Použití služby Azure Front Door v víceklientských řešeních
Azure Front Door je moderní cloudová síť pro doručování obsahu (CDN), která poskytuje rychlý a spolehlivý přístup mezi statickým a dynamickým webovým obsahem uživatelů a aplikací po celém světě. Tento článek popisuje některé funkce služby Azure Front Door, které jsou užitečné při práci ve víceklientských systémech. Obsahuje také odkazy na další pokyny a příklady.
Když azure Front Door používáte jako součást víceklientských řešení, musíte se rozhodnout na základě návrhu a požadavků vašeho řešení. Je potřeba vzít v úvahu následující faktory:
- Kolik tenantů máte a kolik očekáváte v budoucnu?
- Sdílíte aplikační vrstvu mezi více tenanty, nasazujete mnoho instancí aplikací s jedním tenantem nebo nasazujete samostatné razítka nasazení, která sdílí více tenantů?
- Chtějí si vaši tenanti přinést vlastní názvy domén?
- Budete používat zástupné domény?
- Potřebujete použít vlastní certifikáty TLS nebo bude microsoft spravovat vaše certifikáty TLS?
- Zvážili jste kvóty a omezení, které platí pro Azure Front Door? Víte, s jakými limity se setkáte, jak budete růst? Pokud máte podezření, že se k těmto limitům dostanete, zvažte použití více profilů služby Azure Front Door. Nebo zvažte, jestli můžete změnit způsob použití služby Azure Front Door, abyste se vyhnuli limitům. Všimněte si, že skladová položka Premium má vyšší limity než skladová položka Standard.
- Máte vy nebo vaši tenanti požadavky na filtrování IP adres, geografické blokování nebo přizpůsobení pravidel WAF?
- Jsou všechny aplikační servery vašich tenantů přístupné z internetu?
Funkce služby Azure Front Door, které podporují víceklientské prostředí
Tato část popisuje několik klíčových funkcí služby Azure Front Door, které jsou užitečné pro víceklientských řešení. Popisuje, jak vám může služba Azure Front Door pomoct s konfigurací vlastních domén, včetně informací o doménách se zástupnými znaky a certifikátech TLS. Shrnuje také možnosti směrování služby Azure Front Door pro podporu víceklientské architektury.
Vlastní domény
Azure Front Door poskytuje výchozí název hostitele pro každý koncový bod, který vytvoříte, například contoso.z01.azurefd.net. U většiny řešení místo toho přidružíte vlastní název domény ke koncovému bodu služby Azure Front Door. Vlastní názvy domén umožňují používat vlastní branding a konfigurovat směrování na základě názvu hostitele, který je uvedený v požadavku klienta.
Ve víceklientském řešení můžete použít názvy domén nebo subdomény specifické pro tenanta a nakonfigurovat Službu Azure Front Door tak, aby směrovat provoz tenanta do správné skupiny původu pro úlohu daného tenanta. Můžete například nakonfigurovat vlastní název domény, jako je tenant1.app.contoso.com. Pomocí služby Azure Front Door můžete nakonfigurovat více vlastních domén na jednom profilu služby Azure Front Door.
Další informace naleznete v Přidání vlastní domény do služby Front Door.
Zástupné domény
Zástupné domény zjednodušují konfiguraci DNS záznamů a konfiguraci směrování provozu Azure Front Door při použití sdílené hlavní domény a subdomén specifických pro nájemce. Předpokládejme například, že vaši tenanti přistupují ke svým aplikacím pomocí subdomén, jako jsou tenant1.app.contoso.com a tenant2.app.contoso.com. Můžete nakonfigurovat zástupnou doménu *.app.contoso.commísto konfigurace jednotlivých domén specifických pro tenanta.
Azure Front Door podporuje vytváření vlastních domén, které používají zástupné kóty. Poté můžete nakonfigurovat trasu pro požadavky, které přicházejí na domény se zástupnými znaky. Když nasadíte nového tenanta, nemusíte překonfigurovat servery DNS, vydávat nové certifikáty TLS nebo aktualizovat konfiguraci profilu služby Azure Front Door.
Domény se zástupnými znaky fungují dobře, pokud odesíláte veškerý provoz do jedné skupiny původů. Pokud ale máte samostatné identifikátory vašeho řešení, není dostatečná jednoúrovňová zástupná doména. Buď potřebujete použít víceúrovňové kmenové domény, nebo zadat další konfiguraci přepsáním tras, které se mají použít pro subdoménu každého tenanta. Další informace najdete v tématu Důležité informace o použití názvů domén ve víceklientských řešeních.
Azure Front Door nevydává spravované certifikáty TLS pro zástupné domény, takže si musíte koupit a zadat vlastní certifikát.
Další informace naleznete v části Zástupné domény.
Spravované certifikáty TLS
Získání a instalace certifikátů TLS může být složité a náchylné k chybám. A certifikáty TLS vyprší po určité době, obvykle jeden rok, a je potřeba je znovu nainstalovat a přeinstalovat, aby nedošlo k přerušení provozu aplikace. Při používání certifikátů TLS spravovaných službou Azure Front Door zodpovídá Microsoft za vydávání, instalaci a obnovování certifikátů pro vaši vlastní doménu.
Vaše původní aplikace může být hostovaná v jiné službě Azure, která poskytuje také spravované certifikáty TLS, jako je Azure App Service. Azure Front Door transparentně spolupracuje s druhou službou na synchronizaci certifikátů TLS.
Pokud svým tenantům povolíte, aby zadali vlastní domény a chcete, aby služba Azure Front Door vydala certifikáty pro tyto názvy domén, neměli by tenanti konfigurovat záznamy CAA na jejich serverech DNS, které by mohly službě Azure Front Door zablokovat vystavování certifikátů jejich jménem. Další informace najdete v tématu certifikáty TLS/SSL.
Další informace o certifikátech TLS najdete v tématu kompletní přehled TLS se službou Azure Front Door.
Směrování
Víceklientová aplikace může mít jednu nebo více instancí aplikace, které obsluhují nájemníky. Razítka se často používají k povolení nasazení ve více oblastech a k podpoře škálování řešení na velký počet tenantů.
Azure Front Door má výkonnou sadu možností směrování, které můžou podporovat řadu víceklientských architektur. Směrování můžete použít k distribuci provozu mezi zdroji v rámci razítka nebo k odesílání provozu do správného razítka pro konkrétního tenanta. Směrování můžete nakonfigurovat na základě názvů jednotlivých domén, názvů domén se zástupnými adresou a cest URL. Modul pravidel můžete také použít k dalšímu přizpůsobení chování směrování.
Další informace najdete v tématu Přehled architektury směrování.
Modul pravidel
Pomocí stroje pravidel služby Azure Front Door můžete přizpůsobit, jak Azure Front Door zpracovává požadavky na hraničních zařízeních sítě. Modul pravidel umožňuje spouštět malé bloky logiky v rámci kanálu zpracování požadavků služby Azure Front Door. Modul pravidel můžete použít pro různé úlohy, včetně následujících:
- Načtěte informace o požadavku HTTP, včetně segmentů adresy URL a cesty, a propagujte tyto informace do jiné části požadavku.
- Před odesláním do zdroje upravte prvky požadavku HTTP.
- Před vrácením do klienta upravte některé části odpovědi HTTP.
- Přepište konfiguraci směrování pro požadavek, například tím, že změníte zdrojovou skupinu, do které se má požadavek odeslat.
Tady je několik ukázkových přístupů pro použití stroje pravidel služby Azure Front Door v víceklientských řešeních:
- Předpokládejme, že nasadíte víceklientní aplikační vrstvu, ve které používáte také subdomény specifické pro tenanta, jak je popsáno v následujících ukázkových scénářích. Modul pravidel můžete použít k extrahování identifikátoru tenanta z subdomény požadavku a jeho přidání do hlavičky požadavku. Toto pravidlo může pomoct vrstvě aplikace určit, ze kterého tenanta žádost pochází.
- Předpokládejme, že nasadíte víceklientovou aplikační vrstvu a použijete směrování založené na cestě (například
https://application.contoso.com/tenant1/welcomeahttps://application.contoso.com/tenant2/welcomepro tenanty 1 a 2). Modul pravidlového mechanismu můžete použít k extrahování segmentu identifikátoru nájemce ze segmentu cesty URL a k přepsání URL adresy tak, aby byl identifikátor nájemce zahrnut do parametru dotazovacího řetězce nebo hlavičky požadavku, aby ho mohla aplikace zpracovat.
Další informace najdete v tématu Co je modul pravidel služby Azure Front Door?.
Ukázkové scénáře
Následující ukázkové scénáře ukazují, jak ve službě Azure Front Door nakonfigurovat různé architektury s více tenanty a jak můžou rozhodnutí ovlivnit konfiguraci DNS a TLS.
Mnoho víceklientských řešení implementuje vzor „razítka nasazení“
V některých situacích ale můžete nasadit profil Azure Front Door do každé instance vašeho řešení. Scénář 5 popisuje tento model nasazení.
Scénář 1: Doména se zástupným znakem spravovaná zprostředkovatelem, jedno razítko
Contoso vytváří malé víceklientové řešení. Společnost nasadí jedno razítko v jedné oblasti a toto razítko slouží všem svým tenantům. Všechny požadavky se směrují na stejný aplikační server. Společnost Contoso se rozhodla používat zástupné domény pro všechny tenanty, jako jsou tenant1.contoso.com a tenant2.contoso.com.
Společnost Contoso nasadí Službu Azure Front Door pomocí této konfigurace:
Konfigurace DNS
jednorázová konfigurace: Contoso nakonfiguruje dvě položky DNS:
- Záznam TXT se zástupným znakem pro
*.contoso.com. Je nastavená na hodnotu určenou službou Azure Front Door během procesu onboardingu vlastní domény. - Záznam CNAME se zástupnými znaménky,
*.contoso.com, který je aliasem koncového bodu Služby Azure Front Door společnosti Contoso:contoso.z01.azurefd.net.
Při připojení nového tenanta: Nevyžaduje se žádná další konfigurace.
Konfigurace protokolu TLS
Jednorázová konfigurace: Společnost Contoso koupí certifikát TLS s hvězdičkou, přidá ho do klíčového trezoru a udělí službě Azure Front Door přístup k trezoru.
Při připojení nového tenanta: Nevyžaduje se žádná další konfigurace.
Konfigurace služby Azure Front Door
Jednorázová konfigurace: Společnost Contoso vytvoří profil služby Azure Front Door a jeden koncový bod. Přidají jednu vlastní doménu s názvem *.contoso.com a přidruží svůj certifikát TLS se zástupným znakem k vlastnímu prostředku domény. Potom nakonfigurují jednu skupinu původu, která obsahuje jeden zdroj pro aplikační server. Nakonec nakonfigurují trasu pro připojení vlastní domény ke skupině původu.
Při připojení nového tenanta: Nevyžaduje se žádná další konfigurace.
Výhody
- Tato konfigurace je poměrně snadná a poskytuje zákazníkům adresy URL značky Contoso.
- Tento přístup podporuje velký počet tenantů.
- Když je nový tenant onboardovaný, contoso nemusí provádět změny certifikátů Azure Front Door, DNS nebo TLS.
Nevýhody
- Tento přístup se nedá snadno škálovat nad rámec jednoho razítka nebo oblasti aplikace.
- Společnost Contoso si musí koupit certifikát TLS s hvězdičkovým znakem a po vypršení platnosti certifikát obnovit a nainstalovat.
Scénář 2: Doména se zástupným znakem spravovaná poskytovatelem, více značek
Proseware vytváří víceklientské řešení napříč několika klastry nasazenými v Austrálii a Evropě. Všechny žádosti v rámci jedné oblasti jsou obsluhovány razítkem v této oblasti. Stejně jako Contoso se Proseware rozhodl používat zástupné domény pro všechny tenanty, jako jsou tenant1.proseware.com a tenant2.proseware.com.
Proseware nasadí Službu Azure Front Door pomocí této konfigurace:
diagram 
Konfigurace DNS
jednorázová konfigurace: Proseware konfiguruje dvě položky DNS:
- Záznam TXT se zástupným znakem pro
*.proseware.com. Je nastavená na hodnotu určenou službou Azure Front Door během procesu onboardingu vlastní domény. - Záznam CNAME se zástupnými znaky
*.proseware.com, který je aliasem pro koncový bod služby Azure Front Door společnosti Proseware:proseware.z01.azurefd.net.
Při připojení nového tenanta: Nevyžaduje se žádná další konfigurace.
Konfigurace protokolu TLS
Jednorázová konfigurace: Proseware zakoupí certifikát TLS se zástupným znakem, přidá ho do klíčového trezoru a udělí službě Azure Front Door přístup do trezoru.
Při připojení nového tenanta: Nevyžaduje se žádná další konfigurace.
Konfigurace služby Azure Front Door
Jednorázová konfigurace: Proseware vytvoří profil služby Azure Front Door a jeden koncový bod. Společnost nakonfiguruje více skupin původu, jednu pro každou aplikaci nebo server v každé oblasti.
Při přijmutí nového tenanta: Proseware přidá do služby Azure Front Door vlastní doménový prostředek. Používají název *.proseware.com a přidruží svůj certifikát TLS se zástupným znakem k prostředku vlastní domény. Poté vytvoří trasu, která určí, do které skupiny původu (razítka) by měly být směrovány žádosti nájemce. V předchozím diagramu tenant1.proseware.com trasy do skupiny původu v oblasti Austrálie a tenant2.proseware.com trasy do skupiny původu v oblasti Evropa.
Výhody
- Při onboardingu nových tenantů se nevyžadují žádné změny konfigurace DNS nebo TLS.
- Proseware provozuje jednu instanci služby Azure Front Door pro směrování provozu do několika uzlů v několika oblastech.
Nevýhody
- Proseware musí překonfigurovat Azure Front Door při každém nasazení nového tenanta.
- Proseware musí věnovat pozornost kvótám a omezením služby Azure Front Door, zejména na počet tras a vlastních domén a limitu složeného směrování.
- Proseware potřebuje koupit certifikát TLS se zástupným znakem.
- Proseware zodpovídá za obnovení a instalaci certifikátu, jakmile vyprší jeho platnost.
Scénář 3: Poskytovatelem spravované subdomény se zástupným znakem a razítkovým základem
Fabrikam staví víceklientské řešení. Společnost nasadí razítka v Austrálii a Spojených státech. Všechny požadavky v rámci jedné oblasti budou obsluhovány razítkem v této oblasti. Společnost Fabrikam bude používat domény založené na razítkech, jako jsou tenant1.australia.fabrikam.com, tenant2.australia.fabrikam.coma tenant3.us.fabrikam.com.
Společnost nasadí Službu Azure Front Door pomocí této konfigurace:
Konfigurace DNS
Jednorázová konfigurace: Fabrikam nakonfiguruje pro každou část následující dvě zástupné položky DNS.
- Záznam TXT se zástupnými znaky pro každé razítko:
*.australia.fabrikam.coma*.us.fabrikam.com. Nastaví se na hodnoty zadané službou Azure Front Door během procesu onboardingu vlastní domény. - Záznam CNAME se zástupnými znaménky pro každé razítko,
*.australia.fabrikam.coma*.us.fabrikam.com, což jsou oba aliasy pro koncový bod služby Azure Front Door:fabrikam.z01.azurefd.net.
Při připojení nového tenanta: Nevyžaduje se žádná další konfigurace.
Konfigurace protokolu TLS
jednorázovou konfiguraci: Fabrikam pro každé razítko koupí certifikát TLS se zástupnými znaků, přidá je do trezoru klíčů a udělí službě Azure Front Door přístup k trezoru.
Při připojení nového tenanta: Nevyžaduje se žádná další konfigurace.
Konfigurace služby Azure Front Door
Jednorázová konfigurace: Fabrikam vytvoří profil služby Azure Front Door a jeden koncový bod. Nakonfigurují skupinu původu pro každé razítko. Vytvářejí vlastní domény s využitím zástupného znaku pro každou subdoménu založenou na základu razítka: *.australia.fabrikam.com a *.us.fabrikam.com. Vytvoří trasu pro vlastní doménu každého razítka, která nasměruje provoz do příslušné skupiny zdrojů.
Při připojení nového tenanta: Nevyžaduje se žádná další konfigurace.
Výhody
- Tento přístup umožňuje společnosti Fabrikam snadno škálovat na velký počet nájemců napříč několika datacentry.
- Při onboardingu nových tenantů se nevyžadují žádné změny konfigurace DNS nebo TLS.
- Společnost Fabrikam udržuje jednu instanci služby Azure Front Door pro směrování provozu do několika distribučních jednotek v několika regionech.
Nevýhody
- Vzhledem k tomu, že adresy URL používají strukturu domény s více částmi, můžou být adresy URL pro uživatele složitější.
- Společnost Fabrikam potřebuje koupit více certifikátů TLS se zástupnými znaky.
- Společnost Fabrikam zodpovídá za obnovení a instalaci certifikátů TLS po vypršení jejich platnosti.
Scénář 4: Vanity domains
Adventure Works Cycles vytváří víceklientské řešení. Společnost nasadí razítka ve více oblastech, jako je Austrálie a Spojené státy. Všechny požadavky v rámci jedné oblasti budou obsluhovány razítkem v této oblasti. Adventure Works umožní svým tenantům používat vlastní názvy domén. Například tenant 1 může nakonfigurovat vlastní název domény, jako je tenant1app.tenant1.com.
Společnost nasadí Službu Azure Front Door pomocí této konfigurace:
diagram 
Konfigurace DNS
jednorázová konfigurace: Žádné.
Při onboardingu nového tenanta: Tenant musí vytvořit dva záznamy na vlastním serveru DNS:
- Záznam TXT pro ověření domény. Například tenant 1 musí nakonfigurovat záznam TXT s názvem
tenant1app.tenant1.coma nastavit ho na hodnotu určenou službou Azure Front Door během procesu registrace vlastní domény. - Záznam CNAME, který je přiřazen jako alias ke koncovému bodu Adventure Works Azure Front Door. Například tenant 1 musí nakonfigurovat záznam CNAME s názvem
tenant1app.tenant1.coma mapovat ho naadventureworks.z01.azurefd.net.
Konfigurace protokolu TLS
Adventure Works a jeho tenanti musí rozhodnout, kdo vydává certifikáty TLS:
- Nejjednodušší možností je použít Azure Front Door k vydávání a správě certifikátů, ale tenanti by na svých serverech DNS neměli konfigurovat záznamy CCA. Pokud ano, můžou záznamy bránit certifikační autoritě služby Azure Front Door v vystavování certifikátů.
- Tenanti můžou také poskytovat vlastní certifikáty. Potřebují pracovat s Adventure Works, aby certifikát nahráli do trezoru klíčů a poskytli přístup ke službě Azure Front Door.
Konfigurace služby Azure Front Door
Jednorázová konfigurace: Adventure Works vytvoří profil služby Azure Front Door a jeden koncový bod. Nakonfigurují skupinu původu pro každé razítko. Nevytvoří prostředky na míru pro doménu ani trasy.
Při připojení nového tenanta: Adventure Works přidá do služby Azure Front Door vlastní prostředek domény. Použijí název domény, který poskytl tenant, a přidruží příslušný certifikát TLS k vlastnímu doménovému prostředku. Potom vytvoří trasu pro určení, do které skupiny původu (razítka) mají být žádosti nájemce směrovány. V předchozím diagramu se tenant1app.tenant1.com směruje do skupiny původu v oblasti Austrálie a tenant2app.tenant3.com se směruje do skupiny původu v oblasti USA.
Výhody
- Zákazníci můžou zadat vlastní názvy domén. Azure Front Door transparentně směruje požadavky do víceklientských řešení.
- Adventure Works udržuje jednu instanci služby Azure Front Door pro směrování provozu do několika instancí v různých regionech.
Nevýhody
- Adventure Works musí překonfigurovat Službu Azure Front Door při každém nasazení nového tenanta.
- Tenanti musí být zapojeni do procesu onboardingu. Musí provádět změny DNS a pravděpodobně vydávat certifikáty TLS.
- Tenanti řídí záznamy DNS. Změny záznamů DNS můžou ovlivnit jejich schopnost získat přístup k řešení Adventure Works.
- Adventure Works musí věnovat pozornost kvótám a omezením služby Azure Front Door, zejména v oblasti počtu tras a vlastních domén, a limitu pro složené směrování.
Scénář 5: Profil služby Azure Front Door na razítko
Pro každé razítko můžete nasadit profil služby Azure Front Door. Pokud máte 10 razítek, nasadíte 10 instancí služby Azure Front Door. Tento přístup může být užitečný v případě, že potřebujete omezit přístup ke správě konfigurace služby Azure Front Door pro každé razítko. Může být také užitečné, pokud potřebujete použít více profilů služby Azure Front Door, abyste se vyhnuli překročení kvót nebo limitů prostředků.
Spropitné
Azure Front Door je globální zdroj. I když nasadíte uzly s regionálním rozsahem, každý profil služby Azure Front Door se distribuuje globálně. Měli byste zvážit, jestli opravdu potřebujete nasadit více profilů služby Azure Front Door a jaké výhody získáte.
Pokud máte značku, která obsluhuje více tenantů, musíte zvážit, jak směrujete provoz ke každému tenantovi. Projděte si přístupy popsané v předchozích scénářích a zvažte kombinování přístupů tak, aby vyhovovaly vašim požadavkům.
Výhody
- Pokud rozšíříte konfiguraci napříč více profily, je méně pravděpodobné, že dosáhnete limitů prostředků služby Azure Front Door. Pokud například potřebujete podporovat vysoký počet vlastních domén, můžete domény rozdělit mezi několik profilů služby Azure Front Door a zůstat v mezích jednotlivých profilů.
- Tento přístup umožňuje nastavit rozsah oprávnění pro správu prostředků služby Azure Front Door. Pomocí řízení přístupu na základě role v Azure (RBAC) můžete správcům udělit přístup k profilu jednoho razítka.
Nevýhody
- Tento přístup obvykle způsobuje vysoké náklady, protože nasazujete více profilů. Další informace najdete v části Pochopení fakturace služby Front Door.
- Počet profilů služby Azure Front Door, které můžete nasadit do jednoho předplatného Azure, je omezený. Další informace najdete v kvótách a omezeních Front Door.
- Pro každé razítko musíte nakonfigurovat profil služby Azure Front Door zvlášť a pro každé razítko potřebujete spravovat konfiguraci DNS, certifikáty TLS a konfiguraci protokolu TLS.
Přispěvatelé
Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.
Hlavní autoři:
- Raj Nemani | Ředitel, Partner Technology Strategist
- John Downs | Hlavní softwarový inženýr
Další přispěvatelé:
- Mick Alberts | Technický spisovatel
- Fernando Antivero | Vývojář pro kompletní stack & Inženýr pro cloudové platformy
- Duong Au | Vedoucí vývojář obsahu, C+E Skilling Content R&D
- Harikrishnan M B (HARI) | Product Manager 2, Sítě Azure
- Arsen Vladimirskiy | Hlavní zákaznický inženýr, FastTrack pro Azure
Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.