Criação e configuração do Front Door
O Azure Front Door tem vários componentes que se combinam para acelerar as solicitações aos aplicativos Web e, ao mesmo tempo, manter a alta disponibilidade em escala global. Vamos dar uma olhada nos diferentes componentes que compõem o serviço Azure Front Door e como eles desempenham um papel no encaminhamento das solicitações do usuário final.
Pontos de extremidade
Um ponto de extremidade é um agrupamento lógico de uma ou mais rotas e políticas de segurança associadas a um domínio. Um perfil de camada Standard ou Premium pode dar suporte a mais de um ponto de extremidade.
Rotas
As regras de roteamento do Front Door determinam como cada solicitação é processada quando ela chega à borda do Front Door. Uma rota contém informações para mapear domínios e caminhos de URL para um grupo de origem específico. Em uma rota, você pode configurar os protocolos usados em solicitações que são encaminhadas para a origem. Você também pode habilitar o cache para obter uma resposta mais rápida do conteúdo solicitado com frequência e configurar conjuntos de regras para lidar com tipos de solicitação específicos.
Origens
Uma origem é uma implantação de aplicativo da qual o Azure Front Door recupera o conteúdo quando o armazenamento em cache não está disponível. O Front Door dá suporte a origens hospedadas no Azure, locais e em outra nuvem. Ao definir uma origem, você precisa especificar o tipo, o nome do host, o cabeçalho de host, a validação do nome da entidade do certificado, a prioridade e o peso. A definição desses campos ajuda o Azure Front Door a determinar qual recurso de origem é melhor para responder às solicitações recebidas.
Grupos de origem
Um grupo de origem é um conjunto de origens que recebe tráfego semelhante em seus aplicativos. Esse agrupamento lógico de aplicativos pode estar na mesma região ou em regiões diferentes. Por padrão, as solicitações são enviadas para as origens com a menor latência. Esse comportamento pode ser alterado por meio da modificação da prioridade e do peso de cada origem no grupo de origem. Você também pode habilitar a afinidade de sessão em um grupo de origem para garantir que todas as solicitações do mesmo usuário sejam enviadas para o mesmo recurso de origem.
Mecanismo de regras
Um conjunto de regras é um mecanismo de regras personalizadas que agrupa uma combinação de regras em um único conjunto. Um conjunto de regras pode ser associado a várias rotas. Essas regras são processadas na borda do Front Door antes que as solicitações sejam encaminhadas para a origem. Uma única regra pode ter até 10 condições de correspondência e 5 ações.
Condições de correspondência de regras
As condições de correspondência identificam o tipo específico de ações que a solicitação deve executar. Quando várias condições de correspondência são utilizadas em uma regra, elas são agrupadas usando uma logica AND.
O seguinte tipo de condições de correspondência pode ser encontrado em um conjunto de regras:
- Filtrar solicitações com base em um endereço IP, uma porta ou uma região ou um país específico.
- Filtrar solicitações por informações de cabeçalho.
- Filtrar solicitações de dispositivos móveis ou dispositivos de desktop.
- Filtrar solicitações de nome do arquivo de solicitação e extensão de arquivo.
- Filtre as solicitações por nome de host, protocolo TLS, URL de solicitação, protocolo, caminho, cadeia de caracteres de consulta, argumentos de postagem e outros valores.
Ações de regras
Uma ação é o comportamento aplicado ao tipo de solicitação quando ele corresponde à(s) condição(ões) de correspondência. A seguir estão as ações que você pode executar atualmente quando uma solicitação corresponde a uma condição:
- Substituição de configuração de rota – para substituir o grupo de origem ou a configuração de cache a ser usada para a solicitação.
- Modificar o cabeçalho da solicitação – para acrescentar, substituir ou excluir o valor do cabeçalho na solicitação enviada para a origem.
- Modificar o cabeçalho da resposta – para acrescentar, substituir ou excluir o valor do cabeçalho na resposta antes de ser enviado de volta para o cliente.
- Redirecionamento de URL – para redirecionar clientes para uma URL diferente. O Azure Front Door envia a resposta.
- Reescrita de URL – para reescrever o caminho da solicitação que está sendo enviada para a origem.
Política de segurança
O Front Door dá suporte a regras e políticas do WAF (Firewall de Aplicativo Web). Uma política de segurança em um perfil do Azure Front Door contém várias políticas do WAF que podem ser utilizadas para diferentes domínios no perfil. As regras do WAF defendem o serviço Web contra explorações e vulnerabilidades comuns, como injeções de SQL, cross-site scripting, ataques Java e muito mais. Atualmente, os seguintes recursos têm suporte para o WAF no Azure Front Door:
- Configurações de política – Permite que você controle o acesso aos aplicativos Web usando um conjunto de regras personalizadas e gerenciadas.
- Regras de gerenciamento – Oferecem uma forma fácil de implantar a proteção contra um conjunto comum de ameaças de segurança. Como o Azure gerencia os conjuntos de regras, as regras são atualizadas conforme necessário para proteger contra novas assinaturas de ataque.
- Regras personalizadas – Permitem controlar o acesso aos seus aplicativos Web com base nas condições que você definir. Uma regra WAF personalizada consiste em itens como: número de prioridade, tipo de regra, condições de correspondência e ação.
- Lista de exclusões – Permite omitir determinados atributos da solicitação de uma avaliação do WAF e permitir que o restante da solicitação seja processada normalmente.
- Filtragem geográfica – Permite restringir o acesso ao aplicativo Web por países/regiões.
- Proteção contra bots – Fornece regras de bot para identificar bons bots e proteger contra bots mal intencionados.
- Restrição de IP – Permite controlar o acesso aos seus aplicativos Web especificando uma lista de endereços IP ou intervalos de endereços IP.
- Limitação de taxa – Uma regra de limite de taxa personalizada controla o acesso com base nas condições de correspondência e nas taxas de solicitações de entrada.
- Ajuste – Permite ajustar as regras do WAF para atender às necessidades dos requisitos de WAF do aplicativo e da organização. Os recursos de ajuste que você verá são a definição de exclusões de regras, a criação de regras personalizadas e a desabilitação de regras.
- Monitoramento e registro em log – O monitoramento e o registro em log são fornecidos por meio da integração com o Azure Monitor e os logs do Azure Monitor.
Camadas do Front Door
O Front Door tem três camadas, Clássica, Standard e Premium. Cada camada dá suporte a muitos recursos e otimizações que você pode utilizar. A camada Standard é otimizada para entrega de conteúdo e a camada Premium é otimizada para segurança. Confira a tabela a seguir para ver uma lista completa de recursos com suporte em cada camada.
Comparação de recursos entre camadas
| Recursos e otimização | Standard | Premium | Clássico |
|---|---|---|---|
| Entrega estática de arquivos | Sim | Sim | Sim |
| Entrega dinâmica de sites | Sim | Sim | Yes |
| Domínios personalizados | Sim – Validação de domínio baseada no registro TXT do DNS | Sim – Validação de domínio baseada no registro TXT do DNS | Sim – Validação baseada no CNAME |
| Gerenciamento de cache (limpeza, regras e compactação) | Sim | Sim | Yes |
| Balanceamento de carga de origem | Sim | Sim | Yes |
| Roteamento baseado em caminho | Sim | Sim | Sim |
| Mecanismo de regras | Sim | Sim | Yes |
| Variável de servidor | Sim | Sim | No |
| Expressão regular no mecanismo de regras | Sim | Sim | No |
| Métricas expandidas | Sim | Sim | No |
| Análise avançada/relatórios internos | Yes | Sim – inclui o relatório de WAF | No |
| Logs brutos – logs de acesso e logs de WAF | Sim | Sim | Yes |
| Log de investigação de integridade | Sim | Sim | No |
| Regras personalizadas de WAF (Firewall de Aplicativo Web) | Sim | Sim | Yes |
| Conjunto de regras gerenciadas pela Microsoft | No | Sim | Sim – Somente o conjunto de regras padrão 1.1 ou abaixo |
| Proteção contra bots | No | Sim | Não |
| Suporte a Link Privado | No | Sim | No |
| Preço simplificado (base e uso) | Sim | Sim | No |
| Integração do Azure Policy | Sim | Sim | No |
| Integração do Assistente do Azure | Sim | Sim | No |
Criar e configurar um perfil
Você pode criar e configurar o Azure Front Door usando o portal do Azure, o Azure PowerShell ou a CLI do Azure. Para a CLI do Azure, use o comando az afd profile create para criar um perfil. Se preferir o Azure PowerShell, use o cmdlet New-AzFrontDoor. Você pode realizar a maioria das operações no gerenciador do Front Door usando o portal do Azure.
Vamos criar e configurar um perfil do Azure Front Door para os sites do departamento de veículos automotores que implantamos anteriormente.