Поделиться через

Использование Azure Front Door с большими двоичными объектами служба хранилища Azure

  • Статья

Azure Front Door улучшает доставку статического содержимого из служба хранилища Azure БОЛЬШИХ двоичных объектов, обеспечивая безопасную и масштабируемую архитектуру. Эта настройка идеально подходит для различных вариантов использования, таких как размещение веб-сайтов и доставка файлов.

Архитектура

Схема Azure Front Door с источником хранилища BLOB-объектов.

В этой эталонной архитектуре развертываются учетная запись хранения и профиль Azure Front Door с одним источником.

Поток данных

Данные передаются в сценарии следующим образом:

  1. Клиент устанавливает безопасное подключение к Azure Front Door с помощью имени личного домена и сертификата TLS, предоставленного Front Door. Подключение завершается на соседней точке присутствия Front Door (PoP).
  2. Брандмауэр веб-приложения Azure Front Door (WAF) сканирует запрос. Если WAF определяет, что запрос слишком рискованный, он блокирует запрос и возвращает ответ на ошибку HTTP 403.
  3. Если кэш PoP Front Door содержит допустимый ответ, Front Door немедленно возвращает ответ.
  4. Если нет, PoP отправляет запрос в учетную запись хранения источника с помощью магистральной сети Майкрософт, используя отдельное, длительное TCP-подключение. В этом сценарии Приватный канал безопасно подключается к учетной записи хранения.
  5. Учетная запись хранения отправляет ответ на PoP Front Door.
  6. PoP сохраняет ответ в своем кэше для будущих запросов.
  7. PoP возвращает ответ клиенту.
  8. Любые прямые запросы к учетной записи хранения через Интернет блокируются брандмауэром служба хранилища Azure.

Компоненты

  • служба хранилища Azure. Хранит статическое содержимое в больших двоичных объектах.
  • Azure Front Door: получает входящий трафик от клиентов, проверяет их с помощью WAF, безопасно пересылает запросы в учетную запись хранения и кэширует ответы.

Альтернативные варианты

Если вы храните статические файлы с другим поставщиком облачных хранилищ или собственной инфраструктурой, этот сценарий по-прежнему применяется в значительной степени. Однако необходимо убедиться, что входящий трафик к исходному серверу проверяется для передачи через Front Door. Если поставщик хранилища не поддерживает Приватный канал, рассмотрите возможность использования альтернативного подхода, например включения тега службы Front Door и проверки заголовкаX-Azure-FDID.

Подробности сценария

Доставка статического содержимого полезна во многих ситуациях, например:

  • Доставка изображений, CSS-файлов и файлов JavaScript для веб-приложения.
  • Обслуживание файлов и документов, таких как PDF или JSON-файлы.
  • Доставка непотокового видео.

Статический контент обычно не изменяется часто и может быть большим размером, что делает его идеальным для кэширования для повышения производительности и снижения затрат.

В сложных сценариях один профиль Front Door может служить как статическим, так и динамическим содержимым. Вы можете использовать отдельные группы источников для каждого типа содержимого и использовать возможности маршрутизации для направления входящих запросов в соответствующий источник.

Рекомендации

Масштабируемость и производительность

Azure Front Door выступает в качестве сети доставки содержимого (CDN), кэширования содержимого по глобально распределенным poPs. Когда кэшированный ответ доступен, Azure Front Door быстро обслуживает его, повышая производительность и уменьшая нагрузку на источник. Если poP не имеет допустимого кэшированного ответа, возможности ускорения трафика Azure Front Door ускоряют доставку содержимого из источника.

Безопасность

Проверка подлинности

Azure Front Door предназначен для сценариев с доступом в Интернете и оптимизирован для общедоступных BLOB-объектов. Для проверки подлинности доступа к BLOB-объектам рекомендуется использовать подписанные URL-адреса (SAS). Убедитесь, что вы включите поведение "Использовать строку запроса", чтобы предотвратить обслуживание запросов Azure Front Door для клиентов без проверки подлинности. Этот подход может ограничить эффективность кэширования, так как каждый запрос с другим SAS должен быть отправлен в источник.

Безопасность источника

Azure Front Door безопасно подключается к учетной записи служба хранилища Azure с помощью Приватный канал. Учетная запись хранения настроена для запрета прямого доступа к Интернету, разрешая запросы только через частную конечную точку, используемую Azure Front Door. Эта настройка гарантирует, что все запросы обрабатываются Azure Front Door, защищая учетную запись хранения от прямого доступа к Интернету. Для этой конфигурации требуется уровень "Премиум" Azure Front Door. Если используется стандартный уровень, учетная запись хранения должна быть общедоступной. Вы можете защитить запросы с помощью подписанного URL-адреса (SAS), а клиенты могут включать SAS в свои запросы или использовать обработчик правил Azure Front Door для подключения к нему.

Имена пользовательских доменов

Azure Front Door поддерживает имена пользовательских доменов и может управлять сертификатами TLS для этих доменов. Использование пользовательских доменов гарантирует, что клиенты получают файлы из надежного источника с шифрованием TLS для каждого подключения к Azure Front Door. Управление сертификатами TLS в Azure Front Door помогает избежать сбоев и проблем безопасности из недопустимых или устаревших сертификатов.

Брандмауэр веб-приложения

Управляемое правило WAF Azure Front Door задает запросы сканирования для распространенных и возникающих угроз безопасности. Рекомендуется использовать правила WAF и управляемые для статических и динамических приложений.

Кроме того, WAF Azure Front Door может выполнять ограничение скорости и геофильтрация при необходимости.

Устойчивость

Azure Front Door — это высокодоступная служба с глобально распределенной архитектурой, что позволяет обеспечить устойчивость к сбоям в отдельных регионах Azure и поставщиках услуг.

Использование кэша Azure Front Door снижает нагрузку на учетную запись хранения. Если ваша учетная запись хранения становится недоступной, Azure Front Door может продолжать обслуживать кэшированные ответы до восстановления приложения.

Чтобы повысить устойчивость, рассмотрите избыточность учетной записи хранения. Дополнительные сведения см. в статье Репликация службы хранилища Azure. Кроме того, разверните несколько учетных записей хранения и настройте несколько источников в группе источников Azure Front Door. Настройте отработку отказа между источниками, настроив приоритет каждого источника. Дополнительные сведения см. в разделе "Источники и группы источников" в Azure Front Door.

Оптимизация затрат

Кэширование помогает снизить затраты на доставку статического содержимого. PoPs Azure Front Door хранит копии ответов и может доставлять эти кэшированные ответы для последующих запросов, уменьшая нагрузку запроса на источник. В высокомасштабируемых решениях статического содержимого, особенно при доставке больших файлов, кэширование может значительно снизить затраты на трафик.

Чтобы использовать Приватный канал в этом решении, разверните уровень "Премиум" Azure Front Door. Уровень "Стандартный" можно использовать, если вам не нужно блокировать прямой трафик к учетной записи хранения. Дополнительные сведения см. в разделе "Безопасность источника".

Развертывание этого сценария

Сведения о развертывании этого сценария с помощью шаблонов Bicep или JSON ARM см. в этом кратком руководстве.

Сведения о развертывании этого сценария с помощью Terraform см. в этом кратком руководстве.

Next Steps

Узнайте, как создать профиль Azure Front Door.