Workloads
Workloads é uma funcionalidade do Azion Console que centraliza as configurações de protocolos de comunicação, como certificados, domínios, portas e protocolos.
Se você já possui um endereço de aplicação com um domínio existente como www.azion.com, pode redirecionar seu tráfego para a Azion configurando os registros no seu provedor de DNS e listando seus domínios personalizados.
Você também pode vincular um Digital Certificate a seu workload para habilitar a criptografia de segurança HTTPS/TLS.
Implementação
| Escopo | Recurso |
|---|---|
| Adicionando um domínio personalizado | Primeiros passos |
| Sobre Certificados Digitais | Certificados Digitais |
| Sobre mTLS | mTLS |
Infraestrutura
Com esta configuração, é possível controlar onde sua configuração será implantada utilizando o mesmo hostname, permitindo criar ambientes de produção e homologação que entregam totalmente as capacidades de SSL/HTTPS. Isso é feito ajustando a resolução DNS local, possibilitando testar sua aplicação sem se preocupar com CORS, validação de certificado e outros aspectos relacionados ao hostname.
- Production: ambiente de produção da aplicação. O domínio Azion terá o formato
xxxx.map.azionedge.net. - Staging: ambiente para testes da aplicação. Essa configuração não impacta o ambiente Production. O domínio Azion terá o formato
xxxx.preview.azionedge.net.
Selecione o tipo de infraestrutura para seu Worklaod. Uma vez que essa opção é salva, não pode ser alterada.
Domains
Gerencie os endereços que os usuários podem utilizar para acessar sua aplicação. Garanta a configuração correta do DNS mapeando registros CNAME para o domínio do Workload. Você também pode usar o Edge DNS para simplificar o gerenciamento de domínios e vinculá-los à Azion.
Workload Domain
Um domínio de Workload será gerado ao criar um Workload.
Você pode permitir o acesso ao domínio auto-gerado do Workload após criar um Workload (como xxxxx.map.azionedge.net) ativando a opção Workload Domain Allow Access, independentemente dos outros domínios configurados para esse Workload.
Azion Custom Domain
O Azion Custom Domain permite configurar um domínio personalizado para sua aplicação usando o formato example.azion.app, para personalizar o endereço da aplicação com uma URL amigável ao usuário. Esses nomes são limitados, não podem ser compartilhados entre múltiplas contas ou configurações e são automaticamente habilitados com HTTPS utilizando o certificado SAN da Azion. Este recurso está disponível sem custo adicional.
Deployment Settings
Configure o deploy do seu Workload selecionando uma Edge Application e um Edge Firewall. Você também pode configurar Custom Pages para tratar erros e definir configurações de cache time-to-live (TTL) baseadas no código de status HTTP retornado pelos conectores de edge.
Um Workload Deployment é uma configuração que vincula a Edge Application (obrigatória), o Edge Firewall e as Custom Pages para sua aplicação.
Protocol Settings
Configure os protocolos de comunicação utilizados entre o Workload e seus usuários. Esta seção permite definir configurações de segurança, compatibilidade e performance para otimizar como seu Workload opera no edge.
- HTTP: entrega sua aplicação utilizando apenas o protocolo HTTP.
- HTTP e HTTPS: entrega sua aplicação utilizando ambos os protocolos HTTP e HTTPS.
HTTP/3 support
Habilite o suporte a HTTP/3. Baseado no padrão do protocolo QUIC, o HTTP/3 proporciona tempos de carregamento mais rápidos e menor latência em comparação com versões anteriores.
Para Workloads com HTTP/3 habilitado, a Azion irá escutar na porta 443/UDP, que é a porta padrão e mais utilizada pela maioria dos navegadores e clientes compatíveis com HTTP/3.
Na primeira requisição de um usuário para uma Edge Application com HTTP/3, o handshake e a primeira resposta serão realizados utilizando TCP e HTTP/1.1 ou HTTP/2. A resposta desse intercâmbio atribuirá um valor ao cabeçalho Alt-Svc, indicando que a versão mais recente do protocolo está disponível para o navegador. Se o navegador suportar HTTP/3, o protocolo QUIC e HTTP/3 serão utilizados, a menos que a resposta em cache expire ou não seja encontrada.
Portas
A Azion oferece uma solução de multiporta simultânea, permitindo personalizar por quais portas HTTP e HTTPS sua aplicação será entregue. É necessário escolher ao menos uma porta para cada protocolo, mas é possível selecionar entre todas as portas disponíveis para entrega.
Portas disponíveis
| Porta | Protocolo | Nota |
|---|---|---|
| 80 | HTTP | default |
| 8008 | HTTP | |
| 8080 | HTTP | |
| 8880 | HTTP | |
| 443 | HTTPS | default |
| 8443 | HTTPS | |
| 9440 | HTTPS | |
| 9441 | HTTPS | |
| 9442 | HTTPS | |
| 9443 | HTTPS | |
| 7777 | HTTPS | |
| 8888 | HTTPS | |
| 9553 | HTTPS | |
| 9653 | HTTPS | |
| 8035 | HTTPS | |
| 8090 | HTTPS | |
| UDP/443 | HTTP/3 (QUIC) | default |
Minimum TLS version
O protocolo Transport Layer Security (TLS) permite criptografar o tráfego web. As seguintes versões do TLS podem ser utilizadas com Edge Applications:
- TLS 1.0 (descontinuado)
- TLS 1.1 (descontinuado)
- TLS 1.2
- TLS 1.3
Você pode escolher a versão mínima do TLS que será suportada pela seu Workload. Ao escolher versões mais recentes do protocolo, dispositivos ou navegadores antigos podem não conseguir acessar a Edge Application.
A Azion bloqueia Renegociação TLS e Resumption TLS por padrão. Se desejar personalizar essa configuração, entre em contato com o time de vendas.
TLS Ciphers
Ciphers são algoritmos de criptografia utilizados para converter plaintext em ciphertext, que requer uma chave para ser descriptografado. A Azion permite alterar o cipher suite que sua Edge Application utilizará para proteger sua aplicação contra ataques TLS.
O cipher suite determinará quais algoritmos criptográficos serão utilizados nas conexões TLS da sua Edge Application. Tanto o cliente quanto o servidor irão negociar o cipher suite para criptografar e descriptografar os dados trocados durante a sessão de forma segura.
A tabela abaixo mostra os ciphers disponíveis em cada cipher suite.
| Cipher | TLSv1.2_2018 | TLSv1.2_2019 | TLSv1.2_2021 | TLSv1.3_2022 |
|---|---|---|---|---|
| TLS_AES_128_GCM_SHA256 | ✔︎ | ✔︎ | ✔︎ | ✕ |
| TLS_AES_256_GCM_SHA384 | ✔︎ | ✔︎ | ✔︎ | ✕ |
| TLS_CHACHA20_POLY1305_SHA256 | ✔︎ | ✔︎ | ✔︎ | ✕ |
| ECDHE-ECDSA-AES128-GCM-SHA256 | ✔︎ | ✔︎ | ✔︎ | ✔︎ |
| ECDHE-ECDSA-AES256-GCM-SHA384 | ✔︎ | ✔︎ | ✔︎ | ✔︎ |
| ECDHE-ECDSA-CHACHA20-POLY1305 | ✔︎ | ✔︎ | ✔︎ | ✔︎ |
| ECDHE-ECDSA-AES256-SHA384 | ✔︎ | ✔︎ | ✕ | ✕ |
| ECDHE-ECDSA-AES128-SHA256 | ✔︎ | ✔︎ | ✕ | ✕ |
| ECDHE-RSA-AES128-GCM-SHA256 | ✔︎ | ✔︎ | ✔︎ | ✔︎ |
| ECDHE-RSA-AES256-GCM-SHA384 | ✔︎ | ✔︎ | ✔︎ | ✔︎ |
| ECDHE-RSA-CHACHA20-POLY1305 | ✔︎ | ✔︎ | ✔︎ | ✔︎ |
| ECDHE-RSA-AES128-SHA256 | ✔︎ | ✔︎ | ✕ | ✕ |
| ECDHE-RSA-AES256-SHA384 | ✔︎ | ✔︎ | ✕ | ✕ |
| AES128-GCM-SHA256 | ✔︎ | ✕ | ✕ | ✕ |
| AES256-GCM-SHA384 | ✔︎ | ✕ | ✕ | ✕ |
| AES128-SHA256 | ✔︎ | ✕ | ✕ | ✕ |
Mutual Authentication Settings
Habilite a Autenticação Mútua (mTLS) para exigir que tanto o cliente quanto o servidor apresentem um protocolo de autenticação um ao outro.
Os Workloads da Azion também possuem Suporte a Mutual Transport Layer Security (mTLS), um método de autenticação para usuários e visitantes que valida o certificado digital em ambos os lados de uma requisição, cliente e edge (servidor). Adicionar suporte a mTLS à sua Edge Application garante um TLS/TLS handshake mais seguro.
Para habilitar esse recurso, entre em contato com nosso time de Vendas.
Digital Certificate
Para usar seu Workload com suporte a HTTPS, será necessário um certificado TLS (X.509). Sem custos adicionais, você pode incluir seus certificados TLS no Azion Console ou gerar um certificado Let’s Encrypt™, que será gerenciado automaticamente pela Azion.
Limites
Estes são os limites padrão:
| Escopo | Limite |
|---|---|
| CNAMEs por Workload | 50 |
Estes são os limites padrão para cada Plano de Serviço:
| Escopo | Developer | Business | Enterprise | Mission Critical |
|---|---|---|---|---|
| Workloads por conta | 100 | 100 | 100 | 1.000 |