Práticas recomendadas do Front Door

Este artigo resume as práticas recomendadas para usar o Azure Front Door.

Práticas recomendadas gerais

Noções básicas sobre quando combinar o Gerenciador de Tráfego e o Front Door

Para a maioria das soluções, recomendamos o uso de um dentre o Front Door ou o Gerenciador de Tráfego do Azure, mas não ambos. O Gerenciador de Tráfego do Azure é um balanceador de carga baseado em DNS. Ele envia o tráfego diretamente para os pontos de extremidade da origem. Por outro lado, o Azure Front Door encerra conexões em pontos de presença (PoPs) próximos ao cliente e estabelece conexões separadas de longa duração com as origens. Os produtos funcionam de forma diferente e destinam-se a diferentes casos de uso.

Se você precisar de cache de conteúdo e entrega (CDN), terminação TLS, recursos de roteamento avançado ou WAF (firewall do aplicativo Web), considere o uso do Front Door. Para um simples balanceamento de carga global com conexões diretas do cliente com seus pontos de extremidade, considere o uso do Gerenciador de Tráfego. Para obter mais informações sobre como selecionar uma opção de balanceamento de carga, consulte Opções de balanceamento de carga.

No entanto, como parte de uma arquitetura complexa que exige alta disponibilidade, você pode colocar um Gerenciador de Tráfego do Azure na frente de um Azure Front Door. Caso o Azure Front Door não esteja disponível, o Gerenciador de Tráfego do Azure poderá rotear o tráfego para um destino alternativo, como o Gateway de Aplicativo do Azure ou uma CDN (rede de distribuição de conteúdo) de parceiros.

Importante

Não coloque o Gerenciador de Tráfego do Azure atrás do Azure Front Door. Os Gerenciadores de Tráfego do Azure devem estar sempre na frente do Azure Front Door.

Restringir o tráfego para suas origens

Os recursos do Front Door funcionam melhor quando o tráfego flui somente pelo Front Door. É necessário configurar sua origem para bloquear tráfegos que não foram enviados pelo Front Door. Para saber mais, confira Proteger o tráfego para as origens do Azure Front Door.

Usar a versão mais recente da API e a versão do SDK

Ao trabalhar com o Front Door usando APIs, modelos do ARM, Bicep ou SDKs do Azure, é importante usar a API ou a versão mais recente do SDK disponível. As atualizações de API e SDK ocorrem quando novas funcionalidades estão disponíveis e também contêm patches de segurança importantes e correções de bugs.

Configurar logs

O Front Door rastreia extensa telemetria sobre cada solicitação. Quando você habilitar o cache, seus servidores de origem podem não receber todas as solicitações, por isso é importante que você use os logs do Front Door para entender como sua solução está sendo executada e como está respondendo aos seus clientes. Para obter mais informações sobre as métricas e registros que o Azure Front Door registra, consulte Monitorar métricas e logs no Azure Front Door e Logs do WAF.

Para configurar o registro em log para seu próprio aplicativo, confira Configurar logs do Azure Front Door

Práticas recomendadas do TLS

Usar TLS de ponta a ponta

O Front Door encerra as conexões TCP e TLS dos clientes. Em seguida, estabelece novas conexões de cada ponto de presença (PoP) à origem. É recomendável proteger cada uma dessas conexões com o TLS, mesmo para origens hospedadas no Azure. Essa abordagem garante que seus dados sejam sempre criptografados durante o trânsito.

Para obter mais informações, consulte TLS de ponta a ponta com o Azure Front Door.

Usar o redirecionamento de HTTP para HTTPS

É recomendável que os clientes usem HTTPS para se conectar ao serviço. No entanto, às vezes, você precisa aceitar solicitações HTTP para permitir clientes ou clientes mais antigos que talvez não entendam a prática recomendada.

Você pode configurar o Front Door para redirecionar automaticamente as solicitações HTTP para usar o protocolo HTTPS. Você deve habilitar a configuração Redirecionar todo o tráfego para HTTPS em sua rota.

Usar certificados TLS gerenciados

Quando o Front Door gerencia seus certificados TLS, ele reduz seus custos operacionais e ajuda você a evitar interrupções caras causadas pelo esquecimento de renovação de um certificado. O Front Door emite e gira automaticamente os certificados TLS gerenciados.

