Preguntas más frecuentes sobre Azure Front Door

En este artículo se responden preguntas comunes sobre la funcionalidad y las características de Azure Front Door. Si no encuentra una respuesta a su pregunta, póngase en contacto con nosotros mediante los siguientes canales (en orden incremental):

  1. La sección Comentarios de este artículo.

  2. Comentarios sobre Azure Front Door.

  3. Soporte técnico de Microsoft: Para crear una solicitud de soporte técnico, en Azure Portal, vaya a la pestaña Ayuda, seleccione el botón Ayuda y soporte técnico y elija Nueva solicitud de soporte técnico.

General

¿Qué es Azure Front Door?

Azure Front Door es un servicio basado en la nube que ofrece sus aplicaciones de forma más rápida y confiable. Usa el equilibrio de carga de nivel 7 para distribuir el tráfico entre varias regiones y puntos de conexión. También ofrece aceleración de sitios dinámicos (DSA) para optimizar el rendimiento web y la conmutación por error casi en tiempo real para garantizar la alta disponibilidad. Azure Front Door es un servicio totalmente administrado, por lo que no tiene que preocuparse por el escalado ni el mantenimiento.

¿Qué características admite Azure Front Door?

Azure Front Door es un servicio que ofrece muchas ventajas para las aplicaciones web, como la aceleración de sitios dinámicos (DSA), que mejora el rendimiento y la experiencia del usuario de los sitios. Azure Front Door también controla la descarga TLS/SSL y TLS de un extremo a otro, lo que mejora la seguridad y el cifrado del tráfico web. Además, Azure Front Door proporciona Web Application Firewall, afinidad de sesión basada en cookies, enrutamiento basado en ruta de acceso URL, certificados gratuitos y administración de varios dominios, etc. Para obtener más información sobre las características y funcionalidades de Azure Front Door, consulte la comparación de niveles.

¿Cuál es la diferencia entre Azure Front Door y Azure Application Gateway?

Azure Front Door y Azure Application Gateway son equilibradores de carga para el tráfico HTTP/HTTPS, pero tienen ámbitos diferentes. Front Door es un servicio global que puede distribuir solicitudes entre regiones, mientras que Application Gateway es un servicio regional que puede equilibrar las solicitudes dentro de una región. Azure Front Door funciona con unidades de escalado, clústeres o unidades de stamp, mientras que Azure Application Gateway funciona con máquinas virtuales, contenedores u otros recursos en la misma unidad de escalado.

¿Cuándo debo implementar una instancia de Application Gateway detrás de Front Door?

Application Gateway detrás de Front Door es útil en estas situaciones:

  • Quiere equilibrar el tráfico no solo globalmente, sino también dentro de tu red virtual. Front Door solo puede realizar el equilibrio de carga basado en rutas de acceso en el nivel global, pero Application Gateway puede hacerlo dentro de tu red virtual.
  • Necesita drenaje de conexiones, que Front Door no admite. Application Gateway puede habilitar el drenaje de conexiones para las máquinas virtuales o contenedores.
  • Desea descargar todo el procesamiento TLS/SSL y usar solo solicitudes HTTP en tu red virtual. Application Gateway detrás de Front Door puede lograr esta configuración.
  • Quiere usar la afinidad de sesión en el nivel regional y de servidor. Front Door puede enviar el tráfico desde una sesión de usuario al mismo back-end de una región, pero Application Gateway puede enviarlo al mismo servidor en el back-end.

¿Puedo implementar otra red CDN desde un proveedor externo detrás o delante de Front Door?

El encadenamiento de dos redes CDN no suele ser un enfoque recomendado, sino que funciona con los siguientes inconvenientes

  1. La aceleración de la última milla de CDN utiliza mantener el flujo de conexión con el origen y encontrar una ruta de acceso óptima al origen para lograr los mejores resultados. El encadenamiento de dos CDN normalmente niega algunas de las ventajas de la aceleración de última milla.
  2. Los controles de seguridad se vuelven menos efectivos en la segunda red CDN. Cualquier ACL basada en IP de cliente no funcionará en la segunda red CDN, ya que la segunda red CDN verá el primer nodo de salida de la red CDN como direcciones IP de cliente. La carga de contenido se seguirá inspeccionando.
  3. Muchas organizaciones no pueden controlar la complejidad de la solución de problemas de dos redes CDN que se encadenan y, cuando un problema resulta difícil averiguar qué red CDN tiene el problema.

¿Puedo implementar Azure Load Balancer detrás de Front Door?

Para usar Azure Front Door, debe tener una IP virtual pública o un nombre DNS al que se pueda acceder públicamente. Azure Front Door usa la dirección IP pública para enrutar el tráfico al origen. Un escenario común es implementar una instancia de Azure Load Balancer detrás de Front Door. También puede usar Private Link con Azure Front Door Premium para conectarse a un equilibrador de carga interno. Para obtener más información, consulte Habilitación de Private Link con un equilibrador de carga interno.

¿Qué protocolos admite Azure Front Door?

Azure Front Door admite HTTP, HTTPS y HTTP/2.

¿Cómo admite HTTP/2 el servicio Azure Front Door?

Azure Front Door admite el protocolo HTTP/2 para las conexiones de cliente. Sin embargo, la comunicación del grupo de back-end usa el protocolo HTTP/1.1. La compatibilidad con HTTP/2 está activada de manera predeterminada.

¿Qué tipo de recursos son actualmente compatibles como origen?

Puede usar diferentes tipos de orígenes para Azure Front Door, como:

  • Storage (Azure Blob, clásico, sitios web estáticos)
  • servicio en la nube
  • App Service
  • Aplicación web estática
  • API Management
  • Application Gateway
  • Dirección IP pública
  • Azure Spring Apps
  • Container Instances
  • Aplicaciones de contenedor
  • Cualquier nombre de host personalizado con acceso público.

El origen debe tener una dirección IP pública o un nombre de host DNS que se pueda resolver públicamente. Puede combinar y mezclar los back-end de diferentes zonas, regiones o incluso fuera de Azure, siempre y cuando sean accesibles públicamente.

¿En qué regiones puedo implementar servicios de Azure Front Door?

Azure Front Door no se limita a ninguna región de Azure, pero funciona globalmente. La única ubicación que tiene que elegir al crear una instancia de Front Door es la ubicación del grupo de recursos, que determina dónde se almacenan los metadatos del grupo de recursos. El perfil de Front Door es un recurso global y su configuración se distribuye a todas las ubicaciones perimetrales de todo el mundo.

¿Cuáles son las ubicaciones de los POP (puntos de presencia) de Azure Front Door?

Para obtener la lista completa de puntos de presencia (POP) que proporcionan equilibrio de carga global y entrega de contenido para Azure Front Door, consulte Ubicaciones de POP de Azure Front Door. Esta lista se actualiza periódicamente a medida que se agregan o quitan nuevos POP. También puede usar la API de Azure Resource Manager para consultar la lista actual de POP mediante programación.

¿Cómo asigna Azure Front Door sus recursos entre distintos clientes?

Azure Front Door es un servicio que distribuye la aplicación globalmente entre varias regiones. Usa una infraestructura común que todos sus clientes comparten, pero puede personalizar su propio perfil de Front Door para configurar los requisitos específicos de la aplicación. Las configuraciones de otros clientes no pueden afectar a la configuración de Front Door, que está aislada de la suya.

¿Admite Azure Front Door el redireccionamiento HTTP a HTTPS?

Puede redirigir los componentes de host, ruta de acceso y cadena de consulta de una dirección URL con Azure Front Door. Para obtener información sobre cómo configurar el redireccionamiento de direcciones URL, consulte Redireccionamiento de direcciones URL.

¿Cómo determina Azure Front Door el orden de las reglas de enrutamiento?

Front Door no ordena las rutas de la aplicación web. En su lugar, elige la ruta que mejor se adapta a la solicitud. Para averiguar cómo Front Door hace coincidir las solicitudes con las rutas, consulte Cómo Front Door hace coincidir las solicitudes con una regla de enrutamiento.

¿Cuáles son los pasos para restringir el acceso a mi back-end solo a Azure Front Door?

Para garantizar un rendimiento óptimo de las características de Front Door, solo debe permitir que el tráfico procedente de Azure Front Door llegue a su origen. Como resultado, las solicitudes no autorizadas o malintencionadas encuentran las directivas de seguridad y enrutamiento de Front Door y se les deniega el acceso. Para obtener información sobre cómo proteger su origen, consulte Protección del tráfico a orígenes de Azure Front Door.

¿La dirección IP de difusión por proximidad de mi instancia de Front Door sigue siendo la misma durante toda su vigencia?

La dirección IP de difusión por proximidad de front-end de Front Door es fija y es posible que no cambie siempre que use Front Door. Sin embargo, la dirección IP fija de difusión por proximidad de front-end de Front Door no es una garantía. Evite confiar directamente en la dirección IP.

¿Azure Front Door ofrece direcciones IP estáticas o dedicadas?

Azure Front Door es un servicio dinámico que enruta el tráfico al mejor back-end disponible. No ofrece direcciones IP de difusión por proximidad de front-end estáticas ni dedicadas en este momento.

¿Proporciona AFD telemetría para mostrar qué reglas procesa el motor de reglas AFD para cada solicitud?

Sí. Consulta la propiedad MatchedRulesSetName en Registros de acceso.

¿Puede AFD proporcionar protección contra ataques DDoS de "restablecimiento rápido de HTTP/2"?

Sí. Para obtener más información, consulta Respuesta de Microsoft a ataques DDoS contra HTTP/2.

¿Azure Front Door preserva los encabezados “x-forwarded-for”?

Azure Front Door admite los encabezados X-Forwarded-For, X-Forwarded-Host y X-Forwarded-Proto. Estos encabezados ayudan a Front Door a identificar la dirección IP y el protocolo de cliente originales. Si X-Forwarded-For ya está presente, Front Door agrega la dirección IP del socket de cliente al final de la lista. De lo contrario, crea el encabezado con la dirección IP del socket de cliente como valor. Para X-Forwarded-Host y X-Forwarded-Proto, Front Door reemplaza los valores existentes por sus propios valores.

Para obtener más información, consulte Encabezados HTTP compatibles con Front Door.

¿Cuál es el tiempo estimado para implementar una instancia de Azure Front Door? ¿Mi instancia de Front Door permanece operativa durante el proceso de actualización?

El tiempo de implementación de las nuevas configuraciones de Front Door varía en función del tipo de cambio. Normalmente, los cambios tardan entre 3 y 20 minutos en propagarse a todas nuestras ubicaciones perimetrales en todo el mundo.

Nota:

Las actualizaciones de certificados TLS/SSL personalizados pueden tardar más tiempo, entre varios minutos y una hora en implementarse globalmente.

Las actualizaciones de rutas o grupos de origen/grupos de back-end son perfectas y no provocan ningún tiempo de inactividad (suponiendo que la nueva configuración sea correcta). Las actualizaciones de certificados también se realizan de forma atómica, por lo que no hay ningún riesgo de interrupción.

¿Admite Azure Front Door gRPC?

No. Actualmente, Azure Front Door solo admite HTTP/1.1 desde el perímetro hasta el origen. Para que gRPC funcione, se requiere HTTP/2.

¿Puedo mover perfiles de Front Door y CDN entre grupos de recursos o suscripciones sin tiempo de inactividad?

  • Los perfiles de Front Door Standard/Premium y Azure CDN se pueden mover entre grupos de recursos o suscripciones sin tiempo de inactividad. Para ejecutar el movimiento, siga estas instrucciones.
  • Front Door Classic no admite el traslado entre grupos de recursos o suscripciones. En su lugar, puede migrar el perfil clásico a Estándar/Premium y, a continuación, ejecutar el traslado.
  • Si el cliente tiene WAF asociado a Front Door Standard/Premium, se producirá un error en la operación de traslado. El cliente tiene que desasociar primero las directivas de WAF, moverlas y, a continuación, asociarlas.

Configuración

¿Azure Front Door tiene la capacidad de equilibrar la carga o enrutar el tráfico dentro de una red virtual?

