Exercício - Criar e configurar o Front Door

  • 20 minutos

O Front Door escuta em um ponto de extremidade e faz a correspondência entre as solicitações recebidas e uma rota. Em seguida, encaminha esses pedidos para a melhor origem disponível. A configuração de roteamento definida determina como o Front Door processa uma solicitação na borda antes de ser encaminhada para a origem.

As informações processadas na periferia incluem:

  • Protocolos que a rota aceita.
  • Caminhos que correspondem.
  • Redirecionamento de tráfego para HTTPS.
  • Determinar o grupo de origem que atende à solicitação.
  • Definição do protocolo usado para encaminhar a solicitação.
  • Usando o cache, se ele estiver habilitado.
  • Usando conjuntos de regras para processar uma solicitação antes de encaminhá-la para a origem.

No sistema do departamento de veículos motorizados, você precisa configurar o Front Door para acessar os servidores web que hospedam o aplicativo de registro de veículos de forma privada usando o Private Link. Você também precisa configurar o Front Door para acessar o serviço de aplicativo que hospeda o site de renovação de licença usando o Private Link. O perfil do Azure Front Door tem um endpoint com duas rotas, cada uma configurada para rotear o tráfego para o site correto. Por fim, você configura uma política de segurança que contém uma política WAF para proteger seus aplicativos Web contra ataques mal-intencionados e intrusos.

Este exercício orienta o utilizador na criação de um perfil Front Door, na configuração de origens em um grupo de origem, configurando rotas e aplicando uma política de segurança. Em seguida, você testa cada rota para verificar se a Front Door está lidando com cada solicitação corretamente.

Criar uma porta de entrada do Azure

Nesta unidade, você cria uma porta frontal chamada vehicleFrontDoor com a seguinte configuração:

  • Dois grupos de origem. O primeiro grupo de origem contém o IP do ponto de extremidade de serviço das máquinas virtuais dos servidores Web. O segundo grupo de origem contém o Serviço de Aplicação. Você também permite acesso por ligação privada a essas origens.
  • Aprovar conexões de ponto de extremidade privadas para os servidores Web e o serviço de aplicações.
  • Crie um endpoint no perfil Front Door com duas rotas configuradas para direcionar solicitações para um site de matrícula de veículo e um site de licenciamento.
  • Uma política de segurança que contém uma política WAF para bloquear solicitações maliciosas.

  1. Crie o perfil do Azure Front Door com o seguinte comando:

    az afd profile create \
    --profile-name vehicleFrontDoor \
    --resource-group $RG \
    --sku Premium_AzureFrontDoor

  2. Crie o primeiro ponto de extremidade dentro do perfil com o seguinte comando:

    endpoint="vehicle-$RANDOM"
az afd endpoint create \
    --endpoint-name $endpoint \
    --profile-name vehicleFrontDoor \
    --resource-group $RG

Criar grupos de origem e adicionar origens

  1. Entre no portal do Azure para concluir a configuração do perfil Front Door. Certifique-se de usar a mesma conta com a qual você ativou a área restrita.

  2. Vai para o perfil vehicleFrontDoor Front Door que criaste e selecciona Grupos de Origem no interior de Configurações no painel do menu à esquerda.

    Captura de tela das configurações de grupos de origem para o perfil vehicleFrontDoor.

  3. Selecione + Adicionar para criar o primeiro grupo de origem. Para o nome, digite webServers. Em seguida, selecione + Adicionar uma origem. Insira ou selecione as seguintes informações para adicionar a origem do servidor web:

    Captura de tela mostrando a adição de uma configuração de origem do servidor Web em um grupo de origem.

    Configurações Valor
    Nome Digite webServerEndpoint.
    Tipo de origem Selecione Personalizado.
    Nome do anfitrião Digite 10.0.1.8
    Cabeçalho do host de origem Este campo é o mesmo que o nome do host para este exemplo.
    Validação do nome do assunto do certificado Deixe como assinalado. Necessário para o serviço de ligação privada.
    Porta HTTP Deixe como padrão. 80.
    Porta HTTPS Deixe como padrão. 443.
    Prioridade Deixe como padrão. 1.
    Peso Deixe como padrão. 1000.
    Link privado Marque a caixa de seleção Ativar serviço de link privado.
    Selecione um link privado Selecione No meu diretório.
    Recurso Selecione myPrivateLinkService.
    Região A região é selecionada quando você seleciona o recurso.
    Solicitar mensagem Insira conexão privada do webServer.
    Situação Habilite essa origem.

  4. Selecione Adicionar para adicionar a origem ao grupo de origem. Deixe o restante das configurações do grupo de origem como padrão. Em seguida, selecione Adicionar para criar o grupo de origem.

    Captura de tela de uma origem de servidor Web adicionada a um grupo de origem.

  5. Selecione + Adicionar novamente para criar o segundo grupo de origem. Para o nome, digite appService. Em seguida, selecione + Adicionar uma origem. Insira ou selecione as seguintes informações.

    Captura de tela mostrando a adição de uma configuração de origem do Serviço de aplicativo em um grupo de origem.

    Configurações Valor
    Nome Insira appService.
    Tipo de origem Selecione Serviços de aplicativo.
    Nome do anfitrião Selecione o site do Azure no menu suspenso que começa com licenserenewal.
    Cabeçalho do host de origem Este campo é o mesmo que o nome do host para este exemplo.
    Validação do nome do sujeito do certificado Deixe como marcado. Necessário para o serviço de ligação privada.
    Porta HTTP Deixe como padrão. 80.
    Porta HTTPS Deixe como padrão. 443.
    Prioridade Deixe como padrão. 1.
    Peso Deixe como padrão. 1000.
    Link privado Deixe como padrão.
    Situação Habilite essa origem.

