Front Door maken en configureren
Front Door heeft verschillende onderdelen die combineren om aanvragen voor webtoepassingen te versnellen en tegelijkertijd hoge beschikbaarheid op wereldwijde schaal te behouden. Laten we eens kijken naar de verschillende onderdelen waaruit de Front Door-service bestaat en hoe ze een rol spelen bij het routeren van de aanvragen van de eindgebruiker.
Eindpunten
Een eindpunt is een logische groepering van een of meer routes en beveiligingsbeleidsregels die aan een domein zijn gekoppeld. Een profiel voor de Standard- of Premium-laag kan meer dan één eindpunt ondersteunen.
Routes
Front Door-routeringsregels bepalen hoe elke aanvraag wordt verwerkt zodra deze bij de rand van Front Door aankomt. Een route bevat informatie voor het toewijzen van domeinen en URL-paden naar een specifieke oorspronkelijke groep. Binnen een route kunt u de protocollen configureren die worden gebruikt voor aanvragen die worden doorgestuurd naar de oorsprong. U kunt caching ook inschakelen voor een snellere reactie van vaak aangevraagde inhoud en regelsets instellen voor het afhandelen van specifieke aanvraagtypen.
Oorsprong
Een oorsprong is een toepassingsimplementatie waaruit Azure Front Door inhoud ophaalt wanneer caching niet beschikbaar is. Front Door biedt ondersteuning voor origins die zowel worden gehost in Azure, on-premises als in een andere cloud. Bij het definiëren van een oorsprong moet u het type, hostnaam, hostheader, validatie van certificaatonderwerpnaam, prioriteit en gewicht opgeven. Door deze velden te definiëren, kan Front Door bepalen welke bron het meest geschikt is om te reageren op de binnenkomende aanvragen.
Oorsprongsgroepen
Een oorsprongsgroep is een set van origins die soortgelijk verkeer ontvangen voor hun toepassing. Deze logische groepering van toepassingen kan zich in dezelfde regio of in verschillende regio's bevinden. Aanvragen worden standaard verzonden naar de oorsprongen met de laagste latentie. Dit gedrag kan worden gewijzigd door de prioriteit en het gewicht van elke oorsprong in de oorspronkelijke groep te wijzigen. U kunt sessieaffiniteit ook inschakelen in een origin-groep om ervoor te zorgen dat alle aanvragen van dezelfde gebruiker worden verzonden naar dezelfde origin-resource.
Regelengine
Een regelset is een aangepaste regelengine die een combinatie van regels in één set groepeert. Een regelset kan worden gekoppeld aan meerdere routes. Deze regels worden verwerkt aan de rand van de Front Door-service voordat aanvragen worden doorgestuurd naar de oorspronkelijke server. Eén regel kan maximaal 10 voorwaarden voor overeenkomst en vijf acties bevatten.
Regels komen overeen met voorwaarden
De voorwaarden voor overeenstemming identificeren het specifieke type acties dat het verzoek moet uitvoeren. Wanneer meerdere overeenkomstvoorwaarden in een regel worden gebruikt, worden ze gegroepeerd met behulp van een AND-logica.
De volgende typen overeenkomstvoorwaarden vindt u in een regelset:
- Filter aanvragen op basis van een specifiek IP-adres, poort of land/regio.
- Filter aanvragen op basis van headerinformatie.
- Filter aanvragen van mobiele apparaten of desktopapparaten.
- Filter aanvraagbestanden op bestandsnaam en extensie.
- Filter aanvragen op hostnaam, TLS-protocol, aanvraag-URL, protocol, pad, queryreeks, post args en andere waarden.
Regelsacties
Een actie is het gedrag dat wordt toegepast op het aanvraagtype wanneer deze overeenkomt met de overeenkomstvoorwaarde(n). Hier volgen de acties die u momenteel kunt ondernemen zodra een aanvraag overeenkomt met een voorwaarde:
- routeconfiguratie overschrijven: als u de oorspronkelijke groep of de cacheconfiguratie wilt overschrijven die voor de aanvraag moet worden gebruikt.
- aanvraagheader wijzigen: als u de headerwaarde wilt toevoegen, overschrijven of verwijderen in de aanvraag die naar de oorsprong wordt verzonden.
- antwoordheader wijzigen: als u de headerwaarde in het antwoord wilt toevoegen, overschrijven of verwijderen voordat u terugstuurt naar de client.
- URL omleiden : clients omleiden naar een andere URL. Front Door verzendt het antwoord.
- URL herschrijven : om het pad van de aanvraag die naar de oorsprong wordt verzonden, te herschrijven.
Beveiligingsbeleid
Front Door ondersteunt WAF-beleid (Web Application Firewall) en -regels. Een beveiligingsbeleid in een Front Door-profiel bevat meerdere WAF-beleidsregels die kunnen worden gebruikt voor verschillende domeinen in het profiel. WAF-regels beschermen uw webservice tegen veelvoorkomende aanvallen en beveiligingsproblemen, zoals SQL-injecties, cross-site scripting, Java-aanvallen en nog veel meer. De volgende functies worden momenteel ondersteund voor WAF in Front Door:
- Beleidsinstellingen: hiermee kunt u de toegang tot uw webtoepassingen beheren met behulp van een set aangepaste en beheerde regels.
- Regels beheren: bieden een eenvoudige manier om bescherming te implementeren tegen een algemene reeks beveiligingsrisico's. Omdat Azure de regelsets beheert, worden de regels zo nodig bijgewerkt om u te beschermen tegen nieuwe aanvalshandtekeningen.
- aangepaste regels: hiermee kunt u de toegang tot uw webtoepassingen beheren op basis van de voorwaarden die u definieert. Een aangepaste WAF-regel bestaat uit een prioriteitsnummer, regeltype, voorwaarden voor overeenkomst en een actie.
- uitsluitingslijst: hiermee kunt u bepaalde aanvraagkenmerken weglaten uit een WAF-evaluatie en de rest van de aanvraag als normaal laten verwerken.
- geofiltering: hiermee kunt u de toegang tot uw webtoepassing beperken op basis van landen/regio's.
- botbeveiliging: biedt botregels om goede bots te identificeren en te beschermen tegen slechte bots.
- IP-beperking: hiermee kunt u de toegang tot uw webtoepassingen beheren door een lijst met IP-adressen of IP-adresbereiken op te geven.
- snelheidsbeperking : een aangepaste frequentielimietregel bepaalt de toegang op basis van overeenkomende voorwaarden en de frequenties van binnenkomende aanvragen.
- Afstemming: hiermee kunt u de WAF-regels afstemmen op de behoeften van uw toepassing en organisatie-WAF-vereisten. Afstemmingsfuncties die u kunt verwachten zijn het definiëren van uitsluitingen van regels, het maken van aangepaste regels en het uitschakelen van regels.
- Bewaking en logboekregistratie : bewaking en logboekregistratie wordt geleverd via integratie met Azure Monitor- en Azure Monitor-logboeken.
Front Door-lagen
Front Door heeft drie lagen, Classic, Standard en Premium. Elke laag ondersteunt veel functies en optimalisatie die u kunt gebruiken. De Standard-laag is geoptimaliseerd voor contentlevering, terwijl de Premium-laag is geoptimaliseerd voor beveiliging. Zie de volgende tabel voor een volledige lijst met ondersteuningsfuncties voor elke laag.
Functievergelijking tussen niveaus
| Functies en optimalisatie | Standaard | Premie | Klassiek |
|---|---|---|---|
| Statische bestandslevering | Ja | Ja | Ja |
| Dynamische site opleveren | Ja | Ja | Ja |
| Aangepaste domeinen | Ja - domeinvalidatie op basis van DNS TXT-records | Ja - domeinvalidatie op basis van DNS TXT-records | Ja - validatie op basis van CNAME |
| Cachebeheer (opschonen, regels en compressie) | Ja | Ja | Ja |
| Taakverdeling van oorsprong | Ja | Ja | Ja |
| Routering op basis van pad | Ja | Ja | Ja |
| Regelengine | Ja | Ja | Ja |
| Servervariabele | Ja | Ja | Nee |
| Reguliere expressie in regelengine | Ja | Ja | Nee |
| Uitgebreide metrische gegevens | Ja | Ja | Nee |
| Geavanceerde analyse/ingebouwde rapporten | Ja | Ja- bevat WAF-rapport | Nee |
| Onbewerkte logboeken - toegang tot logboeken en WAF-logboeken | Ja | Ja | Ja |
| Statustestlogboek | Ja | Ja | Nee |
| Aangepaste WAF-regels (Web Application Firewall) | Ja | Ja | Ja |
| Door Microsoft beheerde regelset | Nee | Ja | Ja: alleen standaardregelset 1.1 of lager |
| Botbeveiliging | Nee | Ja | Nee |
| Ondersteuning voor Private Link | Nee | Ja | Nee |
| Vereenvoudigde prijs (basis + gebruik) | Ja | Ja | Nee |
| Integratie van Azure Policy | Ja | Ja | Nee |
| Azure Advisory-integratie | Ja | Ja | Nee |
Een profiel maken en configureren
U kunt Front Door maken en configureren met behulp van Azure Portal, Azure PowerShell of de Azure CLI. Gebruik voor Azure CLI de opdracht az afd profile create om een nieuw profiel te maken. Als u de voorkeur geeft aan Azure PowerShell, kunt u de cmdlet New-AzFrontDoor gebruiken. U kunt de meeste bewerkingen uitvoeren vanuit de Front Door-manager met behulp van Azure Portal.
Laten we een Front Door-profiel maken en configureren voor de websites van de afdeling motorvoertuigen die we eerder hebben geïmplementeerd.