Schnellstart: Erstellen einer Azure Front Door-Instanz mit Terraform

In diesem Schnellstart wird beschrieben, wie Sie Terraform zum Erstellen einer Front Door-Instanz verwenden, um Hochverfügbarkeit für einen Webendpunkt einzurichten.

Hinweis

Für Webworkloads wird dringend empfohlen, den Azure DDoS-Schutz und eine Webanwendungsfirewall zum Schutz vor neuen DDoS-Angriffen zu verwenden. Eine weitere Option besteht darin, Azure Front Door zusammen mit einer Webanwendungsfirewall zu verwenden. Azure Front Door bietet auf Plattformebene Schutz vor DDoS-Angriffen auf Netzwerkebene. Weitere Informationen finden Sie unter Sicherheitsbaseline für Azure-Dienste.

In diesem Artikel werden folgende Vorgehensweisen behandelt:

• Erstellen eines Zufallswerts für den Azure-Ressourcengruppennamen mithilfe von random_pet.
• Erstellen einer Azure-Ressourcengruppe mithilfe von azurerm_resource_group.
• Erstellen Sie mithilfe von random_id einen zufälligen Wert für den Namen der Front Door-Endpunktressource und den Namen der App Service-App.
• Erstellen Sie mithilfe von azurerm_cdn_frontdoor_profile ein Front Door-Profil.
• Erstellen Sie mithilfe von azurerm_cdn_frontdoor_endpoint einen Front Door-Endpunkt.
• Erstellen Sie mithilfe von azurerm_cdn_frontdoor_origin_group eine Front Door-Ursprungsgruppe.
• Erstellen Sie mithilfe von azurerm_cdn_frontdoor_origin einen Front Door-Ursprung, der auf die App Service-App verweist.
• Erstellen Sie mithilfe von azurerm_cdn_frontdoor_route eine Front Door-Route.
• Erstellen Sie mithilfe von azurerm_service_plan einen App Service-Plan.
• Erstellen Sie mithilfe von azurerm_windows_web_app eine App Service-App.

Voraussetzungen

• Installieren und Konfigurieren von Terraform

Implementieren des Terraform-Codes

Hinweis

Der Beispielcode für diesen Artikel befindet sich im Azure Terraform-GitHub-Repository. Sie können die Protokolldatei anzeigen, die die Testergebnisse von aktuellen und früheren Terraform-Versionen enthält.

Betrachten Sie die weiteren Artikel und Beispielcodes zur Verwendung von Terraform zum Verwalten von Azure-Ressourcen.

1. Erstellen Sie ein Verzeichnis, in dem der Terraform-Beispielcode getestet werden soll, und legen Sie es als aktuelles Verzeichnis fest.

2. Erstellen Sie eine Datei namens providers.tf, und fügen Sie den folgenden Code ein:

   terraform {
     required_version = ">=1.0"
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>3.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
     }
   }
   provider "azurerm" {
     features {}
   }
   

3. Erstellen Sie eine Datei namens main.tf, und fügen Sie den folgenden Code ein:

   resource "random_pet" "rg-name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "azurerm_resource_group" "rg" {
     name     = random_pet.rg-name.id
     location = var.resource_group_location
   }
   
   resource "random_id" "front_door_endpoint_name" {
     byte_length = 8
   }
   
   locals {
     front_door_profile_name      = "MyFrontDoor"
     front_door_endpoint_name     = "afd-${lower(random_id.front_door_endpoint_name.hex)}"
     front_door_origin_group_name = "MyOriginGroup"
     front_door_origin_name       = "MyAppServiceOrigin"
     front_door_route_name        = "MyRoute"
   }
   
   resource "azurerm_cdn_frontdoor_profile" "my_front_door" {
     name                = local.front_door_profile_name
     resource_group_name = azurerm_resource_group.rg.name
     sku_name            = var.front_door_sku_name
   }
   
   resource "azurerm_cdn_frontdoor_endpoint" "my_endpoint" {
     name                     = local.front_door_endpoint_name
     cdn_frontdoor_profile_id = azurerm_cdn_frontdoor_profile.my_front_door.id
   }
   
   resource "azurerm_cdn_frontdoor_origin_group" "my_origin_group" {
     name                     = local.front_door_origin_group_name
     cdn_frontdoor_profile_id = azurerm_cdn_frontdoor_profile.my_front_door.id
     session_affinity_enabled = true
   
     load_balancing {
       sample_size                 = 4
       successful_samples_required = 3
     }
   
     health_probe {
       path                = "/"
       request_type        = "HEAD"
       protocol            = "Https"
       interval_in_seconds = 100
     }
   }
   
