Hyperscale-Konfigurationsübermittlung für Clientanwendungen (Vorschau)

Wenn es um die Nutzung von Konfigurationen geht, haben Clientanwendungen andere Anforderungen als Serveranwendungen. Sie können geheime Schlüssel nicht speichern, sie arbeiten in viel größerem Umfang, und Benutzer erwarten sofortige Startzeiten von überall auf der Welt. Um die Anforderungen der clientseitigen Anwendungskonfiguration zu erfüllen, bietet Azure App Configuration die Integration mit Azure Front Door. Das Edge-basierte Content Delivery Network von Azure Front Door in Kombination mit der zentralisierten Konfigurationsverwaltung von Azure App Configuration ermöglicht es Clientanwendungen überall, schnell, zuverlässig und anonym auf Konfigurationen zuzugreifen.

CDN-beschleunigte Konfiguration mit Azure Front Door

Die App-Konfiguration bietet Entwicklern einen einzigen, konsistenten Ort zum Definieren von Konfigurationseinstellungen und Featurekennzeichnungen. Durch die Integration der Azure App-Konfiguration in Azure Front Door werden Ihre Konfigurationsdaten zentral über die Azure-App-Konfiguration verwaltet, während sie über das Azure Content Delivery Network zwischengespeichert und verteilt werden. Diese Architektur ist für clientorientierte Anwendungen, einschließlich mobiler, Desktop- und browserbasierter Anwendungen, nützlich.

Systemarchitektur

Funktionsweise

• Clientanwendungen rufen die Konfiguration über Azure Front Door-Endpunkte ohne Authentifizierung ab, wodurch das Sicherheitsrisiko beim Einbetten von Anmeldeinformationen in clientseitigen Code beseitigt wird.
• Azure Front Door verwendet verwaltete Identität zur sicheren Authentifizierung bei der Azure-App-Konfiguration.
• Eine konfigurierbare Teilmenge von Schlüsselwerten, Featurekennzeichnungen oder Momentaufnahmen werden über Azure Front Door verfügbar gemacht.
• Edge-Caching ermöglicht die Bereitstellung von Konfigurationen mit hohem Durchsatz und niedriger Latenz.

Diese Architektur beseitigt die Notwendigkeit von benutzerdefinierten Proxys oder Gateways und stellt gleichzeitig eine sichere, effiziente Konfigurationsbereitstellung für Clientanwendungen bereit.

Entwicklerszenarien

Die von CDN bereitgestellte Konfiguration entsperrt eine Reihe von Clientanwendungsszenarien:

• Clientseitige Funktionsrollouts für Benutzeroberflächen-Komponenten
• A/B-Tests oder gezielte Erfahrungen mithilfe von Featurekennzeichnungen
• Steuern von AI/LLM-Modellparametern und UI-Verhalten durch Konfiguration
• Dynamische Steuerung des clientseitigen Agentverhaltens, Sicherheitsmodi und Guardrail-Einstellungen durch Konfiguration
• Einheitliches Verhalten für Clients mit snapshotbasierter Konfiguration

Empfehlungen und Überlegungen

Sicherheit

Die über Azure Front Door bereitgestellte Konfiguration ist ohne Authentifizierung öffentlich zugänglich, weshalb Sicherheitskontrollen unerlässlich sind. Implementieren Sie die folgenden Strategien, um Ihre Konfigurationsdaten vor unbeabsichtigter Gefährdung zu schützen.

Verwenden eines dedizierten App-Konfigurationsspeichers

Erwägen Sie die Verwendung eines dedizierten App-Konfigurationsspeichers für clientseitige Konfigurationen, die über Azure Front Door bereitgestellt werden. Dieser Speicher sollte nur nicht sensible Einstellungen enthalten, die für die öffentliche Verwendung geeignet sind. Diese Isolationsstrategie begrenzt potenzielle Auswirkungen, wenn die Konfiguration versehentlich verfügbar gemacht wird, um sicherzustellen, dass vertrauliche Daten geschützt bleiben.

Rollenbasierte Zugriffssteuerung mit verwalteter Identität

Azure Front Door greift auf App-Konfigurationsdaten mithilfe einer vom System zugewiesenen verwalteten Identität oder einer vom Benutzer zugewiesenen verwalteten Identität zu. Der ausgewählten Identität muss die App Configuration Data Reader Rolle zum Abrufen von Konfigurationsdaten zugewiesen werden. Wenn Sie den Azure Front Door-Endpunkt über das App-Konfigurationsportal erstellen, wird diese Rollenzuweisung automatisch erstellt. Das Portal zeigt eine Warnung an, wenn beim Erstellungsprozess der Rollenzuweisung Probleme auftreten. Beschränken Sie die verwaltete Identität nur auf die App Configuration Data Reader Rolle, und vermeiden Sie das Zuweisen von Rollen mit Schreibberechtigungen.

Anfrageabgrenzung

Konfigurieren Sie einen oder mehrere Filter, um zu steuern, welche Anforderungen über Azure Front Door übergeben werden dürfen. Dadurch wird verhindert, dass anonyme Clients den CDN-Cache über übermäßige oder falsch formatierte Anforderungen umgehen, die die App-Konfiguration überwältigen und die Dienstdrosselung auslösen könnten.

Anforderungsumfang per Schlüsselwertfilter festlegen

• Konfigurieren Sie Azure Front Door-Filter so, dass sie genau den Konfigurationsanforderungen Ihrer Anwendung entsprechen. Machen Sie nur die genauen Schlüsselmuster verfügbar, die Ihre Anwendung verwendet. Wenn Ihre Anwendung z. B. Schlüssel mit dem "App1:" Präfix lädt, konfigurieren Sie die Azure Front Door-Regel so, dass nur "App1:" Schlüssel zulässig sind, und nicht breitere Muster wie "App".

• Wenn Deine Anwendung Featureflags lädt, gib einen ".appconfig.featureflag/{YOUR-FEATURE-FLAG-PREFIX}" Filter für den Schlüssel Beginnt mit-Operator an.

• Wenn Sie App-Konfigurationsbibliotheken verwenden und Ihre Anwendung NUR Feature-Flags lädt, sollten Sie in den Azure Front Door-Regeln zwei Schlüsselfilter hinzufügen: einen für ALL Schlüssel ohne Kennzeichnung und einen zweiten für alle Schlüssel, die mit ".appconfig.featureflag/{YOUR-FEATURE-FLAG-PREFIX}" beginnen. Dies liegt daran, dass App-Konfigurationsanbieterbibliotheken standardmäßig alle Schlüsselwerte ohne Bezeichnung laden, wenn kein Schlüsselwertmarkierer angegeben wird.

Anforderungseingrenzung über mehrere Azure Front Door-Endpunkte

Erstellen Sie separate Azure Front Door-Endpunkte für Anwendungen mit unterschiedlichen Konfigurationsanforderungen. Anstatt mehrere Filterregeln in einem einzelnen Endpunkt zu kombinieren, stellt jede Anwendung eine Verbindung mit seinem dedizierten Endpunkt mit präzisen Filtern her. Dieser Ansatz verhindert, dass Anwendungen auf die Konfigurationsdaten der anderen zugreifen und die Filterverwaltung vereinfachen.

Failover und Lastenausgleich

Clientanwendungen basieren auf Azure Front Door für Failover und Lastenausgleich, da sie keine direkte Verbindung mit der App-Konfiguration herstellen. Um automatisches Failover sowie georedundante Konfigurationsbereitstellung zu aktivieren, konfiguriere Deine App Configuration-Replikate als Ursprünge im Azure Front Door-Endpunkt. Ausführliche Informationen dazu, wie Ursprungsgruppen die Verfügbarkeit und Leistung verbessern, finden Sie unter Azure Front Door-Routingmethoden

Zwischenspeicherung

Konfigurieren Sie die Cachedauer von Azure Front Door, um die Konfigurationsfrische und die Ursprungslast auszugleichen. Azure Front Door steuert das Zwischenspeicherungsverhalten, was bedeutet, dass Updates aus der App-Konfiguration nur von Ihrer Anwendung angezeigt werden können, nachdem der Front Door-Cache abgelaufen ist. Diese Cacheablaufzeit wird effektiv zum Mindestzeitpunkt, bevor Ihre App neue Konfigurationswerte beobachten kann, unabhängig davon, wie häufig die App nach Änderungen sucht.

Es wird empfohlen, den Azure Front Door-Cache-TTL auf mindestens 10 Minuten und das Anwendungsaktualisierungsintervall auf mindestens 1 Minute festzulegen. Bei diesen Einstellungen kann es bis zu 11 Minuten dauern, bis Konfigurationsupdates verteilt werden: Azure Front Door 10-Minuten-Cache-TTL plus bis zu 1 Minute bis zur nächsten Anwendungsaktualisierung.

Sie können geeignete Aktualisierungsintervallwerte auswählen, die ihrer Anwendung entsprechen. Kürzere Cachedauern erhöhen die Anzahl der Anforderungen, die über Azure Front Door weitergeleitet werden. Dieses Modell bietet eine mögliche Konsistenz, keine Echtzeitverteilung, die für die CDN-basierte Übermittlung erwartet wird. Erfahren Sie mehr über das Zwischenspeichern mit Azure Front Door.

Nächste Schritte

Verwandte Inhalte

• Laden der Konfiguration von Azure Front Door in Clientanwendungen