Snabbstart: Skapa en Azure Front Door med Hjälp av Azure CLI
I den här snabbstarten får du lära dig hur du skapar en Azure Front Door med hjälp av Azure CLI. Du konfigurerar en profil med två Azure Web Apps som ursprung och lägger till en WAF-säkerhetsprincip. Slutligen kontrollerar du anslutningen till dina Webbappar med hjälp av Värdnamnet för Azure Front Door-slutpunkten.
Kommentar
För webbarbetsbelastningar rekommenderar vi starkt att du använder Azure DDoS-skydd och en brandvägg för webbprogram för att skydda mot nya DDoS-attacker. Ett annat alternativ är att använda Azure Front Door tillsammans med en brandvägg för webbprogram. Azure Front Door erbjuder skydd på plattformsnivå mot DDoS-attacker på nätverksnivå. Mer information finns i Säkerhetsbaslinje för Azure-tjänster.
Om du inte har en Azure-prenumeration skapar du ett kostnadsfritt Azure-konto innan du börjar.
Förutsättningar
Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Snabbstart för Bash i Azure Cloud Shell.
Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.
Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Logga in med Azure CLI.
När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda tillägg med Azure CLI.
Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.
Skapa en resursgrupp
I Azure allokeras relaterade resurser till en resursgrupp. Du kan välja en befintlig resursgrupp eller skapa en ny.
Kör az group create för att skapa en resursgrupp.
az group create --name myRGFD --location centralus
Skapa en Azure Front Door-profil
Skapa sedan den Azure Front Door-profil som dina två App Services använder som ursprung.
Kör az afd profile create för att skapa en Azure Front Door-profil.
Kommentar
Om du vill distribuera Azure Front Door Standard i stället för Premium ersätter du värdet för sku-parametern med Standard_AzureFrontDoor. Hanterade regler med WAF-princip är inte tillgängliga med standard-SKU:n. En detaljerad jämförelse finns i Jämförelse av Azure Front Door-nivå.
az afd profile create \
--profile-name contosoafd \
--resource-group myRGFD \
--sku Premium_AzureFrontDoor
Skapa två instanser av en webbapp
I det här steget skapar du två webbappinstanser som körs i olika Azure-regioner. Båda instanserna fungerar i aktivt/aktivt läge, vilket innebär att båda kan hantera trafik. Den här konfigurationen skiljer sig från en Aktiv/Stand-By-konfiguration, där en instans fungerar som en redundansväxling.
Skapa apptjänstplaner
Skapa först två apptjänstplaner: en i USA , centrala och en annan i USA, östra.
Kör följande kommandon för att skapa App Service-abonnemangen:
az appservice plan create \
--name myAppServicePlanCentralUS \
--resource-group myRGFD \
--location centralus
az appservice plan create \
--name myAppServicePlanEastUS \
--resource-group myRGFD \
--location eastus
Skapa webbappar
Skapa sedan en webbapp i var och en av apptjänstplanerna som skapades i föregående steg. Webbappnamn måste vara globalt unika.
Kör följande kommandon för att skapa webbapparna:
az webapp create \
--name WebAppContoso-01 \
--resource-group myRGFD \
--plan myAppServicePlanCentralUS
az webapp create \
--name WebAppContoso-02 \
--resource-group myRGFD \
--plan myAppServicePlanEastUS
Anteckna standardvärdnamnen för varje webbapp eftersom du behöver dem för att definiera serverdelsadresserna när du distribuerar Azure Front Door i nästa steg.
Skapa en Azure Front Door
Skapa en Azure Front Door-profil
Kör az afd profile create för att skapa en Azure Front Door-profil.
Kommentar
Om du vill distribuera en Azure Front Door Standard i stället för Premium anger du parametern sku till Standard_AzureFrontDoor. Hanterade regler med WAF-princip är inte tillgängliga med standard-SKU:n. En detaljerad jämförelse finns i Jämförelse av Azure Front Door-nivå.
az afd profile create \
--profile-name contosoafd \
--resource-group myRGFD \
--sku Premium_AzureFrontDoor
Lägg till en slutpunkt
Skapa en slutpunkt i din Azure Front Door-profil. En slutpunkt är en logisk gruppering av en eller flera vägar som är associerade med domännamn. Varje slutpunkt tilldelas ett domännamn av Azure Front Door och du kan associera slutpunkter med anpassade domäner med hjälp av vägar. Azure Front Door-profiler kan innehålla flera slutpunkter.