Para obter mais informações, consulte Configurar o HTTPS em um domínio personalizado do Azure Front Door usando o portal do Azure.

Usar a versão 'Mais Recente' para certificados gerenciados pelo cliente

Se você decidir usar seus próprios certificados TLS, considere definir a versão do certificado Key Vault como "Mais recente". Usando "Mais recente", você evita ter que reconfigurar o Front Door para usar novas versões do certificado e aguardar a implantação do certificado em todos os ambientes do Front Door.

Para obter mais informações, consulte Selecionar o certificado para o Azure Front Door a implantar.

Práticas recomendadas de nome de domínio

Use o mesmo nome de domínio no Front Door e sua origem

O Front Door pode regenerar o cabeçalho Host das solicitações de entrada. Esse recurso pode ser útil quando você gerencia um conjunto de nomes de domínio personalizados voltados para o cliente que roteiam para uma única origem. Esse recurso também pode ajudar quando você quiser evitar a configuração de nomes de domínio personalizados no Front Door e na sua origem. No entanto, quando você regenera o cabeçalho Host, os cookies de solicitação e os redirecionamentos de URL podem ser interrompidos. Em particular, quando você usa plataformas como o Serviço de Aplicativo do Azure, recursos como afinidade de sessão e autenticação e autorização podem não funcionar corretamente.

Antes de regenerar o cabeçalho Host de suas solicitações, considere cuidadosamente se o aplicativo funcionará corretamente.

Para obter mais informações, consulte Preservar o nome do host HTTP original entre um proxy reverso e seu aplicativo Web de back-end.

Firewall do aplicativo Web (WAF)

Habilitar o WAF

Para aplicativos voltados para a Internet, recomendamos habilitar um WAF (firewall de aplicativo Web) do Front Door e configurá-lo para usar regras gerenciadas. Quando você usa um WAF e regras gerenciadas pela Microsoft, seu aplicativo está protegido contra uma ampla variedade de ataques.

Para obter mais informações, confira WAF (Firewall de Aplicativo Web) no Azure Front Door.

Seguir as práticas recomendadas do WAF

O WAF para Front Door tem seu próprio conjunto de práticas recomendadas de configuração e uso. Para obter mais informações, consulte Práticas recomendadas para Firewall de Aplicativo Web no Azure Front Door.

Práticas recomendadas de investigação de integridade

Desabilitar as investigações de integridade quando há apenas uma origem em um grupo de origem

As investigações de integridade do Front Door são projetadas para detectar situações em que uma origem não está disponível ou não está íntegra. Quando uma investigação de integridade detecta um problema com uma origem, o Front Door pode ser configurado para enviar o tráfego para outra origem no grupo de origem.

Se você tiver apenas uma única origem, o Front Door sempre roteia o tráfego para essa origem, mesmo que sua investigação de integridade reporte um status não íntegro. O status da investigação de integridade não faz nada para alterar o comportamento do Front Door. Nesse cenário, as investigações de integridade não oferecem um benefício e você deve desabilitá-las para reduzir o tráfego na origem.

Para obter mais informações, consulte Investigações de integridade.

Selecionar bons pontos de extremidade de investigação de integridade

Considere o local onde você informa a investigação de integridade do Front Door para monitorar. Geralmente, é uma boa ideia monitorar uma página da Web ou local que você projeta especificamente para monitoramento de integridade. Sua lógica de aplicativo pode considerar o status de todos os componentes críticos necessários para atender ao tráfego de produção, incluindo servidores de aplicativos, bancos de dados e caches. Dessa forma, se algum componente falhar, o Front Door poderá rotear o tráfego para outra instância do serviço.

Para obter mais informações, confira o Padrão de monitoramento de ponto de extremidade de integridade

Usar investigações de integridade HEAD

As investigações de integridade podem usar o método GET ou HEAD HTTP. É uma boa prática usar o método HEAD nas investigações de integridade, o que reduz a quantidade de carga de tráfego em suas origens.

Para obter mais informações, consulte Métodos HTTP com suporte para investigações de integridade.

Próximas etapas

Saiba como criar um perfil do Azure Front Door.