   resource "azurerm_cdn_frontdoor_origin" "my_app_service_origin" {
     name                          = local.front_door_origin_name
     cdn_frontdoor_origin_group_id = azurerm_cdn_frontdoor_origin_group.my_origin_group.id
   
     enabled                        = true
     host_name                      = azurerm_windows_web_app.app.default_hostname
     http_port                      = 80
     https_port                     = 443
     origin_host_header             = azurerm_windows_web_app.app.default_hostname
     priority                       = 1
     weight                         = 1000
     certificate_name_check_enabled = true
   }
   
   resource "azurerm_cdn_frontdoor_route" "my_route" {
     name                          = local.front_door_route_name
     cdn_frontdoor_endpoint_id     = azurerm_cdn_frontdoor_endpoint.my_endpoint.id
     cdn_frontdoor_origin_group_id = azurerm_cdn_frontdoor_origin_group.my_origin_group.id
     cdn_frontdoor_origin_ids      = [azurerm_cdn_frontdoor_origin.my_app_service_origin.id]
   
     supported_protocols    = ["Http", "Https"]
     patterns_to_match      = ["/*"]
     forwarding_protocol    = "HttpsOnly"
     link_to_default_domain = true
     https_redirect_enabled = true
   }
   

4. Erstellen Sie eine Datei namens app-service.tf, und fügen Sie den folgenden Code ein:

   resource "random_id" "app_name" {
     byte_length = 8
   }
   
   locals {
     app_name              = "myapp-${lower(random_id.app_name.hex)}"
     app_service_plan_name = "AppServicePlan"
   }
   
   resource "azurerm_service_plan" "app_service_plan" {
     name                = local.app_service_plan_name
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
   
     sku_name     = var.app_service_plan_sku_name
     os_type      = "Windows"
     worker_count = var.app_service_plan_capacity
   }
   
   resource "azurerm_windows_web_app" "app" {
     name                = local.app_name
     location            = azurerm_resource_group.rg.location
     resource_group_name = azurerm_resource_group.rg.name
     service_plan_id     = azurerm_service_plan.app_service_plan.id
   
     https_only = true
   
     site_config {
       ftps_state          = "Disabled"
       minimum_tls_version = "1.2"
       ip_restriction {
         service_tag               = "AzureFrontDoor.Backend"
         ip_address                = null
         virtual_network_subnet_id = null
         action                    = "Allow"
         priority                  = 100
         headers {
           x_azure_fdid      = [azurerm_cdn_frontdoor_profile.my_front_door.resource_guid]
           x_fd_health_probe = []
           x_forwarded_for   = []
           x_forwarded_host  = []
         }
         name = "Allow traffic from Front Door"
       }
     }
   }
   

5. Erstellen Sie eine Datei namens variables.tf, und fügen Sie den folgenden Code ein:

   variable "resource_group_location" {
     type        = string
     description = "Location for all resources."
     default     = "eastus"
   }
   
   variable "resource_group_name_prefix" {
     type        = string
     description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
     default     = "rg"
   }
   
   variable "app_service_plan_sku_name" {
     type        = string
     description = "The SKU for the plan. Possible values include: B1, B2, B3, D1, F1, I1, I2, I3, I1v2, I2v2, I3v2, I4v2, I5v2, I6v2, P1v2, P2v2, P3v2, P0v3, P1v3, P2v3, P3v3, P1mv3, P2mv3, P3mv3, P4mv3, P5mv3, S1, S2, S3, SHARED, EP1, EP2, EP3, WS1, WS2, WS3, Y1."
     default     = "S1"
     validation {
       condition     = contains(["B1", "B2", "B3", "D1", "F1", "I1", "I2", "I3", "I1v2", "I2v2", "I3v2", "I4v2", "I5v2", "I6v2", "P1v2", "P2v2", "P3v2", "P0v3", "P1v3", "P2v3", "P3v3", "P1mv3", "P2mv3", "P3mv3", "P4mv3", "P5mv3", "S1", "S2", "S3", "SHARED", "EP1", "EP2", "EP3", "WS1", "WS2", "WS3", "Y1"], var.app_service_plan_sku_name)
       error_message = "The SKU value must be one of the following: B1, B2, B3, D1, F1, I1, I2, I3, I1v2, I2v2, I3v2, I4v2, I5v2, I6v2, P1v2, P2v2, P3v2, P0v3, P1v3, P2v3, P3v3, P1mv3, P2mv3, P3mv3, P4mv3, P5mv3, S1, S2, S3, SHARED, EP1, EP2, EP3, WS1, WS2, WS3, Y1."
     }
   }
   
   variable "app_service_plan_capacity" {
     type        = number
     description = "The number of Workers (instances) to be allocated."
     default     = 1
   }
   
   variable "front_door_sku_name" {
     type        = string
     description = "The SKU for the Front Door profile. Possible values include: Standard_AzureFrontDoor, Premium_AzureFrontDoor"
     default     = "Standard_AzureFrontDoor"
     validation {
       condition     = contains(["Standard_AzureFrontDoor", "Premium_AzureFrontDoor"], var.front_door_sku_name)
       error_message = "The SKU value must be one of the following: Standard_AzureFrontDoor, Premium_AzureFrontDoor."
     }
   }
   

