Vytvoření a konfigurace služby Front Door
Front Door má několik komponent, které kombinují akcelerace požadavků na webové aplikace a současně udržují vysokou dostupnost v globálním měřítku. Pojďme se podívat na různé komponenty, které tvoří službu Front Door, a na to, jak hrají roli při směrování požadavků koncových uživatelů.
Koncové body
Koncový bod je logické seskupení jedné nebo více tras a zásad zabezpečení, které jsou přidružené k doméně. Profil úrovně Standard nebo Premium může podporovat více než jeden koncový bod.
Trasy
Pravidla směrování služby Front Door určují, jak se jednotlivé požadavky zpracovávají, jakmile dorazí na hraniční zařízení služby Front Door. Trasa obsahuje informace pro mapování domén a cest URL ke konkrétní skupině původu. V rámci trasy můžete nakonfigurovat protokoly používané pro požadavky, které se předávají do zdroje. Ukládání do mezipaměti můžete také povolit pro rychlejší odezvu často požadovaného obsahu a nastavit sady pravidel pro zpracování konkrétních typů požadavků.
Počátky
Původ je nasazení aplikace, ze kterého Azure Front Door načítá obsah, když není k dispozici ukládání do mezipaměti. Front Door podporuje původy hostované v Azure, místně i v jiném cloudu. Při definování původu potřebujete zadat typ, název hostitele, hlavičku hostitele, ověření názvu subjektu certifikátu, prioritu a váhu. Definování těchto polí pomáhá službě Front Door určit, který zdroj je nejvhodnější pro reakci na příchozí požadavky.
Skupiny původu
Skupina původu je sada původů, která přijímá podobný provoz pro svou aplikaci. Toto logické seskupení aplikací může být ve stejné oblasti nebo v různých oblastech. Ve výchozím nastavení se požadavky odesílají do původních zdrojů s nejnižší latencí. Toto chování se může změnit úpravou priority a váhy každého původu ve skupině původu. Můžete také povolit spřažení relací ve skupině původu, abyste zajistili, že se všechny požadavky od stejného uživatele odešlou do stejného prostředku zdroje.
Modul pravidel
Sada pravidel je přizpůsobený stroj pravidel, který seskupuje kombinaci pravidel do jedné sady. Sadu pravidel je možné přidružit k více trasám. Tato pravidla se zpracovávají na okraji služby Front Door předtím, než se požadavky přeposílají do zdroje. Jedno pravidlo může mít až 10 podmínek shody a 5 akcí.
Podmínky shody pravidel
Podmínky shody identifikují konkrétní typ akcí, které má požadavek provést. Pokud se v pravidle používá více podmínek shody, jsou seskupené pomocí logiky AND.
Následující typ podmínek shody najdete v sadě pravidel:
- Filtrování požadavků na základě konkrétní IP adresy, portu nebo země/oblasti
- Filtrujte požadavky podle informací v hlavičce.
- Filtrování požadavků z mobilních zařízení nebo stolních zařízení
- Vyfiltrujte požadavky z názvu souboru požadavku a přípony souboru.
- Filtrovat požadavky podle názvu hostitele, protokolu TLS, adresy URL požadavku, protokolu, cesty, řetězce dotazu, post arg a dalších hodnot.
Akce pravidel
Akce je chování použité u typu požadavku, když odpovídá tomuto typu shody. Toto jsou akce, které můžete v současné době provést, když požadavek odpovídá podmínce:
- Přepsání konfigurace trasy – přepsání skupiny původu nebo konfigurace ukládání do mezipaměti, která se má použít pro požadavek.
- Úprava hlavičky požadavku – pro připojení, přepsání nebo odstranění hodnoty hlavičky v požadavku odeslaném do zdroje.
- Upravte hlavičku odpovědi – pokud chcete přidat, přepsat nebo odstranit hodnotu hlavičky v odpovědi před odesláním zpět klientovi.
- Přesměrování adresy URL – přesměrování klientů na jinou adresu URL. Front Door odešle odpověď.
- Přepsání adresy URL – pokud chcete přepsat cestu požadavku, který se odesílá do zdroje.
Zásady zabezpečení
Front Door podporuje zásady a pravidla firewallu webových aplikací (WAF). Zásady zabezpečení v profilu služby Front Door obsahují několik zásad WAF, které je možné použít pro různé domény v profilu. Pravidla WAF chrání vaši webovou službu před běžným zneužitím a ohroženími zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, útoky v Javě a mnoho dalších. Pro WAF ve službě Front Door se v současné době podporují následující funkce:
- Nastavení zásad – Umožňuje řídit přístup k webovým aplikacím pomocí sady vlastních a spravovaných pravidel.
