Perspectiva de Azure Well-Architected Framework en Azure Front Door
Azure Front Door es un equilibrador de carga global y una red de entrega de contenido que enruta el tráfico HTTP y HTTPS. Azure Front Door entrega y distribuye el tráfico más cercano a los usuarios de la aplicación.
En este artículo se supone que como arquitecto ha revisado las opciones de equilibrio de carga y ha elegido Azure Front Door como equilibrador de carga para la carga de trabajo. También se supone que la aplicación se implementa en varias regiones en un modelo activo-activo o activo-pasivo. Las instrucciones de este artículo proporcionan recomendaciones arquitectónicas que se asignan a los principios de los pilares de Azure Well-Architected Framework.
Importante
Cómo usar esta guía
Cada sección tiene una lista de comprobación de diseño que presenta áreas arquitectónicas de interés y estrategias de diseño localizadas al ámbito de la tecnología.
En este artículo también se incluyen recomendaciones sobre las funcionalidades tecnológicas que ayudan a materializar esas estrategias. Las recomendaciones no representan una lista exhaustiva de todas las configuraciones disponibles para Azure Front Door y sus dependencias. En su lugar, enumeran las recomendaciones clave asignadas a las perspectivas de diseño. Use las recomendaciones para crear la prueba de concepto o optimizar los entornos existentes.
Arquitectura fundamental que muestra las recomendaciones clave: arquitectura de línea base crítica con controles de red.
Ámbito de la tecnología
Esta revisión se centra en las decisiones relacionadas entre sí para los siguientes recursos de Azure:
- Azure Front Door
Confiabilidad
El propósito del pilar confiabilidad es proporcionar una funcionalidad continua mediante la creación de suficiente resistencia y la capacidad de recuperarse rápidamente de los errores.
Los principios de diseño de confiabilidad proporcionan una estrategia de diseño de alto nivel aplicada a componentes individuales, flujos del sistema y al sistema en su conjunto.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para confiabilidad. Determine su relevancia para los requisitos empresariales, a la vez que tenga en cuenta los niveles y las funcionalidades de Azure Content Delivery Network. Amplíe la estrategia para incluir más enfoques según sea necesario.
Calcule el patrón de tráfico y el volumen. El número de solicitudes del cliente al perímetro de Azure Front Door puede influir en la elección del nivel. Si necesita admitir un gran volumen de solicitudes, considere el nivel Azure Front Door Premium porque el rendimiento afecta en última instancia a la disponibilidad. Sin embargo, hay un equilibrio de costos. Estos niveles se describen en Eficiencia del rendimiento.
Elija la estrategia de implementación. Los enfoques de implementación fundamentales son activo-activo y activo-pasivo. La implementación activa-activa significa que varios entornos o stamps que ejecutan la carga de trabajo atienden el tráfico. La implementación activa-pasiva significa que solo la región primaria controla todo el tráfico, pero conmuta por error a la región secundaria cuando sea necesario. En una implementación de varias regiones, los stamps se ejecutan en regiones diferentes para una mayor disponibilidad con un equilibrador de carga global, como Azure Front Door, que distribuye el tráfico. Por lo tanto, es importante configurar el equilibrador de carga para el enfoque de implementación adecuado.
Azure Front Door admite varios métodos de enrutamiento, que puede configurar para distribuir el tráfico en un modelo activo-activo o activo-pasivo.
Los modelos anteriores tienen muchas variaciones. Por ejemplo, puede implementar el modelo activo-pasivo con una reserva activa-pasiva. En este caso, el servicio hospedado secundario se implementa con el tamaño mínimo posible de proceso y datos y se ejecuta sin carga. Tras la conmutación por error, los recursos de proceso y de datos se escalan para controlar la carga desde la región primaria. Para obtener más información, consulte Estrategias de diseño clave para el diseño de varias regiones.
Algunas aplicaciones necesitan que las conexiones de usuario permanezcan en el mismo servidor de origen durante la sesión del usuario. Desde una perspectiva de confiabilidad, no se recomienda mantener las conexiones de usuario en el mismo servidor de origen. Evite la afinidad de sesión tanto como sea posible.
Use el mismo nombre de host en Azure Front Door y los servidores de origen. Para asegurarse de que las cookies o las direcciones URL de redireccionamiento funcionen correctamente, conserve el nombre de host HTTP original al usar un proxy inverso, como un equilibrador de carga, delante de una aplicación web.
Implemente el patrón de supervisión del punto de conexión de mantenimiento. La aplicación debe exponer los puntos de conexión de mantenimiento, que agregan el estado de los servicios críticos y las dependencias que la aplicación necesita para atender las solicitudes. Los sondeos de estado de Azure Front Door usan el punto de conexión para detectar el estado de los servidores de origen. Para más información, consulte Patrón Health Endpoint Monitoring.
Aproveche las ventajas de la funcionalidad de red de entrega de contenido integrada en Azure Front Door. La característica de red de entrega de contenido de Azure Front Door tiene cientos de ubicaciones perimetrales y puede ayudar a resistir los ataques de denegación de servicio distribuido (DDoS). Estas funcionalidades ayudan a mejorar la confiabilidad.
Considere la posibilidad de una opción de administración de tráfico redundante. Azure Front Door es un servicio distribuido globalmente que se ejecuta como singleton en un entorno. Azure Front Door es un único punto de error potencial en el sistema. Si se produce un error en el servicio, los clientes no podrán acceder a la aplicación durante el tiempo de inactividad.
Las implementaciones redundantes pueden ser complejas y costosas. Tenga en cuenta solo para cargas de trabajo críticas que tienen una tolerancia muy baja a la interrupción. Considere cuidadosamente los inconvenientes.
- Si absolutamente necesita enrutamiento redundante, consulte Redundancia de enrutamiento global.
- Si solo necesita redundancia para atender el contenido almacenado en caché, consulte Entrega de contenido global.
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Elija un método de enrutamiento que admita la estrategia de implementación. El método ponderado, que distribuye el tráfico en función del coeficiente de peso configurado, admite modelos activos-activos. Valor basado en prioridad que configura la región primaria para recibir todo el tráfico y enviar tráfico a la región secundaria como una copia de seguridad admite modelos activos-pasivos. Combine los métodos anteriores con latencia para que el origen con la latencia más baja reciba tráfico. |
Puede seleccionar el mejor recurso de origen mediante una serie de pasos de decisión y el diseño. El origen seleccionado atiende el tráfico dentro del intervalo de latencia permitido en la proporción especificada de pesos. |
| Admite la redundancia al tener varios orígenes en uno o varios grupos de back-end. Siempre tiene instancias redundantes de la aplicación y asegúrese de que cada instancia expone un punto de conexión o origen. Puede colocar esos orígenes en uno o varios grupos de back-end. |
Varios orígenes admiten la redundancia mediante la distribución del tráfico entre varias instancias de la aplicación. Si una instancia no está disponible, otros orígenes de back-end pueden seguir recibiendo tráfico. |
|
Configure sondeos de estado en el origen. Configure Azure Front Door para realizar comprobaciones de estado para determinar si la instancia de back-end está disponible y lista para seguir recibiendo solicitudes. |
Los sondeos de estado habilitados forman parte de la implementación del patrón de supervisión de estado. Los sondeos de estado se aseguran de que Azure Front Door solo enruta el tráfico a las instancias que son lo suficientemente correctas como para controlar las solicitudes. Para más información, consulte Procedimientos recomendados sobre sondeos de estado. |
| Establezca un tiempo de espera en el reenvío de solicitudes al back-end. Ajuste la configuración de tiempo de espera según las necesidades de los puntos de conexión. Si no lo hace, Azure Front Door podría cerrar la conexión antes de que el origen envíe la respuesta. También puede reducir el tiempo de espera predeterminado para Azure Front Door si todos los orígenes tienen un tiempo de espera más corto. Para obtener más información, consulte Solución de problemas de solicitudes que no responden. |
Los tiempos de espera ayudan a evitar problemas de rendimiento y problemas de disponibilidad al finalizar las solicitudes que tardan más de lo esperado en completarse. |
| Use el mismo nombre de host en Azure Front Door y su origen. Azure Front Door puede volver a escribir el encabezado de host de las solicitudes entrantes, lo que resulta útil cuando tiene varios nombres de dominio personalizados que se enrutan a un origen. Sin embargo, volver a escribir el encabezado de host puede causar problemas con las cookies de solicitud y la redirección de direcciones URL. |
Establezca el mismo nombre de host para evitar errores de funcionamiento con afinidad de sesión, autenticación y autorización. Para obtener más información, consulte Conservar el nombre de host HTTP original entre un proxy inverso y su aplicación web de back-end. |
| Decida si la aplicación requiere afinidad de sesión. Si tiene requisitos de alta confiabilidad, se recomienda deshabilitar la afinidad de sesión. | Con la afinidad de sesión, las conexiones de usuario permanecen en el mismo origen durante la sesión de usuario. Si ese origen deja de estar disponible, es posible que se interrumpa la experiencia del usuario. |
| Aproveche las reglas de limitación de velocidad que se incluyen con un firewall de aplicaciones web (WAF). | Limite las solicitudes para evitar que los clientes envíen demasiado tráfico a la aplicación. La limitación de velocidad puede ayudarle a evitar problemas como una tormenta de reintento. |
Seguridad
El propósito del pilar seguridad es proporcionar garantías de confidencialidad, integridad y disponibilidad a la carga de trabajo.
