Sdílet prostřednictvím

Použití služby Azure Front Door s objekty blob služby Azure Storage

  • Článek

Azure Front Door vylepšuje doručování statického obsahu z objektů blob služby Azure Storage a poskytuje zabezpečenou a škálovatelnou architekturu. Toto nastavení je ideální pro různé případy použití, jako je hostování webů a doručování souborů.

Architektura

Diagram služby Azure Front Door s původem úložiště objektů blob

V této referenční architektuře se nasadí účet úložiště a profil služby Azure Front Door s jedním původem.

Tok dat

Data procházejí tímto scénářem:

  1. Klient vytvoří zabezpečené připojení ke službě Azure Front Door pomocí vlastního názvu domény a certifikátu TLS poskytnutého službou Front Door. Připojení se ukončí v nejbližším místě přítomnosti služby Front Door (PoP).
  2. Firewall webových aplikací (WAF) služby Azure Front Door kontroluje požadavek. Pokud WAF zjistí, že požadavek je příliš rizikový, zablokuje požadavek a vrátí chybovou odpověď HTTP 403.
  3. Pokud mezipaměť služby Front Door PoP obsahuje platnou odpověď, služba Front Door okamžitě vrátí odpověď.
  4. Pokud ne, poP odešle požadavek na účet úložiště původu pomocí páteřní sítě Microsoftu pomocí samostatného dlouhodobého připojení TCP. V tomto scénáři se služba Private Link bezpečně připojí k účtu úložiště.
  5. Účet úložiště odešle odpověď službě Front Door PoP.
  6. PoP ukládá odpověď do mezipaměti pro budoucí požadavky.
  7. PoP vrátí odpověď klientovi.
  8. Všechny přímé požadavky na účet úložiště prostřednictvím internetu se zablokují bránou firewall služby Azure Storage.

Komponenty

  • Azure Storage: Ukládá statický obsah do objektů blob.
  • Azure Front Door: Přijímá příchozí připojení od klientů, prohledá je pomocí WAF, bezpečně předává požadavky do účtu úložiště a ukládá odpovědi do mezipaměti.

Alternativy

Pokud ukládáte statické soubory s jiným poskytovatelem cloudového úložiště nebo vlastní infrastrukturou, bude tento scénář do značné míry platit. Musíte ale zajistit, aby příchozí provoz do vašeho zdrojového serveru byl ověřený tak, aby prošel službou Front Door. Pokud váš poskytovatel úložiště privátní propojení nepodporuje, zvažte použití alternativního přístupu, jako je zařazení značky služby Front Door a kontrola hlavičkyX-Azure-FDID.

Podrobnosti scénáře

Doručování statického obsahu je v mnoha situacích přínosné, například:

  • Doručování obrázků, souborů CSS a javascriptových souborů pro webovou aplikaci
  • Obsluha souborů a dokumentů, jako jsou soubory PDF nebo JSON.
  • Doručování nestreamových videí

Statický obsah se obvykle nemění často a může být velký a může být ideální pro ukládání do mezipaměti, aby se zlepšil výkon a snížily náklady.

Ve složitých scénářích může jeden profil služby Front Door obsluhovat statický i dynamický obsah. Pro každý typ obsahu můžete použít samostatné skupiny původu a pomocí možností směrování směrovat příchozí požadavky na příslušný zdroj.

Důležité informace

Škálovatelnost a výkon

Azure Front Door funguje jako síť pro doručování obsahu (CDN), která ukládá obsah do mezipaměti na globálně distribuovaných pops. Když je k dispozici odpověď uložená v mezipaměti, Azure Front Door ji rychle obsluhuje, zvyšuje výkon a snižuje zatížení původu. Pokud poP nemá platnou odpověď uloženou v mezipaměti, urychluje funkce zrychlení provozu služby Azure Front Door doručení obsahu z původního zdroje.

Zabezpečení

Ověřování

Služba Azure Front Door je navržená pro internetové scénáře a je optimalizovaná pro veřejně přístupné objekty blob. Pokud chcete ověřit přístup k objektům blob, zvažte použití sdílených přístupových podpisů (SAS). Ujistěte se, že povolíte chování řetězce dotazu, abyste zabránili službě Azure Front Door v poskytování požadavků na neověřené klienty. Tento přístup může omezit efektivitu ukládání do mezipaměti, protože každý požadavek s jiným SAS musí být odeslán do zdroje.

Zabezpečení původu

Azure Front Door se bezpečně připojí k účtu služby Azure Storage pomocí služby Private Link. Účet úložiště je nakonfigurovaný tak, aby odepřel přímý přístup k internetu, což umožňuje požadavky pouze prostřednictvím privátního koncového bodu používaného službou Azure Front Door. Toto nastavení zajišťuje, že se všechny požadavky zpracují službou Azure Front Door a chrání váš účet úložiště před přímým přístupem k internetu. Tato konfigurace vyžaduje úroveň Premium služby Azure Front Door. Pokud používáte úroveň Standard, musí být účet úložiště veřejně přístupný. Žádosti můžete zabezpečit pomocí sdíleného přístupového podpisu (SAS) a buď mají klienty, kteří do svých požadavků zahrnou SAS, nebo ho připojte pomocí modulu pravidel služby Azure Front Door.

Vlastní názvy domén

Azure Front Door podporuje vlastní názvy domén a může spravovat certifikáty TLS pro tyto domény. Použití vlastních domén zajišťuje, že klienti přijímají soubory z důvěryhodného zdroje, přičemž tls šifruje každé připojení ke službě Azure Front Door. Správa certifikátů TLS ve službě Azure Front Door pomáhá vyhnout se výpadkům a problémům se zabezpečením z neplatných nebo zastaralých certifikátů.

Firewall webových aplikací

Spravovaná pravidla WAF služby Azure Front Door nastavují požadavky na kontrolu běžných a vznikajících bezpečnostních hrozeb. Doporučujeme používat pravidla WAF a spravovaná pro statické i dynamické aplikace.

Kromě toho může WAF služby Azure Front Door v případě potřeby provádět omezování rychlosti a geografické filtrování .

Odolnost

Azure Front Door je vysoce dostupná služba s globálně distribuovanou architekturou, která je odolná vůči selháním v jednotlivých oblastech Azure a pops.

Použití mezipaměti Azure Front Door snižuje zatížení vašeho účtu úložiště. Pokud váš účet úložiště přestane být dostupný, azure Front Door může dál obsluhovat odpovědi uložené v mezipaměti, dokud se aplikace neobnoví.

Pokud chcete zvýšit odolnost, zvažte redundanci vašeho účtu úložiště. Další informace najdete v článku Možnosti redundance Azure Storage. Alternativně nasaďte více účtů úložiště a nakonfigurujte několik zdrojů ve skupině původu služby Azure Front Door. Nastavení převzetí služeb při selhání mezi zdroji konfigurací priority každého zdroje Další informace najdete v tématu Zdroje a skupiny původu ve službě Azure Front Door.

Optimalizace nákladů

Ukládání do mezipaměti pomáhá snížit náklady na doručování statického obsahu. PoPs služby Azure Front Door ukládají kopie odpovědí a můžou doručovat tyto odpovědi uložené v mezipaměti pro následné požadavky, což snižuje zatížení požadavků na zdroj. U řešení statického obsahu ve velkém měřítku, zejména těch, které poskytují velké soubory, může ukládání do mezipaměti výrazně snížit náklady na provoz.

Pokud chcete v tomto řešení používat Službu Private Link, nasaďte úroveň Premium služby Azure Front Door. Úroveň Standard se dá použít, pokud nepotřebujete blokovat přímý provoz do účtu úložiště. Další informace najdete v tématu Zabezpečení zdroje.

Nasazení tohoto scénáře

Pokud chcete tento scénář nasadit pomocí šablon Bicep nebo JSON ARM, podívejte se na tento rychlý start.

Pokud chcete tento scénář nasadit pomocí Terraformu, podívejte se na tento rychlý start.

Další kroky

Zjistěte, jak vytvořit profil služby Azure Front Door.