Kör az afd endpoint create för att skapa en slutpunkt i din profil.
az afd endpoint create \
--resource-group myRGFD \
--endpoint-name contosofrontend \
--profile-name contosoafd \
--enabled-state Enabled
Mer information om slutpunkter i Azure Front Door finns i Slutpunkter i Azure Front Door.
Skapa en ursprungsgrupp
Skapa en ursprungsgrupp som definierar trafik och förväntade svar för dina appinstanser. Ursprungsgrupper definierar också hur ursprung utvärderas av hälsoavsökningar.
Kör az afd origin-group create för att skapa en ursprungsgrupp som innehåller dina två webbappar.
az afd origin-group create \
--resource-group myRGFD \
--origin-group-name og \
--profile-name contosoafd \
--probe-request-type GET \
--probe-protocol Http \
--probe-interval-in-seconds 60 \
--probe-path / \
--sample-size 4 \
--successful-samples-required 3 \
--additional-latency-in-milliseconds 50
Lägga till ursprung i ursprungsgruppen
Lägg till båda dina appinstanser som skapats tidigare som ursprung till din nya ursprungsgrupp. Ursprung i Azure Front Door refererar till program som Azure Front Door hämtar innehåll från när cachelagring inte är aktiverat eller när en cachemiss inträffar.
Kör az afd origin create för att lägga till din första appinstans som ursprung i din ursprungsgrupp.
az afd origin create \
--resource-group myRGFD \
--host-name webappcontoso-01.azurewebsites.net \
--profile-name contosoafd \
--origin-group-name og \
--origin-name contoso1 \
--origin-host-header webappcontoso-01.azurewebsites.net \
--priority 1 \
--weight 1000 \
--enabled-state Enabled \
--http-port 80 \
--https-port 443
Upprepa det här steget om du vill lägga till din andra appinstans som ursprung i ursprungsgruppen.
az afd origin create \
--resource-group myRGFD \
--host-name webappcontoso-02.azurewebsites.net \
--profile-name contosoafd \
--origin-group-name og \
--origin-name contoso2 \
--origin-host-header webappcontoso-02.azurewebsites.net \
--priority 1 \
--weight 1000 \
--enabled-state Enabled \
--http-port 80 \
--https-port 443
Mer information om ursprung, ursprungsgrupper och hälsoavsökningar finns i Ursprung och ursprungsgrupper i Azure Front Door.
Lägg till en väg
Lägg till en väg för att mappa slutpunkten som du skapade tidigare till ursprungsgruppen. Den här vägen vidarebefordrar begäranden från slutpunkten till ursprungsgruppen.
Kör az afd route create för att mappa slutpunkten till ursprungsgruppen.
az afd route create \
--resource-group myRGFD \
--profile-name contosoafd \
--endpoint-name contosofrontend \
--forwarding-protocol MatchRequest \
--route-name route \
--https-redirect Enabled \
--origin-group og \
--supported-protocols Http Https \
--link-to-default-domain Enabled
Mer information om vägar i Azure Front Door finns i Trafikroutningsmetoder till ursprung.
Skapa en ny säkerhetsprincip
Azure Web Application Firewall (WAF) på Azure Front Door ger ett centraliserat skydd för dina webbprogram och skyddar dem mot vanliga sårbarheter och sårbarheter.
I den här självstudien skapar du en WAF-princip som innehåller två hanterade regler. Du kan också skapa WAF-principer med anpassade regler.
Skapa en WAF-princip
Kör az network front-door waf-policy create för att skapa en ny WAF-princip för din Azure Front Door. Det här exemplet skapar en princip som är aktiverad och i förebyggande läge.
