Entrega de configuração em hiperescala para aplicações cliente (pré-visualização)

Quando se trata de consumir configuração, as aplicações cliente têm requisitos diferentes das aplicações servidoras. Não conseguem guardar segredos, operam numa escala muito maior, e os utilizadores esperam tempos de arranque instantâneos de qualquer parte do mundo. Para satisfazer os requisitos da configuração de aplicações do lado do cliente, o Azure App Configuration oferece integração com o Azure Front Door. A rede de entrega de conteúdos baseada na periferia do Azure Front Door, combinada com a gestão centralizada de configuração do Azure App Configuration, permite que aplicações cliente em qualquer lugar obtenham a configuração de forma rápida, fiável e anónima.

Entrega de configuração acelerada por CDN com Azure Front Door

A Configuração de Aplicações oferece aos programadores um local único e consistente para definir definições de configuração e flags de funcionalidades. Ao integrar o Azure App Configuration com o Azure Front Door, os seus dados de configuração são geridos centralmente através do Azure App Configuration, enquanto são armazenados em cache e distribuídos pela rede de entrega de conteúdos do Azure. Esta arquitetura é valiosa para aplicações orientadas ao cliente, incluindo aplicações móveis, de ambiente de trabalho e baseadas em navegador.

Arquitetura do sistema

Como funciona

• As aplicações cliente recuperam a configuração através dos endpoints Azure Front Door sem autenticação, eliminando o risco de segurança de incorporar credenciais no código do lado do cliente.
• O Azure Front Door utiliza Identidade Gerida para autenticar de forma segura com o Azure App Configuration.
• Um subconjunto configurável de valores-chave, flags de funcionalidades ou snapshots é exposto através do Azure Front Door.
• O cache de borda permite uma entrega de configuração de alto rendimento e baixa latência.

Esta arquitetura elimina a necessidade de proxies ou gateways personalizados, ao mesmo tempo que proporciona uma entrega de configuração segura e eficiente às aplicações clientes.

Cenários de desenvolvedor

A configuração entregue por CDN desbloqueia uma variedade de cenários de aplicação cliente:

• Implementação de funcionalidades do lado do cliente para componentes de interface de usuário
• Testes A/B ou experiências direcionadas usando sinalizadores de funcionalidades
• Controla os parâmetros do modelo AI/LLM e os comportamentos da interface através da configuração
• Controle dinâmico do comportamento do agente do lado do cliente, das configurações de segurança e das configurações de proteção através da configuração
• Comportamento consistente para clientes que utilizam configuração baseada em snapshots

Recomendações e considerações

Segurança

A configuração exposta através do Azure Front Door é acessível publicamente sem autenticação, tornando os controlos de segurança adequados essenciais. Implemente as seguintes estratégias para proteger os seus dados de configuração contra exposição não intencional.

Use uma loja dedicada de Configuração de Aplicações

Considere usar uma loja dedicada de Configuração de Aplicações para a configuração voltada para o cliente, entregue através do Azure Front Door. Esta loja deve conter apenas configurações não sensíveis que sejam seguras para uso público. Esta estratégia de isolamento limita o impacto potencial se a configuração for exposta inadvertidamente, garantindo que os dados sensíveis permaneçam protegidos.

Controlo de Acesso por Papel usando Identidade Gerida de Forma Autónoma

O Azure Front Door acede aos dados de Configuração da Aplicação usando uma identidade gerida atribuída pelo sistema ou uma identidade gerida atribuída pelo utilizador. A identidade selecionada deve ter a função App Configuration Data Reader atribuída para recuperar os dados de configuração. Quando cria o endpoint Azure Front Door através do portal de Configuração de Aplicações, esta atribuição de funções é criada automaticamente. O portal apresenta um aviso se o processo de criação de atribuição de funções encontrar algum problema. Restringa a identidade gerida apenas à função App Configuration Data Reader e evite atribuir quaisquer funções com permissões de escrita.

Âmbito do pedido

Configure um ou mais filtros para controlar quais os pedidos autorizados a passar pelo Azure Front Door. Isto impede que clientes anónimos contornem a cache CDN através de pedidos excessivos ou malformados que possam sobrecarregar a Configuração de Aplicações e desencadear uma restrição do serviço.

Definição de âmbito de pedidos através de filtros por chave e valor

• Configure os filtros Azure Front Door para corresponderem precisamente aos requisitos de configuração da sua aplicação. Expõe apenas os padrões exatos de chaves que a tua aplicação utiliza. Por exemplo, se a sua aplicação carregar chaves com o "App1:" prefixo, configure a regra Azure Front Door para permitir apenas "App1:" chaves, não padrões mais amplos como "App".

• Se a sua aplicação carregar flags de funcionalidades, forneça ".appconfig.featureflag/{YOUR-FEATURE-FLAG-PREFIX}" um filtro para o Key com o operador Starts with.

• Se estiveres a usar bibliotecas do provedor de Configuração de Aplicações e a tua aplicação carregar APENAS flags de funcionalidades, deves adicionar dois filtros de chave nas regras do Azure Front Door - um para ALL chaves sem etiqueta e segundo para todas as chaves a partir de ".appconfig.featureflag/{YOUR-FEATURE-FLAG-PREFIX}". Isto deve-se ao facto de as bibliotecas do fornecedor de Configuração de Aplicações carregarem todos os valores-chave sem rótulo por defeito quando não é especificado o seletor de valor-chave.

Âmbito dos pedidos através de múltiplos endpoints Azure Front Door

Crie endpoints Azure Front Door separados para aplicações com requisitos de configuração diferentes. Em vez de combinar múltiplas regras de filtro num único endpoint, cada aplicação liga-se ao seu endpoint dedicado com filtros com escopo preciso. Esta abordagem impede que as aplicações acedam aos dados de configuração umas das outras e simplifica a gestão de filtros.

Failover e balanceamento de carga

As aplicações cliente dependem do Azure Front Door para failover e balanceamento de carga, pois não se ligam diretamente à App Configuration. Para ativar failover automático e entrega de configuração geo-redundante, configure as suas réplicas de Configuração de Aplicações como origens no endpoint Azure Front Door. Para detalhes sobre como os grupos de origem melhoram a disponibilidade e o desempenho, consulte métodos de encaminhamento Azure Front Door

Caching

Configure a duração da cache do Azure Front Door para equilibrar a frescura da configuração e a carga de origem. O Azure Front Door controla o comportamento de cache, o que significa que as atualizações da App Configuration só podem ser vistas pela sua aplicação depois de expirar a cache do Front Door. Este tempo de expiração da cache torna-se, na prática, o tempo mínimo antes de a sua aplicação poder observar novos valores de configuração, independentemente da frequência com que a aplicação verifica alterações.

Recomendamos definir o TTL da cache do Azure Front Door para pelo menos 10 minutos e o intervalo de atualização da aplicação para pelo menos 1 minuto. Com estas definições, as atualizações de configuração podem demorar até 11 minutos a propagar-se: Azure Front Door TTL de cache de 10 minutos mais até 1 minuto até à próxima atualização da aplicação.

Pode escolher valores de intervalo de atualização adequados que se adequem à sua aplicação. Durações de cache mais curtas aumentam o número de pedidos encaminhados através do Azure Front Door. Este modelo proporciona consistência eventual, não propagação em tempo real, o que é esperado para a entrega baseada em CDN. Saiba mais sobre Cache com o Azure Front Door.

Próximos passos

Conteúdo relacionado

• Carregar a configuração a partir do Azure Front Door em aplicações cliente