Verwenden von Azure Front Door mit Azure Storage-Blobs
Azure Front Door verbessert die Bereitstellung statischer Inhalte aus Azure Storage-Blobs und bietet eine sichere und skalierbare Architektur. Dieses Setup eignet sich ideal für verschiedene Anwendungsfälle, z. B. Websitehosting und Dateiübermittlung.
Aufbau
In dieser Referenzarchitektur wird ein Speicherkonto und ein Azure Front Door-Profil mit einem einzelnen Ursprung bereitgestellt.
Datenfluss
Die Daten durchlaufen das Szenario wie folgt:
- Der Client stellt mithilfe eines benutzerdefinierten Domänennamens und eines von Front Door bereitgestellten TLS-Zertifikats eine sichere Verbindung mit Azure Front Door her. Die Verbindung endet an einem nahe gelegenen Front Door Point of Presence (PoP).
- Die Azure Front Door Web Application Firewall (WAF) überprüft die Anforderung. Wenn die WAF feststellt, dass die Anforderung zu riskant ist, blockiert sie die Anforderung, und gibt als Antwort einen Fehler vom Typ „HTTP 403“ zurück.
- Wenn der Cache des Front Door PoP eine gültige Antwort enthält, gibt Front Door die Antwort sofort zurück.
- Sonst sendet der PoP die Anforderung über das Backbonenetzwerk von Microsoft an das Ursprungsspeicherkonto über eine separate, langlebige TCP-Verbindung. In diesem Szenario stellt Private Link eine sichere Verbindung mit dem Speicherkonto her.
- Das Speicherkonto sendet eine Antwort an den Front Door PoP.
- Das PoP speichert die Antwort im Cache für zukünftige Anforderungen.
- Der PoP gibt die Antwort an den Client zurück.
- Alle direkten Anforderungen, die direkt über das Internet an das Speicherkonto gesendet werden, werden von der Azure Storage-Firewall blockiert.
Komponenten
- Azure Storage: Speichert statischen Inhalt in Blobs.
- Azure Front Door: Empfängt eingehende Verbindungen von Clients, überprüft sie mit der WAF, leitet die Anforderung sicher an das Speicherkonto weiter und speichert Antworten zwischen.
Alternativen
Wenn Sie statische Dateien mit einem anderen Cloudspeicheranbieter oder in Ihrer eigenen Infrastruktur speichern, gilt dieses Szenario weiterhin weitgehend. Sie müssen jedoch sicherstellen, dass eingehender Datenverkehr an Ihren Herkunftsserver überprüft wird, um über die Front Door zu gelangen. Wenn Ihr Speicheranbieter Private Link nicht unterstützt, sollten Sie einen alternativen Ansatz verwenden und etwa das Front Door-Diensttag auf die Positivliste setzen und den Header X-Azure-FDID
überprüfen.
Szenariodetails
Die Bereitstellung statischer Inhalte ist in vielen Situationen von Vorteil, z B.:
- Bereitstellen von Images, CSS-Dateien und JavaScript-Dateien für eine Webanwendung
- Bereitstellen von Dateien und Dokumenten, z. B. PDF oder JSON-Dateien.
- Bereitstellen von Nichtstreamingvideos.
Statische Inhalte ändern sich in der Regel nicht häufig und können sehr groß sein, sodass sie sich ideal für das Caching eignen, um die Leistung zu verbessern und Kosten zu senken.
In komplexen Szenarien kann ein einzelnes Front Door-Profil sowohl statische als auch dynamische Inhalte bereitstellen. Sie können separate Ursprungsgruppen für jeden Inhaltstyp verwenden und die Routingfunktionen nutzen, um eingehende Anforderungen an den richtigen Ursprung weiterzuleiten.
Überlegungen
Skalierbarkeit und Leistung
AppFabric-Cachedienst fungiert als Content Delivery Network (CDN) und speichert die Inhalte in seinem global verteilten Netzwerk von PoPs zwischen. Wenn eine zwischengespeicherte Antwort verfügbar ist, bietet Azure Front Door sie schnell an, verbessert die Leistung und verringert die Auslastung des Ursprungs. Wenn das PoP über keine gültige zwischengespeicherte Antwort verfügt, beschleunigt die Datenverkehrsbeschleunigungsfunktionen von Azure Front Door die Inhaltsübermittlung vom Ursprung aus.
Sicherheit
Authentifizierung
Azure Front Door wurde für Szenarien mit Internetzugriff entwickelt und ist für öffentlich zugängliche Blobs optimiert. Um sich für den Zugriff auf Blobs zu authentifizieren, sollten Sie die Verwendung von freigegebenen Zugriffssignaturen (Shared Access Signatures, SAS) in Betracht ziehen. Stellen Sie sicher, dass Sie das Verhalten Abfragezeichenfolge verwenden aktivieren, um zu verhindern, dass Azure Front Door Anforderungen an nicht authentifizierte Clients bereitstellt. Dieser Ansatz kann die Effektivität der Zwischenspeicherung einschränken, da jede Anforderung mit einem anderen SAS an den Ursprung gesendet werden muss.
Ursprungssicherheit
Azure Front Door verbindet sich sicher mit dem Azure Storage-Konto mit Private Link. Das Speicherkonto ist so konfiguriert, dass der direkte Internetzugang verweigert wird, sodass Anforderungen nur über den privaten Endpunkt zugelassen werden, der von Azure Front Door verwendet wird. Diese Einstellung stellt sicher, dass alle Anforderungen von Azure Front Door verarbeitet werden, um Ihr Speicherkonto vor direkter Internetverbindung zu schützen. Für diese Konfiguration ist die Premiumebene von Azure Front Door erforderlich. Wenn Sie die Standardebene verwenden, muss Ihr Speicherkonto öffentlich zugänglich sein. Sie können Anforderungen mit einer freigegebenen Zugriffssignatur (Shared Access Signature, SAS) sichern und entweder die SAS in ihre Anforderungen einschließen oder das Azure Front Door-Regelmodul verwenden, um sie anzufügen.
Benutzerdefinierte Domänennamen
Azure Front Door unterstützt benutzerdefinierte Domänennamen und kann TLS-Zertifikate für diese Domänen verwalten. Durch die Verwendung benutzerdefinierter Domänen wird sichergestellt, dass Clients Dateien von einer vertrauenswürdigen Quelle empfangen, wobei TLS jede Verbindung mit Azure Front Door verschlüsselt. Die Verwaltung von TLS-Zertifikaten von Azure Front Door trägt dazu bei, Ausfälle und Sicherheitsprobleme von ungültigen oder veralteten Zertifikaten zu vermeiden.
Web Application Firewall
Die verwalteten Regelsätze von Azure Front Door WAF überprüfen Anforderungen auf häufige und neue Sicherheitsbedrohungen. Es wird empfohlen, WAF und verwaltete Regeln sowohl für statische als auch für dynamische Anwendungen zu verwenden.
Darüber hinaus kann die Azure Front Door-WAF bei Bedarf eine Ratenbegrenzung und Geofilterung durchführen.
Resilienz
Azure Front Door ist ein hochverfügbarer Dienst mit einer global verteilten Architektur, die resilient gegenüber Ausfällen einzelner Azure-Regionen und PoPs ist.
Durch die Verwendung des Azure Front Door-Caches wird die Last ihres Speicherkontos reduziert. Wenn Ihr Speicherkonto nicht verfügbar ist, kann Azure Front Door weiterhin zwischengespeicherte Antworten bereitstellen, bis Ihre Anwendung wiederhergestellt wird.
Um die Resilienz weiter zu verbessern, sollten Sie die Redundanz Ihres Speicherkontos berücksichtigen. Weitere Informationen finden Sie unter Azure Storage-Redundanz. Alternativ können Sie mehrere Speicherkonten bereitstellen und mehrere Ursprünge in Ihrer Azure Front Door-Ursprungsgruppe konfigurieren. Einrichten eines Failovers zwischen Ursprüngen durch Konfigurieren der Priorität jedes Ursprungs. Weitere Informationen finden Sie unter Ursprünge und Ursprungsgruppen in Azure Front Door.
Kostenoptimierung
Zwischenspeicherung kann dazu beitragen, die Kosten für die Bereitstellung statischer Inhalte zu senken. Die PoPs von Azure Front Door speichern Kopien von Antworten und können diese zwischengespeicherten Antworten für nachfolgende Anforderungen bereitstellen, wodurch die Anforderungslast auf den Ursprung reduziert wird. Bei statischen inhaltsbasierten Lösungen mit umfassender Skalierung, insbesondere bei Lösungen, die große Dateien bereitstellen, kann das Zwischenspeichern die Datenverkehrskosten erheblich reduzieren.
Um Private Link in dieser Lösung zu verwenden, stellen Sie den Premium-Tarif von Front Door bereit. Die Standardebene kann verwendet werden, wenn Sie keinen direkten Datenverkehr zu Ihrem Speicherkonto blockieren müssen. Weitere Informationen finden Sie unter Ursprungssicherheit.
Bereitstellen dieses Szenarios
Informationen zum Bereitstellen dieses Szenarios mithilfe von Bicep oder JSON-ARM-Vorlagen finden Sie in dieser Schnellstartanleitung.
Informationen zum Bereitstellen dieses Szenarios mithilfe von Terraform finden Sie in dieser Schnellstartanleitung.
Nächste Schritte
Erfahren Sie, wie Sie ein Azure Front Door-Profil erstellen.