Procedimientos recomendados de arquitectura para Azure Front Door
Azure Front Door es un equilibrador de carga global y una red de entrega de contenido (CDN) que enruta el tráfico HTTP y HTTPS. Azure Front Door entrega y distribuye el tráfico de manera más cercana a los usuarios de la aplicación.
En este artículo se supone que, como arquitecto, ha revisado las opciones de equilibrio de carga y ha elegido Azure Front Door como equilibrador de carga para la carga de trabajo. También supone que la aplicación se implementa en varias regiones en un modelo activo-activo o activo-pasivo. Las instrucciones de este artículo proporcionan recomendaciones de arquitectura que se asignan a los principios de los pilares del marco de buena arquitectura de Azure.
Importante
Cómo usar esta guía
Cada sección tiene una lista de comprobación de diseño que presenta áreas arquitectónicas de preocupación y estrategias de diseño localizadas al ámbito tecnológico.
Este artículo también incluye recomendaciones sobre las capacidades tecnológicas que ayudan a materializar esas estrategias. Las recomendaciones no representan una lista exhaustiva de todas las configuraciones disponibles para Azure Front Door y sus dependencias. En su lugar, enumeran las recomendaciones clave asignadas a las perspectivas de diseño. Use las recomendaciones para compilar la prueba de concepto o optimizar los entornos existentes.
Arquitectura fundamental que muestra las recomendaciones clave: arquitectura base esencial para la misión con controles de red.
Ámbito de la tecnología
Esta revisión se centra en las decisiones relacionadas entre sí para los siguientes recursos de Azure:
- Azure Front Door
Fiabilidad
El propósito del pilar Fiabilidad es proporcionar una funcionalidad continuada mediante la creación de suficiente resiliencia y la capacidad de recuperarse rápidamente de los fallos.
Los principios de diseño de confiabilidad de proporcionan una estrategia de diseño de alto nivel aplicada a componentes individuales, flujos del sistema y al sistema en su conjunto.
Lista de comprobación de diseño
Comience su estrategia de diseño basándose en la lista de comprobación de revisión de diseño para Fiabilidad. Determine su relevancia para los requisitos empresariales, a la vez que tenga en cuenta los niveles y las funcionalidades de CDN. Amplíe la estrategia para incluir más enfoques según sea necesario.
Elija la estrategia de implementación. Los enfoques fundamentales de implementación son activo-activo y activo-pasivo . Implementación activo-activo significa que múltiples entornos o sellos que ejecutan la carga de trabajo sirven el tráfico. La implementación activo-pasivo significa que solo la región primaria administra todo el tráfico, pero falla a la región secundaria cuando es necesario. En una implementación multirregional, los sellos o instancias de aplicación se ejecutan en diferentes regiones para lograr una mayor disponibilidad con un balanceador de carga global, como Azure Front Door, que distribuye el tráfico. Por lo tanto, es importante configurar el equilibrador de carga para el enfoque de implementación adecuado.
Azure Front Door admite varios métodos de enrutamiento, que puede configurar para distribuir el tráfico en un modelo activo-activo o activo-pasivo.
Los modelos anteriores tienen muchas variaciones. Por ejemplo, puede implementar el modelo activo-pasivo con un warm spare. En este caso, el servicio hospedado secundario se implementa con el tamaño mínimo posible de proceso y datos y se ejecuta sin carga. En caso de conmutación por error, los recursos informáticos y de datos se escalan para administrar la carga de la región primaria. Para obtener más información, consulte Estrategias de diseño clave para el diseño de varias regiones.
Algunas aplicaciones necesitan que las conexiones de usuario permanezcan en el mismo servidor de origen durante la sesión de usuario. Desde una perspectiva de confiabilidad, no se recomienda mantener las conexiones de usuario en el mismo servidor de origen. Evite la afinidad de sesiones en la medida de lo posible.
Use el mismo nombre de host en cada capa. Para asegurarse de que las cookies o las direcciones URL de redirección funcionen correctamente, conserve el nombre de host HTTP original al usar un proxy inverso, como Azure Front Door, delante de una aplicación web.