Los principios de diseño de seguridad proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos mediante la aplicación de enfoques al diseño técnico para restringir el tráfico que llega a través de Azure Front Door.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para seguridad. Identifique vulnerabilidades y controles para mejorar la posición de seguridad. Amplíe la estrategia para incluir más enfoques según sea necesario.
Revise la línea de base de seguridad de Azure Front Door.
Proteja los servidores back-end. El front-end actúa como el único punto de entrada a la aplicación.
Azure Front Door usa Azure Private Link para acceder al origen de una aplicación. Private Link crea segmentación para que los back-end no necesiten exponer direcciones IP públicas y puntos de conexión. Para más información, consulte Protección del origen con Private Link en Azure Front Door Premium.
Configure los servicios back-end para que solo acepten solicitudes con el mismo nombre de host que Azure Front Door usa externamente.
Permitir solo el acceso autorizado al plano de control. Use el control de acceso basado en rol (RBAC) de Azure Front Door para restringir el acceso solo a las identidades que la necesitan.
Bloquear amenazas comunes en el perímetro. WAF se integra con Azure Front Door. Habilite las reglas de WAF en los servidores front-end para proteger las aplicaciones frente a vulnerabilidades y vulnerabilidades comunes en el perímetro de red, más cerca del origen de ataque. Considere el filtrado geográfico para restringir el acceso a la aplicación web por países o regiones.
Para más información, consulte Azure Web Application Firewall en Azure Front Door.
Proteja Azure Front Door contra el tráfico inesperado. Azure Front Door usa el plan básico de protección contra DDoS de Azure para proteger los puntos de conexión de la aplicación frente a ataques DDoS. Si necesita exponer otras direcciones IP públicas de la aplicación, considere la posibilidad de agregar el plan estándar DDoS Protection para esas direcciones para las funcionalidades de detección y protección avanzada.
También hay conjuntos de reglas de WAF que detectan tráfico de bots o volúmenes de tráfico inesperadamente grandes que podrían ser malintencionados.
Proteja los datos en tránsito. Habilite la seguridad de la capa de transporte (TLS), HTTP a la redirección HTTPS y los certificados TLS administrados cuando corresponda. Para más información, consulte Procedimientos recomendados de TLS para Azure Front Door.
Supervise la actividad anómala. Revise periódicamente los registros para comprobar si hay ataques y falsos positivos. Envíe registros de WAF desde Azure Front Door a la administración centralizada de eventos e información de seguridad de su organización (SIEM), como Microsoft Sentinel, para detectar patrones de amenazas e incorporar medidas preventivas en el diseño de la carga de trabajo.
