Cvičení – vytvoření a konfigurace služby Front Door

  • 20 min

Front Door naslouchá na koncovém bodu a porovnává příchozí požadavky s trasou. Pak tyto požadavky předá nejlepšímu dostupnému zdroji. Konfigurace směrování, kterou definujete, určuje, jak služba Front Door zpracovává požadavek na hraničním před předáním do zdroje.

Informace zpracovávané na okraji zahrnují:

  • Protokoly, které trasa přijímá.
  • Cesty, které se mají shodovat.
  • Přesměrování provozu na HTTPS
  • Určení skupiny původu, která žádost obsluhuje.
  • Nastavení protokolu použitého k přeposílání požadavku
  • Pokud je mezipaměť povolená, použijte ji.
  • Použití sad pravidel k dalšímu zpracování požadavku před předáním do zdroje.

V systému oddělení motorových vozidel musíte službu Front Door nakonfigurovat tak, aby přistupovala k webovým serverům hostujícím aplikaci registrace vozidel soukromě pomocí služby Private Link. Musíte také nakonfigurovat službu Front Door pro přístup ke službě App Service hostující web pro prodloužení platnosti licencí pomocí služby Private Link. Profil služby Azure Front Door má koncový bod se dvěma trasami, z nichž každý je nakonfigurovaný tak, aby směroval provoz na správný web. Nakonec nakonfigurujete zásady zabezpečení obsahující zásady WAF pro ochranu webových aplikací před škodlivými útoky a útočníky.

Toto cvičení vás provede vytvořením profilu služby Front Door, konfigurací původu ve skupině původu, nastavením tras a použitím zásad zabezpečení. Pak otestujete každou trasu, abyste ověřili, že služba Front Door zpracovává jednotlivé požadavky správně.

Vytvoření služby Azure Front Door

V této lekci vytvoříte Front Door s názvem vehicleFrontDoor s následující konfigurací:

  • Dvě skupiny původu. První skupina původu obsahuje IP adresu koncového bodu služby virtuálních počítačů webových serverů. Druhá skupina původu obsahuje službu App Service. Také povolíte přístup privátního propojení k těmto zdrojům.
  • Schvalte připojení privátních koncových bodů pro webové servery a službu App Service.
  • Vytvořte koncový bod v profilu služby Front Door se dvěma trasami nakonfigurovanými tak, aby směrovaly požadavky na web registrace vozidel a web pro prodloužení platnosti licence.
  • Zásady zabezpečení obsahující zásady WAF pro blokování škodlivých požadavků.

  1. Vytvořte profil služby Azure Front Door pomocí následujícího příkazu:

    az afd profile create \
    --profile-name vehicleFrontDoor \
    --resource-group $RG \
    --sku Premium_AzureFrontDoor

  2. Pomocí následujícího příkazu vytvořte první koncový bod v profilu:

    endpoint="vehicle-$RANDOM"
az afd endpoint create \
    --endpoint-name $endpoint \
    --profile-name vehicleFrontDoor \
    --resource-group $RG

Vytvoření skupin původu a přidání zdrojů

  1. Přihlaste se k portálu Azure a dokončete nastavení profilu služby Front Door. Ujistěte se, že používáte stejný účet, se kterým jste aktivovali sandbox.

  2. Přejděte na profil Front Door vehicleFrontDoor, který jste vytvořili, a v levém panelu nabídky v části Nastavení vyberte Skupiny původu .

    Snímek obrazovky s nastavením skupin původu pro profil vehicleFrontDoor

  3. Vyberte + Přidat a vytvořte první skupinu původu. Jako název zadejte webServers. Pak vyberte + Přidat původní. Zadejte nebo vyberte následující informace pro přidání zdroje webového serveru:

    snímek obrazovky s přidáním nastavení původu webového serveru ve skupině původu.

    Nastavení Hodnota
    Jméno Zadejte webServerEndpoint.
    Typ původu Vyberte Vlastní.
    Název hostitele Zadejte 10.0.1.8
    Hlavička hostitele původu Toto pole je stejné jako název hostitele v tomto příkladu.
    Ověření názvu subjektu certifikátu Nechte zaškrtnuté políčko. Vyžaduje se pro službu Private Link.
    Port HTTP Ponechte výchozí nastavení. 80.
    Port HTTPS Ponechte výchozí nastavení. 443.
    Priorita Ponechte výchozí nastavení. 1.
    Hmotnost Ponechte výchozí nastavení. 1000.
    Soukromý odkaz Zaškrtněte políčko pro Povolit službu private link.
    Výběr privátního propojení Vyberte V adresáři.
    Zdroj Vyberte myPrivateLinkService.
    Oblast Oblast je vybrána při výběru prostředku.
    Žádost o zprávu Zadejte připojení webServer k privátní síti.
    Stav Povolte tento zdroj.

  4. Vyberte Přidat a přidejte zdroj do skupiny původu. Zbývající nastavení skupiny původu ponechte jako výchozí. Potom vyberte Přidat a vytvořte skupinu původu.

    snímek obrazovky s původem webového serveru přidaným do skupiny původu

  5. Vyberte + Přidat znovu a vytvořte druhou skupinu původu. Jako název zadejte appService. Pak vyberte + Přidat původní. Zadejte nebo vyberte následující informace.

    Snímek obrazovky zobrazující přidání nastavení původu služby App Service do skupiny zdrojů

    Nastavení Hodnota
    Jméno Zadejte appService.
    Typ původu Vyberte Aplikační služby.
    Název hostitele V rozevírací nabídce, která začíná licenserenewal, vyberte web Azure.
    Hlavička původního hostitele Toto pole je stejné jako název hostitele v tomto příkladu.
    Ověření názvu subjektu certifikátu Nechte zaškrtnuté. Vyžaduje se pro službu Private Link.
    Port HTTP Ponechte výchozí nastavení. 80.
    Port HTTPS Ponechte výchozí nastavení. 443.
    Priorita Ponechte výchozí nastavení. 1.
    Hmotnost Ponechte výchozí nastavení. 1000.
    Soukromý odkaz Ponechte výchozí nastavení.
    Stav Povolte tento zdroj.

  6. Vyberte Přidat a přidejte zdroj do skupiny původu. Zbývající nastavení skupiny původu ponechte jako výchozí. Potom vyberte Přidat a vytvořte druhou skupinu původu.

    snímek obrazovky s původem služby App Service přidaným do skupiny původu

Schválení připojení privátního koncového bodu

  1. Po povolení služby Private Link pro prostředky původu budete muset před vytvořením privátního připojení schválit žádost o připojení privátního koncového bodu. Pokud chcete schválit připojení pro webové servery , vyhledejte prostředek služby Private Link, který jste vytvořili v předchozí jednotce s názvem myPrivateLinkService. V části Nastavení v levém panelu nabídky vyberte Připojení privátního koncového bodu.

  2. Vyberte nevyřízené připojení s popisem privátního připojení webServer a vyberte Schválit. Potom vyberte Ano potvrďte schválení pro navázání připojení.

    Snímek obrazovky se seznamem schválení připojení privátního koncového bodu pro webové servery

  3. Privátní koncový bod pro službu App Service nemusíte schvalovat, protože připojení je přes veřejný internet.

Přidání tras

Tady přidáte dvě trasy, které budou směrovat provoz na web registrace vozidel a na web pro prodloužení platnosti licence.

  1. Přejděte na správce služby Front Door profilu vehicleFrontDoor. Vyberte + Přidat trasu z koncového bodu, který jste vytvořili v kroku 2.

    snímek obrazovky s tlačítkem přidat trasu ze správce služby Front Door

  2. Vyberte nebo zadejte následující informace a pak vyberte Přidat a vytvořte první trasu na webu pro registraci vozidel.

    Snímek obrazovky s nastavením trasy registrace vozidel

    Nastavení Hodnota
    Jméno Zadejte registraci vozidla
    Povolená trasa Nechte zaškrtnuté.
    Domény V rozevírací nabídce vyberte jedinou dostupnou doménu.
    Vzory, které se mají shodovat Zadejte /VehicleRegistration, /VehicleRegistration/* a /*, aby se cesty shodovaly.
    Přijaté protokoly V rozevírací nabídce vyberte HTTP a HTTPS.
    Přesměrovat Odškrtněte Přesměrujte veškerý provoz na použití HTTPS
    Skupina původu V rozevírací nabídce vyberte webServers.
    Cesta původu Nechte prázdné.
    Protokol předávání Vyberte pouze HTTP.
    Cacheování Zaškrtněte políčko, abyste povolili ukládání do mezipaměti.
    Chování při ukládání řetězců dotazů do mezipaměti V rozevírací nabídce vyberte Ignorovat řetězec dotazu.

  3. Vyberte znovu + Přidat cestu a vytvořte cestu pro web pro prodloužení platnosti licence. Vyberte nebo zadejte následující informace a pak vyberte Přidat a vytvořte druhou trasu.

    Snímek obrazovky s nastavením trasy pro prodloužení platnosti licence

    Nastavení Hodnota
    Jméno Zadejte LicenseRenewal
    Povolená trasa Nechte zaškrtnuté políčko.
    Domény V rozevírací nabídce vyberte jedinou dostupnou doménu.
    Vzory, které se mají shodovat Zadejte /LicenseRenewal a /LicenseRenewal/*, aby se cesty shodovaly.
    Přijaté protokoly V rozevírací nabídce vyberte HTTP a HTTPS.
    Přesměrovat Odškrtnout Přesměrovat veškerý provoz na použití HTTPS
    Skupina původu V rozevírací nabídce vyberte appService.
    Cesta původu Nechte prázdné.
    Protokol předávání Vyberte Shoda příchozích požadavků.
    Cacheování Zaškrtněte políčko pro povolení ukládání do mezipaměti.
    Chování při ukládání řetězců dotazů do mezipaměti V rozevírací nabídce vyberte Ignorovat řetězec dotazu.

Vytvoření zásad zabezpečení

Pokud chcete chránit weby motorových vozidel, nakonfigurujete v koncovém bodu zásadu firewallu webových aplikací (WAF) použitím zásad zabezpečení.

  1. Ve Správci Front Door vyberte + Přidat zásadu pro koncový bod. Jako název zadejte securityPolicy a pak v rozevíracím seznamu vyberte doménu.

  2. Vyberte Vytvořit novou, abyste vytvořili novou zásadu WAF. Pojmenujte zásadu WAF frontdoorWAFa poté zvolte Uložit, aby se zásada WAF aplikovala na koncový bod.

    snímek obrazovky s přidáním zásad zabezpečení obsahujících nastavení zásad WAF

Nakonfigurujte zásady WAF

  1. Přejděte na prostředek frontdoorWAF, který jste vytvořili v posledním kroku. Ve přehleduvyberte Přepnout do režimu prevence a začněte blokovat škodlivý provoz.

    Snímek obrazovky s tlačítkem přepnout do režimu prevence ze stránky přehledu zásad WAF

  2. V levém bočním podokně vyberte Nastavení zásad v části Nastavení, abyste nakonfigurovali nastavení zásad této WAF politiky.

    Snímek obrazovky s tlačítkem nastavení zásad v části Nastavení zásad WAF

  3. Pokud chcete rychle zjistit, jestli zásady WAF fungují, nastavte stavový kód odpovědi na 999a potom vyberte Uložit pro použití nových nastavení zásad.

    snímek obrazovky s aktualizací kódu odpovědi pro blokované požadavky

Když je profil služby Front Door nakonfigurovaný, je čas ho otestovat odesláním požadavků.