Implemente el patrón de monitorización de puntos de conexión de estado. Su aplicación debe exponer puntos de conexión de estado, que agregan el estado de los servicios críticos y las dependencias que su aplicación necesita para servir solicitudes. Los sondeos de estado de Azure Front Door usan el punto de conexión para detectar el estado de los servidores de origen. Para más información, consulte Patrón Health Endpoint Monitoring.
Almacenar en caché contenido estático. La característica de entrega de contenido de Azure Front Door tiene cientos de ubicaciones perimetrales y puede ayudar a resistir los picos de tráfico y los ataques de denegación de servicio distribuido (DDoS). Estas funcionalidades ayudan a mejorar la confiabilidad.
Considere una opción de administración de tráfico redundante. Azure Front Door es un servicio distribuido globalmente que se ejecuta como una única instancia en un entorno. Azure Front Door es un único punto potencial de error en el sistema. Si se produce un error en el servicio, los clientes no podrán acceder a la aplicación durante el tiempo de inactividad.
Las implementaciones redundantes pueden ser complejas y costosas. Tenga en cuenta estas cargas de trabajo solo para aquellas que son críticas y tienen una tolerancia muy baja a la interrupción. Considere cuidadosamente los inconvenientes.
- Si realmente necesita un enrutamiento redundante, consulte la redundancia global de enrutamiento .
- Si necesita redundancia solo para servir contenido almacenado en caché, consulte entrega de contenido global.
Recomendaciones
| Recomendación | Beneficio |
|---|---|
| Elija un método de enrutamiento que soporte su estrategia de implementación. El método ponderado, que distribuye el tráfico según el coeficiente de peso configurado, soporta modelos activos-activos. Un valor basado en prioridades que configura la región primaria para recibir todo el tráfico, enviando tráfico a la región secundaria como respaldo, es compatible con modelos activos-pasivos. Combina los métodos anteriores con configuraciones de sensibilidad a la latencia para que el origen con la latencia más baja reciba tráfico. |
Puede seleccionar el mejor recurso de origen mediante una serie de pasos de decisión y su diseño. El origen seleccionado atiende el tráfico dentro del intervalo de latencia permitido en la proporción especificada de pesos. |
| Apoye la redundancia teniendo múltiples orígenes en uno o más grupos de orígenes. Siempre tiene instancias redundantes de la aplicación y asegúrese de que cada instancia expone un origen. Puede colocar esos orígenes en uno o varios grupos de orígenes. |
Varios orígenes admiten la redundancia mediante la distribución del tráfico entre varias instancias de la aplicación. Si una instancia no está disponible, otros orígenes todavía pueden recibir tráfico. |
| Configure sondeos de estado en el origen. Configure Azure Front Door para realizar comprobaciones de estado para determinar si la instancia de origen está disponible y lista para continuar recibiendo solicitudes. Para obtener más información, consulte Prácticas recomendadas sobre sondeos de estado. |
Los sondeos de salud habilitados forman parte de la implementación del patrón de supervisión de salud. Los sondeos de estado garantizan que Azure Front Door solo enrute el tráfico a instancias que estén lo suficientemente sanas como para administrar solicitudes. |
| Establezca un tiempo de espera para el reenvío de solicitudes al origen y evite las solicitudes de larga duración. Ajuste la configuración de tiempo de espera según las necesidades de los puntos de conexión. Si no lo hace, Azure Front Door podría cerrar la conexión antes de que el origen envíe la respuesta. También puede reducir el tiempo de espera predeterminado de Azure Front Door en caso de que todos sus orígenes tengan un tiempo de espera más corto. Para obtener más información, consulte Solución de problemas de solicitudes que no responden. |
Las solicitudes de ejecución prolongada consumen recursos del sistema. Los tiempos de espera ayudan a evitar problemas de rendimiento y problemas de disponibilidad al finalizar las solicitudes que tardan más de lo esperado en completarse. |