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Habilite conjuntos de reglas de WAF que detecten y bloqueen el tráfico potencialmente malintencionado. Esta característica está disponible en el nivel Premium. Se recomiendan estos conjuntos de reglas: - Predeterminado - Protección contra bots - Restricción de IP - Filtrado geográfico - Limitación de velocidad |
Los conjuntos de reglas predeterminados se actualizan con frecuencia en función de los 10 tipos de ataques principales de OWASP e información de Microsoft Threat Intelligence. Los conjuntos de reglas especializadas detectan determinados casos de uso. Por ejemplo, las reglas de bot clasifican los bots como buenos, incorrectos o desconocidos en función de las direcciones IP del cliente. También bloquean los bots incorrectos y las direcciones IP conocidas y restringen el tráfico en función de la ubicación geográfica de los autores de llamadas. Mediante una combinación de conjuntos de reglas, puede detectar y bloquear ataques con varias intenciones. |
|
Cree exclusiones para conjuntos de reglas administradas . Pruebe una directiva waf en modo de detección durante unas semanas y ajuste los falsos positivos antes de implementarla. |
Reduzca los falsos positivos y permita solicitudes legítimas para la aplicación. |
| Envíe el encabezado host al back-end. | Los servicios back-end deben tener en cuenta el nombre de host para que puedan crear reglas para aceptar el tráfico solo desde ese host. |
| Habilite TLS de un extremo a otro, HTTP a redirección HTTPS y certificados TLS administrados cuando corresponda. Revise los procedimientos recomendados de TLS para Azure Front Door. Use TLS versión 1.2 como la versión mínima permitida con cifrados pertinentes para la aplicación. Los certificados administrados de Azure Front Door deben ser la opción predeterminada para facilitar las operaciones. Sin embargo, si desea administrar el ciclo de vida de los certificados, use sus propios certificados en los puntos de conexión de dominio personalizados de Azure Front Door y almacénelos en Key Vault. |
TLS garantiza que los intercambios de datos entre el explorador, Azure Front Door y los orígenes de back-end se cifran para evitar alteraciones. Key Vault ofrece compatibilidad con certificados administrados y renovación y rotación de certificados simples. |
Optimización de costos
La optimización de costos se centra en detectar patrones de gasto, priorizar las inversiones en áreas críticas y optimizar en otros usuarios para satisfacer el presupuesto de la organización mientras cumple los requisitos empresariales.
Los principios de diseño de optimización de costos proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos y hacer inconvenientes según sea necesario en el diseño técnico relacionado con Azure Front Door y su entorno.
Diseño de una lista de comprobación
Inicie su estrategia de diseño en función de la lista de comprobación de revisión de diseño para la optimización de costos para inversiones. Ajuste el diseño para que la carga de trabajo esté alineada con el presupuesto asignado para la carga de trabajo. El diseño debe usar las funcionalidades adecuadas de Azure, supervisar las inversiones y encontrar oportunidades para optimizar con el tiempo.
Revise los planes y los precios de Azure Front Door. Use la calculadora de precios para calcular los costos realistas de cada nivel. Compare las características y la idoneidad de cada nivel para su escenario. Por ejemplo, solo el nivel Premium admite la conexión a su origen a través de Private Link.
La SKU estándar es más rentable y adecuada para escenarios de tráfico moderados. En la SKU Premium, paga una tarifa unitaria más alta, pero obtiene acceso a las ventajas de seguridad y características avanzadas, como las reglas administradas en WAF y Private Link. Tenga en cuenta los inconvenientes en la confiabilidad y la seguridad en función de sus requisitos empresariales.
Considere los costos de ancho de banda. Los costos de ancho de banda de Azure Front Door dependen del nivel que elija y del tipo de transferencia de datos. Azure Front Door proporciona informes integrados para métricas facturables. Para evaluar los costos relacionados con el ancho de banda y dónde puede centrar los esfuerzos de optimización, consulte Informes de Azure Front Door.
Optimice las solicitudes entrantes. Azure Front Door factura las solicitudes entrantes. Puede establecer restricciones en la configuración de diseño.
Reduzca el número de solicitudes mediante patrones de diseño como back-end para front-end y agregación de puerta de enlace. Estos patrones pueden mejorar la eficacia de las operaciones.
Las reglas de WAF restringen el tráfico entrante, lo que puede optimizar los costos. Por ejemplo, use la limitación de velocidad para evitar niveles anormalmente altos de tráfico o use el filtrado geográfico para permitir el acceso solo desde regiones o países específicos.
Use recursos de forma eficaz. Azure Front Door usa un método de enrutamiento que ayuda con la optimización de recursos. A menos que la carga de trabajo sea extremadamente sensible a la latencia, distribuya el tráfico uniformemente en todos los entornos para usar eficazmente los recursos implementados.
Los puntos de conexión de Azure Front Door pueden servir muchos archivos. Una manera de reducir los costos de ancho de banda es usar la compresión.