6. Erstellen Sie eine Datei namens outputs.tf, und fügen Sie den folgenden Code ein:

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   
   
   output "frontDoorEndpointHostName" {
     value = azurerm_cdn_frontdoor_endpoint.my_endpoint.host_name
   }
   

Initialisieren von Terraform

Führen Sie zum Initialisieren der Terraform-Bereitstellung terraform init aus. Mit diesem Befehl wird der Azure-Anbieter heruntergeladen, der zum Verwalten Ihrer Azure-Ressourcen erforderlich ist.

terraform init -upgrade

Die wichtigsten Punkte:

• Der Parameter -upgrade aktualisiert die erforderlichen Anbieter-Plug-Ins auf die neueste Version, die den Versionseinschränkungen der Konfiguration entspricht.

Erstellen eines Terraform-Ausführungsplans

Führen Sie terraform plan aus, um einen Ausführungsplan zu erstellen.

terraform plan -out main.tfplan

Die wichtigsten Punkte:

• Durch den Befehl terraform plan wird ein Ausführungsplan erstellt, aber nicht ausgeführt. Stattdessen werden die Aktionen ermittelt, die erforderlich sind, um die in Ihren Konfigurationsdateien angegebene Konfiguration zu erstellen. Mit diesem Muster können Sie überprüfen, ob der Ausführungsplan Ihren Erwartungen entspricht, bevor Sie Änderungen an den eigentlichen Ressourcen vornehmen.
• Der optionale Parameter -out ermöglicht die Angabe einer Ausgabedatei für den Plan. Durch die Verwendung des Parameters -out wird sichergestellt, dass genau der von Ihnen überprüfte Plan angewendet wird.

Anwenden eines Terraform-Ausführungsplans

Führen Sie terraform apply aus, um den Ausführungsplan auf Ihre Cloudinfrastruktur anzuwenden.

terraform apply main.tfplan

Die wichtigsten Punkte:

• Der Beispielbefehl terraform apply setzt voraus, dass Sie zuvor terraform plan -out main.tfplan ausgeführt haben.
• Wenn Sie einen anderen Dateinamen für den Parameter -out angegeben haben, verwenden Sie denselben Dateinamen im Aufruf von terraform apply.
• Wenn Sie den Parameter -out nicht verwendet haben, rufen Sie terraform apply ohne Parameter auf.

Überprüfen der Ergebnisse

1. Rufen Sie den Front Door-Endpunkt ab:

   terraform output -raw frontDoorEndpointHostName
   

2. Fügen Sie den Endpunkt in einen Browser ein.

   

Bereinigen von Ressourcen

Wenn Sie die über Terraform erstellten Ressourcen nicht mehr benötigen, führen Sie die folgenden Schritte aus:

1. Führen Sie terraform plan aus, und geben Sie das Flag destroy an.

   terraform plan -destroy -out main.destroy.tfplan
   

   Die wichtigsten Punkte:

   • Durch den Befehl terraform plan wird ein Ausführungsplan erstellt, aber nicht ausgeführt. Stattdessen werden die Aktionen ermittelt, die erforderlich sind, um die in Ihren Konfigurationsdateien angegebene Konfiguration zu erstellen. Mit diesem Muster können Sie überprüfen, ob der Ausführungsplan Ihren Erwartungen entspricht, bevor Sie Änderungen an den eigentlichen Ressourcen vornehmen.
   • Der optionale Parameter -out ermöglicht die Angabe einer Ausgabedatei für den Plan. Durch die Verwendung des Parameters -out wird sichergestellt, dass genau der von Ihnen überprüfte Plan angewendet wird.

2. Führen Sie zum Anwenden des Ausführungsplans den Befehl terraform apply aus.

   terraform apply main.destroy.tfplan
   

Problembehandlung für Terraform in Azure

Behandeln allgemeiner Probleme bei der Verwendung von Terraform in Azure

Nächste Schritte

Übersicht über Azure Front Door