Kommentar
Hanterade regler är endast tillgängliga med Azure Front Door Premium-nivån. Du kan använda anpassade regler med standardnivån.
az network front-door waf-policy create \
--name contosoWAF \
--resource-group myRGFD \
--sku Premium_AzureFrontDoor \
--disabled false \
--mode Prevention
Kommentar
Om du väljer Detection läge blockerar inte WAF några begäranden.
Mer information om WAF-principinställningar för Azure Front Door finns i Principinställningar för Brandvägg för webbprogram i Azure Front Door.
Tilldela hanterade regler till WAF-principen
Azure-hanterade regeluppsättningar är ett enkelt sätt att skydda ditt program mot vanliga säkerhetshot.
Kör az network front-door waf-policy managed-rules add för att lägga till hanterade regler i din WAF-princip. Det här exemplet lägger till Microsoft_DefaultRuleSet_2.1 och Microsoft_BotManagerRuleSet_1.0 i principen.
az network front-door waf-policy managed-rules add \
--policy-name contosoWAF \
--resource-group myRGFD \
--type Microsoft_DefaultRuleSet \
--action Block \
--version 2.1
az network front-door waf-policy managed-rules add \
--policy-name contosoWAF \
--resource-group myRGFD \
--type Microsoft_BotManagerRuleSet \
--version 1.0
Mer information om hanterade regler i Azure Front Door finns i DRS-regelgrupper och regler för brandväggen för webbaserade program.
Tillämpa säkerhetsprincipen
Tillämpa nu WAF-principerna på Din Azure Front Door genom att skapa en säkerhetsprincip. Den här inställningen tillämpar de Azure-hanterade reglerna på slutpunkten som du definierade tidigare.
Kör az afd security-policy create för att tillämpa din WAF-princip på slutpunktens standarddomän.
Kommentar
Ersätt "mysubscription" med ditt Azure-prenumerations-ID i domänerna och waf-policy-parametrarna. Kör az account subscription list för att hämta prenumerations-ID-information.
az afd security-policy create \
--resource-group myRGFD \
--profile-name contosoafd \
--security-policy-name contososecurity \
--domains /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Cdn/profiles/contosoafd/afdEndpoints/contosofrontend \
--waf-policy /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/contosoWAF
Testa Azure Front Door
När du har skapat Azure Front Door-profilen tar det några minuter innan konfigurationen distribueras globalt. När du är klar kan du komma åt klientdelsvärden som du skapade.
Kör az afd endpoint show för att hämta värdnamnet för Azure Front Door-slutpunkten.
az afd endpoint show --resource-group myRGFD --profile-name contosoafd --endpoint-name contosofrontend
I en webbläsare går du till slutpunktens värdnamn: contosofrontend-<hash>.z01.azurefd.net. Din begäran dirigeras till den minst latenta webbappen i ursprungsgruppen.
Följ dessa steg för att testa omedelbar global redundans:
Öppna en webbläsare och gå till slutpunktens värdnamn:
contosofrontend-<hash>.z01.azurefd.net.Stoppa en av webbapparna genom att köra az webapp stop:
az webapp stop --name WebAppContoso-01 --resource-group myRGFDUppdatera webbläsaren. Du bör se samma informationssida.
Dricks
Det kan uppstå en viss fördröjning för dessa åtgärder. Du kan behöva uppdatera igen.
Stoppa även den andra webbappen:
az webapp stop --name WebAppContoso-02 --resource-group myRGFDUppdatera webbläsaren. Den här gången bör du se ett felmeddelande.
Starta om en av Web Apps genom att köra az webapp start. Uppdatera webbläsaren så bör sidan återgå till det normala.
az webapp start --name WebAppContoso-01 --resource-group myRGFD
Rensa resurser
När du inte längre behöver de resurser som skapats för Azure Front Door kan du ta bort resursgruppen. Den här åtgärden tar bort Azure Front Door och alla associerade resurser.
Kör följande kommando för att ta bort resursgruppen:
az group delete --name myRGFD
Nästa steg
Gå vidare till nästa artikel för att lära dig hur du lägger till en anpassad domän i Din Azure Front Door.