- Správa pravidel – Poskytuje snadný způsob, jak nasadit ochranu před běžnou sadou bezpečnostních hrozeb. Vzhledem k tomu, že Azure spravuje sady pravidel, pravidla se aktualizují podle potřeby, aby se chránila před novými podpisy útoků.
- Vlastní pravidla – Umožňuje řídit přístup k webovým aplikacím na základě vámi definovaných podmínek. Vlastní pravidlo WAF se skládá z čísla priority, typu pravidla, shody podmínek a akce.
- Seznam vyloučení – Umožňuje vynechat určité atributy požadavku z vyhodnocení WAF a umožnit, aby zbytek požadavku byl v normálním stavu.
- Geografické filtrování – Umožňuje omezit přístup k webové aplikaci podle zemí nebo oblastí.
- Ochrana robota – Poskytuje pravidla robota pro identifikaci vhodných robotů a ochranu před špatnými roboty.
- Omezení IP adres – Umožňuje řídit přístup k webovým aplikacím zadáním seznamu IP adres nebo rozsahů IP adres.
- Omezování rychlosti – pravidlo omezení vlastní rychlosti řídí přístup na základě odpovídajících podmínek a míry příchozích požadavků.
- Ladění – umožňuje ladit pravidla WAF tak, aby vyhovovala potřebám vaší aplikace a organizace WAF. Funkce ladění, které můžete očekávat, jsou definování vyloučení pravidel, vytváření vlastních pravidel a zakázání pravidel.
- Monitorování a protokolování – Monitorování a protokolování se poskytuje prostřednictvím integrace s protokoly Azure Monitoru a Azure Monitoru.
Front Door tiers
Front Door má tři úrovně, Classic, Standard a Premium. Každá úroveň podporuje mnoho funkcí a optimalizací, které můžete použít. Úroveň Standard je optimalizovaná pro doručování obsahu, zatímco úroveň Premium je optimalizovaná pro zabezpečení. Úplný seznam funkcí podpory pro jednotlivé úrovně najdete v následující tabulce.
Porovnání funkcí mezi úrovněmi
| Funkce a optimalizace | Standard | Premium | Klasické |
|---|---|---|---|
| Doručování statických souborů | Ano | Ano | Yes |
| Dynamické doručování webu | Ano | Ano | Yes |
| Vlastní domény | Ano – ověření domény založené na záznamech DNS TXT | Ano – ověření domény založené na záznamech DNS TXT | Ano – ověřování na základě CNAME |
| Správa mezipaměti (vymazání, pravidla a komprese) | Ano | Ano | Yes |
| Vyrovnávání zatížení původu | Ano | Ano | Yes |
| Směrování na základě cest | Ano | Ano | Yes |
| Modul pravidel | Ano | Ano | Yes |
| Proměnná serveru | Ano | Ano | No |
| Regulární výraz v modulu pravidel | Ano | Ano | No |
| Rozšířené metriky | Ano | Ano | No |
| Pokročilá analýza / předdefinované sestavy | Ano | Ano – obsahuje sestavu WAF. | No |
| Nezpracované protokoly – přístup k protokolům a protokolům WAF | Ano | Ano | Yes |
| Protokol sondy stavu | Ano | Ano | No |
| Vlastní pravidla firewallu webových aplikací (WAF) | Ano | Ano | Yes |
| Sada pravidel spravovaných Microsoftem | No | Ano | Ano – Pouze výchozí sada pravidel 1.1 nebo nižší |
| Ochrana před roboty | No | Ano | No |
| Podpora služby Private Link | No | Ano | No |
| Zjednodušená cena (základ + využití) | Ano | Ano | No |
| Integrace Azure Policy | Ano | Ano | No |
| Integrace poradce pro Azure | Ano | Ano | No |
Vytvoření a konfigurace profilu
Front Door můžete vytvořit a nakonfigurovat pomocí webu Azure Portal, Azure PowerShellu nebo Azure CLI. Pro Azure CLI použijte az afd profile create příkaz k vytvoření nového profilu. Pokud dáváte přednost Azure PowerShellu, můžete tuto rutinu New-AzFrontDoor použít. Většinu operací můžete provést ze správce služby Front Door pomocí webu Azure Portal.
Pojďme vytvořit a nakonfigurovat profil služby Front Door pro weby oddělení motorových vozidel, které jsme dříve nasadili.