  6. Selecione Adicionar para adicionar a origem ao grupo de origem. Deixe o restante das configurações do grupo de origem como padrão. Em seguida, selecione Adicionar para criar o segundo grupo de origem.

    Captura de tela de uma origem de serviço de aplicativo adicionada a um grupo de origem.

Aprovar conexões de ponto de extremidade privado

  1. Depois de habilitar o serviço de link privado para os recursos de origem, você precisará aprovar a solicitação de conexão de ponto final privado antes que a conexão privada possa ser estabelecida. Para aprovar a conectividade para os servidores Web , localize o recurso de serviço de link privado que você criou em uma unidade anterior chamada myPrivateLinkService. Selecione ligações de ponto de extremidade privado em Configurações no painel de menu à esquerda.

  2. Selecione a conexão pendente com a descrição de conexão privada do webServer e selecione Aprovar. Em seguida, selecione Sim para confirmar a aprovação para estabelecer a conexão.

    Captura de tela da lista de aprovação de conexão de ponto final privado para servidores Web.

  3. Não é necessário aprovar o ponto de extremidade privado para o Serviço de Aplicativo, pois a conectividade é pela Internet pública.

Adicionar rotas

Aqui você adiciona duas rotas para direcionar o tráfego para o site de registro de veículos e o site de renovação de licença.

  1. Vá para o do do Gestor da Porta da Frente para o perfil do veículo FrontDoor. Selecione + Adicionar uma rota do ponto de extremidade criado na etapa 2.

    Captura de ecrã do botão 'adicionar uma rota' no gestor Front Door.

  2. Selecione ou introduza as seguintes informações e, em seguida, selecione Adicionar para criar a primeira rota para o Web site de registo de veículos.

    Captura de ecrã das definições de rota de registo de veículos.

    Configurações Valor
    Nome Introduza Registo do Veículo
    Rota ativada Deixe como verificado.
    Domínios Selecione o único domínio disponível no menu suspenso.
    Padrões a combinar Insira os caminhos /VehicleRegistration, /VehicleRegistration/* e /* para corresponder.
    Protocolos aceites Selecione HTTP e HTTPS no menu suspenso.
    Redirecionamento Desmarque a opção Redirecionar todo o tráfego para usar HTTPS
    Grupo de origem Selecione webServers no menu suspenso.
    Caminho de origem Deixe em branco.
    Protocolo de encaminhamento Selecione HTTP somente.
    Armazenamento em cache Marque a caixa de seleção para habilitar o cache.
    Comportamento de cache de cadeia de caracteres de consulta Selecione Ignorar Cadeia de Caracteres de Consulta no menu suspenso.

  3. Selecione + Adicionar uma rota para criar novamente uma rota para o site de renovação de licença. Selecione ou insira as seguintes informações e, em seguida, selecione Adicionar para criar a segunda rota.

    Captura de tela das configurações de rota de renovação de licença.

    Configurações Valor
    Nome Insira RenovaçãoDeLicença
    Rota ativada Deixe como verificado.
    Domínios Selecione o único domínio disponível no menu suspenso.
    Padrões a corresponder Insira /LicenseRenewal e /LicenseRenewal/* para corresponder os caminhos.
    Protocolos aceites Selecione HTTP e HTTPS no menu suspenso.
    Redirecionamento Desmarque a opção Redirecionar todo o tráfego para usar HTTPS
    Grupo de origem Selecione appService no menu suspenso.
    Caminho de origem Deixe em branco.
    Protocolo de encaminhamento Selecione para corresponder à solicitação de entrada.
    Armazenamento em cache Marque a caixa de seleção para habilitar o cache.
    Comportamento de cache de cadeia de caracteres de consulta Selecione Ignorar Cadeia de Consulta no menu suspenso.

Criar uma política de segurança

Para proteger os sites relacionados a veículos motorizados, configure uma diretiva de firewall de aplicação web (Web Application Firewall, WAF) no ponto de extremidade aplicando uma política de segurança.

  1. No gestor Front Door, selecione + Adicionar uma política para o endpoint. Introduza securityPolicy para o nome e, em seguida, na lista pendente, selecione o domínio.

  2. Selecione Criar novo para criar uma nova política WAF. Nomeie a política WAF frontdoorWAFe, em seguida, selecione Salvar para aplicar a política WAF ao endpoint.

    Captura de ecrã a mostrar a adição de políticas de segurança que contêm definições de política WAF.

Configurar política WAF

  1. Vai para o recurso frontdoorWAF que criaste na última etapa. Na Visão geral , selecione Mudar para o modo de prevenção para começar a bloquear o tráfego malicioso.

    Captura de tela do botão Alternar para o modo de prevenção na página de visão geral da política do WAF.

  2. Selecione Configurações de política em Configurações no painel lateral esquerdo para configurar as definições desta política WAF.

    Captura de ecrã do botão de definições de política nas definições da política WAF.

  3. Para determinar rapidamente se a política WAF está a funcionar, defina o código de estado de resposta Bloquear para 999e, em seguida, selecione Guardar para aplicar as novas configurações de política.

    Captura de tela da atualização do código de resposta para solicitações bloqueadas.

Com o perfil Front Door todo configurado, é hora de testar enviando solicitações para ele.