Para usar el nivel Estándar, Premium o (clásico) de Azure Front Door, necesita una dirección IP pública o un nombre DNS que se pueda resolver públicamente. Este requisito de una dirección IP pública o un nombre DNS que se puede resolver públicamente permite a Azure Front Door enrutar el tráfico a los recursos de back-end. Puede usar recursos de Azure como instancias de Application Gateway o Azure Load Balancer para enrutar el tráfico a los recursos de una red virtual. Si usa un nivel Premium de Front Door, puede usar Private Link para conectarse a los orígenes detrás de un equilibrador de carga interno a través de un punto de conexión privado. Para más información, consulte Orígenes seguros con Private Link.

¿Cuáles son los procedimientos recomendados para crear orígenes y grupos de origen para Azure Front Door?

Un grupo de origen es una colección de orígenes que puede controlar tipos similares de solicitudes. Necesita un grupo de origen diferente para cada aplicación o carga de trabajo diferente.

En un grupo de origen, se crea un origen para cada servidor o servicio que puede atender solicitudes. Si el origen tiene un equilibrador de carga, como Azure Application Gateway, o se hospeda en una PaaS que tiene un equilibrador de carga, el grupo de origen solo tiene un origen. Su origen se encarga de la conmutación por error y el equilibrio de carga entre orígenes que Front Door no ve.

Por ejemplo, si hospeda una aplicación en Azure App Service, la configuración de Front Door depende de cuántas instancias de aplicación tenga:

  • Implementación de una sola región: cree un grupo de origen. En ese grupo de origen, cree un origen para la aplicación de App Service. La aplicación de App Service puede escalar horizontalmente entre los trabajos, pero Front Door ve un origen.
  • Implementación activa/pasiva de varias regiones: cree un grupo de origen. En ese grupo de origen, cree un origen para cada aplicación de App Service. Establezca la prioridad de cada origen para que la aplicación principal tenga una prioridad más alta que la aplicación de copia de seguridad.
  • Implementación activa/activa de varias regiones: cree un grupo de origen. En ese grupo de origen, cree un origen para cada aplicación de App Service. Establezca la misma prioridad para todos los orígenes. Establezca el peso de cada origen para controlar el número de solicitudes que van a ese origen.

Para obtener más información, consulte Orígenes y grupos de orígenes en Azure Front Door.

¿Cuáles son los valores predeterminados y máximos para los tiempos de espera y los límites de Azure Front Door?

Azure Front Door es un servicio que proporciona entrega web rápida y confiable para sus aplicaciones. Ofrece características como el almacenamiento en caché, el equilibrio de carga, la seguridad y el enrutamiento. Sin embargo, debe tener en cuenta algunos tiempos de espera y límites que se aplican a Azure Front Door. Estos tiempos de espera y límites incluyen el tamaño máximo de solicitud, el tamaño máximo de respuesta, el tamaño máximo de encabezado, el número máximo de encabezados, el número máximo de reglas y el número máximo de grupos de origen. Puede encontrar la información detallada sobre estos tiempos de espera y límites en la documentación de Azure Front Door.

¿Cuánto tiempo requiere Azure Front Door para aplicar una nueva regla agregada al motor de reglas de Front Door?

Las actualizaciones de configuración de la mayoría de los conjuntos de reglas se realizan en menos de 20 minutos. La regla se aplicará justo después de que finalice la actualización.

¿Es posible configurar Azure CDN detrás de mi perfil de Front Door o de otro modo?

Azure Front Door y Azure CDN son dos servicios que proporcionan entrega web rápida y confiable para las aplicaciones. Sin embargo, no son compatibles entre sí, ya que comparten la misma red de sitios perimetrales de Azure para entregar contenido a los usuarios. Esta red compartida provoca conflictos entre sus directivas de enrutamiento y almacenamiento en caché. Por lo tanto, debe elegir Azure Front Door o Azure CDN para la aplicación, en función de los requisitos de rendimiento y seguridad.

¿Es posible configurar Azure Front Door detrás de otro perfil de Front Door o de otro modo?

El hecho de que ambos perfiles usarían los mismos sitios perimetrales de Azure para controlar las solicitudes entrantes provoca esta limitación que impide anidar un perfil de Azure Front Door detrás de otro. Esta configuración provocaría conflictos de enrutamiento y problemas de rendimiento. Por lo tanto, debe asegurarse de que los perfiles de Azure Front Door son independientes y no están encadenados, si necesita usar varios perfiles para las aplicaciones.

¿Cuáles son las etiquetas de servicio de red que admite Front Door?

Azure Front Door usa tres etiquetas de servicio para administrar el tráfico entre los clientes y sus orígenes:

  • La etiqueta de servicio AzureFrontDoor.Backend contiene las direcciones IP que Front Door usa para acceder a sus orígenes. Puede aplicar esta etiqueta de servicio al configurar la seguridad para los orígenes.
  • La etiqueta de servicio AzureFrontDoor.Frontend contiene las direcciones IP que los clientes usan para llegar a Front Door. Puede aplicar la etiqueta de servicio AzureFrontDoor.Frontend cuando quiera controlar el tráfico saliente que puede conectarse a los servicios detrás de Azure Front Door.
  • La etiqueta de servicio AzureFrontDoor.FirstParty está reservada para un grupo seleccionado de servicios de Microsoft hospedados en Azure Front Door.

Para obtener más información sobre los escenarios de etiquetas de servicio de Azure Front Door, consulte etiquetas de servicio disponibles.

¿Cuál es el valor del tiempo de espera del encabezado del cliente a Azure Front Door?

Azure Front Door tiene un tiempo de espera de 5 segundos para recibir encabezados del cliente. La conexión se finaliza si el cliente no envía encabezados en un plazo de 5 segundos a Azure Front Door después de establecer la conexión TCP/TLS. No se puede configurar este valor de tiempo de espera.

¿Cuál es el valor de tiempo de espera persistente de HTTP de Azure Front Door?

Azure Front Door tiene un tiempo de espera persistente de HTTP de 90 segundos. La conexión se finaliza si el cliente no envía datos durante 90 segundos, que es el tiempo de espera persistente de HTTP para Azure Front Door. No se puede configurar este valor de tiempo de espera.

¿Es posible usar el mismo dominio para dos puntos de conexión diferentes de Front Door?

No puede usar los mismos dominios para más de un punto de conexión de Front Door, ya que Front Door debe distinguir la ruta (protocolo + host + combinación de ruta de acceso) para cada solicitud. Si tiene rutas duplicadas en distintos puntos de conexión, Azure Front Door no puede procesar las solicitudes correctamente.

¿Es posible migrar un dominio de un punto de conexión de Front Door a otro punto de conexión de Front Door sin tiempo de inactividad?

En este momento, no ofrecemos la opción de mover dominios de un punto de conexión a otro sin interrupciones en el servicio. Debe planear algún tiempo de inactividad si desea migrar los dominios a un punto de conexión diferente.

La característica Private Link de Azure Front Door es independiente de la región y funcionará incluso si elige una región diferente de la región donde se encuentra el origen. En tales casos, para garantizar una menor latencia, siempre debe elegir una región de Azure más cercana al origen al elegir habilitar el punto de conexión de Private Link de Azure Front Door. Estamos en proceso de habilitar la compatibilidad con más regiones. Una vez que se admite una nueva región, puede seguir estas instrucciones para cambiar gradualmente el tráfico a la nueva región.

Rendimiento

¿Cómo garantiza Azure Front Door la alta disponibilidad y escalabilidad de sus servicios?

Azure Front Door es una plataforma que distribuye el tráfico en todo el mundo y puede escalar verticalmente para satisfacer las demandas de la aplicación. Usa el perímetro de red global de Microsoft para ofrecer funcionalidad de equilibrio de carga global que le permite cambiar toda la aplicación o microservicios específicos a diferentes regiones o nubes si se produjo un error.

¿Cuáles son las condiciones para almacenar en caché las respuestas con intervalo desde mi origen?

Para evitar errores al entregar archivos grandes, asegúrese de que el servidor de origen incluye el encabezado Content-Range en la respuesta y que el valor del encabezado coincide con el tamaño real del cuerpo de la respuesta.

Puede encontrar más detalles sobre cómo configurar su origen y Front Door para la entrega de archivos grandes en Entrega de archivos grandes.

Configuración de TLS

¿Cómo bloquea Azure Front Door el front-end de dominio?

El fronting de dominio es una técnica de red que permite a un atacante ocultar el destino real de una solicitud malintencionada mediante un nombre de dominio diferente en el protocolo de enlace TLS y el encabezado host HTTP.

