Dela via

Använda Azure Front Door med Azure Storage Blobs

  • Artikel

Azure Front Door förbättrar leveransen av statiskt innehåll från Azure Storage-blobar, vilket ger en säker och skalbar arkitektur. Den här konfigurationen är perfekt för olika användningsfall, till exempel värd för webbplatser och filleverans.

Arkitektur

Diagram över Azure Front Door med ett bloblagringsursprung.

I den här referensarkitekturen distribueras ett lagringskonto och en Azure Front Door-profil med ett enda ursprung.

Dataflöde

Data flödar genom scenariot på följande sätt:

  1. Klienten upprättar en säker anslutning till Azure Front Door med ett anpassat domännamn och ett Front Door-TLS-certifikat. Anslutningen avslutas vid en närliggande Front Door-närvaropunkt (PoP).
  2. Azure Front Door-brandväggen (WAF) söker igenom begäran. Om WAF bedömer att begäran är för riskabel blockerar den begäran och returnerar ett HTTP 403-felsvar.
  3. Om Front Door PoP:s cache innehåller ett giltigt svar returnerar Front Door svaret omedelbart.
  4. Om inte skickar PoP begäran till ursprungslagringskontot med hjälp av Microsofts stamnätverk med hjälp av en separat, långlivad TCP-anslutning. I det här scenariot ansluter Private Link säkert till lagringskontot.
  5. Lagringskontot skickar ett svar till Front Door PoP.
  6. PoP lagrar svaret i cacheminnet för framtida begäranden.
  7. PoP returnerar svaret till klienten.
  8. Alla direkta begäranden till lagringskontot via Internet blockeras av Azure Storage-brandväggen.

Komponenter

  • Azure Storage: Lagrar statiskt innehåll i blobar.
  • Azure Front Door: Tar emot inkommande anslutningar från klienter, genomsöker dem med WAF, vidarebefordrar begäranden på ett säkert sätt till lagringskontot och cachelagrar svar.

Alternativ

Om du lagrar statiska filer med en annan molnlagringsprovider eller i din egen infrastruktur gäller det här scenariot fortfarande till stor del. Du måste dock se till att inkommande trafik till ursprungsservern verifieras för att komma via Front Door. Om lagringsprovidern inte stöder Private Link kan du överväga att använda en alternativ metod som att tillåtalistning av Front Door-tjänsttaggen och inspektera X-Azure-FDID huvudet.

Scenarioinformation

Leverans av statiskt innehåll är fördelaktigt i många situationer, till exempel:

  • Leverera bilder, CSS-filer och JavaScript-filer för ett webbprogram.
  • Hantera filer och dokument, till exempel PDF- eller JSON-filer.
  • Leverera video som inte är uppströms.

Statiskt innehåll ändras vanligtvis inte ofta och kan vara stort, vilket gör det idealiskt för cachelagring för att förbättra prestanda och minska kostnaderna.

I komplexa scenarier kan en enskild Front Door-profil hantera både statiskt och dynamiskt innehåll. Du kan använda separata ursprungsgrupper för varje typ av innehåll och använda routningsfunktionerna för att dirigera inkommande begäranden till rätt ursprung.

Att tänka på

Skalbarhet och prestanda

Azure Front Door fungerar som ett nätverk för innehållsleverans (CDN) och cachelagra innehåll på dess globalt distribuerade ip-adresser. När ett cachelagrat svar är tillgängligt hanterar Azure Front Door det snabbt, vilket förbättrar prestandan och minskar belastningen på ursprunget. Om PoP saknar ett giltigt cachelagrat svar påskyndar Azure Front Door funktioner för trafikacceleration innehållsleverans från ursprunget.

Säkerhet

Autentisering

Azure Front Door är utformat för internetuppkopplade scenarier och är optimerat för offentligt tillgängliga blobar. Om du vill autentisera åtkomst till blobar bör du överväga att använda signaturer för delad åtkomst (SAS). Se till att du aktiverar beteendet Använd frågesträng för att förhindra att Azure Front Door betjänar begäranden till oautentiserade klienter. Den här metoden kan begränsa cachelagringens effektivitet eftersom varje begäran med en annan SAS måste skickas till ursprunget.

Origin Security

Azure Front Door ansluter säkert till Azure Storage-kontot med Private Link. Lagringskontot är konfigurerat för att neka direkt internetåtkomst, vilket endast tillåter begäranden via den privata slutpunkten som används av Azure Front Door. Den här konfigurationen säkerställer att alla begäranden bearbetas av Azure Front Door, vilket skyddar ditt lagringskonto från direkt internetexponering. Den här konfigurationen kräver premiumnivån för Azure Front Door. Om du använder standardnivån måste lagringskontot vara offentligt tillgängligt. Du kan skydda begäranden med en signatur för delad åtkomst (SAS) och antingen låta klienter inkludera SAS i sina begäranden eller använda Azure Front Door-regelmotorn för att bifoga den.

Anpassade domännamn

Azure Front Door stöder anpassade domännamn och kan hantera TLS-certifikat för dessa domäner. Genom att använda anpassade domäner ser du till att klienter tar emot filer från en betrodd källa, där TLS krypterar varje anslutning till Azure Front Door. Azure Front Door-hantering av TLS-certifikat hjälper till att undvika avbrott och säkerhetsproblem från ogiltiga eller inaktuella certifikat.

Brandvägg för webbaserade program

Azure Front Door WAF:s hanterade regel anger genomsökningsbegäranden efter vanliga och framväxande säkerhetshot. Vi rekommenderar att du använder WAF och hanterade regler för både statiska och dynamiska program.

Dessutom kan Azure Front Door WAF utföra hastighetsbegränsning och geofiltrering om det behövs.

Motståndskraft

Azure Front Door är en tjänst med hög tillgänglighet med en globalt distribuerad arkitektur, vilket gör den motståndskraftig mot fel i enskilda Azure-regioner och ip-adresser.

Om du använder Azure Front Door-cachen minskar belastningen på ditt lagringskonto. Om ditt lagringskonto blir otillgängligt kan Azure Front Door fortsätta att hantera cachelagrade svar tills programmet återställs.

Överväg redundansen för ditt lagringskonto för att ytterligare förbättra återhämtning. Läs mer i Redundansalternativ för Azure Storage. Du kan också distribuera flera lagringskonton och konfigurera flera ursprung i din Azure Front Door-ursprungsgrupp. Konfigurera redundansväxling mellan ursprung genom att konfigurera varje ursprungs prioritet. Mer information finns i Ursprung och ursprungsgrupper i Azure Front Door.

Kostnadsoptimering

Cachelagring bidrar till att minska kostnaden för att leverera statiskt innehåll. Azure Front Door-pops lagrar kopior av svar och kan leverera dessa cachelagrade svar för efterföljande begäranden, vilket minskar begärandebelastningen på ursprunget. I storskaliga lösningar för statiskt innehåll, särskilt de som levererar stora filer, kan cachelagring avsevärt minska trafikkostnaderna.

Om du vill använda Private Link i den här lösningen distribuerar du premiumnivån för Azure Front Door. Standardnivån kan användas om du inte behöver blockera direkt trafik till ditt lagringskonto. Mer information finns i Ursprungssäkerhet.

Distribuera det här scenariot

Information om hur du distribuerar det här scenariot med hjälp av Bicep- eller JSON ARM-mallar finns i den här snabbstarten.

Information om hur du distribuerar det här scenariot med Terraform finns i den här snabbstarten.

Nästa steg

Lär dig hur du skapar en Azure Front Door-profil.