| Use el mismo nombre de host en Azure Front Door y su origen. Azure Front Door puede reescribir el encabezado de host de las solicitudes entrantes, lo cual es útil cuando se tienen varios nombres de dominio personalizados que se enrutan a un origen. Sin embargo, volver a escribir el encabezado de host puede provocar problemas con las cookies de solicitud y el redireccionamiento de direcciones URL. Para obtener más información, consulte [Conservar el nombre de host HTTP original](/azure/architecture/best-practices/host-name-preservation between a reverse proxy and its origin web application). |
Establezca el mismo nombre de host para evitar un mal funcionamiento con la afinidad de sesiones, la autenticación y la autorización. |
| Decida si su aplicación requiere afinidad de sesión. Si tiene requisitos de alta fiabilidad, le recomendamos que desactive la afinidad de sesión. | Con la afinidad de sesión, las conexiones de usuario permanecen en el mismo origen durante la sesión de usuario. En algunas situaciones, un único origen podría sobrecargarse con solicitudes, mientras que otros orígenes están inactivos. Si ese origen deja de estar disponible, es posible que se interrumpa la experiencia del usuario. |
| Aproveche las reglas de limitación de velocidad que se incluyen con un firewall de aplicaciones web (WAF). | Limite las solicitudes para evitar que los clientes envíen demasiado tráfico a la aplicación. La limitación de velocidad puede ayudarle a evitar problemas como una carga masiva de reintentos. |
Seguridad
El propósito del pilar seguridad es proporcionar garantías de confidencialidad, integridad y disponibilidad a la carga de trabajo.
Los principios de diseño de Seguridad ofrecen una estrategia de diseño de alto nivel para alcanzar esos objetivos mediante la aplicación de enfoques al diseño técnico, con el fin de restringir el tráfico que pasa a través de Azure Front Door.
Lista de comprobación de diseño
Comience su estrategia de diseño basándose en la lista de comprobación de revisión de diseño para Seguridad. Identifique vulnerabilidades y controles para mejorar la posición de seguridad. Amplíe la estrategia para incluir más enfoques según sea necesario.
Revise la línea base de seguridad de Azure Front Door.
Proteger los servidores de origen. Azure Front Door es el front-end y es el único punto de entrada a la aplicación.
Azure Front Door usa Azure Private Link para acceder al origen de una aplicación. Private Link crea segmentación para que los orígenes no necesiten exponer direcciones IP públicas y puntos de conexión. Para obtener más información, consulte Asegure su origen con Private Link en Azure Front Door Premium.
Configure los servicios back-end para aceptar solo las solicitudes con el mismo nombre de host que Azure Front Door usa externamente.
Permitir solo el acceso autorizado al plano de control. Utilice el control de acceso basado en roles (RBAC) de Azure Front Door para restringir el acceso solo a las identidades que lo necesitan.
Bloquee las amenazas comunes en el perímetro. WAF se integra con Azure Front Door. Habilite las reglas de WAF en los servidores front-end para proteger las aplicaciones frente a vulnerabilidades de seguridad comunes y vulnerabilidades en el perímetro de red, más cerca del origen de ataque. Considere la posibilidad de filtrar geográficamente para restringir el acceso a la aplicación web por países o regiones.
Para más información, consulte Azure Web Application Firewall en Azure Front Door.
Protege contra el tráfico inesperado. La arquitectura de Azure Front Door proporciona protección DDoS integrada para proteger los puntos finales de las aplicaciones frente a ataques DDoS. Si necesita exponer otras direcciones IP públicas de la aplicación, considere la posibilidad de agregar el plan estándar de Azure DDoS Protection para esas direcciones para las funcionalidades avanzadas de protección y detección.
También hay conjuntos de reglas de WAF que detectan tráfico de bots o volúmenes inesperados de tráfico que podrían ser malintencionados.
Proteger los datos en tránsito. Habilite la seguridad de capa de transporte de extremo a extremo (TLS), la redirección de HTTP a HTTPS, y los certificados TLS administrados cuando corresponda. Para obtener más información, consulte procedimientos recomendados de TLS para Azure Front Door.
Monitorizar la actividad anómala. Revise periódicamente los registros para comprobar si hay ataques y falsos positivos. Envíe registros WAF de Azure Front Door a la información de seguridad y administración de eventos (SIEM) centralizada de su organización, como Microsoft Sentinel, para detectar patrones de amenazas e incorporar medidas preventivas en el diseño de la carga de trabajo.
Recomendaciones
| Recomendación | Beneficio |
|---|---|
| Habilite los conjuntos de reglas de WAF que detecten y bloqueen el tráfico potencialmente malintencionado. Esta característica está disponible en el nivel Premium. Se recomiendan estos conjuntos de reglas: - predeterminado - Protección contra bots - Restricción de IP - filtrado geográfico - limitación de velocidad |
Los conjuntos de reglas predeterminados se actualizan con frecuencia en función de los 10 tipos de ataque principales de OWASP e información de Microsoft Threat Intelligence. Los conjuntos de reglas especializados detectan determinados casos de uso. Por ejemplo, las reglas de bot clasifican los bots como buenos, incorrectos o desconocidos en función de las direcciones IP del cliente. También bloquean los bots incorrectos y las direcciones IP conocidas y restringen el tráfico en función de la ubicación geográfica de los autores de llamada. Mediante el uso de una combinación de conjuntos de reglas, puede detectar y bloquear ataques con varias intenciones. |
| Crear exclusiones para conjuntos de reglas administrados. Pruebe una política WAF en modo de detección durante unas semanas y ajuste los falsos positivos antes de implementarla. |
Reduzca los falsos positivos y permita peticiones legítimas para su aplicación. |
| Envíe la cabecera de host al origen. | Los servicios back-end deben tener en cuenta el nombre de host para que puedan crear reglas para aceptar el tráfico solo desde ese host. |
Asegure las conexiones desde Azure Front Door a sus orígenes. Habilite la conectividad Private Link a los orígenes compatibles. Si el origen no admite la conectividad de Private Link, use etiquetas de servicio y el encabezado X-Azure-FDID para comprobar que el origen de la solicitud es el perfil de Azure Front Door. |
Asegúrese de que todo el tráfico fluye a través de Azure Front Door y obtiene las ventajas de seguridad, como la protección contra DDoS y la inspección de WAF. |
| Habilite TLS de extremo a extremo, redirección de HTTP a HTTPS y certificados TLS gestionados cuando corresponda. Consulte las prácticas recomendadas de TLS de para Azure Front Door. Use TLS versión 1.2 como la versión mínima permitida con cifrados que sean pertinentes para la aplicación. Los certificados administrados de Azure Front Door deben ser la opción predeterminada para facilitar las operaciones. Sin embargo, si desea administrar el ciclo de vida de los certificados, utilice sus propios certificados en puntos de conexión de Dominio personalizado de Azure Front Door y almacénelos en Key Vault. |
TLS garantiza que los intercambios de datos entre el explorador, Azure Front Door y los orígenes se cifran para evitar alteraciones. Key Vault ofrece compatibilidad con certificados administrados y renovación y rotación de certificados simples. |
Optimización de costos
La optimización de costes se centra en detectar patrones de gasto, priorizar inversiones en áreas críticas y optimizar en otras para ajustarse al presupuesto de la organización al tiempo que se cumplen los requisitos empresariales.
Los principios de diseño de optimización de costos de proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos y realizar concesiones según sea necesario en el diseño técnico relacionado con Azure Front Door y su entorno.
Lista de comprobación de diseño
Comience su estrategia de diseño basándose en la lista de comprobación de revisión de diseño para Optimización de costes para inversiones. Ajuste el diseño para que la carga de trabajo esté alineada con el presupuesto asignado para la carga de trabajo. El diseño debe usar las funcionalidades adecuadas de Azure, supervisar las inversiones y encontrar oportunidades para optimizar con el tiempo.
Revise los niveles de servicio y los precios. Use la calculadora de precios de para calcular los costos realistas de cada nivel de Azure Front Door. Compara las características y la idoneidad de cada nivel para su escenario. Por ejemplo, solo el nivel Premium admite la conexión a su origen a través de Private Link.
La SKU estándar es más rentable y es adecuada para escenarios de tráfico moderado. En la SKU Premium, paga una tasa unitaria mayor, pero obtiene acceso a las ventajas de seguridad y a características avanzadas, como las reglas administradas en WAF y Private Link. Considere las compensaciones entre la confiabilidad de y la seguridad de en función de sus requisitos empresariales.
Considere los costos de ancho de banda. Los costos de ancho de banda de Azure Front Door dependen del nivel que elija y del tipo de transferencia de datos. Para más información sobre la facturación de Azure Front Door, consulte Descripción de la facturación de Azure Front Door.
Azure Front Door proporciona informes integrados para métricas facturables. Para evaluar sus costes relacionados con el Bandwidth y dónde puede centrar sus esfuerzos de optimización, consulte Informes de Azure Front Door.
Optimizar las solicitudes entrantes. Azure Front Door factura las solicitudes entrantes. Puede establecer restricciones en la configuración de diseño.
Reduzca el número de solicitudes utilizando patrones de diseño como Backend para Frontends y Agregación de puerta de enlace. Estos patrones pueden mejorar la eficacia de las operaciones.
Las reglas de WAF restringen el tráfico entrante, lo que puede optimizar los costos. Por ejemplo, use la limitación de velocidad para evitar niveles anormalmente altos de tráfico o use el filtrado geográfico para permitir el acceso solo desde regiones o países específicos.
Usar recursos de forma eficaz. Azure Front Door usa un método de enrutamiento que ayuda con la optimización de recursos. A menos que la carga de trabajo sea extremadamente sensible a la latencia, distribuya el tráfico uniformemente en todos los entornos para usar eficazmente los recursos implementados.
Los puntos de conexión de Azure Front Door pueden servir muchos archivos. Una manera de reducir los costos de ancho de banda es usar la compresión.
Use el almacenamiento en caché en Azure Front Door para el contenido que no cambia a menudo. Dado que el contenido se proporciona desde una memoria caché, se ahorran los costos de ancho de banda que se producen cuando la solicitud se reenvía a los orígenes.
Considere la posibilidad de usar una instancia compartida proporcionada por la organización. Los costos derivados de los servicios centralizados se comparten entre las cargas de trabajo. Sin embargo, considere la compensación con fiabilidad. Para las aplicaciones críticas que tienen requisitos de alta disponibilidad, se recomienda una instancia autónoma.
Preste atención a la cantidad de datos registrados. Los costos relacionados con el ancho de banda y el almacenamiento pueden acumularse si determinadas solicitudes no son necesarias o si los datos de registro se conservan durante un largo período de tiempo.
Recomendaciones
| Recomendación | Beneficio |
|---|---|
| Usa almacenamiento en caché para los puntos de conexión que lo admiten. | El almacenamiento en caché optimiza los costos de transferencia de datos porque reduce el número de llamadas de la instancia de Azure Front Door al origen. |
| Considere la posibilidad de habilitar la compresión de archivos. Para esta configuración, la aplicación debe admitir la compresión y el almacenamiento en caché deben estar habilitados. |
La compresión reduce el consumo de ancho de banda y mejora el rendimiento. |
| Deshabilite las verificaciones de estado de salud en grupos de origen con un solo origen. Si solo tiene un origen configurado en el grupo de origen de Azure Front Door, estas llamadas no son necesarias. |
Puede ahorrar en los costos de ancho de banda deshabilitando las solicitudes de comprobación de estado que no son necesarias para tomar decisiones de enrutamiento. |
Excelencia operativa
La excelencia operativa se centra principalmente en procedimientos para prácticas de desarrollo, observabilidad y administración de versiones.
Los principios de diseño Excelencia Operativa proporcionan una estrategia de diseño de alto nivel para cumplir con los objetivos relacionados con los requisitos operativos de la carga de trabajo.
Lista de comprobación de diseño
Comience su estrategia de diseño basándose en la lista de comprobación de revisión de diseño para la excelencia operativa, con el fin de definir procesos de observabilidad, pruebas e implementación relacionados con Azure Front Door.
Utilice tecnologías de infraestructura como código (IaC). Utilice tecnologías IaC como Bicep y las plantillas de Azure Resource Manager para aprovisionar la instancia de Azure Front Door. Estos enfoques declarativos proporcionan coherencia y mantenimiento sencillo. Por ejemplo, mediante el uso de tecnologías iaC, puede adoptar fácilmente nuevas versiones del conjunto de reglas. Use siempre la versión más reciente de la API.
Simplificar las configuraciones. Use Azure Front Door para administrar fácilmente las configuraciones. Por ejemplo, supongamos que la arquitectura admite microservicios. Azure Front Door admite capacidades de redirección, por lo que puede utilizar la redirección basada en rutas para dirigirse a servicios individuales. Otro caso de uso es la configuración de dominios comodín.
Manejar la exposición progresiva. Azure Front Door proporciona múltiples métodos de enrutamiento. Para un enfoque de equilibrio de carga ponderado puede utilizar una implementación de valores controlados para enviar un porcentaje específico de tráfico a un origen. Este enfoque le ayuda a probar nuevas características y versiones en un entorno controlado antes de implementarlas.
Recopilar y analizar datos operativos como parte de la supervisión de cargas de trabajo. Capture los registros y métricas pertinentes de Azure Front Door con los registros de Azure Monitor. Estos datos le ayudan a solucionar problemas, comprender los comportamientos del usuario y optimizar las operaciones.
Descargar la administración de certificados a Azure. Facilitar la carga operativa asociada con la rotación y las renovaciones de certificación.
Recomendaciones
| Recomendación | Beneficio |
|---|---|
| Utilice la redirección de HTTP a HTTPS para admitir la compatibilidad hacia adelante. | Cuando se habilita el redireccionamiento, Azure Front Door redirige automáticamente a los clientes que usan el protocolo anterior para usar HTTPS para una experiencia segura. |
| Capturar registros y métricas. Incluya registros de actividad de recursos, registros de acceso, registros de sondeos de estado y registros WAF. Configure alertas. |
Supervisar el flujo de entrada es una parte crucial de la supervisión de una aplicación. Quiere realizar un seguimiento de las solicitudes y realizar mejoras en el rendimiento y la seguridad. Necesita datos para depurar la configuración de Azure Front Door. Con las alertas en vigor, puede obtener notificaciones instantáneas de cualquier problema operativo crítico. |
| Revise los informes de análisis incorporados. | Una vista holística del perfil de Azure Front Door ayuda a impulsar mejoras en función del tráfico y los informes de seguridad a través de métricas de WAF. |
| Use certificados TLS administrados siempre que sea posible. | Azure Front Door puede emitir y administrar certificados. Esta característica elimina la necesidad de renovaciones de certificados y minimiza el riesgo de una interrupción debido a un certificado TLS no válido o expirado. |
| Utilice certificados TLS comodín. | No es necesario modificar la configuración para agregar o especificar cada subdominio por separado. |
Eficiencia del rendimiento
La eficiencia del rendimiento consiste en mantener la experiencia del usuario incluso cuando hay un aumento de la carga mediante la administración de la capacidad. La estrategia incluye el escalado de recursos, la identificación y la optimización de posibles cuellos de botella y la optimización del rendimiento máximo.
Los principios de diseño eficiencia del rendimiento proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos de capacidad con respecto al uso esperado.
Lista de comprobación de diseño
Inicie su estrategia de diseño basándose en la lista de comprobación de revisión del diseño para la eficiencia del rendimiento. Defina una línea base basada en indicadores clave de rendimiento para Azure Front Door.
Planear la capacidad mediante el análisis de los patrones de tráfico esperados. Realice pruebas exhaustivas para comprender cómo funciona la aplicación en cargas diferentes. Tenga en cuenta factores como transacciones simultáneas, tasas de solicitud y transferencia de datos.
Base tus elecciones de SKU en esa planificación. La SKU estándar es más rentable y es adecuada para escenarios de tráfico moderado. Si prevé cargas más altas, se recomienda la SKU Premium.
Analizar datos de rendimiento revisando periódicamente las métricas de rendimiento. Los informes de Azure Front Door proporcionan información sobre varias métricas que sirven como indicadores de rendimiento a nivel tecnológico.
Use informes de Azure Front Door para establecer objetivos de rendimiento realistas para la carga de trabajo. Tenga en cuenta factores como los tiempos de respuesta, el rendimiento y las tasas de error. Alinee los objetivos con los requisitos empresariales y las expectativas del usuario.
Optimizar transferencias de datos.
Use el almacenamiento en caché para reducir la latencia en el servicio de contenido estático, como imágenes, hojas de estilos y archivos javaScript, o contenido que no cambia con frecuencia.
Optimice la aplicación para el almacenamiento en caché. Use encabezados de expiración de caché en la aplicación que controlan cuánto tiempo debe almacenar el contenido en caché los clientes y servidores proxy. La validez de caché más larga significa solicitudes menos frecuentes al servidor de origen, lo que da como resultado una reducción del tráfico y una menor latencia.
Reduzca el tamaño de los archivos que se transmiten a través de la red. Los archivos más pequeños provocan tiempos de carga más rápidos y una experiencia de usuario mejorada.
Minimice el número de solicitudes de back-end en la aplicación.
Por ejemplo, una página web muestra perfiles de usuario, pedidos recientes, saldos y otra información relacionada. En lugar de realizar solicitudes independientes para cada conjunto de información, use patrones de diseño para estructurar la aplicación para que se agreguen varias solicitudes a una sola solicitud.
Actualice los clientes para usar el protocolo HTTP/2 de , que puede combinar varias solicitudes en una única conexión TCP.
Utilice WebSockets para soportar comunicación full-duplex en tiempo real, en lugar de realizar peticiones HTTP repetidas o sondeos.
Al agregar solicitudes, se envían menos datos entre el front-end y el back-end y se establecen menos conexiones entre el cliente y el back-end, lo que reduce la sobrecarga. Además, Azure Front Door controla menos solicitudes, lo que impide la sobrecarga.
Optimizar el uso de sondas de salud. Obtenga información de los sondeos de estado solo cuando cambie el estado de los orígenes. Lograr un equilibrio entre la precisión de la supervisión y minimizar el tráfico innecesario.
Los sondeos de estado se utilizan normalmente para evaluar el estado de varios orígenes dentro de un grupo. Si solo tiene un origen configurado en el grupo de orígenes de Azure Front Door, deshabilite los sondeos de estado para reducir el tráfico innecesario en el servidor de origen. Dado que solo hay una instancia, el sondeo de estado no afectará al enrutamiento.
Revise el método de enrutamiento de origen. Azure Front Door proporciona varios métodos de enrutamiento hacia el origen, incluido el enrutamiento basado en la latencia, basado en la prioridad, ponderado y basado en la afinidad de sesión. Estos métodos afectan significativamente al rendimiento de la aplicación. Para obtener más información sobre la mejor opción de enrutamiento de tráfico para su escenario, consulte Métodos de enrutamiento de tráfico al origen.
Revise la ubicación de los servidores de origen. La ubicación de los servidores de origen afecta a la capacidad de respuesta de la aplicación. Los servidores de origen deben estar más cerca de los usuarios. Azure Front Door garantiza que los usuarios de una ubicación específica accedan al punto de entrada de Azure Front Door más cercano. Las ventajas de rendimiento incluyen una experiencia de usuario más rápida, un mejor uso del enrutamiento basado en latencia por parte de Azure Front Door y el tiempo de transferencia de datos minimizado mediante el almacenamiento en caché, que almacena el contenido más cerca de los usuarios.
Para obtener más información, consulte el informe de Tráfico por ubicación .
Recomendaciones
| Recomendación | Beneficio |
|---|---|
| Habilitar el almacenamiento en caché. Puede optimizar cadenas de consulta para el almacenamiento en caché. En el caso del contenido puramente estático, omita las cadenas de consulta para maximizar el uso de la memoria caché. Si la aplicación usa cadenas de consulta, considere la posibilidad de incluirlas en la clave de caché. La inclusión de las cadenas de consulta en la clave de caché permite a Azure Front Door atender respuestas almacenadas en caché u otras respuestas, en función de la configuración. |
Azure Front Door ofrece una solución de red de entrega de contenido sólida que almacena en caché el contenido en el perímetro de la red. El almacenamiento en caché reduce la carga en los servidores de origen y reduce el movimiento de datos a través de la red, lo que ayuda a descargar el uso del ancho de banda. |
| Usar la compresión de archivos al acceder al contenido descargable. | La compresión en Azure Front Door ayuda a entregar contenido en el formato óptimo, tiene una carga más pequeña y entrega contenido a los usuarios más rápido. |
Al configurar sondeos de estado en Azure Front Door, considere usar solicitudes HEAD en lugar de solicitudes GET. La sonda de salud solo lee el código de estado, no el contenido. |
Las solicitudes HEAD permiten consultar un cambio de estado sin obtener todo su contenido. |
| Evalúe si debe activar afinidad de sesión cuando las peticiones de un mismo usuario deban dirigirse al mismo servidor de origen. Desde una perspectiva de confiabilidad, no se recomienda este enfoque. Si usa esta opción, la aplicación debe recuperarse correctamente sin interrumpir las sesiones del usuario. También hay una desventaja en el equilibrio de carga porque restringe la flexibilidad de distribuir el tráfico a través de múltiples orígenes de manera uniforme. |
Optimice el rendimiento y mantenga la continuidad de las sesiones de usuario, especialmente cuando las aplicaciones dependen de mantener la información de estado localmente. |
Directivas de Azure
Azure proporciona un amplio conjunto de directivas integradas relacionadas con Azure Front Door y sus dependencias. Algunas de las recomendaciones anteriores se pueden auditar mediante las directivas de Azure. Por ejemplo, puede comprobar si:
- Necesita el nivel Premium para admitir reglas WAF administradas y Private Link en los perfiles Azure Front Door.
- Debe usar la versión mínima de TLS, que es la versión 1.2.
- Necesita conectividad privada segura entre los servicios Azure Front Door Premium y PaaS de Azure.
- Debe habilitar los registros de recursos. WAF debe tener habilitada la inspección del cuerpo de la solicitud.
- Debe usar políticas para aplicar el conjunto de reglas de WAF. Por ejemplo, debe habilitar la protección del bot y activar las reglas de limitación de velocidad.
Para una gobernanza completa, revise las definiciones incorporadas para Azure Content Delivery Network y otras políticas de Azure Front Door que se enumeran en Definiciones de políticas incorporadas de Azure Policy.
Recomendaciones de Azure Advisor
Azure Advisor es un consultor en la nube personalizado que le ayuda a seguir los procedimientos recomendados para optimizar las implementaciones de Azure. Las recomendaciones de Advisor se alinean con los pilares de Well-Architected Framework.
Para más información, consulte las recomendaciones de Azure Advisor.
Pasos siguientes
Tenga en cuenta los siguientes artículos como recursos que muestran las recomendaciones resaltadas en este artículo.
- Use las siguientes arquitecturas de referencia como ejemplos de cómo puede aplicar las instrucciones de este artículo a una carga de trabajo:
- Cree conocimientos sobre la implementación mediante la siguiente documentación del producto: