Perspetiva do Azure Well-Architected Framework no Azure Front Door
O Azure Front Door é um balanceador de carga global e uma rede de entrega de conteúdos que encaminha o tráfego HTTP e HTTPS. O Azure Front Door fornece e distribui o tráfego mais próximo dos utilizadores da aplicação.
Este artigo pressupõe que, como arquiteto, reviu as opções de balanceamento de carga e escolheu o Azure Front Door como o balanceador de carga de trabalho. Também pressupõe que a sua aplicação é implementada em várias regiões num modelo ativo-ativo ou ativo-passivo. A documentação de orientação neste artigo fornece recomendações de arquitetura mapeadas aos princípios dos pilares do Azure Well-Architected Framework.
Importante
Como utilizar este guia
Cada secção tem uma lista de verificação de design que apresenta áreas de arquitetura de preocupação e estratégias de conceção localizadas no âmbito da tecnologia.
Este artigo também inclui recomendações sobre as capacidades tecnológicas que ajudam a materializar essas estratégias. As recomendações não representam uma lista exaustiva de todas as configurações disponíveis para o Azure Front Door e as respetivas dependências. Em vez disso, listam as principais recomendações mapeadas para as perspetivas de estrutura. Utilize as recomendações para criar a prova de conceito ou otimizar os seus ambientes existentes.
Arquitetura fundamental que demonstra as principais recomendações: arquitetura de linha de base crítica para a missão com controlos de rede.
Âmbito da tecnologia
Esta análise centra-se nas decisões interrelacionadas para os seguintes recursos do Azure:
- Azure Front Door
Fiabilidade
O objetivo do pilar Fiabilidade é fornecer funcionalidades contínuas ao criar resiliência suficiente e a capacidade de recuperar rapidamente de falhas.
Os princípios de conceção de fiabilidade fornecem uma estratégia de design de alto nível aplicada a componentes individuais, fluxos de sistema e ao sistema como um todo.
Lista de verificação de estruturação
Inicie a sua estratégia de conceção com base na lista de verificação de revisão de design para Fiabilidade. Determine a sua relevância para os seus requisitos empresariais, tendo em conta os escalões e as capacidades da Rede de Entrega de Conteúdos do Azure. Expanda a estratégia para incluir mais abordagens conforme necessário.
Estimize o padrão de tráfego e o volume. O número de pedidos do cliente para a margem do Azure Front Door pode influenciar a escolha do escalão. Se precisar de suportar um grande volume de pedidos, considere o escalão Premium do Azure Front Door porque o desempenho acaba por afetar a disponibilidade. No entanto, há uma troca de custos. Estes escalões estão descritos em Eficiência de Desempenho.
Escolha a sua estratégia de implementação. As abordagens de implementação fundamentais são ativa-ativa e ativa-passiva. A implementação ativa-ativa significa que vários ambientes ou selos que executam a carga de trabalho servem o tráfego. A implementação ativa-passiva significa que apenas a região primária processa todo o tráfego, mas efetua a ativação pós-falha para a região secundária quando necessário. Numa implementação de várias regiões, os selos são executados em regiões diferentes para maior disponibilidade com um balanceador de carga global, como o Azure Front Door, que distribui o tráfego. Por conseguinte, é importante configurar o balanceador de carga para a abordagem de implementação adequada.
O Azure Front Door suporta vários métodos de encaminhamento, que pode configurar para distribuir o tráfego num modelo ativo-ativo ou ativo-passivo.
Os modelos anteriores têm muitas variações. Por exemplo, pode implementar o modelo ativo-passivo com um sobressalente quente. Neste caso, o serviço alojado secundário é implementado com o mínimo possível de computação e dimensionamento de dados e execuções sem carga. Após a ativação pós-falha, os recursos de computação e dados são dimensionados para processar a carga a partir da região primária. Para obter mais informações, veja Principais estratégias de design para design de várias regiões.
Algumas aplicações precisam que as ligações de utilizador permaneçam no mesmo servidor de origem durante a sessão do utilizador. Do ponto de vista da fiabilidade, não recomendamos manter as ligações de utilizador no mesmo servidor de origem. Evite afinidade de sessão o máximo possível.
Utilize o mesmo nome de anfitrião no Azure Front Door e nos servidores de origem. Para garantir que os cookies ou URLs de redirecionamento funcionam corretamente, preserve o nome do anfitrião HTTP original quando utilizar um proxy inverso, como um balanceador de carga, em frente a uma aplicação Web.
Implemente o padrão de monitorização do ponto final de estado de funcionamento. A sua aplicação deve expor pontos finais de estado de funcionamento, que agregam o estado dos serviços e dependências críticos de que a sua aplicação precisa para servir os pedidos. As sondas de estado de funcionamento do Azure Front Door utilizam o ponto final para detetar o estado de funcionamento dos servidores de origem. Para obter mais informações, veja Padrão de Monitorização de Pontos Finais de Estado de Funcionamento.
Tire partido da funcionalidade de rede de entrega de conteúdos incorporada no Azure Front Door. A funcionalidade de rede de entrega de conteúdos do Azure Front Door tem centenas de localizações edge e pode ajudar a suportar ataques denial of service distribuídos (DDoS). Estas capacidades ajudam a melhorar a fiabilidade.
Considere uma opção de gestão de tráfego redundante. O Azure Front Door é um serviço distribuído globalmente que é executado como singleton num ambiente. O Azure Front Door é um potencial ponto único de falha no sistema. Se o serviço falhar, os clientes não poderão aceder à sua aplicação durante o período de indisponibilidade.
As implementações redundantes podem ser complexas e dispendiosas. Considere-as apenas para cargas de trabalho críticas para a missão que têm uma tolerância muito baixa à indisponibilidade. Considere cuidadosamente as trocas.
- Se precisar absolutamente de encaminhamento redundante, veja Redundância de encaminhamento global.
- Se precisar de redundância apenas para servir conteúdo em cache, veja Entrega global de conteúdos.
Recomendações
| Recomendação | Vantagem |
|---|---|
| Escolha um método de encaminhamento que suporte a sua estratégia de implementação. O método ponderado, que distribui o tráfego com base no coeficiente de peso configurado, suporta modelos ativos-ativos. Um valor baseado em prioridade que configura a região primária para receber todo o tráfego e enviar tráfego para a região secundária como uma cópia de segurança suporta modelos ativos-passivos. Combine os métodos anteriores com a latência para que a origem com a latência mais baixa receba tráfego. |
Pode selecionar o melhor recurso de origem com uma série de passos de decisão e a sua estrutura. A origem selecionada serve o tráfego dentro do intervalo de latência permitido na proporção especificada de pesos. |
| Suporte a redundância ao ter múltiplas origens num ou mais conjuntos de back-end. Tenha sempre instâncias redundantes da sua aplicação e certifique-se de que cada instância expõe um ponto final ou origem. Pode colocar essas origens num ou mais conjuntos de back-end. |
Várias origens suportam redundância ao distribuir tráfego em várias instâncias da aplicação. Se uma instância estiver indisponível, outras origens de back-end ainda poderão receber tráfego. |
|
Configure as sondas de estado de funcionamento na origem. Configure o Azure Front Door para realizar verificações de estado de funcionamento para determinar se a instância de back-end está disponível e pronta para continuar a receber pedidos. |
As sondas de estado de funcionamento ativadas fazem parte da implementação do padrão de monitorização do estado de funcionamento. As sondas de estado de funcionamento garantem que o Azure Front Door apenas encaminha o tráfego para instâncias suficientemente saudáveis para processar pedidos. Para obter mais informações, veja Melhores práticas em sondas de estado de funcionamento. |
| Defina um tempo limite para reencaminhar pedidos para o back-end. Ajuste a definição de tempo limite de acordo com as necessidades dos pontos finais. Se não o fizer, o Azure Front Door poderá fechar a ligação antes de a origem enviar a resposta. Também pode reduzir o tempo limite predefinido para o Azure Front Door se todas as suas origens tiverem um tempo limite mais curto. Para obter mais informações, veja Resolução de problemas de pedidos sem resposta. |
Os tempos limite ajudam a evitar problemas de desempenho e disponibilidade ao terminar pedidos que demoram mais tempo do que o esperado para concluir. |
| Utilize o mesmo nome de anfitrião no Azure Front Door e na sua origem. O Azure Front Door pode reescrever o cabeçalho de anfitrião dos pedidos recebidos, o que é útil quando tem vários nomes de domínio personalizados que encaminham para uma origem. No entanto, reescrever o cabeçalho do anfitrião pode causar problemas com cookies de pedido e redirecionamento de URL. |
Defina o mesmo nome de anfitrião para evitar avarias com afinidade de sessão, autenticação e autorização. Para obter mais informações, veja Preserve the original HTTP host name between a reverse proxy and its back-end Web application ( Preservar o nome do anfitrião HTTP original entre um proxy inverso e a respetiva aplicação Web de back-end). |
| Decida se a aplicação necessita de afinidade de sessão. Se tiver requisitos de elevada fiabilidade, recomendamos que desative a afinidade de sessão. | Com a afinidade de sessão, as ligações de utilizador permanecem na mesma origem durante a sessão do utilizador. Se essa origem ficar indisponível, a experiência do utilizador poderá ser interrompida. |
| Tire partido das regras de limitação de taxas incluídas numa firewall de aplicações Web (WAF). | Limite os pedidos para impedir que os clientes enviem demasiado tráfego para a sua aplicação. A limitação de taxa pode ajudá-lo a evitar problemas como um storm de repetição. |
Segurança
O objetivo do pilar Segurança é fornecer garantias de confidencialidade, integridade e disponibilidade à carga de trabalho.
Os princípios de conceção de segurança fornecem uma estratégia de conceção de alto nível para atingir esses objetivos ao aplicar abordagens ao design técnico para restringir o tráfego que vem através do Azure Front Door.
Lista de verificação de estruturação
Inicie a sua estratégia de conceção com base na lista de verificação de revisão de design para Segurança. Identifique vulnerabilidades e controlos para melhorar a postura de segurança. Expanda a estratégia para incluir mais abordagens conforme necessário.
Reveja a linha de base de segurança do Azure Front Door.
Proteja os servidores de back-end. O front-end funciona como o ponto único de entrada para a aplicação.
O Azure Front Door utiliza Azure Private Link para aceder à origem de uma aplicação. Private Link cria segmentação para que os back-ends não precisem de expor os endereços IP públicos e os pontos finais. Para obter mais informações, veja Proteger a sua origem com Private Link no Azure Front Door Premium.
Configure os seus serviços de back-end para aceitar apenas pedidos com o mesmo nome de anfitrião que o Azure Front Door utiliza externamente.
Permitir apenas acesso autorizado ao plano de controlo. Utilize o controlo de acesso baseado em funções (RBAC) do Azure Front Door para restringir o acesso apenas às identidades necessárias.
Bloquear ameaças comuns no edge. A WAF está integrada no Azure Front Door. Ative as regras de WAF nos front-ends para proteger as aplicações contra exploits e vulnerabilidades comuns na periferia da rede, mais perto da origem de ataque. Considere a filtragem geográfica para restringir o acesso à sua aplicação Web por países ou regiões.
Para obter mais informações, veja Azure Firewall de Aplicações Web no Azure Front Door.
Proteja o Azure Front Door contra tráfego inesperado. O Azure Front Door utiliza o plano básico da proteção contra DDoS do Azure para proteger os pontos finais da aplicação contra ataques DDoS. Se precisar de expor outros endereços IP públicos da sua aplicação, considere adicionar o plano padrão do DDoS Protection para esses endereços para capacidades avançadas de proteção e deteção.
Também existem conjuntos de regras waf que detetam tráfego de bot ou volumes de tráfego inesperadamente grandes que podem ser potencialmente maliciosos.
Proteger dados em trânsito. Ative o Transport Layer Security (TLS), o redirecionamento HTTP para HTTPS e os certificados TLS geridos, quando aplicável. Para obter mais informações, veja Melhores práticas do TLS para o Azure Front Door.
Monitorizar atividade anómalo. Reveja regularmente os registos para verificar se existem ataques e falsos positivos. Envie registos WAF do Azure Front Door para a gestão centralizada de informações e eventos de segurança (SIEM), como o Microsoft Sentinel, para detetar padrões de ameaças e incorporar medidas preventivas na estrutura da carga de trabalho.
Recomendações
| Recomendação | Vantagem |
|---|---|
| Ative conjuntos de regras waf que detetam e bloqueiam tráfego potencialmente malicioso. Esta funcionalidade está disponível no escalão Premium. Recomendamos estes conjuntos de regras: - Predefinição - Proteção contra bots - Restrição de IP - Filtragem geográfica - Limitação de taxa |
Os conjuntos de regras predefinidos são atualizados frequentemente com base nas informações e tipos de ataque do OWASP dos 10 principais tipos de ataques da Microsoft Threat Intelligence. Os conjuntos de regras especializados detetam determinados casos de utilização. Por exemplo, as regras do bot classificam os bots como bons, incorretos ou desconhecidos com base nos endereços IP do cliente. Também bloqueiam bots incorretos e endereços IP conhecidos e restringem o tráfego com base na localização geográfica dos chamadores. Ao utilizar uma combinação de conjuntos de regras, pode detetar e bloquear ataques com várias intenções. |
|
Criar exclusões para conjuntos de regras geridas. Teste uma política WAF no modo de deteção durante algumas semanas e ajuste os falsos positivos antes de implementá-la. |
Reduza os falsos positivos e permita pedidos legítimos para a sua aplicação. |
| Enviar o cabeçalho do anfitrião para o back-end. | Os serviços de back-end devem estar cientes do nome do anfitrião para que possam criar regras para aceitar o tráfego apenas a partir desse anfitrião. |
| Ative o TLS ponto a ponto, o redirecionamento HTTP para HTTPS e os certificados TLS geridos quando aplicável. Reveja as melhores práticas do TLS para o Azure Front Door. Utilize a versão 1.2 do TLS como a versão mínima permitida com cifras relevantes para a sua aplicação. Os certificados geridos pelo Azure Front Door devem ser a sua escolha predefinida para facilitar as operações. No entanto, se quiser gerir o ciclo de vida dos certificados, utilize os seus próprios certificados nos pontos finais de domínio personalizados do Azure Front Door e armazene-os no Key Vault. |
O TLS garante que as trocas de dados entre o browser, o Azure Front Door e as origens de back-end são encriptadas para impedir a adulteração. Key Vault oferece suporte para certificados geridos e renovação e rotação de certificados simples. |
Otimização de Custos
A Otimização de Custos centra-se na deteção de padrões de gastos, na atribuição de prioridades a investimentos em áreas críticas e na otimização noutras para cumprir o orçamento da organização, cumprindo os requisitos empresariais.
Os princípios de conceção da Otimização de Custos fornecem uma estratégia de design de alto nível para atingir esses objetivos e fazer compromissos conforme necessário no design técnico relacionado com o Azure Front Door e o respetivo ambiente.
Lista de verificação de estruturação
Inicie a sua estratégia de conceção com base na lista de verificação de revisão de design para Otimização de Custos para investimentos. Ajuste a estrutura para que a carga de trabalho esteja alinhada com o orçamento atribuído à carga de trabalho. A sua estrutura deve utilizar as capacidades certas do Azure, monitorizar os investimentos e encontrar oportunidades para otimizar ao longo do tempo.
Reveja os preços e os escalões do Azure Front Door. Utilize a calculadora de preços para estimar os custos realistas para cada escalão. Compare as funcionalidades e a adequação de cada escalão para o seu cenário. Por exemplo, apenas o escalão Premium suporta a ligação à sua origem através de Private Link.
O SKU Standard é mais económico e adequado para cenários de tráfego moderado. No SKU Premium, paga uma taxa unitária mais elevada, mas tem acesso a benefícios de segurança e funcionalidades avançadas, como regras geridas na WAF e Private Link. Considere as vantagens em matéria de fiabilidade e segurança com base nos seus requisitos empresariais.
Considere os custos de largura de banda. Os custos de largura de banda do Azure Front Door dependem da camada que escolher e do tipo de transferência de dados. O Azure Front Door fornece relatórios incorporados para métricas faturáveis. Para avaliar os custos relacionados com a largura de banda e onde pode concentrar os seus esforços de otimização, veja Relatórios do Azure Front Door.
Otimize os pedidos recebidos. O Azure Front Door cobra os pedidos recebidos. Pode definir restrições na configuração da estrutura.
Reduza o número de pedidos através de padrões de conceção, como Back-end para Front-ends e Agregação de Gateway. Estes padrões podem melhorar a eficiência das suas operações.
As regras de WAF restringem o tráfego de entrada, o que pode otimizar os custos. Por exemplo, utilize a limitação de taxa para impedir níveis de tráfego anormalmente elevados ou utilize a filtragem geográfica para permitir o acesso apenas a partir de regiões ou países específicos.
Utilize os recursos de forma eficiente. O Azure Front Door utiliza um método de encaminhamento que ajuda na otimização de recursos. A menos que a carga de trabalho seja extremamente sensível à latência, distribua o tráfego uniformemente por todos os ambientes para utilizar eficazmente os recursos implementados.
Os pontos finais do Azure Front Door podem servir vários ficheiros. Uma forma de reduzir os custos de largura de banda é utilizar a compressão.
Utilize a colocação em cache no Azure Front Door para conteúdos que não mudam frequentemente. Uma vez que o conteúdo é servido a partir de uma cache, poupa nos custos de largura de banda incorridos quando o pedido é reencaminhado para os back-ends.
Considere utilizar uma instância partilhada fornecida pela organização. Os custos incorridos a partir de serviços centralizados são partilhados entre as cargas de trabalho. No entanto, considere o compromisso com a fiabilidade. Para aplicações críticas para a missão que têm requisitos de elevada disponibilidade, recomendamos uma instância autónoma.
Preste atenção à quantidade de dados registados. Os custos relacionados com a largura de banda e o armazenamento podem acumular-se se determinados pedidos não forem necessários ou se os dados de registo forem retidos durante um longo período de tempo.
Recomendações
| Recomendação | Vantagem |
|---|---|
| Utilize a colocação em cache para pontos finais que a suportem. | A colocação em cache otimiza os custos de transferência de dados porque reduz o número de chamadas da instância do Azure Front Door para a origem. |
|
Considere ativar a compressão de ficheiros. Para esta configuração, a aplicação tem de suportar compressão e a colocação em cache tem de estar ativada. |
A compressão reduz o consumo de largura de banda e melhora o desempenho. |
| Desative as verificações de estado de funcionamento em conjuntos de back-end únicos. Se tiver apenas uma origem configurada no grupo de origem do Azure Front Door, estas chamadas são desnecessárias. |
Pode poupar nos custos de largura de banda ao desativar os pedidos que não são necessários para tomar decisões de encaminhamento. |
Excelência Operacional
A Excelência Operacional centra-se principalmente nos procedimentos para práticas de desenvolvimento, observabilidade e gestão de lançamentos.
Os princípios de conceção de Excelência Operacional fornecem uma estratégia de conceção de alto nível para alcançar esses objetivos para os requisitos operacionais da carga de trabalho.
Lista de verificação de estruturação
Inicie a sua estratégia de conceção com base na lista de verificação de revisão de design para Excelência Operacional para definir processos de observabilidade, teste e implementação relacionados com o Azure Front Door.
Utilize tecnologias de infraestrutura como código (IaC). Utilize tecnologias IaC como o Bicep e o Azure Resource Manager modelos para aprovisionar a instância do Azure Front Door. Estas abordagens declarativas fornecem consistência e manutenção simples. Por exemplo, ao utilizar tecnologias IaC, pode adotar facilmente novas versões do conjunto de regras. Utilize sempre a versão mais recente da API.
Simplificar as configurações. Utilize o Azure Front Door para gerir facilmente as configurações. Por exemplo, suponha que a sua arquitetura suporta microsserviços. O Azure Front Door suporta capacidades de redirecionamento, pelo que pode utilizar o redirecionamento baseado no caminho para direcionar serviços individuais. Outro caso de utilização é a configuração de domínios com carateres universais.
Lidar com a exposição progressiva com métodos de encaminhamento do Azure Front Door. Para uma abordagem de balanceamento de carga ponderada , pode utilizar uma implementação canary para enviar uma percentagem específica de tráfego para um back-end. Esta abordagem ajuda-o a testar novas funcionalidades e versões num ambiente controlado antes de as implementar.
Recolha e analise os dados operacionais do Azure Front Door como parte da monitorização da carga de trabalho. Capture registos e métricas relevantes do Azure Front Door com os Registos do Azure Monitor. Estes dados ajudam-no a resolver problemas, compreender os comportamentos dos utilizadores e otimizar as operações.
Descarregue a gestão de certificados para o Azure. Aliviar a carga operacional associada à rotação de certificação e renovações.
Recomendações
| Recomendação | Vantagem |
|---|---|
| Utilize o redirecionamento HTTP para HTTPS para suportar a compatibilidade de reencaminhamento. | Quando o redirecionamento está ativado, o Azure Front Door redireciona automaticamente os clientes que utilizam o protocolo mais antigo para utilizar HTTPS para uma experiência segura. |
|
Capturar registos e métricas. Inclua registos de atividades de recursos, registos de acesso, registos de pesquisas de estado de funcionamento e registos WAF. Configurar alertas. |
A monitorização do fluxo de entrada é uma parte crucial da monitorização de uma aplicação. Quer controlar os pedidos e melhorar o desempenho e a segurança. Precisa de dados para depurar a configuração do Azure Front Door. Com os alertas implementados, pode receber notificações instantâneas de quaisquer problemas operacionais críticos. |
| Reveja os relatórios de análise incorporados. | Uma vista holística do seu perfil do Azure Front Door ajuda a impulsionar melhorias com base nos relatórios de tráfego e segurança através de métricas da WAF. |
| Utilize certificados TLS geridos sempre que possível. | O Azure Front Door pode emitir e gerir certificados por si. Esta funcionalidade elimina a necessidade de renovações de certificados e minimiza o risco de uma falha devido a um certificado TLS inválido ou expirado. |
| Utilize certificados TLS com caráter universal. | Não precisa de modificar a configuração para adicionar ou especificar cada subdomínio separadamente. |
Eficiência de Desempenho
A Eficiência de Desempenho tem a ver com a manutenção da experiência do utilizador, mesmo quando existe um aumento de carga através da gestão da capacidade. A estratégia inclui dimensionar recursos, identificar e otimizar potenciais estrangulamentos e otimizar o desempenho máximo.
Os princípios de conceção da Eficiência de Desempenho fornecem uma estratégia de conceção de alto nível para alcançar esses objetivos de capacidade em relação à utilização esperada.
Lista de verificação de estruturação
Inicie a sua estratégia de conceção com base na lista de verificação de revisão de design para Eficiência de Desempenho. Defina uma linha de base baseada nos principais indicadores de desempenho do Azure Front Door.
Planeie a capacidade ao analisar os padrões de tráfego esperados. Realize testes minuciosos para compreender o desempenho da sua aplicação em cargas diferentes. Considere fatores como transações simultâneas, taxas de pedido e transferência de dados.
Baseie as suas opções de SKU nesse planeamento. O SKU Standard é mais económico e adequado para cenários de tráfego moderado. Se antecipar cargas mais elevadas, recomendamos o SKU Premium.
Analise os dados de desempenho ao rever regularmente os relatórios do Azure Front Door. Estes relatórios fornecem informações sobre várias métricas que servem de indicadores de desempenho ao nível da tecnologia.
Utilize os relatórios do Azure Front Door para definir metas de desempenho realistas para a carga de trabalho. Considere fatores como tempos de resposta, débito e taxas de erro. Alinhe os destinos com os seus requisitos empresariais e expectativas dos utilizadores.
Otimizar transferências de dados.
Utilize a colocação em cache para reduzir a latência ao servir conteúdo estático, como imagens, folhas de estilo e ficheiros JavaScript, ou conteúdo que não é alterado frequentemente.
Otimize a sua aplicação para colocação em cache. Utilize cabeçalhos de expiração da cache na aplicação que controlam durante quanto tempo o conteúdo deve ser colocado em cache por clientes e proxies. Validade da cache mais longa significa pedidos menos frequentes para o servidor de origem, o que resulta numa redução do tráfego e menor latência.
Reduza o tamanho dos ficheiros transmitidos através da rede. Os ficheiros mais pequenos levam a tempos de carregamento mais rápidos e a uma experiência de utilizador melhorada.
Minimize o número de pedidos de back-end na aplicação.
Por exemplo, uma página Web apresenta perfis de utilizador, encomendas recentes, saldos e outras informações relacionadas. Em vez de fazer pedidos separados para cada conjunto de informações, utilize padrões de estrutura para estruturar a sua aplicação para que múltiplos pedidos sejam agregados num único pedido.
Ao agregar pedidos, envia menos dados entre o front-end e o back-end e estabelece menos ligações entre o cliente e o back-end, o que reduz a sobrecarga. Além disso, o Azure Front Door processa menos pedidos, o que impede a sobrecarga.
Otimize a utilização de sondas de estado de funcionamento. Obtenha informações de estado de funcionamento das sondas de estado de funcionamento apenas quando o estado das origens mudar. Encontrar um equilíbrio entre a precisão da monitorização e minimizar o tráfego desnecessário.
Normalmente, as sondas de estado de funcionamento são utilizadas para avaliar o estado de funcionamento de múltiplas origens num grupo. Se tiver apenas uma origem configurada no grupo de origem do Azure Front Door, desative as pesquisas de estado de funcionamento para reduzir o tráfego desnecessário no servidor de origem. Uma vez que existe apenas uma instância, o estado da sonda de estado de funcionamento não afetará o encaminhamento.
Reveja o método de encaminhamento de origem. O Azure Front Door fornece vários métodos de encaminhamento, incluindo encaminhamento baseado em latência, baseado em prioridade, ponderado e baseado em afinidade de sessão, para a origem. Estes métodos afetam significativamente o desempenho da sua aplicação. Para saber mais sobre a melhor opção de encaminhamento de tráfego para o seu cenário, veja Métodos de encaminhamento de tráfego para a origem.
Reveja a localização dos servidores de origem. A localização dos servidores de origem afeta a capacidade de resposta da sua aplicação. Os servidores de origem devem estar mais próximos dos utilizadores. O Azure Front Door garante que os utilizadores de uma localização específica acedem ao ponto de entrada do Azure Front Door mais próximo. Os benefícios de desempenho incluem uma experiência de utilizador mais rápida, uma melhor utilização do encaminhamento baseado na latência pelo Azure Front Door e um tempo de transferência de dados minimizado através da colocação em cache, que armazena conteúdos mais próximos dos utilizadores.
Para obter mais informações, veja Relatório tráfego por localização.
Recomendações
| Recomendação | Vantagem |
|---|---|
|
Ative a colocação em cache. Pode otimizar cadeias de consulta para colocação em cache. Para conteúdos puramente estáticos, ignore as cadeias de consulta para maximizar a utilização da cache. Se a sua aplicação utilizar cadeias de consulta, considere incluí-las na chave de cache. Incluir as cadeias de consulta na chave de cache permite que o Azure Front Door sirva respostas em cache ou outras respostas, com base na sua configuração. |
O Azure Front Door oferece uma solução de rede de entrega de conteúdos robusta que coloca conteúdos em cache na periferia da rede. A colocação em cache reduz a carga nos servidores de back-end e reduz o movimento de dados na rede, o que ajuda a descarregar a utilização da largura de banda. |
| Utilize a compressão de ficheiros quando estiver a aceder a conteúdos transferíveis. | A compressão no Azure Front Door ajuda a fornecer conteúdo no formato ideal, tem um payload mais pequeno e fornece conteúdos aos utilizadores mais rapidamente. |
Quando configurar sondas de estado de funcionamento no Azure Front Door, considere utilizar HEAD pedidos em vez de GET pedidos. A sonda de estado de funcionamento lê apenas o código de estado, não o conteúdo. |
HEAD os pedidos permitem-lhe consultar uma alteração de estado sem obter todo o conteúdo. |
| Avalie se deve ativar a afinidade de sessão quando os pedidos do mesmo utilizador devem ser direcionados para o mesmo servidor de back-end. Do ponto de vista da fiabilidade, não recomendamos esta abordagem. Se utilizar esta opção, a aplicação deverá recuperar corretamente sem interromper as sessões do utilizador. Há também uma desvantagem no balanceamento de carga porque restringe a flexibilidade de distribuir o tráfego por vários back-ends uniformemente. |
Otimize o desempenho e mantenha a continuidade das sessões dos utilizadores, especialmente quando as aplicações dependem da manutenção das informações de estado localmente. |
Políticas do Azure
O Azure fornece um vasto conjunto de políticas incorporadas relacionadas com o Azure Front Door e as respetivas dependências. Algumas das recomendações anteriores podem ser auditadas através das Políticas do Azure. Por exemplo, pode verificar se:
- Precisa do escalão Premium para suportar regras de WAF geridas e Private Link em perfis do Azure Front Door.
- Tem de utilizar a versão mínima do TLS, que é a versão 1.2.
- Precisa de conectividade privada e segura entre os serviços Azure Front Door Premium e PaaS do Azure.
- Tem de ativar os registos de recursos. A WAF deve ter a inspeção do corpo do pedido ativada.
- Tem de utilizar políticas para impor o conjunto de regras da WAF. Por exemplo, deve ativar a proteção de bots e ativar as regras de limitação de taxa.
Para uma governação abrangente, reveja as definições incorporadas para a Rede de Entrega de Conteúdos do Azure e outras políticas do Azure Front Door listadas no Azure Policy definições de política incorporadas.
Recomendações do Assistente do Azure
O Assistente do Azure é um consultor de cloud personalizado que o ajuda a seguir as melhores práticas para otimizar as implementações do Azure. Seguem-se algumas recomendações que o podem ajudar a melhorar a fiabilidade, a segurança, a relação custo-eficácia, o desempenho e a excelência operacional do Azure Front Door.
Passos seguintes
Considere os seguintes artigos como recursos que demonstram as recomendações realçadas neste artigo.
- Utilize as seguintes arquiteturas de referência como exemplos de como pode aplicar a documentação de orientação deste artigo a uma carga de trabalho:
- Crie conhecimentos de implementação com a seguinte documentação de produto: