Udostępnij za pośrednictwem

Co to jest zestaw reguł w usłudze Azure Front Door?

  • Artykuł

Zestaw reguł to spersonalizowany mechanizm reguł, który grupuje kombinację reguł w jeden zestaw. Zestaw reguł można skojarzyć z wieloma trasami. Zestaw reguł umożliwia dostosowanie sposobu przetwarzania i obsługi żądań na krawędzi usługi Azure Front Door.

Typowe obsługiwane scenariusze

  • Implementowanie nagłówków zabezpieczeń, takich jak HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy, X-Frame-Options i Access-Control-Allow-Origin, w celu zapobiegania lukom w zabezpieczeniach opartych na przeglądarce oraz obsługi scenariuszy współużytkowania zasobów między źródłami (CORS). Atrybuty oparte na zabezpieczeniach można również definiować za pomocą plików cookie.

  • Kierowanie żądań do wersji aplikacji mobilnych lub komputerowych na podstawie typu urządzenia klienckiego.

  • Użycie funkcjonalności przekierowań do zwracania przekierowań 301, 302, 307 i 308 do klienta, aby skierować go do nowych nazw hostów, ścieżek, ciągów zapytań lub protokołów.

  • Dynamicznie modyfikuj ustawienia buforowania trasy na podstawie żądań przychodzących.

  • Przepisz ścieżkę adresu URL żądania i skieruj żądanie do odpowiedniego źródła w skonfigurowanej grupie źródeł.

  • Dodaj, zmodyfikuj lub usuń nagłówek żądania/odpowiedzi, aby ukryć poufne informacje lub przechwycić ważne informacje za pośrednictwem nagłówków.

  • Obsługa zmiennych serwera w celu dynamicznego zmieniania nagłówka żądania, nagłówków odpowiedzi lub ponownego zapisywania ścieżek/ciągów zapytania adresu URL. Na przykład po załadowaniu nowej strony lub wysłaniu formularza. Zmienna serwera jest obecnie obsługiwana tylko w akcjach zestawu reguł.

  • Wypełnij lub zmodyfikuj nagłówek odpowiedzi na podstawie wartości nagłówka żądania (np. dodając tę samą nazwę FQDN w Access-Control-Allow-Origin, co w nagłówku źródła żądania).

  • Zmień nazwę nagłówka odpowiedzi wygenerowanego przez dostawcę chmury na specyficzną dla marki, dodając nowy nagłówek odpowiedzi i usuwając oryginał.

  • Przekieruj do hosta docelowego przy użyciu wartości przechwyconej z przychodzącej pary klucz/wartość ciągu zapytania w formacie {http_req_arg_key1}.

  • Użyj przechwytywania segmentu ścieżki URL w przekierowaniu i ponownym zapisaniu adresu URL, np. wyodrębnij tenantID z przychodzącej ścieżki URL /abc/<tenantID>/<otherID>/index.html i wstaw w innym miejscu ścieżki adresu URL przy użyciu polecenia "{url_path:seg1}" w miejscu docelowym.

Architektura

Zestawy reguł obsługują żądania na brzegu usługi Front Door. Po nadejściu żądania do punktu końcowego usługi Front Door zapora aplikacji internetowej przetwarza się najpierw, a następnie stosuje się ustawienia skonfigurowane w trasie. Te ustawienia obejmują zestaw reguł skojarzony z trasą. Zestawy reguł są przetwarzane w kolejności, w której są wyświetlane w konfiguracji routingu. Reguły w zestawie reguł są również przetwarzane w kolejności ich wyświetlania. Aby wszystkie akcje w każdej regule zostały uruchomione, należy spełnić wszystkie warunki dopasowania w ramach reguły. Jeśli żądanie nie jest zgodne z żadnymi warunkami w konfiguracji zestawu reguł, zostaną zastosowane tylko domyślne ustawienia trasy.

Jeśli wybrano opcję Zatrzymaj ocenę pozostałych reguł, pozostałe zestawy reguł skojarzone z trasą nie zostaną uruchomione.

Przykład

Na poniższym diagramie zasady WAF są przetwarzane jako pierwsze. Następnie konfiguracja zestawu reguł dołącza nagłówek odpowiedzi. Nagłówek HTTP zmienia maksymalny czas przechowywania polecenia pamięci podręcznej, jeśli spełniony jest warunek dopasowania.

Diagram przedstawiający sposób zmiany nagłówka odpowiedzi przez zestaw reguł dla żądania przechodzącego przez punkt końcowy usługi Front Door.

Terminologia

Za pomocą zestawu reguł usługi Front Door można utworzyć dowolną kombinację konfiguracji, z których każda składa się z zestawu reguł. Poniższe wiersze zawierają kilka przydatnych terminologii, które można napotkać podczas konfigurowania zestawu reguł.

  • Zestaw reguł: zestaw reguł, które są skojarzone z jedną lub wieloma trasami.

  • Reguła zestawu reguł: reguła składająca się z maksymalnie 10 warunków dopasowania i 5 akcji. Reguły są lokalne dla zestawu reguł i nie można ich eksportować do użycia w innych zestawach reguł. Tę samą regułę można utworzyć w różnych zestawach reguł.

  • Warunek dopasowania: istnieje wiele warunków dopasowania, które można skonfigurować do analizowania żądania przychodzącego. Reguła może zawierać maksymalnie 10 warunków dopasowania. Warunki dopasowania są oceniane za pomocą operatora AND . W warunkach obsługiwane są wyrażenia regularne. Pełną listę warunków dopasowania można znaleźć w artykule Rule set match conditions (Warunki dopasowania zestawu reguł).

  • Akcja: Określa sposób, w jaki usługa Front Door obsługuje żądania przychodzące na podstawie pasujących warunków. Możesz modyfikować zachowania buforowania, modyfikować nagłówki żądań, nagłówki odpowiedzi, ustawiać ponowne zapisywanie adresów URL i przekierowywanie adresów URL. Zmienne serwera są obsługiwane za pomocą akcji. Reguła może zawierać maksymalnie pięć akcji. Pełną listę akcji można znaleźć w artykule Akcje zestawu reguł.

Obsługa szablonów ARM

Zestawy reguł można skonfigurować przy użyciu szablonów usługi Azure Resource Manager. Przykład można znaleźć w temacie Front Door Standard/Premium with rule set (Usługa Front Door Standard/Premium z zestawem reguł). Zachowanie można dostosować przy użyciu fragmentów kodu JSON lub Bicep zawartych w przykładach dokumentacji dotyczących warunków i akcji dopasowania.

Ograniczenia

Aby uzyskać informacje o limitach przydziału, zapoznaj się z tematyką limitów, przydziałów i ograniczeń usługi Front Door.

Następne kroki

  • Dowiedz się, jak utworzyć profil usługi Azure Front Door.
  • Dowiedz się, jak skonfigurować pierwszy zestaw reguł.

Ważne

Usługa Azure Front Door (klasyczna) zostanie wycofana 31 marca 2027 r. Aby uniknąć zakłóceń w działaniu usługi, należy przeprowadzić migrację profilów usługi Azure Front Door (wersja klasyczna) do warstwy Azure Front Door Standard lub Premium do marca 2027 r. Aby uzyskać więcej informacji, zobacz Wycofywanie usługi Azure Front Door (wersja klasyczna).

Konfiguracja silnika reguł umożliwia dostosowanie sposobu obsługi żądań HTTP na krawędzi Front Door i gwarantuje kontrolowane działanie aplikacji webowej. Silnik reguł dla usługi Azure Front Door (wersja klasyczna) obejmuje kilka kluczowych funkcji, w tym:

  • Wymusza protokół HTTPS, aby zapewnić, że wszyscy użytkownicy końcowi wchodzą w interakcję z zawartością za pośrednictwem bezpiecznego połączenia.
  • Implementuje nagłówki zabezpieczeń w celu ochrony przed lukami w zabezpieczeniach opartymi na przeglądarce, takimi jak HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy, X-Frame-Options i Access-Control-Allow-Origin w kontekście CORS (Cross-Origin Resource Sharing). Atrybuty oparte na zabezpieczeniach można również definiować za pomocą plików cookie.
  • Kierowanie żądań do wersji mobilnych lub klasycznych aplikacji na podstawie wzorców zawartości nagłówków żądań, plików cookie lub ciągów zapytania.
  • Użyj funkcji przekierowania, aby zwracać klientowi przekierowania 301, 302, 307 i 308, kierując je do nowych nazw hostów, ścieżek lub protokołów.
  • Dynamicznie modyfikuj ustawienia buforowania trasy na podstawie żądań przychodzących.
  • Przepisz ścieżkę URL żądania i przekaż żądanie do odpowiedniego backendu w twojej skonfigurowanej pulce backendów.

Architektura

Silnik reguł obsługuje żądania przy krawędzi sieci. Po wprowadzeniu żądania do punktu końcowego Azure Front Door (wersja klasyczna), najpierw przetwarzany jest WAF, a następnie konfiguracja aparatu reguł skojarzona z domeną frontendową. Jeśli konfiguracja silnika reguł zostanie przetworzona, oznacza to, że znaleziono warunek dopasowania. Aby wszystkie akcje w każdej regule mogły zostać przetworzone, wszystkie warunki dopasowania w tej regule muszą być spełnione. Jeśli żądanie nie pasuje do żadnych warunków w konfiguracji silnika reguł, domyślna konfiguracja routingu zostanie przetworzona.

Na przykład na poniższym diagramie silnik reguł jest skonfigurowany w celu dołączania nagłówka odpowiedzi. Nagłówek zmienia maksymalny wiek kontrolki pamięci podręcznej, jeśli plik żądania ma rozszerzenie .jpg.

Diagram przedstawiający silnik reguł zmieniający maksymalny czas przechowywania w pamięci podręcznej w nagłówku odpowiedzi, jeśli żądany plik ma rozszerzenie .jpg.

W tym drugim przykładzie zobaczysz, że silnik reguł jest skonfigurowany do przekierowywania użytkowników do mobilnej wersji strony internetowej, jeśli urządzenie żądające ma typ Mobile.

Diagram przedstawiający silnik reguł, który przekierowuje użytkowników do wersji mobilnej witryny internetowej, jeśli żądane urządzenie jest typu mobilnego.

W obu tych przykładach, gdy żaden z warunków dopasowania nie zostanie spełniony, określona reguła routingu jest przetwarzana.

Terminologia

W usłudze Azure Front Door (wersja klasyczna) można tworzyć konfiguracje silnika reguł w różnych kombinacjach, z których każda składa się z zestawu reguł. Poniżej przedstawiono przydatną terminologię, którą można napotkać podczas konfigurowania silnika reguł.

  • Konfiguracja mechanizmu reguł: zestaw reguł, które są stosowane do pojedynczej ścieżki. Każda konfiguracja jest ograniczona do 25 reguł. Można utworzyć maksymalnie 10 konfiguracji.
  • Reguła aparatu reguł: reguła składająca się z maksymalnie 10 warunków dopasowania i 5 akcji.
  • Warunek dopasowania: Są różne warunki dopasowania, które mogą być używane do analizowania przychodzących żądań. Reguła może zawierać maksymalnie 10 warunków dopasowania. Warunki dopasowania są oceniane za pomocą operatora AND . Aby uzyskać pełną listę warunków dopasowania, zobacz Warunki dopasowania reguł.
  • Akcja: Akcje określają, co się stanie z żądaniami przychodzącymi — akcje nagłówka żądania/odpowiedzi, przekazywanie, przekierowania i ponowne zapisywanie są dostępne dzisiaj. Reguła może zawierać maksymalnie pięć akcji; reguła może jednak zawierać tylko jedno nadpisanie konfiguracji trasy. Aby uzyskać pełną listę działań, zobacz Działania reguł.

Następne kroki

  • Dowiedz się, jak skonfigurować pierwszą konfigurację silnika reguł.
  • Dowiedz się, jak utworzyć profil usługi Azure Front Door (wersja klasyczna).
  • Dowiedz się więcej o architekturze routingu usługi Azure Front Door (klasycznej).