Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Quando se trata de consumir configuração, os aplicativos cliente têm requisitos diferentes em relação aos aplicativos de servidor. Eles não podem armazenar segredos, operam em uma escala muito maior e os usuários esperam tempos de inicialização instantâneos de qualquer lugar do mundo. Para atender aos requisitos de configuração de aplicativo do lado do cliente, a Configuração de Aplicativos do Azure fornece integração com o Azure Front Door. A rede de distribuição de conteúdo baseada em borda do Azure Front Door combinada com o gerenciamento de configuração centralizada da Configuração de Aplicativos do Azure permite que os aplicativos cliente em qualquer lugar obtenham a configuração de forma rápida, confiável e anônima.
Entrega de configuração acelerada por CDN com o Azure Front Door
A Configuração de Aplicativos fornece aos desenvolvedores um único local consistente para definir configurações e sinalizadores de recursos. Ao integrar a Configuração de Aplicativos do Azure ao Azure Front Door, seus dados de configuração são gerenciados centralmente por meio da Configuração de Aplicativos do Azure enquanto são armazenados em cache e distribuídos por meio da rede de distribuição de conteúdo do Azure. Essa arquitetura é valiosa para aplicativos voltados para o cliente, incluindo aplicativos móveis, desktop e baseados em navegador.
Arquitetura do sistema
Como funciona
- Os aplicativos cliente recuperam configurações por meio dos endpoints do Azure Front Door sem necessidade de autenticação, eliminando o risco de segurança associado à inserção de credenciais no código cliente.
- O Azure Front Door usa a Identidade Gerenciada para se autenticar com a Configuração de Aplicativos do Azure com segurança.
- Um subconjunto configurável de pares chave-valor, sinalizadores de recursos ou instantâneos é exposto através do Azure Front Door.
- O cache de borda permite alta taxa de transferência e entrega de configuração de baixa latência.
Essa arquitetura elimina a necessidade de proxies ou gateways personalizados ao fornecer entrega de configuração segura e eficiente para aplicativos cliente.
Cenários de desenvolvedor
A configuração entregue pela CDN desbloqueia uma variedade de cenários de aplicativo cliente:
- Lançamentos de funcionalidades no lado do cliente para componentes da interface do usuário
- Testes A/B ou experiências direcionadas usando sinalizadores de recursos
- Controlar parâmetros de modelo de IA/LLM e comportamentos de interface do usuário por meio da configuração
- Controlar dinamicamente o comportamento do agente do lado do cliente, os modos de segurança e as configurações de guardrail por meio da configuração
- Comportamento consistente para clientes que usam configuração baseada em snapshots
Observação
No momento, esse recurso está disponível apenas na nuvem pública do Azure.
Recomendações e considerações
Segurança
A configuração exposta por meio do Azure Front Door é publicamente acessível sem autenticação, tornando os controles de segurança adequados essenciais. Implemente as estratégias a seguir para proteger seus dados de configuração contra exposição não intencional.
Usar um repositório de Configuração de Aplicativos dedicado
Considere usar um repositório de Configuração de Aplicativos dedicado para a configuração voltada para o cliente entregue por meio do Azure Front Door. Esta loja deve conter apenas configurações não sensíveis e seguras para consumo público. Essa estratégia de isolamento limita o impacto potencial se a configuração for exposta inadvertidamente, garantindo que os dados confidenciais permaneçam protegidos.
Controle de acesso baseado em função usando Identidade Gerenciada
O Azure Front Door acessa dados da Configuração de Aplicativos usando uma identidade gerenciada atribuída pelo sistema ou uma identidade gerenciada atribuída pelo usuário. A identidade selecionada deve ter a função App Configuration Data Reader atribuída para recuperar os dados de configuração. Ao criar o ponto de extremidade do Azure Front Door por meio do portal de Configuração de Aplicativos, essa atribuição de função é criada automaticamente. O portal exibirá um aviso se o processo de criação da atribuição de função encontrar algum problema. Restrinja a identidade gerenciada apenas à App Configuration Data Reader função e evite atribuir quaisquer funções com permissões de gravação.
Escopo de solicitação
Configure um ou mais filtros para controlar quais solicitações têm permissão para passar pelo Azure Front Door. Isso impede que clientes anônimos ignorem o cache da CDN por meio de solicitações excessivas ou malformadas que podem sobrecarregar a Configuração de Aplicativos e disparar a limitação do serviço.
Solicitação de escopo por meio de filtros chave-valor
Configure filtros do Azure Front Door para corresponder precisamente aos requisitos de configuração do aplicativo. Exponha apenas os padrões de chave exatos usados pelo aplicativo. Por exemplo, se o aplicativo carregar chaves com o
"App1:"prefixo, configure a regra do Azure Front Door para permitir apenas"App1:"chaves, não padrões mais amplos, como"App".Se o aplicativo carregar sinalizadores de recursos, forneça o filtro
".appconfig.featureflag/{YOUR-FEATURE-FLAG-PREFIX}"para a chave com o operador Começa com.Se você estiver usando bibliotecas de provedores de Configuração de Aplicativos e seu aplicativo carregar SOMENTE sinalizadores de recursos, adicione dois filtros de chave nas regras do Azure Front Door: um para chaves
ALLsem rótulo e outro para todas as chaves que começam com".appconfig.featureflag/{YOUR-FEATURE-FLAG-PREFIX}". Isso ocorre porque as bibliotecas do provedor de Configuração de Aplicativo carregam todos os valores de chave sem rótulo por padrão quando nenhum seletor de chave-valor é especificado.
Solicitação de escopo por meio de vários pontos de extremidade do Azure Front Door
Crie pontos de extremidade do Azure Front Door separados para aplicativos com diferentes requisitos de configuração. Em vez de combinar várias regras de filtro em um único ponto de extremidade, cada aplicativo se conecta ao ponto de extremidade dedicado com filtros com escopo preciso. Essa abordagem impede que os aplicativos acessem os dados de configuração uns dos outros e simplifica o gerenciamento de filtros.
Failover e balanceamento de carga
Os aplicativos cliente dependem do Azure Front Door para failover e balanceamento de carga, pois não se conectam diretamente à Configuração do Aplicativo. Para habilitar o failover automático e a entrega de configurações com redundância geográfica, configure suas réplicas de Configuração de Aplicativo como origens no ponto de extremidade do Azure Front Door. Para obter detalhes sobre como os grupos de origem melhoram a disponibilidade e o desempenho, consulte os métodos de roteamento do Azure Front Door
Cache
Configure a duração do cache do Azure Front Door para equilibrar a atualização da configuração e a carga de origem. O Azure Front Door controla o comportamento de cache, o que significa que as atualizações da Configuração de Aplicativos só podem ser vistas pelo aplicativo após a expiração do cache do Front Door. Esse tempo de expiração de cache efetivamente se torna o tempo mínimo para que seu aplicativo possa observar novos valores de configuração, independentemente da frequência com que o aplicativo verifica se há alterações.
Recomendamos definir o TTL do cache do Azure Front Door para pelo menos 10 minutos e o intervalo de atualização do aplicativo para pelo menos 1 minuto. Com essas configurações, as atualizações de configuração podem levar até 11 minutos para serem propagadas: TTL de cache de 10 minutos do Azure Front Door mais até 1 minuto até a próxima atualização do aplicativo.
Você pode escolher os valores de intervalo de atualização apropriados que se ajustam ao seu aplicativo. Durações de cache mais curtas aumentarão o número de solicitações roteadas através do Azure Front Door. Esse modelo fornece consistência eventual, não propagação em tempo real, o que é esperado para entrega baseada em CDN. Saiba mais sobre o cache com o Azure Front Door.
Observação
O Azure Front Door não garante a quantidade de tempo em que o conteúdo é armazenado no cache. O conteúdo armazenado em cache poderá ser removido do cache de borda antes da expiração do conteúdo se o conteúdo não for usado com frequência. Além disso, se a Configuração de Aplicativos for inacessível, o Azure Front Door poderá continuar fornecendo dados obsoletos do cache para manter a disponibilidade do aplicativo.