O objetivo do pilar Segurança é fornecer garantias de confidencialidade, integridade e disponibilidade à carga de trabalho.
Os princípios de design de segurança fornecem uma estratégia de projeto de alto nível para atingir essas metas, aplicando abordagens ao projeto técnico para restringir o tráfego que vem através do 'Azure Front Door'.
Lista de verificação de design de carga de trabalho
Comece sua estratégia de design com base na lista de verificação de revisão de design para segurança. Identifique vulnerabilidades e controles para melhorar a postura de segurança. Estenda a estratégia para incluir mais abordagens conforme necessário.
Examine a linha de base de segurança para Azure Front Door.
Proteger os servidores de origem. O Azure Front Door é o front-end e é o único ponto de entrada para o aplicativo.
O Azure Front Door usa o Link Privado do Azure para acessar a origem de um aplicativo. O Link Privado cria segmentação para que as origens não precisem expor endereços IP públicos e pontos de extremidade. Para mais informações, consulte Proteger sua origem com o Link Privado no Azure Front Door Premium.
Configure seus serviços de back-end para aceitar somente solicitações com o mesmo nome de host que o Azure Front Door usa externamente.
Permitir apenas o acesso autorizado ao plano de controle. Use o RBAC (controle de acesso baseado em função) do Azure Front Door para restringir o acesso apenas às identidades necessárias.
Bloquear ameaças comuns na borda. O WAF é integrado ao Azure Front Door. Habilite as regras do WAF nos front-ends para proteger aplicativos contra explorações e vulnerabilidades comuns na borda da rede, mais perto da fonte de ataque. Considere a filtragem geográfica para restringir o acesso ao aplicativo Web por países ou regiões.
Para obter mais informações, consulte Firewall de Aplicações Web do Azure no Azure Front Door.
Proteja contra tráfego inesperado. A arquitetura do Azure Front Door fornece proteção de DDoS interna para proteger os pontos de extremidade do aplicativo contra ataques de DDoS. Se você precisar expor outros endereços IP públicos de seu aplicativo, considere adicionar o plano padrão da Proteção contra DDoS do Azure para esses endereços para recursos avançados de proteção e detecção.
Também há conjuntos de regras do WAF que detectam o tráfego de bot ou volumes inesperadamente grandes de tráfego que podem ser mal-intencionados. Sempre que possível, use recursos que executam a análise de ameaças com recursos de segurança habilitados para IA. Por exemplo, a integração do Firewall do Aplicativo Web do Azure ao Microsoft Security Copilot pode agilizar a identificação de ameaças resumindo insights contextuais e sugestões de mitigação de ameaças.
Proteger dados em trânsito. Habilite o TLS (Segurança de Camada de Transporte de ponta a ponta), o redirecionamento HTTP para HTTPS e os certificados TLS gerenciados quando aplicável. Para obter mais informações, consulte Melhores práticas do TLS para Azure Front Door.
Monitorar atividade anômala. Examine regularmente os logs para verificar se há ataques e falsos positivos. Envie logs de WAF do Azure Front Door para o SIEM (gerenciamento centralizado de eventos e informações de segurança) da sua organização, como o Microsoft Sentinel, para detectar padrões de ameaça e incorporar medidas preventivas no design do workload.
Recomendações de configuração
| Recommendation | Benefit |
|---|---|
| Habilite conjuntos de regras waf que detectam e bloqueiam o tráfego potencialmente mal-intencionado. Esse recurso está disponível na camada Premium. Recomendamos estes conjuntos de regras: - Inadimplência - Proteção contra bot - Restrição de IP - Filtragem geográfica - Limitação de taxa |
Os conjuntos de regras padrão são atualizados com frequência com base nos tipos de ataque top-10 do OWASP e nas informações do Microsoft Threat Intelligence. Os conjuntos de regras especializados detectam determinados casos de uso. Por exemplo, as regras de bot classificam os bots como bons, ruins ou desconhecidos com base nos endereços IP do cliente. Eles também bloqueiam bots incorretos e endereços IP conhecidos e restringem o tráfego com base na localização geográfica dos chamadores. Usando uma combinação de conjuntos de regras, você pode detectar e bloquear ataques com várias intenções. |
|
Crie exclusões para conjuntos de regras gerenciadas. Teste uma política de WAF no modo de detecção por algumas semanas e ajuste quaisquer falsos positivos antes de implantá-la. |
Reduza falsos positivos e permita solicitações legítimas para seu aplicativo. |
| Envie o cabeçalho do host para a origem. | Os serviços de back-end devem estar cientes do nome do host para que possam criar regras para aceitar o tráfego somente desse host. |
Proteja as conexões do Azure Front Door para suas origens.
Habilitar a conectividade do Private Link para origens com suporte. Se sua origem não der suporte à conectividade de Link Privado, use marcas de serviço e o cabeçalho X-Azure-FDID para verificar se a origem da solicitação é seu perfil do Azure Front Door. |
Verifique se todo o tráfego flui pelo Azure Front Door e obtém os benefícios de segurança, como proteção contra DDoS e inspeção de WAF. |
| Habilite o redirecionamento TLS de ponta a ponta, HTTP para HTTPS e certificados TLS gerenciados quando aplicável. Examine as práticas recomendadas do TLS para o Azure Front Door. Use o TLS versão 1.2 como a versão mínima permitida com criptografias relevantes para seu aplicativo. Os certificados gerenciados do Azure Front Door devem ser sua opção padrão para facilitar as operações. No entanto, se você quiser gerenciar o ciclo de vida dos certificados, use seus próprios certificados nos pontos de extremidade do domínio personalizado do Azure Front Door e armazene-os no Key Vault. |
O TLS garante que as trocas de dados entre o navegador, o Azure Front Door e as origens sejam criptografadas para evitar a adulteração. O Key Vault oferece suporte a certificado gerenciado e renovação e rotação de certificados simples. |
Otimização de custos
A otimização de custos se concentra na na detecção de padrões de gastos, na priorização de investimentos em áreas críticas e na otimização de outras para atender ao orçamento da organização e, ao mesmo tempo, aos requisitos comerciais.
Os princípios de design da Otimização de Custos fornecem uma estratégia de design de alto nível para atingir essas metas e fazer compensações conforme necessário no design técnico relacionado ao Azure Front Door e seu ambiente.
Lista de verificação de design de carga de trabalho
Comece sua estratégia de design com base na lista de verificação de revisão de design para otimização de custos em investimentos. Ajuste o design para que a carga de trabalho seja alinhada com o orçamento alocado para a carga de trabalho. Seu design deve usar os recursos corretos do Azure, monitorar investimentos e encontrar oportunidades para otimizar ao longo do tempo.
Revisar camadas de serviço e preços. Use a calculadora de preços para estimar os custos realistas para cada camada do Azure Front Door. Compare os recursos e a adequação de cada camada para seu cenário. Por exemplo, apenas a camada Premium dá suporte à conexão à sua origem por meio do Link Privado.
O SKU Standard é mais econômico e adequado para cenários de tráfego moderado. No SKU Premium, você paga uma taxa de unidade mais alta, mas obtém acesso a benefícios de segurança e recursos avançados, como regras gerenciadas no WAF e no Link Privado. Considere as compensações sobre confiabilidade e segurança com base em seus requisitos de negócios.
Considere os custos de largura de banda. Os custos de largura de banda do Azure Front Door dependem da camada escolhida e do tipo de transferência de dados. Para saber mais sobre a cobrança do Azure Front Door, consulte Noções básicas sobre a cobrança do Azure Front Door.
O Azure Front Door fornece relatórios integrados para métricas faturáveis. Para avaliar seus custos relacionados à largura de banda e onde você pode concentrar seus esforços de otimização, consulte Relatórios do Azure Front Door.
Otimização de solicitações de entrada. O Azure Front Door cobra as solicitações de entrada. Você pode definir restrições na configuração de design.
Reduza o número de solicitações usando padrões de design, como back-end para front-ends e Agregação de Gateway. Esses padrões podem melhorar a eficiência de suas operações.
As regras do WAF restringem o tráfego de entrada, o que pode otimizar os custos. Por exemplo, use a limitação de taxa para evitar níveis anormalmente altos de tráfego ou use a filtragem geográfica para permitir o acesso somente de regiões ou países específicos.
Usar recursos com eficiência. O Azure Front Door usa um método de roteamento que ajuda na otimização de recursos. A menos que a carga de trabalho seja extremamente sensível à latência, distribua o tráfego uniformemente em todos os ambientes para usar efetivamente os recursos implantados.
Os pontos de acesso do Azure Front Door podem servir muitos arquivos. Uma maneira de reduzir os custos de largura de banda é usar a compactação.
Use o cache no Azure Front Door para conteúdo que não é alterado com frequência. Como o conteúdo é fornecido de um cache, você economiza em custos de largura de banda incorridos quando a solicitação é encaminhada para as origens.
Considere usar uma instância compartilhada fornecida pela organização. Os custos incorridos dos serviços centralizados são compartilhados entre as cargas de trabalho. No entanto, considere a compensação com confiabilidade. Para aplicativos críticos que têm requisitos de alta disponibilidade, recomendamos uma instância autônoma.
Preste atenção à quantidade de dados registrados. Os custos relacionados à largura de banda e ao armazenamento poderão ser acumulados se determinadas solicitações não forem necessárias ou se os dados de registro em log forem mantidos por um longo período de tempo.
Recomendações de configuração
| Recommendation | Benefit |
|---|---|
| Use o cache para pontos de extremidade que dão suporte a ele. | O cache otimiza os custos de transferência de dados porque reduz o número de chamadas da instância do Azure Front Door para a origem. |
|
Considere habilitar a compactação de arquivo. Para essa configuração, o aplicativo deve dar suporte à compactação e ao cache deve ser habilitado. |
A compactação reduz o consumo de largura de banda e melhora o desempenho. |
| Desative verificações de saúde em grupos de origens com uma única origem. Se você tiver apenas uma origem configurada em seu grupo de origem do Azure Front Door, essas chamadas serão desnecessárias. |
Você pode economizar em custos de largura de banda desabilitando solicitações de verificação de integridade que não são necessárias para tomar decisões de roteamento. |
Excelência operacional
A Excelência Operacional concentra-se principalmente em procedimentos para práticas de desenvolvimento, observabilidade e gerenciamento de versões.
Os princípios de design da Excelência Operacional fornecem uma estratégia de design de alto nível para atingir essas metas para os requisitos operacionais da carga de trabalho.
Lista de verificação de design de carga de trabalho
Inicie sua estratégia de design com base na lista de verificação de revisão de design na excelência operacional para definir processos de observabilidade, testes e implantação relacionados ao Azure Front Door.
Usar tecnologias de infraestrutura como código (IaC). Use tecnologias IaC como modelos do Bicep e do Azure Resource Manager para provisionar a instância do Azure Front Door. Essas abordagens declarativas fornecem consistência e manutenção simples. Por exemplo, usando tecnologias IaC, você pode adotar facilmente novas versões do conjunto de regras. Sempre use a versão mais recente da API.
Simplifique as configurações. Use o Azure Front Door para gerenciar facilmente as configurações. Por exemplo, suponha que sua arquitetura dê suporte a microsserviços. O Azure Front Door dá suporte a recursos de redirecionamento, para que você possa usar o redirecionamento baseado em caminho para direcionar serviços individuais. Outro caso de uso é a configuração de domínios curinga.
Lidar com exposição progressiva. O serviço Azure Front Door fornece vários métodos de roteamento. Para uma abordagem de balanceamento de carga ponderada, você pode usar uma implantação de canário para enviar uma porcentagem específica de tráfego para um destino. Essa abordagem ajuda você a testar novos recursos e versões em um ambiente controlado antes de distribuí-los.
Coletar e analisar dados operacionais como parte do monitoramento de carga de trabalho. Capture logs e métricas relevantes do Azure Front Door com Logs do Azure Monitor. Esses dados ajudam você a solucionar problemas, entender os comportamentos do usuário e otimizar as operações.
Delegar o gerenciamento de certificados para o Azure. Alivie a carga operacional associada à rotação e renovações de certificação.
Recomendações de configuração
| Recommendation | Benefit |
|---|---|
| Usar o redirecionamento HTTP para HTTPS para dar suporte à compatibilidade futura. | Quando o redirecionamento está habilitado, o Azure Front Door redireciona automaticamente clientes que estão usando o protocolo mais antigo para usar HTTPS para uma experiência segura. |
|
Capturar logs e métricas. Inclua logs de atividade de recursos, logs de acesso, logs de investigação de integridade e logs de WAF. Configure alertas. |
O monitoramento do fluxo de entrada é uma parte crucial do monitoramento de um aplicativo. Você deseja acompanhar as solicitações e fazer melhorias de desempenho e segurança. Você precisa de dados para depurar a configuração do Azure Front Door. Com os alertas em vigor, você pode receber notificações instantâneas de quaisquer problemas operacionais críticos. |
| Revise os relatórios de análise internos. | Uma exibição holística do perfil do Azure Front Door ajuda a promover melhorias com base em relatórios de tráfego e segurança por meio de métricas do WAF. |
| usar certificados TLS gerenciados quando possível. | O Azure Front Door pode emitir e gerenciar certificados para você. Esse recurso elimina a necessidade de renovações de certificado e minimiza o risco de uma interrupção devido a um certificado TLS inválido ou expirado. |
|
Use certificados TLS curinga com suporte a certificado gerenciado para provisionamento e renovação automáticos. Configure certificados gerenciados para domínios curinga para habilitar o gerenciamento automático do ciclo de vida do certificado para vários subdomínios em um único certificado. |
Você não precisa modificar a configuração para adicionar ou especificar cada subdomínio separadamente. Os certificados curinga gerenciados fornecem provisionamento automático e renovação para todos os subdomínios, reduzindo a sobrecarga operacional para organizações com várias vitrines ou serviços de marca. |
Eficiência de desempenho
Eficiência de desempenho significa manter a experiência do usuário mesmo quando há um aumento na carga por meio do gerenciamento da capacidade. A estratégia inclui dimensionamento de recursos, identificação e otimização de possíveis gargalos e otimização para o desempenho de pico.
Os princípios de design de eficiência de desempenho fornecem uma estratégia de design de alto nível para atingir essas metas de capacidade em relação ao uso esperado.
Lista de verificação de design de carga de trabalho
Comece sua estratégia de design com base na lista de verificação de revisão de design para eficiência de desempenho. Defina uma linha de base baseada nos principais indicadores de desempenho do Azure Front Door.
Planeje a capacidade analisando seus padrões de tráfego esperados. Realize testes completos para entender como seu aplicativo é executado em cargas diferentes. Considere fatores como transações simultâneas, taxas de solicitação e transferência de dados.
Baseie suas opções de SKU nesse planejamento. O SKU Standard é mais econômico e adequado para cenários de tráfego moderado. Se você prever cargas mais altas, recomendamos o SKU Premium.
Analisar dados de desempenho examinando regularmente as métricas de desempenho. Relatórios do Azure Front Door fornecem insights sobre várias métricas que servem como indicadores de performance no nível da tecnologia.
Use os relatórios do Azure Front Door para definir metas de desempenho realistas para sua carga de trabalho. Considere fatores como tempos de resposta, taxa de transferência e taxas de erro. Alinhe os objetivos com os requisitos da empresa e as expectativas dos usuários.
Otimizar transferências de dados.
Use o cache para reduzir a latência no fornecimento de conteúdo estático, como imagens, folhas de estilos e arquivos JavaScript ou conteúdo que não é alterado com frequência.
Otimize seu aplicativo para cache. Use cabeçalhos de expiração de cache no aplicativo que controlam por quanto tempo o conteúdo deve ser armazenado em cache por clientes e proxies. A validade de cache mais longa significa solicitações menos frequentes para o servidor de origem, o que resulta em tráfego reduzido e latência menor.
Reduza o tamanho dos arquivos transmitidos pela rede. Arquivos menores levam a tempos de carregamento mais rápidos e melhor experiência do usuário.
Minimize o número de solicitações de back-end no aplicativo.
Por exemplo, uma página da Web exibe perfis de usuário, pedidos recentes, saldos e outras informações relacionadas. Em vez de fazer solicitações separadas para cada conjunto de informações, use padrões de design para estruturar seu aplicativo para que várias solicitações sejam agregadas em uma única solicitação.
Atualize os clientes para usar o protocolo HTTP/2, que pode combinar várias solicitações em uma única conexão TCP.
Use WebSockets para dar suporte à comunicação full-duplex em tempo real, em vez de fazer solicitações HTTP repetidas ou sondagem.
Ao agregar solicitações, você envia menos dados entre o front-end e o back-end e estabelece menos conexões entre o cliente e o back-end, o que reduz a sobrecarga. Além disso, o Azure Front Door manipula menos solicitações, o que impede a sobrecarga.
Otimizar o uso de sondas de saúde. Obtenha informações de integridade das investigações de integridade somente quando o estado das origens for alterado. Encontrar um equilíbrio entre a precisão do monitoramento e a minimização do tráfego desnecessário.
Verificações de saúde são tipicamente usadas para avaliar o estado de várias origens dentro de um grupo. Se você tiver apenas uma origem configurada em seu grupo de origem do Azure Front Door, desabilite as investigações de integridade para reduzir o tráfego desnecessário no servidor de origem. Como há apenas uma instância, o status da investigação de integridade não afetará o roteamento.
