Perspectiva do Azure Well-Architected Framework no Azure Front Door
O Azure Front Door é um balanceador de carga global e uma rede de distribuição de conteúdo que roteia o tráfego HTTP e HTTPS. O Azure Front Door entrega e distribui o tráfego mais próximo dos usuários do aplicativo.
Este artigo pressupõe que, como arquiteto, você examinou as opções de balanceamento de carga e escolheu o Azure Front Door como o balanceador de carga para sua carga de trabalho. Ele também pressupõe que seu aplicativo seja implantado em várias regiões em um modelo ativo-ativo ou ativo-passivo. As diretrizes neste artigo fornecem recomendações de arquitetura mapeadas para os princípios dos pilares do Azure Well-Architected Framework.
Importante
Como usar este guia
Cada seção tem uma lista de verificação de design que apresenta áreas arquitetônicas de interesse e estratégias de design localizadas para o escopo da tecnologia.
Este artigo também inclui recomendações sobre as funcionalidades de tecnologia que ajudam a materializar essas estratégias. As recomendações não representam uma lista completa de todas as configurações disponíveis para o Azure Front Door e suas dependências. Em vez disso, eles listam as principais recomendações mapeadas para as perspectivas de design. Use as recomendações para criar sua prova de conceito ou otimizar seus ambientes existentes.
Arquitetura fundamental que demonstra as principais recomendações: arquitetura de linha de base crítica com controles de rede.
Escopo de tecnologia
Esta revisão se concentra nas decisões inter-relacionadas para os seguintes recursos do Azure:
- Porta da frente do Azure
Confiabilidade
A finalidade do pilar confiabilidade é fornecer funcionalidade contínua criando resiliência suficiente e a capacidade de se recuperar rapidamente de falhas.
Os princípios de design de confiabilidade fornecem uma estratégia de design de alto nível aplicada a componentes individuais, fluxos do sistema e o sistema como um todo.
Lista de verificação de projeto
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Confiabilidade. Determine sua relevância para seus requisitos de negócios, tendo em mente as camadas e os recursos da Rede de Distribuição de Conteúdo do Azure. Estenda a estratégia para incluir mais abordagens conforme necessário.
Estime o padrão de tráfego e o volume. O número de solicitações do cliente para a borda do Azure Front Door pode influenciar sua escolha de camada. Se você precisar dar suporte a um alto volume de solicitações, considere a camada Premium do Azure Front Door porque o desempenho afeta a disponibilidade. No entanto, há uma compensação de custos. Essas camadas são descritas em Eficiência de Desempenho.
Escolha sua estratégia de implantação. As abordagens de implantação fundamentais são ativa-ativa e ativa-passiva. A implantação ativa-ativa significa que vários ambientes ou carimbos que executam a carga de trabalho atendem ao tráfego. A implantação ativo-passivo significa que apenas a região primária lida com todo o tráfego, mas faz failover para a região secundária quando necessário. Em uma implantação de várias regiões, os selos são executados em regiões diferentes para maior disponibilidade com um balanceador de carga global, como o Azure Front Door, que distribui o tráfego. Portanto, é importante configurar o balanceador de carga para a abordagem de implantação apropriada.
O Azure Front Door dá suporte a vários métodos de roteamento, que você pode configurar para distribuir o tráfego em um modelo ativo-ativo ou ativo-passivo.
Os modelos anteriores têm muitas variações. Por exemplo, você pode implantar o modelo ativo-passivo com um sobressalente warm. Nesse caso, o serviço hospedado secundário é implantado com o mínimo possível de computação e dimensionamento de dados e é executado sem carga. Após o failover, os recursos de computação e dados são dimensionados para lidar com a carga da região primária. Para obter mais informações, consulte Principais estratégias de design para design de várias regiões.
Alguns aplicativos precisam que as conexões de usuário permaneçam no mesmo servidor de origem durante a sessão do usuário. Do ponto de vista da confiabilidade, não recomendamos manter as conexões do usuário no mesmo servidor de origem. Evite a afinidade de sessão o máximo possível.
Use o mesmo nome de host no Azure Front Door e nos servidores de origem. Para garantir que cookies ou URLs de redirecionamento funcionem corretamente, preserve o nome do host HTTP original ao usar um proxy reverso, como um balanceador de carga, na frente de um aplicativo Web.
Implemente o padrão de monitoramento do ponto de extremidade de integridade. Seu aplicativo deve expor pontos de extremidade de integridade, que agregam o estado dos serviços críticos e das dependências que seu aplicativo precisa para atender às solicitações. As investigações de integridade do Azure Front Door usam o ponto de extremidade para detectar a integridade dos servidores de origem. Para obter mais informações, consulte Padrão de monitoramento de ponto de extremidade de integridade.
Aproveite a funcionalidade de rede de distribuição de conteúdo interna no Azure Front Door. O recurso de rede de distribuição de conteúdo do Azure Front Door tem centenas de locais de borda e pode ajudar a resistir a ataques de DDoS (negação de serviço distribuído). Esses recursos ajudam a melhorar a confiabilidade.
Considere uma opção de gerenciamento de tráfego redundante. O Azure Front Door é um serviço distribuído globalmente que é executado como um singleton em um ambiente. O Azure Front Door é um possível ponto único de falha no sistema. Se o serviço falhar, os clientes não poderão acessar seu aplicativo durante o tempo de inatividade.
Implementações redundantes podem ser complexas e caras. Considere-as apenas para cargas de trabalho críticas que têm uma tolerância muito baixa à interrupção. Considere cuidadosamente as compensações.
- Se você precisar de roteamento redundante, confira Redundância de roteamento global.
- Se você precisar de redundância apenas para fornecer conteúdo armazenado em cache, consulte Entrega de conteúdo global.
Recomendações
| Recomendação | Benefício |
|---|---|
| Escolha um método de roteamento que dê suporte à sua estratégia de implantação. O método ponderado, que distribui o tráfego com base no coeficiente de peso configurado, dá suporte a modelos ativos-ativos. Um valor baseado em prioridade que configura a região primária para receber todo o tráfego e enviar tráfego para a região secundária como um backup dá suporte a modelos ativo-passivos. Combine os métodos anteriores com latência para que a origem com a menor latência receba tráfego. |
Você pode selecionar o melhor recurso de origem usando uma série de etapas de decisão e seu design. A origem selecionada atende ao tráfego dentro do intervalo de latência permitido na taxa de pesos especificada. |
| Dar suporte à redundância tendo várias origens em um ou mais pools de back-end. Sempre tenha instâncias redundantes do seu aplicativo e verifique se cada instância expõe um ponto de extremidade ou origem. Você pode colocar essas origens em um ou mais pools de back-end. |
Várias origens dão suporte à redundância distribuindo o tráfego entre várias instâncias do aplicativo. Se uma instância não estiver disponível, outras origens de back-end ainda poderão receber tráfego. |
|
Configure investigações de integridade na origem. Configure o Azure Front Door para realizar verificações de integridade para determinar se a instância de back-end está disponível e pronta para continuar recebendo solicitações. |
As investigações de integridade habilitadas fazem parte da implementação do padrão de monitoramento de integridade. As investigações de integridade garantem que o Azure Front Door roteia apenas o tráfego para instâncias íntegras o suficiente para lidar com solicitações. Para obter mais informações, consulte Práticas recomendadas sobre investigações de integridade. |
| Defina um tempo limite no encaminhamento de solicitações para o back-end. Ajuste a configuração de tempo limite de acordo com as necessidades dos pontos de extremidade. Se você não fizer isso, o Azure Front Door poderá fechar a conexão antes que a origem envie a resposta. Você também poderá reduzir o tempo limite padrão para o Azure Front Door se todas as suas origens tiverem um tempo limite mais curto. Para obter mais informações, consulte Solução de problemas de solicitações sem resposta. |
Os tempos limite ajudam a evitar problemas de desempenho e problemas de disponibilidade encerrando solicitações que levam mais tempo do que o esperado para serem concluídas. |
| Use o mesmo nome de host no Azure Front Door e sua origem. O Azure Front Door pode reescrever o cabeçalho de host das solicitações de entrada, o que é útil quando você tem vários nomes de domínio personalizados que roteiam para uma origem. No entanto, reescrever o cabeçalho do host pode causar problemas com cookies de solicitação e redirecionamento de URL. |
Defina o mesmo nome de host para evitar mau funcionamento com afinidade de sessão, autenticação e autorização. Para obter mais informações, consulte Preservar o nome do host HTTP original entre um proxy reverso e seu aplicativo Web de back-end. |
| Decida se seu aplicativo requer afinidade de sessão. Se você tiver requisitos de alta confiabilidade, recomendamos desabilitar a afinidade de sessão. | Com a afinidade de sessão, as conexões de usuário permanecem na mesma origem durante a sessão do usuário. Se essa origem ficar indisponível, a experiência do usuário poderá ser interrompida. |
| Aproveite as regras de limitação de taxa incluídas em um WAF (firewall do aplicativo Web). | Limite as solicitações para impedir que os clientes enviem muito tráfego para seu aplicativo. A limitação de taxa pode ajudá-lo a evitar problemas como uma tempestade de repetição. |
Segurança
A finalidade do pilar segurança é fornecer garantias de confidencialidade, integridade e disponibilidade para a carga de trabalho.