Use el almacenamiento en caché en Azure Front Door para el contenido que no cambia con frecuencia. Dado que el contenido se sirve desde una memoria caché, se ahorran costos de ancho de banda en los que se incurre cuando la solicitud se reenvía a los back-end.
Considere la posibilidad de usar una instancia compartida proporcionada por la organización. Los costos derivados de los servicios centralizados se comparten entre las cargas de trabajo. Sin embargo, considere el equilibrio con la confiabilidad. En el caso de las aplicaciones críticas que tienen requisitos de alta disponibilidad, se recomienda una instancia autónoma.
Preste atención a la cantidad de datos registrados. Los costos relacionados con el ancho de banda y el almacenamiento pueden acumularse si ciertas solicitudes no son necesarias o si los datos de registro se conservan durante un largo período de tiempo.
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Use el almacenamiento en caché para los puntos de conexión que lo admiten. | El almacenamiento en caché optimiza los costos de transferencia de datos porque reduce el número de llamadas de la instancia de Azure Front Door al origen. |
|
Considere la posibilidad de habilitar la compresión de archivos. Para esta configuración, la aplicación debe admitir la compresión y el almacenamiento en caché deben estar habilitados. |
La compresión reduce el consumo de ancho de banda y mejora el rendimiento. |
| Deshabilite las comprobaciones de estado en grupos de back-end únicos. Si solo tiene un origen configurado en el grupo de orígenes de Azure Front Door, estas llamadas no son necesarias. |
Puede ahorrar en los costos de ancho de banda deshabilitando las solicitudes que no son necesarias para tomar decisiones de enrutamiento. |
Excelencia operativa
La excelencia operativa se centra principalmente en los procedimientos para las prácticas de desarrollo, la observabilidad y la administración de versiones.
Los principios de diseño de excelencia operativa proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos para los requisitos operativos de la carga de trabajo.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para la excelencia operativa para definir procesos de observabilidad, pruebas e implementación relacionados con Azure Front Door.
Use tecnologías de infraestructura como código (IaC). Use tecnologías de IaC como Bicep y plantillas de Azure Resource Manager para aprovisionar la instancia de Azure Front Door. Estos enfoques declarativos proporcionan coherencia y mantenimiento sencillo. Por ejemplo, mediante el uso de tecnologías iaC, puede adoptar fácilmente nuevas versiones del conjunto de reglas. Use siempre la versión más reciente de la API.
Simplifique las configuraciones. Use Azure Front Door para administrar fácilmente las configuraciones. Por ejemplo, supongamos que la arquitectura admite microservicios. Azure Front Door admite funcionalidades de redireccionamiento, por lo que puede usar el redireccionamiento basado en rutas de acceso para dirigirse a servicios individuales. Otro caso de uso es la configuración de dominios comodín.
Controle la exposición progresiva mediante métodos de enrutamiento de Azure Front Door. Para un enfoque de equilibrio de carga ponderado , puede usar una implementación controlada para enviar un porcentaje específico del tráfico a un back-end. Este enfoque le ayuda a probar nuevas características y versiones en un entorno controlado antes de implementarlas.
Recopile y analice los datos operativos de Azure Front Door como parte de la supervisión de la carga de trabajo. Capture los registros y las métricas pertinentes de Azure Front Door con los registros de Azure Monitor. Estos datos le ayudan a solucionar problemas, comprender los comportamientos del usuario y optimizar las operaciones.
Descargue la administración de certificados en Azure. Facilitar la carga operativa asociada con la rotación y las renovaciones de la certificación.
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Use el redireccionamiento HTTP a HTTPS para admitir la compatibilidad con reenvío. | Cuando se habilita el redireccionamiento, Azure Front Door redirige automáticamente a los clientes que usan el protocolo anterior para usar HTTPS para una experiencia segura. |
|
Captura de registros y métricas. Incluya registros de actividad de recursos, registros de acceso, registros de sondeo de estado y registros de WAF. Configurar alertas. |
El flujo de entrada de supervisión es una parte fundamental de la supervisión de una aplicación. Quiere realizar un seguimiento de las solicitudes y realizar mejoras de rendimiento y seguridad. Necesita datos para depurar la configuración de Azure Front Door. Con las alertas vigentes, puede recibir notificaciones instantáneas de cualquier problema operativo crítico. |
| Revise los informes de análisis integrados. | Una vista holística del perfil de Azure Front Door ayuda a impulsar mejoras en función del tráfico y los informes de seguridad a través de métricas de WAF. |
| Use certificados TLS administrados siempre que sea posible. | Azure Front Door puede emitir y administrar certificados por usted. Esta característica elimina la necesidad de renovaciones de certificados y minimiza el riesgo de una interrupción debido a un certificado TLS no válido o expirado. |
| Use certificados TLS con caracteres comodín. | No es necesario modificar la configuración para agregar o especificar cada subdominio por separado. |
Eficiencia del rendimiento
La eficiencia del rendimiento consiste en mantener la experiencia del usuario incluso cuando hay un aumento de la carga mediante la administración de la capacidad. La estrategia incluye el escalado de recursos, la identificación y optimización de posibles cuellos de botella y la optimización para lograr un rendimiento máximo.
Los principios de diseño de eficiencia del rendimiento proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos de capacidad con respecto al uso esperado.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para la eficiencia del rendimiento. Defina una línea de base basada en indicadores clave de rendimiento para Azure Front Door.
Planee la capacidad mediante el análisis de los patrones de tráfico esperados. Realice pruebas exhaustivas para comprender cómo funciona la aplicación en cargas diferentes. Tenga en cuenta factores como transacciones simultáneas, tasas de solicitud y transferencia de datos.
Base las opciones de SKU en ese planeamiento. La SKU estándar es más rentable y adecuada para escenarios de tráfico moderados. Si prevé cargas más altas, se recomienda la SKU Premium.
Analice los datos de rendimiento revisando periódicamente los informes de Azure Front Door. Estos informes proporcionan información sobre varias métricas que sirven como indicadores de rendimiento en el nivel tecnológico.
Use informes de Azure Front Door para establecer objetivos de rendimiento realistas para la carga de trabajo. Tenga en cuenta factores como los tiempos de respuesta, el rendimiento y las tasas de error. Alinee los destinos con los requisitos empresariales y las expectativas del usuario.
Optimice las transferencias de datos.
Use el almacenamiento en caché para reducir la latencia en el servicio de contenido estático, como imágenes, hojas de estilos y archivos JavaScript, o contenido que no cambie con frecuencia.
Optimice la aplicación para el almacenamiento en caché. Use encabezados de expiración de caché en la aplicación que controlan cuánto tiempo deben almacenarse en caché los clientes y servidores proxy. La validez de caché más larga significa solicitudes menos frecuentes al servidor de origen, lo que reduce el tráfico y reduce la latencia.
Reduzca el tamaño de los archivos que se transmiten a través de la red. Los archivos más pequeños conducen a tiempos de carga más rápidos y a una experiencia de usuario mejorada.
Minimice el número de solicitudes de back-end en la aplicación.
Por ejemplo, una página web muestra perfiles de usuario, pedidos recientes, saldos y otra información relacionada. En lugar de realizar solicitudes independientes para cada conjunto de información, use patrones de diseño para estructurar la aplicación de modo que se agreguen varias solicitudes en una sola solicitud.
Al agregar solicitudes, se envían menos datos entre el front-end y el back-end y se establecen menos conexiones entre el cliente y el back-end, lo que reduce la sobrecarga. Además, Azure Front Door controla menos solicitudes, lo que evita la sobrecarga.
Optimice el uso de sondeos de estado. Obtenga información de mantenimiento de los sondeos de estado solo cuando cambie el estado de los orígenes. Equilibrar la precisión de la supervisión y minimizar el tráfico innecesario.
Los sondeos de estado se suelen usar para evaluar el estado de varios orígenes dentro de un grupo. Si solo tiene un origen configurado en el grupo de orígenes de Azure Front Door, deshabilite los sondeos de estado para reducir el tráfico innecesario en el servidor de origen. Dado que solo hay una instancia, el estado del sondeo de estado no afectará al enrutamiento.
Revise el método de enrutamiento de origen. Azure Front Door proporciona varios métodos de enrutamiento, incluidos el enrutamiento basado en latencia, basado en prioridad, ponderado y basado en afinidad de sesión, al origen. Estos métodos afectan significativamente al rendimiento de la aplicación. Para más información sobre la mejor opción de enrutamiento de tráfico para su escenario, consulte Métodos de enrutamiento de tráfico al origen.
Revise la ubicación de los servidores de origen. La ubicación de los servidores de origen afecta a la capacidad de respuesta de la aplicación. Los servidores de origen deben estar más cerca de los usuarios. Azure Front Door garantiza que los usuarios de una ubicación específica accedan al punto de entrada de Azure Front Door más cercano. Las ventajas de rendimiento incluyen una experiencia de usuario más rápida, un mejor uso del enrutamiento basado en la latencia por Parte de Azure Front Door y el tiempo de transferencia de datos minimizado mediante el almacenamiento en caché, que almacena el contenido más cerca de los usuarios.
Para obtener más información, consulte Informe tráfico por ubicación.
Recomendaciones
| Recomendación | Prestación |
|---|---|
|
Habilite el almacenamiento en caché. Puede optimizar las cadenas de consulta para el almacenamiento en caché. En el caso del contenido puramente estático, omita las cadenas de consulta para maximizar el uso de la memoria caché. Si la aplicación usa cadenas de consulta, considere la posibilidad de incluirlas en la clave de caché. La inclusión de las cadenas de consulta en la clave de caché permite a Azure Front Door atender respuestas almacenadas en caché u otras respuestas, en función de la configuración. |
Azure Front Door ofrece una sólida solución de red de entrega de contenido que almacena en caché el contenido en el perímetro de la red. El almacenamiento en caché reduce la carga en los servidores back-end y reduce el movimiento de datos a través de la red, lo que ayuda a descargar el uso del ancho de banda. |
| Use la compresión de archivos al acceder al contenido descargable. | La compresión en Azure Front Door ayuda a entregar contenido en el formato óptimo, tiene una carga más pequeña y entrega contenido a los usuarios más rápido. |
Al configurar sondeos de estado en Azure Front Door, considere la posibilidad de usar HEAD solicitudes en lugar de GET solicitudes. El sondeo de estado solo lee el código de estado, no el contenido. |
HEAD las solicitudes permiten consultar un cambio de estado sin capturar todo su contenido. |
| Evalúe si debe habilitar la afinidad de sesión cuando las solicitudes del mismo usuario deben dirigirse al mismo servidor back-end. Desde una perspectiva de confiabilidad, no se recomienda este enfoque. Si usa esta opción, la aplicación debe recuperarse correctamente sin interrumpir las sesiones del usuario. También hay un equilibrio de carga porque restringe la flexibilidad de distribuir el tráfico entre varios back-end uniformemente. |
Optimice el rendimiento y mantenga la continuidad de las sesiones de usuario, especialmente cuando las aplicaciones dependen de mantener la información de estado localmente. |
Directivas de Azure
Azure proporciona un amplio conjunto de directivas integradas relacionadas con Azure Front Door y sus dependencias. Algunas de las recomendaciones anteriores se pueden auditar mediante directivas de Azure. Por ejemplo, puede comprobar si:
- Necesita el nivel Premium para admitir reglas de WAF administradas y Private Link en perfiles de Azure Front Door.
- Debe usar la versión mínima de TLS, que es la versión 1.2.
- Necesita conectividad privada segura entre azure Front Door Premium y los servicios PaaS de Azure.
- Debe habilitar los registros de recursos. WAF debe tener habilitada la inspección del cuerpo de la solicitud.
- Debe usar directivas para aplicar el conjunto de reglas waf. Por ejemplo, debe habilitar la protección contra bots y activar las reglas de limitación de velocidad.
Para una gobernanza completa, revise las definiciones integradas de Azure Content Delivery Network y otras directivas de Azure Front Door que se enumeran en Azure Policy definiciones de directivas integradas.
Recomendaciones de Azure Advisor
Azure Advisor es un consultor en la nube personalizado que ayuda a seguir los procedimientos recomendados para optimizar las implementaciones de Azure. Estas son algunas recomendaciones que pueden ayudarle a mejorar la confiabilidad, la seguridad, la rentabilidad, el rendimiento y la excelencia operativa de Azure Front Door.
Pasos siguientes
Tenga en cuenta los siguientes artículos como recursos que muestran las recomendaciones resaltadas en este artículo.
- Use las siguientes arquitecturas de referencia como ejemplos de cómo puede aplicar las instrucciones de este artículo a una carga de trabajo:
- Cree experiencia en la implementación mediante la siguiente documentación del producto: