Melhores práticas para Front Door

Este artigo resume as práticas recomendadas para usar o Azure Front Door.

Melhores práticas gerais

Compreender quando combinar o Traffic Manager e o Front Door

Para a maioria das soluções, recomendamos o uso do Front Door ou do Azure Traffic Manager, mas não ambos. O Azure Traffic Manager é um balanceador de carga baseado em DNS. Ele envia tráfego diretamente para os endpoints da sua origem. Por outro lado, o Azure Front Door encerra conexões em pontos de presença (PoPs) próximos ao cliente e estabelece conexões de longa duração separadas com as origens. Os produtos funcionam de forma diferente e destinam-se a diferentes casos de uso.

Se você precisar de cache e entrega de conteúdo (CDN), terminação TLS, recursos avançados de roteamento ou um firewall de aplicativo Web (WAF), considere usar o Front Door. Para um balanceamento de carga global simples com conexões diretas do cliente aos endpoints, considere o uso do Gerenciador de Tráfego. Para obter mais informações sobre como selecionar uma opção de balanceamento de carga, consulte Opções de balanceamento de carga.

No entanto, como parte de uma arquitetura complexa que requer alta disponibilidade, você pode colocar um Gerenciador de Tráfego do Azure na frente de uma Porta Frontal do Azure. No caso improvável de o Azure Front Door não estar disponível, o Azure Traffic Manager pode encaminhar o tráfego para um destino alternativo, como o Gateway de Aplicativo do Azure ou uma CDN (rede de entrega de conteúdo) de parceiro.

Importante

Não coloque o Azure Traffic Manager atrás da Porta da Frente do Azure. Os Gestores de Tráfego do Azure devem estar sempre à frente da Porta da Frente do Azure.

Restrinja o tráfego às suas origens

As funcionalidades do Front Door funcionam melhor quando o tráfego flui apenas através do Front Door. Você deve configurar sua origem para bloquear o tráfego que não foi enviado pela Front Door. Para obter mais informações, consulte Proteger o tráfego para as origens da Porta da Frente do Azure.

Use a versão mais recente da API e a versão do SDK

Quando você trabalha com o Front Door usando APIs, modelos ARM, Bíceps ou SDKs do Azure, é importante usar a versão mais recente disponível da API ou do SDK. As atualizações de API e SDK ocorrem quando uma nova funcionalidade está disponível e também contêm patches de segurança importantes e correções de bugs.

Configurar logs

O Front Door rastreia uma extensa telemetria sobre cada solicitação. Quando você habilita o cache, seus servidores de origem podem não receber todas as solicitações, por isso é importante que você use os logs da Front Door para entender como sua solução está sendo executada e respondendo aos seus clientes. Para obter mais informações sobre as métricas e logs que o Azure Front Door registra, consulte Monitorar métricas e logs no Azure Front Door e logs WAF.

Para configurar o log para seu próprio aplicativo, consulte Configurar logs do Azure Front Door

Práticas recomendadas de TLS

Usar TLS de ponta a ponta

Front Door termina conexões TCP e TLS de clientes. Em seguida, estabelece novas conexões de cada ponto de presença (PoP) para a origem. É uma boa prática proteger cada uma dessas conexões com TLS, mesmo para origens hospedadas no Azure. Essa abordagem garante que seus dados sejam sempre criptografados durante o trânsito.

Para obter mais informações, consulte TLS de ponta a ponta com a porta frontal do Azure.

Usar redirecionamento HTTP para HTTPS

É uma boa prática para os clientes usarem HTTPS para se conectar ao seu serviço. No entanto, às vezes você precisa aceitar solicitações HTTP para permitir clientes mais antigos ou clientes que podem não entender a prática recomendada.

Você pode configurar o Front Door para redirecionar automaticamente solicitações HTTP para usar o protocolo HTTPS. Você deve habilitar a configuração Redirecionar todo o tráfego para usar HTTPS em sua rota.

Utilizar certificados TLS geridos

Quando o Front Door gere os seus certificados TLS, reduz os seus custos operacionais e ajuda-o a evitar interrupções dispendiosas causadas pelo esquecimento da renovação de um certificado. O Front Door emite e roda automaticamente os certificados TLS geridos.

Para obter mais informações, consulte Configurar HTTPS em um domínio personalizado do Azure Front Door usando o portal do Azure.

Use a versão 'mais recente' para certificados gerenciados pelo cliente

Se você decidir usar seus próprios certificados TLS, considere definir a versão do certificado do Cofre da Chave como 'Mais recente'. Ao usar 'Mais recente', você evita ter que reconfigurar o Front Door para usar novas versões do seu certificado e esperar que o certificado seja implantado em todos os ambientes do Front Door.

Para obter mais informações, consulte Selecionar o certificado para o Azure Front Door a ser implantado.

Práticas recomendadas para nomes de domínio

Utilize o mesmo nome de domínio no Front Door e na sua origem

Front Door pode reescrever o Host cabeçalho de solicitações recebidas. Esse recurso pode ser útil quando você gerencia um conjunto de nomes de domínio personalizados voltados para o cliente que são encaminhados para uma única origem. Esse recurso também pode ajudar quando você quiser evitar a configuração de nomes de domínio personalizados no Front Door e na sua origem. No entanto, quando você reescreve o Host cabeçalho, os cookies de solicitação e redirecionamentos de URL podem ser interrompidos. Em particular, quando você usa plataformas como o Serviço de Aplicativo do Azure, recursos como afinidade de sessão e autenticação e autorização podem não funcionar corretamente.

Antes de reescrever o Host cabeçalho de suas solicitações, considere cuidadosamente se seu aplicativo funcionará corretamente.

Para obter mais informações, consulte Preservar o nome do host HTTP original entre um proxy reverso e seu aplicativo Web back-end.

Firewall de aplicações Web (WAF)

Ativar a WAF

Para aplicativos voltados para a Internet, recomendamos que você habilite o WAF (Front Door Web Application Firewall) e configure-o para usar regras gerenciadas. Quando você usa um WAF e regras gerenciadas pela Microsoft, seu aplicativo é protegido contra uma ampla gama de ataques.

Para obter mais informações, consulte Web Application Firewall (WAF) no Azure Front Door.

Siga as melhores práticas do WAF

O WAF para Front Door tem o seu próprio conjunto de melhores práticas para a sua configuração e utilização. Para obter mais informações, consulte Práticas recomendadas para o Firewall de Aplicativo Web na Porta da Frente do Azure.

Práticas recomendadas da sonda de saúde

Desativar testes de integridade quando houver apenas uma origem em um grupo de origem

As sondas de saúde da Front Door são projetadas para detetar situações em que uma origem não está disponível ou não é saudável. Quando uma sonda de integridade deteta um problema com uma origem, o Front Door pode ser configurado para enviar tráfego para outra origem no grupo de origem.

Se tiver apenas uma origem, o Front Door direciona sempre o tráfego para essa origem, mesmo que a sua pesquisa de estado de funcionamento comunique um mau estado de funcionamento. O estado da pesquisa de estado de funcionamento não faz nada para mudar o comportamento do Front Door. Nesse cenário, as sondas de integridade não fornecem um benefício e você deve desativá-las para reduzir o tráfego em sua origem.

Para obter mais informações, consulte Sondas de integridade.

Selecionar pontos finais de sonda de boa integridade

Considere o local onde você diz à sonda de integridade da Front Door para monitorar. Normalmente, é uma boa ideia monitorar uma página da Web ou um local que você projeta especificamente para monitoramento de integridade. A lógica do aplicativo pode considerar o status de todos os componentes críticos necessários para atender ao tráfego de produção, incluindo servidores de aplicativos, bancos de dados e caches. Dessa forma, se algum componente falhar, o Front Door pode rotear seu tráfego para outra instância do seu serviço.

Para obter mais informações, consulte o padrão Health Endpoint Monitoring

Usar sondas de integridade HEAD

As sondas de integridade podem usar o método HTTP GET ou HEAD. É uma boa prática usar o método HEAD para sondas de saúde, o que reduz a quantidade de carga de tráfego em suas origens.

Para obter mais informações, consulte Métodos HTTP suportados para testes de integridade.

Próximos passos

Saiba como criar um perfil de porta da frente.