Vytvoření a konfigurace služby Front Door
Front Door má několik komponent, které kombinují akcelerace požadavků na webové aplikace a současně udržují vysokou dostupnost v globálním měřítku. Pojďme se podívat na různé komponenty, které tvoří službu Front Door, a na to, jak hrají roli při směrování požadavků koncových uživatelů.
Koncové body
Koncový bod je logické seskupení jedné nebo více tras a zásad zabezpečení, které jsou přidružené k doméně. Profil úrovně Standard nebo Premium může podporovat více než jeden koncový bod.
Trasy
Pravidla směrování služby Front Door určují, jak se jednotlivé požadavky zpracovávají, jakmile dorazí na hraniční bod Front Dooru. Trasa obsahuje informace pro mapování domén a cest URL ke konkrétní skupině původu. V rámci trasy můžete nakonfigurovat protokoly používané pro požadavky, které se předávají do zdroje. Ukládání do mezipaměti můžete také povolit pro rychlejší odezvu často požadovaného obsahu a nastavit sady pravidel pro zpracování konkrétních typů požadavků.
Původy
Původ je nasazení aplikace, ze kterého Azure Front Door načítá obsah, když není k dispozici ukládání do mezipaměti. Front Door podporuje původy hostované v Azure, místně i v jiném cloudu. Při definování původu potřebujete zadat typ, název hostitele, hlavičku hostitele, ověření názvu subjektu certifikátu, prioritu a váhu. Definování těchto polí pomáhá službě Front Door určit, který zdroj je nejvhodnější pro reakci na příchozí požadavky.
Skupiny původu
Skupina původu je sada původů, která přijímá podobný provoz pro svou aplikaci. Toto logické seskupení aplikací může být ve stejné oblasti nebo v různých oblastech. Ve výchozím nastavení se požadavky odesílají do původních zdrojů s nejnižší latencí. Toto chování se může změnit úpravou priority a váhy každého původu ve skupině původu. Můžete také povolit vazbu relace ve skupině zdrojů, abyste zajistili, že se všechny požadavky od stejného uživatele odešlou na tentýž konkrétní zdroj.
Modul pravidel
Sada pravidel je přizpůsobený stroj pravidel, který seskupuje kombinaci pravidel do jedné sady. Sadu pravidel je možné přidružit k více trasám. Tato pravidla se zpracovávají na okraji služby Front Door předtím, než se požadavky přeposílají do zdroje. Jedno pravidlo může mít až 10 podmínek shody a 5 akcí.
Pravidla odpovídající podmínkám
Podmínky porovnání určují konkrétní typ akcí, které má požadavek provést. Pokud se v pravidle používá více podmínek shody, jsou seskupené pomocí logiky AND.
V sadě pravidel najdete následující typ podmínek shody:
- Filtrování požadavků na základě konkrétní IP adresy, portu nebo země/oblasti
- Filtrujte požadavky podle informací v hlavičce.
- Filtrování požadavků z mobilních zařízení nebo stolních zařízení
- Filtrujte požadavky podle názvu souboru požadavků a přípony souboru.
- Filtrovat požadavky podle názvu hostitele, protokolu TLS, adresy URL požadavku, protokolu, cesty, řetězce dotazu, post arg a dalších hodnot.
Pravidla pro akce
Akce je chování použité u typu požadavku, když splňuje podmínku/podmínky shody. Toto jsou akce, které můžete v současné době provést, když požadavek odpovídá podmínce:
- Přepsání směrovací konfigurace – změna výchozí skupiny nebo konfigurace ukládání do mezipaměti, kterou je třeba použít pro daný požadavek.
- Upravit hlavičku požadavku – pro připojení, přepsání nebo odstranění hodnoty hlavičky v požadavku odeslaném do zdroje.
- Upravit hlavičku odpovědi – pro připojení, přepsání nebo odstranění hodnoty hlavičky v odpovědi před odesláním zpět klientovi.
- Přesměrovat adresu URL – aby přesměrovala klienty na jinou adresu URL. Front Door odešle odpověď.
- přepsání adresy URL – přepsat cestu požadavku, který je odesílán do cílového serveru.
Zásady zabezpečení
Front Door podporuje zásady a pravidla firewallu webových aplikací (WAF). Zásady zabezpečení v profilu služby Front Door obsahují několik zásad WAF, které je možné použít pro různé domény v profilu. Pravidla WAF chrání vaši webovou službu před běžným zneužitím a ohroženími zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, útoky v Javě a mnoho dalších. Pro WAF ve službě Front Door se v současné době podporují následující funkce:
- nastavení zásad – umožňuje řídit přístup k webovým aplikacím pomocí sady vlastních a spravovaných pravidel.
- Správa pravidel – poskytuje snadný způsob, jak nasadit ochranu před běžnou sadou bezpečnostních hrozeb. Vzhledem k tomu, že Azure spravuje sady pravidel, pravidla se aktualizují podle potřeby, aby se chránila před novými podpisy útoků.
- vlastních pravidel – umožňuje řídit přístup k webovým aplikacím na základě vámi definovaných podmínek. Vlastní pravidlo WAF se skládá z čísla priority, typu pravidla, podmínek shody a akce.
- seznam vyloučení – Umožňuje vynechat některé atributy požadavku z vyhodnocení WAF a zpracovat zbytek požadavku obvyklým způsobem.
- geografické filtrování – Umožňuje omezit přístup k webové aplikaci podle zemí nebo oblastí.
- ochrany robotů – poskytuje pravidla robotů pro identifikaci vhodných robotů a ochranu před špatnými roboty.
- omezení IP adres – Umožňuje řídit přístup k webovým aplikacím zadáním seznamu IP adres nebo rozsahů IP adres.
- Omezování rychlosti – Vlastní pravidlo pro omezování rychlosti řídí přístup na základě splnění stanovených podmínek a frekvence příchozích požadavků.
- Ladění – umožňuje ladit pravidla WAF tak, aby vyhovovala potřebám vaší aplikace a požadavkům vaší organizace na WAF. Funkce ladění, které můžete očekávat, jsou definování vyloučení pravidel, vytváření vlastních pravidel a zakázání pravidel.
- Monitorování a protokolování – Monitorování a protokolování se poskytuje prostřednictvím integrace s Azure Monitor a protokoly Azure Monitor.
Úrovně služby Front Door
Front Door má tři úrovně, Classic, Standard a Premium. Každá úroveň podporuje mnoho funkcí a optimalizací, které můžete použít. Úroveň Standard je optimalizovaná pro doručování obsahu, zatímco úroveň Premium je optimalizovaná pro zabezpečení. Úplný seznam funkcí podpory pro jednotlivé úrovně najdete v následující tabulce.
Porovnání funkcí mezi úrovněmi
| Funkce a optimalizace | Standard | Prémie | Klasický |
|---|---|---|---|
| Doručování statických souborů | Ano | Ano | Ano |
| Dynamické doručování webu | Ano | Ano | Ano |
| Vlastní domény | Ano – ověření domény založené na záznamech DNS TXT | Ano – ověření domény založené na záznamech DNS TXT | Ano – ověřování na základě CNAME |
| Správa mezipaměti (vymazání, pravidla a komprese) | Ano | Ano | Ano |
| Vyrovnávání zátěže na zdroji | Ano | Ano | Ano |
| Směrování na základě cest | Ano | Ano | Ano |
| Modul pravidel | Ano | Ano | Ano |
| Proměnná serveru | Ano | Ano | Ne |
| Regulární výraz v modulu pravidel | Ano | Ano | Ne |
| Rozšířené metriky | Ano | Ano | Ne |
| Pokročilá analýza a vestavěné sestavy | Ano | Ano – obsahuje zprávu WAF. | Ne |
| Nezpracované protokoly – protokoly přístupu a protokoly WAF | Ano | Ano | Ano |
| Protokol sondy stavu | Ano | Ano | Ne |
| Vlastní pravidla firewallu webových aplikací (WAF) | Ano | Ano | Ano |
| Sada pravidel spravovaných Microsoftem | Ne | Ano | Ano – Pouze výchozí sada pravidel 1.1 nebo nižší |
| Ochrana robota | Ne | Ano | Ne |
| Podpora služby Private Link | Ne | Ano | Ne |
| Zjednodušená cena (základ + využití) | Ano | Ano | Ne |
| Integrace azure Policy | Ano | Ano | Ne |
| Integrace poradce pro Azure | Ano | Ano | Ne |
Vytvoření a konfigurace profilu
Front Door můžete vytvořit a nakonfigurovat pomocí webu Azure Portal, Azure PowerShellu nebo Azure CLI. V případě Azure CLI pomocí příkazu az afd profile create vytvořte nový profil. Pokud dáváte přednost Azure PowerShell, můžete použít cmdlet New-AzFrontDoor. Většinu operací můžete provést ze správce služby Front Door pomocí webu Azure Portal.
Pojďme vytvořit a nakonfigurovat profil služby Front Door pro weby oddělení motorových vozidel, které jsme dříve nasadili.