Schnellstart: Erstellen einer Azure Front Door-Instanz mittels Azure CLI

In diesem Schnellstart erfahren Sie, wie Sie eine Azure Front Door-Instanz mittels Azure CLI erstellen. Sie richten ein Profil mit zwei Azure-Web-Apps als Ursprünge ein und fügen eine WAF-Sicherheitsrichtlinie hinzu. Anschließend überprüfen Sie die Konnektivität mit Ihren Web-Apps mithilfe des Hostnamens des Azure Front Door-Endpunkts.

Hinweis

Für Webworkloads wird dringend empfohlen, den Azure DDoS-Schutz und eine Webanwendungsfirewall zum Schutz vor neuen DDoS-Angriffen zu verwenden. Eine weitere Option besteht darin, Azure Front Door zusammen mit einer Webanwendungsfirewall zu verwenden. Azure Front Door bietet auf Plattformebene Schutz vor DDoS-Angriffen auf Netzwerkebene. Weitere Informationen finden Sie unter Sicherheitsbaseline für Azure-Dienste.

Wenn Sie kein Azure-Abonnement haben, erstellen Sie ein kostenloses Azure-Konto, bevor Sie beginnen.

Voraussetzungen

• Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.

  

• Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

  • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

  • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

  • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

Erstellen einer Ressourcengruppe

In Azure werden verwandte Ressourcen einer Ressourcengruppe zugeordnet. Sie können eine vorhandene Ressourcengruppe verwenden oder eine neue erstellen.

Führen Sie zum Erstellen einer Ressourcengruppe az group create aus.

az group create --name myRGFD --location centralus

Erstellen eines Azure Front Door-Profils

Erstellen Sie als Nächstes das Azure Front Door-Profil, das Ihre beiden App Services-Instanzen als Ursprung verwenden.

Führen Sie az afd profile create aus, um ein Azure Front Door-Profil zu erstellen.

Hinweis

Wenn Sie Azure Front Door Standard anstelle von Premium bereitstellen möchten, ersetzen Sie den Wert des sku-Parameters durch Standard_AzureFrontDoor. Verwaltete Regeln mit WAF-Richtlinie sind mit der Standard-SKU nicht verfügbar. Einen ausführlichen Vergleich finden Sie unter Vergleich der Azure Front Door-Dienstebenen.

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

Erstellen von zwei Instanzen einer Web-App

In diesem Schritt erstellen Sie zwei Web-App-Instanzen, die in verschiedenen Azure-Regionen ausgeführt werden. Beide Instanzen werden im Aktiv/Aktiv-Modus ausgeführt, sodass beide Datenverkehr verarbeiten können. Dieses Setup unterscheidet sich von einer Aktiv/Standby-Konfiguration, bei der eine Instanz als Failover dient.

Erstellen von App Service-Plänen

Erstellen Sie zunächst zwei App Service-Pläne: einen in USA, Mitte und einen zweiten in USA, Osten.

Führen Sie die folgenden Befehle aus, um die App Service-Pläne zu erstellen:

az appservice plan create \
    --name myAppServicePlanCentralUS \
    --resource-group myRGFD \
    --location centralus

az appservice plan create \
    --name myAppServicePlanEastUS \
    --resource-group myRGFD \
    --location eastus

Erstellen von Web-Apps

Erstellen Sie als Nächstes eine Web-App in jedem der im vorherigen Schritt erstellten App Service-Pläne. Die Namen von Web-Apps müssen global eindeutig sein.

Führen Sie die folgenden Befehle aus, um die Web-Apps zu erstellen:

az webapp create \
    --name WebAppContoso-01 \
    --resource-group myRGFD \
    --plan myAppServicePlanCentralUS

az webapp create \
    --name WebAppContoso-02 \
    --resource-group myRGFD \
    --plan myAppServicePlanEastUS

Notieren Sie sich die Standardhostnamen für jede Web-App, da Sie sie im nächsten Schritt beim Bereitstellen von Azure Front Door benötigen, um die Back-End-Adressen zu definieren.

Erstellen einer Azure Front Door-Instanz

Erstellen eines Azure Front Door-Profils

Führen Sie az afd profile create aus, um ein Azure Front Door-Profil zu erstellen.

Hinweis

Um Azure Front Door Standard anstelle von Premium bereitzustellen, legen Sie den sku-Parameter auf Standard_AzureFrontDoor fest. Verwaltete Regeln mit WAF-Richtlinie sind mit der Standard-SKU nicht verfügbar. Einen ausführlichen Vergleich finden Sie unter Vergleich der Azure Front Door-Dienstebenen.

