Démarrage rapide : créer une instance Azure Front Door à l’aide d’Azure CLI

Dans ce guide de démarrage rapide, vous allez apprendre à créer une instance Azure Front Door à l’aide d’Azure CLI. Vous définissez un profil avec deux instance Azure Web Apps et ajoutez une stratégie de sécurité de pare-feu d’applications web (WAF). Enfin, vous vérifiez la connectivité de vos instances Web Apps en utilisant le nom d’hôte du point de terminaison Azure Front Door.

Remarque

Pour les charges de travail Web, nous vous recommandons vivement d’utiliser la protection DDoS Azure et un pare-feu d’applications Web pour vous protéger contre les attaques DDoS émergentes. Une autre option consiste à utiliser Azure Front Door avec un pare-feu d’applications Web. Azure Front Door offre une protection au niveau de la plateforme contre les attaques DDoS au niveau du réseau. Pour plus d’informations, consultez Base de référence de la sécurité pour les services Azure.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit Azure avant de commencer.

Prérequis

• Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Bash dans Azure Cloud Shell.

  

• Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.

  • Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.

  • Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.

  • Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.

Créer un groupe de ressources

Dans Azure, vous allouez les ressources associées à un groupe de ressources. Vous pouvez utiliser un groupe de ressources existant ou en créer un.

Exécutez az group create pour créer un groupe de ressources.

az group create --name myRGFD --location centralus

Créer un profil Azure Front Door

Ensuite, vous créez le profil Azure Front Door que vos deux instances App Services utilisent en tant qu’origines.

Exécutez az afd profile create pour créer un profil Azure Front Door.

Remarque

Si vous souhaitez déployer Azure Front Door Standard au lieu de Premium, remplacez la valeur du paramètre de SKU par Standard_AzureFrontDoor. Les règles managées avec une stratégie WAF ne sont pas disponibles avec la SKU Standard. Pour découvrir une comparaison détaillée, consultez Comparaison des niveaux Azure Front Door.

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

Créer deux instances d’une application web

Dans cette étape, vous créez deux instances d’application web qui s’exécutent dans différentes régions Azure. Les deux instances fonctionnent en mode actif/actif, ce qui signifie qu’elles peuvent gérer le trafic. Cette configuration est différente d’une configuration Actif/Veille où une instance sert de basculement.

Créer des plans App Service

Créez tout d’abord deux plans App Service : un dans USA Centre et un autre dans USA Est.

Exécutez les commandes suivantes pour créer les plans App Service :

az appservice plan create \
    --name myAppServicePlanCentralUS \
    --resource-group myRGFD \
    --location centralus

az appservice plan create \
    --name myAppServicePlanEastUS \
    --resource-group myRGFD \
    --location eastus

Créer des applications web

Créez ensuite une application web dans chacun des plans App Service créés à l’étape précédente. Les noms d’application web doivent être globalement uniques.

Exécutez les commandes suivantes pour créer les applications web :

az webapp create \
    --name WebAppContoso-01 \
    --resource-group myRGFD \
    --plan myAppServicePlanCentralUS

az webapp create \
    --name WebAppContoso-02 \
    --resource-group myRGFD \
    --plan myAppServicePlanEastUS

Prenez note des noms d’hôte par défaut pour chaque application web, car vous en aurez besoin pour définir les adresses de back-end lors du déploiement de l’instance Azure Front Door à l’étape suivante.

Créer un Azure Front Door

Créer un profil Azure Front Door

Exécutez az afd profile create pour créer un profil Azure Front Door.

Remarque

Pour déployer une instance Azure Front Door Standard au lieu de Premium, définissez le paramètre sku sur Standard_AzureFrontDoor. Les règles managées avec une stratégie WAF ne sont pas disponibles avec la SKU Standard. Pour découvrir une comparaison détaillée, consultez Comparaison des niveaux Azure Front Door.

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

Ajout d’un point de terminaison

Créez un point de terminaison dans votre profil Azure Front Door. Un point de terminaison est un regroupement logique d’un ou de plusieurs routes associées à des noms de domaine. Chaque point de terminaison se voit attribuer un nom de domaine par Azure Front Door, et vous pouvez associer des points de terminaison à des domaines personnalisés en utilisant des routes. Les profils Azure Front Door peuvent contenir plusieurs points de terminaison.

Exécutez az afd endpoint create pour créer un point de terminaison dans votre profil.

az afd endpoint create \
    --resource-group myRGFD \
    --endpoint-name contosofrontend \
    --profile-name contosoafd \
    --enabled-state Enabled

Pour découvrir plus d’informations sur les points de terminaison dans Azure Front Door, consultez Points de terminaison dans Azure Front Door.

Créer un groupe d’origins

réer un groupe d’origines qui défini le trafic et les réponses attendues pour vos instances d’application. Les groupes d’origine définissent également le mode d’évaluation des origines par des sondes d’intégrité.

Exécutez az afd origin-group create pour créer un groupe d’origine contenant vos deux applications web.

az afd origin-group create \
    --resource-group myRGFD \
    --origin-group-name og \
    --profile-name contosoafd \
    --probe-request-type GET \
    --probe-protocol Http \
    --probe-interval-in-seconds 60 \
    --probe-path / \
    --sample-size 4 \
    --successful-samples-required 3 \
    --additional-latency-in-milliseconds 50

Ajouter des origines au groupe d’origine

Ajouter vos deux instances d’application créées précédemment en tant qu’origines de votre nouveau groupe d’origines. Les origines dans Azure Front Door font référence aux applications dont Azure Front Door récupère le contenu lorsque la mise en cache n’est pas activée ou lorsqu’un cache est manquant.

Exécutez az afd origin create pour ajouter votre première instance d’application en tant qu’origine à votre groupe d’origines.

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-01.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso1 \
    --origin-host-header webappcontoso-01.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

Répétez cette étape pour ajouter votre seconde instance d’application en tant qu’origine à votre groupe d’origines.

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-02.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso2 \
    --origin-host-header webappcontoso-02.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

Pour découvrir plus d’informations sur les origines, les groupes d’origines et les sondes d’intégrité, consultez Origines et groupes d’origines dans Azure Front Door.

Ajouter un itinéraire

Ajoutez une route pour mapper le point de terminaison créé précédemment au groupe d’origines. Cet itinéraire transfère les requêtes du point de terminaison au groupe d’origin.

Exécutez az afd route create pour mapper votre point de terminaison au groupe d’origin.

az afd route create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --endpoint-name contosofrontend \
    --forwarding-protocol MatchRequest \
    --route-name route \
    --https-redirect Enabled \
    --origin-group og \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled 

Pour en savoir plus sur les routes dans Azure Front Door, consultez Méthodes de routage du trafic vers l’origine.

Créer une stratégie de sécurité

Azure Web Application Firewall (WAF) sur Azure Front Door fournit une protection centralisée pour vos applications web, en les défendant contre les attaques et les vulnérabilités courantes.

Dans ce tutoriel, vous créez une stratégie WAF qui inclut deux règles managées. Vous pouvez également créer des stratégies de pare-feu d’applications web (WAF) avec des règles personnalisées.

Créer une stratégie de pare-feu d’applications web (WAF).

Exécutez az network front-door waf-policy create pour créer une stratégie WAF pour votre instance Azure Front Door. Cet exemple crée une stratégie qui est activée en mode prévention.

Remarque

Les règles managées sont uniquement disponibles avec le niveau Azure Front Door Premium. Vous pouvez utiliser des règles personnalisées avec le niveau Standard.

az network front-door waf-policy create \
    --name contosoWAF \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor \
    --disabled false \
    --mode Prevention

Remarque

Si vous sélectionnez le mode Detection, votre WAF ne bloque aucune requête.

Pour découvrir plus d’informations sur les paramètres de stratégie WAF pour Azure Front Door, consultez Paramètres de stratégie pour le pare-feu d’applications web sur Azure Front Door.

Affecter des règles managées à la stratégie WAF

Les jeux de règles managées par Azure offrent un moyen simple de protéger votre application contre les menaces de sécurité courantes.

Exécutez az network front-door waf-policy managed-rules add pour ajouter des règles managées à votre stratégie WAF. Cet exemple ajoute Microsoft_DefaultRuleSet_2.1 et Microsoft_BotManagerRuleSet_1.0 à votre stratégie.

az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_DefaultRuleSet \
    --action Block \
    --version 2.1 

az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_BotManagerRuleSet \
    --version 1.0

Pour découvrir plus d’informations sur les règles managées dans Azure Front Door, consultez Règles et groupes de règles DRS de Web Application Firewall.

Appliquer la stratégie de sécurité

Appliquez maintenant les stratégies WAF à votre Azure Front Door en créant une stratégie de sécurité. Ce paramètre applique les règles managées par Azure au point de terminaison défini précédemment.

Exécutez az afd security-policy create pour appliquer votre stratégie WAF au domaine par défaut du point de terminaison.

Remarque

Remplacez « mysubscription » par votre ID d’abonnement Azure dans les domaines et paramètres waf-policy (stratégie de WAF). Exécutez az account subscription list pour obtenir les détails de l’ID d’abonnement.

az afd security-policy create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --security-policy-name contososecurity \
    --domains /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Cdn/profiles/contosoafd/afdEndpoints/contosofrontend \
    --waf-policy /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/contosoWAF

Tester l’instance Azure Front Door

Après avoir créé le profil Azure Front Door, le déploiement mondial de la configuration prend quelques minutes. Une fois l’opération terminée, vous pouvez accéder à l’hôte frontal que vous avez créé.

Exécutez az afd endpoint show pour obtenir le nom d’hôte du point de terminaison Azure Front Door.

az afd endpoint show --resource-group myRGFD --profile-name contosoafd --endpoint-name contosofrontend

Dans un navigateur, allez vers le nom d’hôte du point de terminaison : contosofrontend-<hash>.z01.azurefd.net. Votre requête est acheminée vers l’application web la moins latente dans le groupe d’origines.

Pour tester le basculement global instantané, suivez ces étapes :

1. Ouvrez un navigateur et accédez au nom d’hôte du point de terminaison : contosofrontend-<hash>.z01.azurefd.net.

2. Arrêtez l’une des Web Apps en exécutant az webapp stop :

   az webapp stop --name WebAppContoso-01 --resource-group myRGFD
   

3. Actualisez votre navigateur. Vous devriez voir la même page d’informations.

Conseil

Il est possible qu’il y ait un léger retard pour ces actions. Vous devrez peut-être actualiser une nouvelle fois.

4. Arrêtez également l’autre application web :

   az webapp stop --name WebAppContoso-02 --resource-group myRGFD
   

5. Actualisez votre navigateur. Cette fois, vous devriez voir un message d’erreur.

   

6. Arrêtez l’une des Web Apps en exécutant az webapp start. Actualisez votre navigateur pour que la page revienne à la normale.

   az webapp start --name WebAppContoso-01 --resource-group myRGFD
   

Nettoyer les ressources

Quand vous n’avez plus besoin des ressources créées pour Azure Front Door, vous pouvez supprimer le groupe de ressources. Cette action supprime l’instance Azure Front Door et toutes les ressources associées.

Exécutez la commande suivante pour supprimer le groupe de ressources :

az group delete --name myRGFD

Étapes suivantes

Passez à l’article suivant pour découvrir comment ajouter un domaine personnalisé à votre Azure Front Door.

Ajouter un domaine personnalisé