Rychlý start: Vytvoření služby Azure Front Door pomocí Azure CLI
V tomto rychlém startu se dozvíte, jak vytvořit Azure Front Door pomocí Azure CLI. Jako původ nastavíte profil se dvěma službami Azure Web Apps a přidáte zásady zabezpečení WAF. Nakonec pomocí názvu hostitele koncového bodu služby Azure Front Door ověříte připojení ke službě Web Apps.
Poznámka:
U webových úloh důrazně doporučujeme využívat ochranu Před útoky DDoS Azure a bránu firewall webových aplikací k ochraně před vznikajícími útoky DDoS. Další možností je použít Službu Azure Front Door spolu s firewallem webových aplikací. Azure Front Door nabízí ochranu na úrovni platformy před útoky DDoS na úrovni sítě. Další informace najdete v tématu Standardní hodnoty zabezpečení pro služby Azure.
Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet Azure před tím, než začnete.
Požadavky
Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.
Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.
Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.
Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.
Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.
Vytvoření skupiny zdrojů
V Azure se související prostředky přidělují skupině prostředků. Můžete použít stávající skupinu prostředků nebo vytvořit novou skupinu.
Spuštěním příkazu az group create vytvořte skupinu prostředků.
az group create --name myRGFD --location centralus
Vytvoření profilu služby Azure Front Door
Dále vytvořte profil služby Azure Front Door, který vaše dvě služby App Services používají jako původ.
Spuštěním příkazu az afd profile create vytvořte profil služby Azure Front Door.
Poznámka:
Pokud chcete nasadit Azure Front Door Standard místo úrovně Premium, nahraďte hodnotu parametru SKU parametrem Standard_AzureFrontDoor. Spravovaná pravidla se zásadami WAF nejsou u skladové položky Standard k dispozici. Podrobné porovnání najdete v porovnání vrstev služby Azure Front Door.
az afd profile create \
--profile-name contosoafd \
--resource-group myRGFD \
--sku Premium_AzureFrontDoor
Vytvoření dvou instancí webové aplikace
V tomto kroku vytvoříte dvě instance webové aplikace spuštěné v různých oblastech Azure. Obě instance fungují v režimu Aktivní/Aktivní, což znamená, že provoz dokáže zpracovat. Toto nastavení se liší od konfigurace Active/Stand-By, kde jedna instance slouží jako převzetí služeb při selhání.
Vytvoření plánů služby App Service
Nejprve vytvořte dva plány služby App Service: jeden v oblasti USA – střed a druhý v oblasti USA – východ.
Spuštěním následujících příkazů vytvořte plány služby App Service:
az appservice plan create \
--name myAppServicePlanCentralUS \
--resource-group myRGFD \
--location centralus
az appservice plan create \
--name myAppServicePlanEastUS \
--resource-group myRGFD \
--location eastus
Vytváření webových aplikací
Dále vytvořte webovou aplikaci v každém z plánů služby App Service vytvořených v předchozím kroku. Názvy webových aplikací musí být globálně jedinečné.
Spuštěním následujících příkazů vytvořte webové aplikace:
az webapp create \
--name WebAppContoso-01 \
--resource-group myRGFD \
--plan myAppServicePlanCentralUS
az webapp create \
--name WebAppContoso-02 \
--resource-group myRGFD \
--plan myAppServicePlanEastUS
Poznamenejte si výchozí názvy hostitelů pro každou webovou aplikaci, protože je budete potřebovat k definování back-endových adres při nasazování služby Azure Front Door v dalším kroku.
Vytvoření služby Azure Front Door
Vytvoření profilu služby Azure Front Door
Spuštěním příkazu az afd profile create vytvořte profil služby Azure Front Door.
Poznámka:
Pokud chcete nasadit Azure Front Door Standard místo úrovně Premium, nastavte sku parametr na Standard_AzureFrontDoorhodnotu . Spravovaná pravidla se zásadami WAF nejsou u skladové položky Standard k dispozici. Podrobné porovnání najdete v porovnání vrstev služby Azure Front Door.
az afd profile create \
--profile-name contosoafd \
--resource-group myRGFD \
--sku Premium_AzureFrontDoor
Přidání koncového bodu
Vytvořte koncový bod v profilu služby Azure Front Door. Koncový bod je logické seskupení jedné nebo více tras přidružených k názvům domén. Každému koncovému bodu je službě Azure Front Door přiřazen název domény a pomocí tras můžete přidružit koncové body k vlastním doménám. Profily služby Azure Front Door můžou obsahovat více koncových bodů.
Spuštěním příkazu az afd endpoint create vytvořte koncový bod ve vašem profilu.
az afd endpoint create \
--resource-group myRGFD \
--endpoint-name contosofrontend \
--profile-name contosoafd \
--enabled-state Enabled
Další informace o koncových bodech ve službě Azure Front Door najdete v tématu Koncové body ve službě Azure Front Door.
Vytvoření skupiny původu
Vytvořte skupinu původu, která definuje provoz a očekávané odpovědi pro instance vaší aplikace. Skupiny původu také definují, jak se zdroje vyhodnocují sondami stavu.
Spuštěním příkazu az afd origin-group create vytvořte skupinu původu obsahující dvě webové aplikace.
az afd origin-group create \
--resource-group myRGFD \
--origin-group-name og \
--profile-name contosoafd \
--probe-request-type GET \
--probe-protocol Http \
--probe-interval-in-seconds 60 \
--probe-path / \
--sample-size 4 \
--successful-samples-required 3 \
--additional-latency-in-milliseconds 50
Přidání původů do skupiny původu
Do nové skupiny původu přidejte obě instance aplikace vytvořené dříve jako zdroje. Původy ve službě Azure Front Door odkazují na aplikace, ze které Služba Azure Front Door načítá obsah, když není povolené ukládání do mezipaměti nebo když dojde k chybě mezipaměti.
Spuštěním příkazu az afd origin create přidejte svou první instanci aplikace jako zdroj do skupiny původu.
az afd origin create \
--resource-group myRGFD \
--host-name webappcontoso-01.azurewebsites.net \
--profile-name contosoafd \
--origin-group-name og \
--origin-name contoso1 \
--origin-host-header webappcontoso-01.azurewebsites.net \
--priority 1 \
--weight 1000 \
--enabled-state Enabled \
--http-port 80 \
--https-port 443
Tento krok opakujte, pokud chcete přidat druhou instanci aplikace jako zdroj do skupiny původu.
az afd origin create \
--resource-group myRGFD \
--host-name webappcontoso-02.azurewebsites.net \
--profile-name contosoafd \
--origin-group-name og \
--origin-name contoso2 \
--origin-host-header webappcontoso-02.azurewebsites.net \
--priority 1 \
--weight 1000 \
--enabled-state Enabled \
--http-port 80 \
--https-port 443
Další informace o původech, skupinách původu a sondách stavu najdete v tématu Zdroje a skupiny původu ve službě Azure Front Door.
Přidat trasu
Přidejte trasu pro mapování koncového bodu, který jste vytvořili dříve, do skupiny původu. Tato trasa předává požadavky z koncového bodu do vaší původní skupiny.
Spuštěním příkazu az afd route create namapujte koncový bod na skupinu původu.
az afd route create \
--resource-group myRGFD \
--profile-name contosoafd \
--endpoint-name contosofrontend \
--forwarding-protocol MatchRequest \
--route-name route \
--https-redirect Enabled \
--origin-group og \
--supported-protocols Http Https \
--link-to-default-domain Enabled
Další informace o trasách ve službě Azure Front Door najdete v tématu Metody směrování provozu k původu.
Vytvoření nové zásady zabezpečení
Azure Web Application Firewall (WAF) ve službě Azure Front Door poskytuje centralizovanou ochranu webových aplikací a chrání je před běžným zneužitím a ohrožením zabezpečení.
V tomto kurzu vytvoříte zásadu WAF, která obsahuje dvě spravovaná pravidla. Můžete také vytvořit zásady WAF s vlastními pravidly.
Vytvoření zásad WAF
Spuštěním příkazu az network front-door waf-policy create vytvořte novou zásadu WAF pro službu Azure Front Door. Tento příklad vytvoří zásadu, která je povolená a v režimu prevence.
Poznámka:
Spravovaná pravidla jsou dostupná jenom s úrovní Azure Front Door Premium. Vlastní pravidla můžete použít s úrovní Standard.
az network front-door waf-policy create \
--name contosoWAF \
--resource-group myRGFD \
--sku Premium_AzureFrontDoor \
--disabled false \
--mode Prevention
Poznámka:
Pokud vyberete Detection režim, waf nebude blokovat žádné požadavky.
Další informace o nastavení zásad WAF pro Službu Azure Front Door najdete v tématu Nastavení zásad pro firewall webových aplikací ve službě Azure Front Door.
Přiřazení spravovaných pravidel k zásadám WAF
Sady pravidel spravovaných Azure poskytují snadný způsob, jak chránit vaši aplikaci před běžnými bezpečnostními hrozbami.
Spuštěním příkazu az network front-door waf-policy managed-rules přidejte spravovaná pravidla do zásad WAF. Tento příklad přidá do zásad Microsoft_DefaultRuleSet_2.1 a Microsoft_BotManagerRuleSet_1.0.
az network front-door waf-policy managed-rules add \
--policy-name contosoWAF \
--resource-group myRGFD \
--type Microsoft_DefaultRuleSet \
--action Block \
--version 2.1
az network front-door waf-policy managed-rules add \
--policy-name contosoWAF \
--resource-group myRGFD \
--type Microsoft_BotManagerRuleSet \
--version 1.0
Další informace o spravovanýchpravidlech
Použití zásad zabezpečení
Teď pomocí zásad WAF na službu Azure Front Door vytvořte zásady zabezpečení. Toto nastavení použije pravidla spravovaná Azure na koncový bod, který jste definovali dříve.
Spuštěním příkazu az afd security-policy create použijte zásadu WAF na výchozí doménu koncového bodu.
Poznámka:
Nahraďte mysubscription ID předplatného Azure v doménách a parametrech zásad waf.< a1/>. Spuštěním příkazu az account subscription list získejte podrobnosti o ID předplatného.
az afd security-policy create \
--resource-group myRGFD \
--profile-name contosoafd \
--security-policy-name contososecurity \
--domains /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Cdn/profiles/contosoafd/afdEndpoints/contosofrontend \
--waf-policy /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/contosoWAF
Testování služby Azure Front Door
Po vytvoření profilu služby Azure Front Door trvá několik minut, než se konfigurace nasadí globálně. Po dokončení můžete přistupovat k hostiteli front-endu, který jste vytvořili.
Spuštěním příkazu az afd endpoint show získejte název hostitele koncového bodu služby Azure Front Door.
az afd endpoint show --resource-group myRGFD --profile-name contosoafd --endpoint-name contosofrontend
V prohlížeči přejděte na název hostitele koncového bodu: contosofrontend-<hash>.z01.azurefd.net. Váš požadavek se směruje do nejméně latentní webové aplikace ve skupině původu.
Pokud chcete otestovat okamžité globální převzetí služeb při selhání, postupujte takto:
Otevřete prohlížeč a přejděte na název hostitele koncového bodu:
contosofrontend-<hash>.z01.azurefd.net.Zastavte jednu z webových aplikací spuštěním příkazu az webapp stop:
az webapp stop --name WebAppContoso-01 --resource-group myRGFDAktualizujte si stránku v prohlížeči. Měla by se zobrazit stejná informační stránka.
Tip
U těchto akcí může dojít k mírnému zpoždění. Je možné, že budete muset provést aktualizaci znovu.
Zastavte i druhou webovou aplikaci:
az webapp stop --name WebAppContoso-02 --resource-group myRGFDAktualizujte si stránku v prohlížeči. Tentokrát by se měla zobrazit chybová zpráva.
Restartujte jednu z webových aplikací spuštěním příkazu az webapp start. Aktualizujte prohlížeč a stránka by se měla vrátit do normálu.
az webapp start --name WebAppContoso-01 --resource-group myRGFD
Vyčištění prostředků
Pokud už prostředky vytvořené pro Azure Front Door nepotřebujete, můžete skupinu prostředků odstranit. Tato akce odebere Službu Azure Front Door a všechny přidružené prostředky.
Spuštěním následujícího příkazu odstraňte skupinu prostředků:
az group delete --name myRGFD
Další kroky
V dalším článku se dozvíte, jak přidat vlastní doménu do služby Azure Front Door.