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

Hinzufügen eines Endpunkts

Erstellen Sie einen Endpunkt in Ihrem Azure Front Door-Profil. Ein Endpunkt ist eine logische Gruppierung von mindestens einer Route, die Domänennamen zugeordnet wird. Jedem Endpunkt wird von Azure Front Door ein Domänenname zugewiesen, und Sie können Ihre Endpunkte mithilfe von Routen benutzerdefinierten Domänen zuordnen. Azure Front Door-Profile können mehrere Endpunkte enthalten.

Führen Sie zum Erstellen eines Endpunkts in Ihrem Profil az afd endpoint create aus.

az afd endpoint create \
    --resource-group myRGFD \
    --endpoint-name contosofrontend \
    --profile-name contosoafd \
    --enabled-state Enabled

Weitere Informationen zu Endpunkten in Azure Front Door finden Sie unter Endpunkte in Azure Front Door.

Erstellen einer Ursprungsgruppe

Erstellen Sie eine Ursprungsgruppe, die den Datenverkehr und die erwarteten Antworten für Ihre App-Instanzen definiert. Ursprungsgruppen definieren auch, wie Ursprünge bei Integritätstests ausgewertet werden.

Führen Sie az afd origin-group create aus, um eine Ursprungsgruppe zu erstellen, die Ihre beiden Web-Apps enthält.

az afd origin-group create \
    --resource-group myRGFD \
    --origin-group-name og \
    --profile-name contosoafd \
    --probe-request-type GET \
    --probe-protocol Http \
    --probe-interval-in-seconds 60 \
    --probe-path / \
    --sample-size 4 \
    --successful-samples-required 3 \
    --additional-latency-in-milliseconds 50

Hinzufügen von Ursprüngen zur Ursprungsgruppe

Fügen Sie Ihrer neuen Ursprungsgruppe die beiden zuvor erstellten App-Instanzen als Ursprünge hinzu. Ursprünge in Azure Front Door bezeichnen Anwendungen, aus denen Azure Front Door Inhalte abruft, wenn die Zwischenspeicherung nicht aktiviert ist oder wenn ein Cachefehler auftritt.

Führen Sie az afd origin create aus, um Ihre erste App-Instanz Ihrer Ursprungsgruppe als Ursprung hinzuzufügen.

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-01.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso1 \
    --origin-host-header webappcontoso-01.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

Wiederholen Sie diesen Schritt, um Ihrer Ursprungsgruppe Ihre zweite App-Instanz als Ursprung hinzuzufügen.

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-02.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso2 \
    --origin-host-header webappcontoso-02.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

Weitere Informationen zu Ursprüngen, Ursprungsgruppen und Integritätstests finden Sie unter Ursprünge und Ursprungsgruppen in Azure Front Door.

Hinzufügen einer Route

Fügen Sie eine Route hinzu, um den zuvor erstellten Endpunkt der Ursprungsgruppe zuzuordnen. Diese Route leitet Anforderungen vom Endpunkt an Ihre Ursprungsgruppe weiter.

Führen Sie az afd route create aus, um der Ursprungsgruppe Ihren Endpunkt zuzuordnen.

az afd route create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --endpoint-name contosofrontend \
    --forwarding-protocol MatchRequest \
    --route-name route \
    --https-redirect Enabled \
    --origin-group og \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled 

Weitere Informationen zu Routen in Azure Front Door finden Sie unter Routingmethoden für den Datenverkehr zum Ursprung.

Erstellen einer neuen Sicherheitsrichtlinie

Azure Web Application Firewall (WAF) in Azure Front Door bietet zentralisierten Schutz für Ihre Webanwendungen und schützt sie vor gängigen Exploits und Sicherheitsrisiken.

In diesem Tutorial erstellen Sie eine WAF-Richtlinie, die zwei verwaltete Regeln enthält. Sie können WAF-Richtlinien auch mit benutzerdefinierten Regeln erstellen.

Erstellen einer WAF-Richtlinie

Führen Sie az network front-door waf-policy create aus, um eine neue WAF-Richtlinie für Ihre Azure Front Door-Instanz zu erstellen. In diesem Beispiel wird eine Richtlinie erstellt, die aktiviert ist und sich im Schutzmodus befindet.

Hinweis

Verwaltete Regeln sind nur mit der Dienstebene Azure Front Door Premium verfügbar. Sie können benutzerdefinierte Regeln mit der Dienstebene Standard verwenden.

az network front-door waf-policy create \
    --name contosoWAF \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor \
    --disabled false \
    --mode Prevention

Hinweis

Wenn Sie den Detection-Modus auswählen, blockiert Ihre WAF keine Anforderungen.

Weitere Informationen zu WAF-Richtlinieneinstellungen für Azure Front Door finden Sie unter Richtlinieneinstellungen für Web Application Firewall in Azure Front Door.

Zuweisen verwalteter Regeln zur WAF-Richtlinie

Von Azure verwaltete Regelsätze bieten eine einfache Möglichkeit zum Schutz Ihrer Anwendung vor allgemeinen Sicherheitsbedrohungen.

Führen Sie az network front-door waf-policy managed-rules add aus, um Ihrer WAF-Richtlinie verwaltete Regeln hinzuzufügen. In diesem Beispiel werden Ihrer Richtlinie die Regeln Microsoft_DefaultRuleSet_2.1 und Microsoft_BotManagerRuleSet_1.0 hinzugefügt.

az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_DefaultRuleSet \
    --action Block \
    --version 2.1 

az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_BotManagerRuleSet \
    --version 1.0

Weitere Informationen zu verwalteten Regeln in Azure Front Door finden Sie unter DRS-Regelgruppen und -Regeln von Web Application Firewall.

Anwenden der Sicherheitsrichtlinie

Sie wenden nun die WAF-Richtlinien auf Ihre Azure Front Door-Instanz an, indem Sie eine Sicherheitsrichtlinie erstellen. Durch diese Einstellung werden die von Azure verwalteten Regeln auf den Endpunkt angewandt, den Sie zuvor definiert haben.

Führen Sie az afd security-policy create aus, um Ihre WAF-Richtlinie auf die Standarddomäne des Endpunkts anzuwenden.

Hinweis

Ersetzen Sie in den Parametern „domains“ und „waf-policy“ den Wert „mysubscription“ durch Ihre Azure-Abonnement-ID. Führen Sie az account subscription list aus, um Details zur Abonnement-ID abzurufen.

az afd security-policy create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --security-policy-name contososecurity \
    --domains /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Cdn/profiles/contosoafd/afdEndpoints/contosofrontend \
    --waf-policy /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/contosoWAF

Testen von Azure Front Door

Nachdem Sie ein Azure Front Door-Profil erstellt haben, dauert es einige Minuten, bis die Konfiguration global bereitgestellt ist. Nach Abschluss des Vorgangs können Sie auf den von Ihnen erstellten Front-End-Host zugreifen.

Führen Sie az afd endpoint show aus, um den Hostnamen des Azure Front Door-Endpunkts abzurufen.

az afd endpoint show --resource-group myRGFD --profile-name contosoafd --endpoint-name contosofrontend

Navigieren Sie in einem Browser zum Hostnamen des Endpunkts: contosofrontend-<hash>.z01.azurefd.net. Ihre Anforderung wird an die Web-App mit der geringsten Latenz in der Ursprungsgruppe weitergeleitet.

Führen Sie die folgenden Schritte aus, um das sofortige globale Failover zu testen:

1. Öffnen Sie einen Browser, und wechseln Sie zum Hostnamen des Endpunkts: contosofrontend-<hash>.z01.azurefd.net.

2. Beenden Sie eine der Web-Apps durch Ausführen von az webapp stop:

   az webapp stop --name WebAppContoso-01 --resource-group myRGFD
   

3. Aktualisieren Sie Ihren Browser. Die gleiche Seite mit Informationen sollte angezeigt werden.

Tipp

Bei diesen Aktionen kann eine kurze Verzögerung auftreten. Möglicherweise müssen Sie die Anzeige erneut aktualisieren.

4. Beenden Sie auch die andere Web-App:

   az webapp stop --name WebAppContoso-02 --resource-group myRGFD
   

5. Aktualisieren Sie Ihren Browser. Dieses Mal sollte eine Fehlermeldung angezeigt werden.

   

6. Starten Sie eine der Web-Apps durch Ausführen von az webapp start neu. Aktualisieren Sie Ihren Browser. Die Seite sollte wieder normal angezeigt werden.

   az webapp start --name WebAppContoso-01 --resource-group myRGFD
   

Bereinigen von Ressourcen

Wenn Sie die für Azure Front Door erstellten Ressourcen nicht mehr benötigen, können Sie die Ressourcengruppe löschen. Durch diese Aktion werden die Azure Front Door-Instanz und alle zugehörigen Ressourcen gelöscht.

Führen Sie den folgenden Befehl aus, um die Ressourcengruppe zu löschen:

az group delete --name myRGFD

Nächste Schritte

Fahren Sie mit dem nächsten Artikel fort, um zu erfahren, wie Sie Ihrer Azure Front Door-Instanz eine benutzerdefinierte Domäne hinzufügen.

Hinzufügen einer benutzerdefinierten Domäne