Las instancias de Azure Front Door (niveles Estándar, Premium y Clásico) o Azure CDN Estándar de Microsoft (Clásico) creadas después del 8 de noviembre de 2022 tienen habilitado el bloqueo de front-end de dominio. En lugar de bloquear una solicitud con encabezados SNI y host no coincidentes, se permite la discrepancia si los dos dominios pertenecen a la misma suscripción y se incluyen en las reglas de enrutamiento y rutas. La aplicación de bloqueo de front-end de dominio comenzará el 22 de enero de 2024 para todos los dominios existentes. La aplicación podría necesitar hasta dos semanas para propagarse a todas las regiones.

Cuando Front Door bloquea una solicitud debido a un error de coincidencia:

  • El cliente recibe una respuesta de código de error HTTP 421 Misdirected Request.
  • Azure Front Door registra el bloqueo en los registros de diagnóstico en la propiedad Información de error con el valor SSLMismatchedSNI.

Para obtener más información sobre el front-end de dominios, consulte Protección de nuestro enfoque para el front-end de dominios dentro de Azure y Prohibir el front-end de dominios en Azure Front Door y Azure CDN Estándar de Microsoft (clásico).

¿Qué versiones de TLS son compatibles con Azure Front Door?

Front Door usa TLS 1.2 como versión mínima para todos los perfiles creados después de septiembre de 2019.

Puede elegir usar TLS 1.0, 1.1, 1.2 o 1.3 con Azure Front Door. Para obtener más información, lea el artículo TLS de un extremo a otro de Azure Front Door.

Facturación

¿Se me facturarán los recursos de Azure Front Door que estén deshabilitados?

Azure Front Door es un servicio que proporciona entrega web rápida y segura. Permite definir cómo se enruta y optimiza el tráfico web en varias regiones y puntos de conexión. Los recursos de Azure Front Door, como los perfiles de Front Door y las reglas de enrutamiento, solo se cobran cuando están habilitados. Sin embargo, las directivas y reglas del firewall de aplicaciones web (WAF) se cobran independientemente de su estado. Aunque deshabilite una directiva o regla de WAF, seguirá incurriendo en costos por usted.

Almacenamiento en memoria caché

¿Es posible usar el encabezado de solicitud HTTP como clave de caché?

No.

¿Admite Front Door ETag?

No.

¿Es posible admitir la compresión para tamaños de archivo superiores a 8 MB?

AFD no admite la compresión dinámica para el contenido superior a 8 MB. Sin embargo, si el origen ya ha comprimido el contenido, Front Door admite el servicio de contenido comprimido estático a más de 8 MB siempre que se admita la solicitud de intervalo y la codificación de transferencia fragmentada no esté habilitada.

¿Admite AFD establecer el encabezado de autorización en la solicitud HTTP si está habilitado el almacenamiento en caché?

No.

Diagnósticos y registro

¿Cuáles son las métricas y los registros que proporciona Azure Front Door?

Para obtener información sobre los registros y otras funcionalidades de diagnóstico, consulte Monitoring metrics and logs for Front Door (Supervisión de métricas y registros para Front Door).

¿Cuál es la duración de la retención de registros de diagnóstico?

Puede almacenar los registros de diagnóstico en su propia cuenta de almacenamiento y elegir cuánto tiempo se conservan. Como alternativa, los registros de diagnóstico se pueden enviar a Event Hubs o a los registros de Azure Monitor. Para más información, consulte el Diagnóstico de Azure Front Door.

¿Cuáles son los pasos para acceder a los registros de auditoría de Azure Front Door?

Para acceder a los registros de auditoría de Azure Front Door, debe visitar el portal. Selecciona Front Door en la página de menú y selecciona en Registro de actividad. El registro de actividad proporciona los registros de las operaciones de Azure Front Door.

¿Cómo puedo configurar alertas para Azure Front Door?

Puede configurar alertas para Azure Front Door en función de métricas o registros. Al hacerlo, puede supervisar el rendimiento y el estado de los hosts de front-end.

Para obtener información sobre cómo crear alertas para Azure Front Door Estándar y Premium, consulte Configuración de alertas.

Pasos siguientes