Examinar o método de roteamento de origem. O Azure Front Door fornece vários métodos de roteamento, incluindo roteamento baseado em latência, baseado em prioridade, ponderado e baseado em afinidade de sessão, para a origem. Esses métodos afetam significativamente o desempenho do aplicativo. Para saber mais sobre a melhor opção de roteamento de tráfego para seu cenário, consulte Métodos de roteamento de tráfego para origem.
Examinar o local dos servidores de origem. A localização dos servidores de origem afeta a capacidade de resposta do aplicativo. Os servidores de origem devem estar mais próximos dos usuários. O Azure Front Door garante que os usuários de um local específico acessem o ponto de entrada mais próximo do Azure Front Door. Os benefícios de desempenho incluem uma experiência mais rápida do usuário, melhor uso do roteamento baseado em latência pelo Azure Front Door e o tempo de transferência de dados minimizado usando o cache, que armazena o conteúdo mais próximo dos usuários.
Para obter mais informações, consulte o relatório de tráfego por localização .
Recomendações de configuração
| Recommendation | Benefit |
|---|---|
|
Habilitar o cache. Você pode otimizar cadeias de caracteres de consulta para armazenamento em cache. Para conteúdo puramente estático, ignore as cadeias de caracteres de consulta para maximizar o uso do cache. Se o aplicativo usar cadeias de caracteres de consulta, considere incluí-las na chave de cache. Incluir as cadeias de caracteres de consulta na chave de cache permite que o Azure Front Door atenda respostas armazenadas em cache ou outras respostas, com base em sua configuração. |
O Azure Front Door oferece uma solução de rede de distribuição de conteúdo robusta que armazena em cache o conteúdo na borda da rede. O cache reduz a carga nos servidores de origem e reduz a movimentação de dados em toda a rede, o que ajuda a descarregar o uso da largura de banda. |
| Usar compressão de arquivo quando acessar conteúdo para download. | A compactação no Azure Front Door ajuda a fornecer conteúdo no formato ideal, tem uma carga menor e fornece conteúdo aos usuários mais rapidamente. |
Ao configurar investigações de integridade no Azure Front Door, considere usar solicitações HEAD em vez de solicitações GET. A sonda de verificação de estado lê apenas o código de status, não o conteúdo. |
As solicitações HEAD permitem que você consulte uma alteração de estado sem buscar todo o conteúdo. |
| Avalie se você deve habilitar a afinidade de sessão quando as solicitações do mesmo usuário devem ser direcionadas para o mesmo servidor de origem. Do ponto de vista da confiabilidade, não recomendamos essa abordagem. Se você usar essa opção, o aplicativo deverá se recuperar normalmente sem interromper as sessões do usuário. Há também uma compensação no balanceamento de carga, pois ele restringe a flexibilidade de distribuir uniformemente o tráfego entre várias origens. |
Otimize o desempenho e mantenha a continuidade das sessões do usuário, especialmente quando os aplicativos dependem da manutenção de informações de estado localmente. |
Políticas do Azure
O Azure fornece um amplo conjunto de políticas internas relacionadas ao Azure Front Door e suas dependências. Algumas das recomendações anteriores podem ser auditadas por meio das Políticas do Azure. Por exemplo, você pode verificar se:
- Você precisa da camada Premium para dar suporte às regras gerenciadas do WAF e ao Link Privado nos perfis do Azure Front Door.
- Você precisa usar a versão mínima do TLS, que é a versão 1.2.
- Você precisa de conectividade segura e privada entre os serviços de PaaS do Azure Front Door Premium e do Azure.
- Você precisa habilitar logs de recursos. O WAF deve ter habilitada a inspeção do corpo da solicitação.
- Você precisa usar políticas para impor o conjunto de regras do WAF. Por exemplo, você deve habilitar a proteção contra bots e ativar regras de limitação de taxa.
Para governança abrangente, examine as definições internas para Rede de Distribuição de Conteúdo do Azure e outras políticas do Azure Front Door listadas em definições de política internas do Azure Policy.
Recomendações do Assistente do Azure
O Assistente do Azure é um consultor de nuvem personalizado que ajuda você a seguir as práticas recomendadas para otimizar suas implantações do Azure.
Para obter mais informações, consulte o Assistente do Azure.
Arquitetura de exemplo
Arquitetura fundamental que demonstra as principais recomendações: linha de base do AKS para clusters de várias regiões.