Os princípios de design de segurança fornecem uma estratégia de design de alto nível para atingir essas metas aplicando abordagens ao design técnico para restringir o tráfego que vem por meio do Azure Front Door.
Lista de verificação de projeto
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Segurança. Identifique vulnerabilidades e controles para melhorar a postura de segurança. Estenda a estratégia para incluir mais abordagens conforme necessário.
Examine a linha de base de segurança do Azure Front Door.
Proteja os servidores back-end. O front-end atua como o ponto único de entrada para o aplicativo.
O Azure Front Door usa Link Privado do Azure para acessar a origem de um aplicativo. Link Privado cria segmentação para que os back-ends não precisem expor endereços IP públicos e pontos de extremidade. Para obter mais informações, consulte Proteger sua origem com Link Privado no Azure Front Door Premium.
Configure seus serviços de back-end para aceitar apenas solicitações com o mesmo nome de host que o Azure Front Door usa externamente.
Permitir apenas o acesso autorizado ao painel de controle. Use o RBAC (controle de acesso baseado em função) do Azure Front Door para restringir o acesso apenas às identidades que precisam dele.
Bloquear ameaças comuns na borda. O WAF é integrado ao Azure Front Door. Habilite as regras do WAF nos front-ends para proteger os aplicativos contra explorações e vulnerabilidades comuns na borda da rede, mais próximas da fonte de ataque. Considere a filtragem geográfica para restringir o acesso ao seu aplicativo Web por países ou regiões.
Para obter mais informações, consulte Azure Firewall de Aplicativo Web no Azure Front Door.
Proteja o Azure Front Door contra tráfego inesperado. O Azure Front Door usa o plano básico de proteção contra DDoS do Azure para proteger os pontos de extremidade do aplicativo contra ataques de DDoS. Se você precisar expor outros endereços IP públicos do seu aplicativo, considere adicionar o plano padrão de Proteção contra DDoS para esses endereços para recursos avançados de proteção e detecção.
Também há conjuntos de regras do WAF que detectam o tráfego de bot ou volumes inesperadamente grandes de tráfego que podem ser potencialmente mal-intencionados.
Proteger dados em trânsito. Habilite o TLS (Transport Layer Security) de ponta a ponta, o redirecionamento HTTP para HTTPS e os certificados TLS gerenciados quando aplicável. Para obter mais informações, consulte Práticas recomendadas de TLS para o Azure Front Door.
Monitorar atividades anormais. Examine regularmente os logs para marcar para ataques e falsos positivos. Envie logs do WAF do Azure Front Door para o SIEM (gerenciamento de eventos e informações de segurança) centralizado da sua organização, como o Microsoft Sentinel, para detectar padrões de ameaça e incorporar medidas preventivas no design da carga de trabalho.
Recomendações
| Recomendação | Benefício |
|---|---|
| Habilite conjuntos de regras waf que detectam e bloqueiam tráfego potencialmente mal-intencionado. Esse recurso está disponível na camada Premium. Recomendamos estes conjuntos de regras: - Padrão - Proteção contra bots - Restrição de IP - Filtragem geográfica - Limitação de taxa |
Os conjuntos de regras padrão são atualizados com frequência com base nos 10 principais tipos de ataque e informações do OWASP da Inteligência contra Ameaças da Microsoft. Os conjuntos de regras especializados detectam determinados casos de uso. Por exemplo, as regras de bot classificam os bots como bons, ruins ou desconhecidos com base nos endereços IP do cliente. Eles também bloqueiam bots inválidos e endereços IP conhecidos e restringem o tráfego com base na localização geográfica dos chamadores. Usando uma combinação de conjuntos de regras, você pode detectar e bloquear ataques com várias intenções. |
|
Crie exclusões para conjuntos de regras gerenciadas. Teste uma política de WAF no modo de detecção por algumas semanas e ajuste os falsos positivos antes de implantá-la. |
Reduza falsos positivos e permita solicitações legítimas para seu aplicativo. |
| Envie o cabeçalho do host para o back-end. | Os serviços de back-end devem estar cientes do nome do host para que possam criar regras para aceitar o tráfego somente desse host. |
| Habilite o redirecionamento TLS de ponta a ponta, HTTP para HTTPS e certificados TLS gerenciados quando aplicável. Examine as práticas recomendadas do TLS para o Azure Front Door. Use o TLS versão 1.2 como a versão mínima permitida com criptografias relevantes para seu aplicativo. Os certificados gerenciados do Azure Front Door devem ser sua opção padrão para facilitar as operações. No entanto, se você quiser gerenciar o ciclo de vida dos certificados, use seus próprios certificados em pontos de extremidade de domínio personalizados do Azure Front Door e armazene-os em Key Vault. |
O TLS garante que as trocas de dados entre o navegador, o Azure Front Door e as origens de back-end sejam criptografadas para evitar adulterações. Key Vault oferece suporte a certificado gerenciado e renovação e rotação de certificados simples. |
Otimização de custos
A Otimização de Custos concentra-se na detecção de padrões de gastos, na priorização de investimentos em áreas críticas e na otimização em outras pessoas para atender ao orçamento da organização e atender aos requisitos de negócios.
Os princípios de design de Otimização de Custos fornecem uma estratégia de design de alto nível para atingir essas metas e fazer compensações conforme necessário no design técnico relacionado ao Azure Front Door e seu ambiente.
Lista de verificação de projeto
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Otimização de Custos para investimentos. Ajuste o design para que a carga de trabalho seja alinhada com o orçamento alocado para a carga de trabalho. Seu design deve usar as funcionalidades certas do Azure, monitorar investimentos e encontrar oportunidades para otimizar ao longo do tempo.
Examine os preços e as camadas do Azure Front Door. Use a calculadora de preços para estimar os custos realistas para cada camada. Compare os recursos e a adequação de cada camada para seu cenário. Por exemplo, somente a camada Premium dá suporte à conexão com sua origem por meio de Link Privado.
O SKU Standard é mais econômico e adequado para cenários de tráfego moderado. No SKU Premium, você paga uma taxa de unidade mais alta, mas obtém acesso a benefícios de segurança e recursos avançados, como regras gerenciadas no WAF e Link Privado. Considere as compensações sobre confiabilidade e segurança com base em seus requisitos de negócios.
Considere os custos de largura de banda. Os custos de largura de banda do Azure Front Door dependem da camada escolhida e do tipo de transferência de dados. O Azure Front Door fornece relatórios internos para métricas faturáveis. Para avaliar seus custos relacionados à largura de banda e onde você pode concentrar seus esforços de otimização, confira Relatórios do Azure Front Door.
Otimizar solicitações de entrada. O Azure Front Door cobra as solicitações de entrada. Você pode definir restrições em sua configuração de design.
Reduza o número de solicitações usando padrões de design como Back-end para Front-ends e Agregação de Gateway. Esses padrões podem melhorar a eficiência de suas operações.
As regras do WAF restringem o tráfego de entrada, o que pode otimizar os custos. Por exemplo, use a limitação de taxa para evitar níveis anormalmente altos de tráfego ou use a filtragem geográfica para permitir o acesso somente de regiões ou países específicos.
Use recursos com eficiência. O Azure Front Door usa um método de roteamento que ajuda na otimização de recursos. A menos que a carga de trabalho seja extremamente sensível à latência, distribua o tráfego uniformemente em todos os ambientes para usar efetivamente os recursos implantados.
Os pontos de extremidade do Azure Front Door podem atender a muitos arquivos. Uma maneira de reduzir os custos de largura de banda é usar a compactação.
Use o cache no Azure Front Door para conteúdo que não é alterado com frequência. Como o conteúdo é fornecido de um cache, você economiza em custos de largura de banda incorridos quando a solicitação é encaminhada para os back-ends.
Considere usar uma instância compartilhada fornecida pela organização. Os custos incorridos de serviços centralizados são compartilhados entre as cargas de trabalho. No entanto, considere a compensação com confiabilidade. Para aplicativos críticos que têm requisitos de alta disponibilidade, recomendamos uma instância autônoma.
Preste atenção à quantidade de dados registrados. Os custos relacionados à largura de banda e ao armazenamento poderão ser acumulados se determinadas solicitações não forem necessárias ou se os dados de log forem retidos por um longo período de tempo.
Recomendações
| Recomendação | Benefício |
|---|---|
| Use o cache para pontos de extremidade que dão suporte a ele. | O cache otimiza os custos de transferência de dados porque reduz o número de chamadas da instância do Azure Front Door para a origem. |
|
Considere habilitar a compactação de arquivos. Para essa configuração, o aplicativo deve dar suporte à compactação e o cache deve ser habilitado. |
A compactação reduz o consumo de largura de banda e melhora o desempenho. |
| Desabilite as verificações de integridade em pools de back-end únicos. Se você tiver apenas uma origem configurada em seu grupo de origem do Azure Front Door, essas chamadas serão desnecessárias. |
Você pode economizar em custos de largura de banda desabilitando solicitações que não são necessárias para tomar decisões de roteamento. |
Excelência operacional
A Excelência Operacional concentra-se principalmente em procedimentos para práticas de desenvolvimento, observabilidade e gerenciamento de lançamentos.
Os princípios de design de Excelência Operacional fornecem uma estratégia de design de alto nível para atingir essas metas para os requisitos operacionais da carga de trabalho.
Lista de verificação de projeto
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Excelência Operacional para definir processos para observabilidade, teste e implantação relacionados ao Azure Front Door.
Use tecnologias de IaC (infraestrutura como código). Use tecnologias de IaC como modelos do Bicep e do Azure Resource Manager para provisionar a instância do Azure Front Door. Essas abordagens declarativas fornecem consistência e manutenção simples. Por exemplo, usando tecnologias de IaC, você pode adotar facilmente novas versões de conjunto de regras. Sempre use a versão mais recente da API.
Simplifique as configurações. Use o Azure Front Door para gerenciar facilmente as configurações. Por exemplo, suponha que sua arquitetura dê suporte a microsserviços. O Azure Front Door dá suporte a recursos de redirecionamento, para que você possa usar o redirecionamento baseado em caminho para direcionar serviços individuais. Outro caso de uso é a configuração de domínios curinga.
Manipule a exposição progressiva usando métodos de roteamento do Azure Front Door. Para uma abordagem de balanceamento de carga ponderada , você pode usar uma implantação canário para enviar uma porcentagem específica de tráfego para um back-end. Essa abordagem ajuda você a testar novos recursos e versões em um ambiente controlado antes de implantá-los.
Colete e analise os dados operacionais do Azure Front Door como parte do monitoramento de carga de trabalho. Capture logs e métricas relevantes do Azure Front Door com os Logs do Azure Monitor. Esses dados ajudam você a solucionar problemas, entender comportamentos do usuário e otimizar operações.
Descarregar o gerenciamento de certificados para o Azure. Facilite a carga operacional associada à rotação e renovações de certificação.
Recomendações
| Recomendação | Benefício |
|---|---|
| Use o redirecionamento HTTP to HTTPS para dar suporte à compatibilidade de encaminhamento. | Quando o redirecionamento está habilitado, o Azure Front Door redireciona automaticamente os clientes que estão usando o protocolo mais antigo para usar HTTPS para uma experiência segura. |
|
Capturar logs e métricas. Inclua logs de atividade de recursos, logs de acesso, logs de investigação de integridade e logs de WAF. Configurar alertas. |
Monitorar o fluxo de entrada é uma parte crucial do monitoramento de um aplicativo. Você deseja acompanhar as solicitações e fazer melhorias de desempenho e segurança. Você precisa de dados para depurar a configuração do Azure Front Door. Com alertas em vigor, você pode receber notificações instantâneas de quaisquer problemas operacionais críticos. |
| Examine os relatórios de análise internos. | Uma exibição holística do perfil do Azure Front Door ajuda a promover melhorias com base em relatórios de tráfego e segurança por meio de métricas do WAF. |
| Use certificados TLS gerenciados quando possível. | O Azure Front Door pode emitir e gerenciar certificados para você. Esse recurso elimina a necessidade de renovações de certificado e minimiza o risco de uma interrupção devido a um certificado TLS inválido ou expirado. |
| Use certificados TLS curinga. | Você não precisa modificar a configuração para adicionar ou especificar cada subdomínio separadamente. |
Eficiência de desempenho
A Eficiência de Desempenho se trata de manter a experiência do usuário mesmo quando há um aumento na carga gerenciando a capacidade. A estratégia inclui dimensionar recursos, identificar e otimizar possíveis gargalos e otimizar o desempenho de pico.
Os princípios de design de Eficiência de Desempenho fornecem uma estratégia de design de alto nível para atingir essas metas de capacidade em relação ao uso esperado.
Lista de verificação de projeto
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Eficiência de Desempenho. Defina uma linha de base baseada nos principais indicadores de desempenho do Azure Front Door.
Planeje a capacidade analisando seus padrões de tráfego esperados. Realize testes completos para entender como seu aplicativo é executado em cargas diferentes. Considere fatores como transações simultâneas, taxas de solicitação e transferência de dados.
Baseie suas opções de SKU nesse planejamento. O SKU Standard é mais econômico e adequado para cenários de tráfego moderado. Se você prever cargas mais altas, recomendamos o SKU Premium.
Analise os dados de desempenho examinando regularmente os relatórios do Azure Front Door. Esses relatórios fornecem insights sobre várias métricas que servem como indicadores de desempenho no nível da tecnologia.
Use relatórios do Azure Front Door para definir metas de desempenho realistas para sua carga de trabalho. Considere fatores como tempos de resposta, taxa de transferência e taxas de erro. Alinhe os destinos aos seus requisitos de negócios e às expectativas do usuário.
Otimizar transferências de dados.
Use o cache para reduzir a latência no fornecimento de conteúdo estático, como imagens, folhas de estilos e arquivos JavaScript ou conteúdo que não é alterado com frequência.
Otimize seu aplicativo para cache. Use cabeçalhos de expiração de cache no aplicativo que controlam por quanto tempo o conteúdo deve ser armazenado em cache por clientes e proxies. A validade de cache mais longa significa solicitações menos frequentes para o servidor de origem, o que resulta em tráfego reduzido e menor latência.
Reduza o tamanho dos arquivos transmitidos pela rede. Arquivos menores levam a tempos de carregamento mais rápidos e melhor experiência do usuário.
Minimize o número de solicitações de back-end no aplicativo.
Por exemplo, uma página da Web exibe perfis de usuário, pedidos recentes, saldos e outras informações relacionadas. Em vez de fazer solicitações separadas para cada conjunto de informações, use padrões de design para estruturar seu aplicativo para que várias solicitações sejam agregadas em uma única solicitação.
Ao agregar solicitações, você envia menos dados entre o front-end e o back-end e estabelece menos conexões entre o cliente e o back-end, o que reduz a sobrecarga. Além disso, o Azure Front Door manipula menos solicitações, o que impede a sobrecarga.
Otimize o uso de investigações de integridade. Obtenha informações de integridade das investigações de integridade somente quando o estado das origens for alterado. Encontrar um equilíbrio entre a precisão do monitoramento e a minimização do tráfego desnecessário.
As investigações de integridade normalmente são usadas para avaliar a integridade de várias origens em um grupo. Se você tiver apenas uma origem configurada em seu grupo de origem do Azure Front Door, desabilite as investigações de integridade para reduzir o tráfego desnecessário no servidor de origem. Como há apenas uma instância, a investigação de integridade status não afetará o roteamento.
Examine o método de roteamento de origem. O Azure Front Door fornece vários métodos de roteamento, incluindo roteamento baseado em latência, baseado em prioridade, ponderado e baseado em afinidade de sessão, para a origem. Esses métodos afetam significativamente o desempenho do aplicativo. Para saber mais sobre a melhor opção de roteamento de tráfego para seu cenário, consulte Métodos de roteamento de tráfego para a origem.
Examine o local dos servidores de origem. A localização dos servidores de origem afeta a capacidade de resposta do aplicativo. Os servidores de origem devem estar mais próximos dos usuários. O Azure Front Door garante que os usuários de um local específico acessem o ponto de entrada mais próximo do Azure Front Door. Os benefícios de desempenho incluem experiência mais rápida do usuário, melhor uso do roteamento baseado em latência pelo Azure Front Door e tempo minimizado de transferência de dados usando o cache, que armazena conteúdo mais próximo dos usuários.
Para obter mais informações, consulte Relatório tráfego por local.
Recomendações
| Recomendação | Benefício |
|---|---|
|
Habilitar o cache. Você pode otimizar cadeias de caracteres de consulta para cache. Para conteúdo puramente estático, ignore as cadeias de caracteres de consulta para maximizar o uso do cache. Se o aplicativo usar cadeias de caracteres de consulta, considere incluí-las na chave de cache. Incluir as cadeias de caracteres de consulta na chave de cache permite que o Azure Front Door atenda respostas armazenadas em cache ou outras respostas, com base em sua configuração. |
O Azure Front Door oferece uma solução de rede de distribuição de conteúdo robusta que armazena em cache o conteúdo na borda da rede. O cache reduz a carga nos servidores de back-end e reduz a movimentação de dados em toda a rede, o que ajuda a descarregar o uso de largura de banda. |
| Use a compactação de arquivos quando estiver acessando o conteúdo baixável. | A compactação no Azure Front Door ajuda a fornecer conteúdo no formato ideal, tem uma carga menor e fornece conteúdo aos usuários mais rapidamente. |
Ao configurar investigações de integridade no Azure Front Door, considere usar HEAD solicitações em vez de GET solicitações. A investigação de integridade lê apenas o código status, não o conteúdo. |
HEAD as solicitações permitem que você consulte uma alteração de estado sem buscar todo o conteúdo. |
| Avalie se você deve habilitar a afinidade de sessão quando as solicitações do mesmo usuário devem ser direcionadas para o mesmo servidor de back-end. Do ponto de vista da confiabilidade, não recomendamos essa abordagem. Se você usar essa opção, o aplicativo deverá se recuperar normalmente sem interromper as sessões do usuário. Há também uma compensação no balanceamento de carga porque restringe a flexibilidade de distribuir o tráfego entre vários back-ends uniformemente. |
Otimize o desempenho e mantenha a continuidade das sessões do usuário, especialmente quando os aplicativos dependem da manutenção de informações de estado localmente. |
Políticas do Azure
O Azure fornece um amplo conjunto de políticas internas relacionadas ao Azure Front Door e suas dependências. Algumas das recomendações anteriores podem ser auditadas por meio das Políticas do Azure. Por exemplo, você pode marcar se:
- Você precisa da camada Premium para dar suporte a regras de WAF gerenciadas e Link Privado em perfis do Azure Front Door.
- Você precisa usar a versão mínima do TLS, que é a versão 1.2.
- Você precisa de conectividade segura e privada entre os serviços de PaaS do Azure Front Door Premium e do Azure.
- Você precisa habilitar logs de recursos. O WAF deve ter a inspeção do corpo da solicitação habilitada.
- Você precisa usar políticas para impor o conjunto de regras do WAF. Por exemplo, você deve habilitar a proteção de bot e ativar regras de limitação de taxa.
Para governança abrangente, examine as definições internas para a Rede de Distribuição de Conteúdo do Azure e outras políticas do Azure Front Door listadas em Azure Policy definições de política internas.
Recomendações do Assistente do Azure
O Assistente do Azure é um consultor de nuvem personalizado que ajuda a seguir as práticas recomendadas para otimizar as implantações do Azure. Aqui estão algumas recomendações que podem ajudá-lo a melhorar a confiabilidade, a segurança, o custo-benefício, o desempenho e a excelência operacional do Azure Front Door.
Próximas etapas
Considere os artigos a seguir como recursos que demonstram as recomendações realçadas neste artigo.
- Use as seguintes arquiteturas de referência como exemplos de como você pode aplicar as diretrizes deste artigo a uma carga de trabalho:
- Crie experiência de implementação usando a seguinte documentação do produto: