Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Cuando se trata de consumir la configuración, las aplicaciones cliente tienen requisitos diferentes a los de las aplicaciones de servidor. No pueden almacenar secretos, funcionan a gran escala y los usuarios esperan tiempos de inicio instantáneos desde cualquier lugar del mundo. Para cumplir los requisitos de configuración de aplicaciones del lado cliente, Azure App Configuration proporciona integración con Azure Front Door. La red de entrega de contenido basada en el perímetro de Azure Front Door combinada con la administración de configuración centralizada de Azure App Configuration permite a las aplicaciones cliente en cualquier lugar obtener la configuración de forma rápida, confiable y anónima.
Entrega de configuración acelerada por CDN con Azure Front Door
App Configuration proporciona a los desarrolladores un único lugar coherente para definir las opciones de configuración y las marcas de características. Al integrar Azure App Configuration con Azure Front Door, los datos de configuración se administran centralmente a través de Azure App Configuration mientras se almacenan en caché y se distribuyen a través de la red de entrega de contenido de Azure. Esta arquitectura es valiosa para las aplicaciones orientadas al cliente, incluidas las aplicaciones móviles, de escritorio y basadas en explorador.
Arquitectura del sistema
Cómo funciona
- Las aplicaciones cliente recuperan la configuración a través de puntos de conexión de Azure Front Door sin autenticación, lo que elimina el riesgo de seguridad de insertar credenciales en el código del lado cliente.
- Azure Front Door usa identidad administrada para autenticarse con Azure App Configuration de forma segura.
- Un conjunto configurable de valores clave, banderas de características o instantáneas están disponibles a través de Azure Front Door.
- El almacenamiento en caché de Edge permite una entrega de configuración de alto rendimiento y baja latencia.
Esta arquitectura elimina la necesidad de servidores proxy o puertas de enlace personalizados al tiempo que proporciona entrega segura y eficaz de configuración a las aplicaciones cliente.
Escenarios de desarrollador
La configuración de entrega de CDN desbloquea una variedad de escenarios de aplicación cliente:
- Lanzamientos de características del lado cliente para componentes de interfaz de usuario
- Pruebas A/B o experiencias dirigidas mediante marcas de características
- Controlar los parámetros del modelo ai/LLM y los comportamientos de la interfaz de usuario a través de la configuración
- Control dinámico del comportamiento del agente del lado cliente, los modos de seguridad y la configuración de límite de protección a través de la configuración
- Comportamiento coherente para los clientes que usan la configuración basada en instantáneas
Nota:
Esta característica solo está disponible actualmente en la nube pública de Azure.
Recomendaciones y consideraciones
Security
La configuración expuesta a través de Azure Front Door es accesible públicamente sin autenticación, lo que hace que los controles de seguridad adecuados sean esenciales. Implemente las siguientes estrategias para proteger los datos de configuración frente a la exposición no deseada.
Uso de un almacén de App Configuration dedicado
Considere la posibilidad de usar un almacén de App Configuration dedicado para la configuración orientada al cliente que se entrega a través de Azure Front Door. Este almacén solo debe contener configuraciones no sensibles que sean seguras para el consumo público. Esta estrategia de aislamiento limita el posible impacto si la configuración se expone accidentalmente, lo que garantiza que los datos confidenciales permanecen protegidos.
Control de acceso basado en roles mediante identidad administrada
Azure Front Door accede a los datos de App Configuration mediante una identidad administrada asignada por el sistema o una identidad administrada asignada por el usuario. A la identidad seleccionada se le debe asignar el App Configuration Data Reader rol para recuperar los datos de configuración. Al crear el punto de conexión de Azure Front Door a través del portal de App Configuration, esta asignación de roles se crea automáticamente. El portal muestra una advertencia si el proceso de creación de asignaciones de roles encuentra algún problema. Restrinja la identidad administrada solo al App Configuration Data Reader rol y evite asignar roles con permisos de escritura.
Ámbito de solicitudes
Configure uno o varios filtros para controlar qué solicitudes pueden pasar a través de Azure Front Door. Esto evita que los clientes anónimos eludan la caché del CDN mediante solicitudes excesivas o malformadas que podrían sobrecargar App Configuration y provocar la limitación del servicio.
Solicitar delimitación mediante filtros de clave-valor
Configure filtros de Azure Front Door para que coincidan exactamente con los requisitos de configuración de la aplicación. Exponga solo los patrones de clave exactos que usa la aplicación. Por ejemplo, si la aplicación carga claves con el
"App1:"prefijo, configure la regla de Azure Front Door para permitir solo"App1:"claves, no patrones más amplios como"App".Si su aplicación carga marcas de características, proporcione un filtro
".appconfig.featureflag/{YOUR-FEATURE-FLAG-PREFIX}"para la Clave con el operador Comienza con.Si usa bibliotecas de proveedores de App Configuration y la aplicación carga solo banderas de características, debe agregar dos filtros de clave en las reglas de Azure Front Door: uno para las claves
ALLsin etiqueta y el segundo para todas las claves que empiezan con".appconfig.featureflag/{YOUR-FEATURE-FLAG-PREFIX}". Esto se debe a que las bibliotecas del proveedor de App Configuration cargan todos los valores de clave sin etiqueta de forma predeterminada cuando no se especifica ningún selector de clave-valor.
Solicitud de limitación de ámbito a través de varios puntos de conexión de Azure Front Door
Cree puntos de conexión de Azure Front Door independientes para aplicaciones con distintos requisitos de configuración. En lugar de combinar varias reglas de filtro en un único punto de conexión, cada aplicación se conecta a su punto de conexión dedicado con filtros con ámbito preciso. Este enfoque impide que las aplicaciones accedan a los datos de configuración de los demás y simplifica la administración de filtros.
Conmutación por error y equilibrio de carga
Las aplicaciones cliente se basan en Azure Front Door para la conmutación por error y el equilibrio de carga, ya que no se conectan directamente a App Configuration. Para habilitar la conmutación automática por error y la entrega de configuración geográficamente redundante, configure las réplicas de App Configuration como orígenes en el punto de conexión de Azure Front Door. Para más información sobre cómo los grupos de origen mejoran la disponibilidad y el rendimiento, consulte Métodos de enrutamiento de Azure Front Door.
Almacenamiento en memoria caché
Configure la duración de la caché de Azure Front Door para equilibrar la actualización de la configuración y la carga de origen. Azure Front Door controla el comportamiento de almacenamiento en caché, lo que significa que la aplicación solo puede ver las actualizaciones de App Configuration después de que expire la caché de Front Door. Este tiempo de expiración de caché se convierte eficazmente en el tiempo mínimo antes de que la aplicación pueda observar nuevos valores de configuración, independientemente de la frecuencia con que la aplicación compruebe los cambios.
Se recomienda establecer el TTL de caché de Azure Front Door en al menos 10 minutos y el intervalo de actualización de la aplicación en al menos 1 minuto. Con esta configuración, las actualizaciones de configuración pueden tardar hasta 11 minutos en propagarse: 10 minutos de TTL de caché de Azure Front Door más hasta 1 minuto para el refresco de la aplicación siguiente.
Puede elegir los valores de intervalo de actualización adecuados que se ajusten a la aplicación. Las duraciones de caché más cortas aumentarán el número de solicitudes enrutadas a través de Azure Front Door. Este modelo proporciona coherencia final, no propagación en tiempo real, que se espera para la entrega basada en CDN. Obtenga más información sobre el almacenamiento en caché con Azure Front Door.
Nota:
Azure Front Door no garantiza la cantidad de tiempo que el contenido se almacenará en la caché. El contenido almacenado en caché se puede quitar de la caché perimetral antes de que expire el contenido si el contenido no se usa con frecuencia. Además, si App Configuration no es accesible, Azure Front Door puede seguir sirviendo datos obsoletos de la memoria caché para mantener la disponibilidad de las aplicaciones.