Skapa och konfigurera Front Door
Front Door har flera komponenter som kombineras för att påskynda begäranden till webbprogram samtidigt som hög tillgänglighet bibehålls i global skala. Låt oss ta en titt på de olika komponenter som utgör Front Door-tjänsten och hur de spelar en roll i routningen av slutanvändarens begäranden.
Slutpunkter
En slutpunkt är en logisk gruppering av en eller flera vägar och säkerhetsprinciper som är kopplade till en domän. En standard- eller Premium-nivåprofil kan ha stöd för mer än en slutpunkt.
Vägar
Regler för Front Door-routning avgör hur varje begäran bearbetas när den kommer till Front Door-gränsen. En väg innehåller information för att mappa domäner och URL-sökvägar till en specifik ursprungsgrupp. Inom en väg kan du konfigurera de protokoll som används för begäranden som vidarebefordras till ursprunget. Du kan också aktivera cachelagring för snabbare svar på innehåll som efterfrågas ofta och konfigurera regeluppsättningar för hur du hanterar specifika typer av begäranden.
Ursprung
Ett ursprung är en programdistribution som Azure Front Door hämtar innehåll från när cachelagring inte är tillgängligt. Front Door stöder ursprung både i Azure, lokalt och i ett annat moln. När du definierar ett ursprung måste du ange typ, värdnamn, värdhuvud, certifikatmottagarens namnvalidering, prioritet och vikt. Genom att definiera dessa fält kan Front Door avgöra vilken ursprungsresurs som är bäst för att svara på inkommande begäranden.
Ursprungsgrupper
En ursprungsgrupp är en uppsättning ursprung som tar emot liknande trafik för sitt program. Den här logiska gruppering av program kan finnas i samma region eller i olika regioner. Som standard skickas begäranden till ursprunget med den lägsta svarstiden. Det beteendet kan ändras genom att ändra prioriteten och vikten för varje ursprung i ursprungsgruppen. Du kan också aktivera sessionstillhörighet med i en ursprungsgrupp för att säkerställa att alla begäranden från samma användare skickas till samma ursprungsresurs.
Regelmotor
En regeluppsättning är en anpassad regelmotor som grupperar en kombination av regler i en enda uppsättning. En regeluppsättning kan associeras med flera vägar. Dessa regler bearbetas vid Front Door-gränsen innan begäranden vidarebefordras till ursprunget. En enda regel kan ha upp till 10 matchningsvillkor och 5 åtgärder.
Regler matchar villkor
Matchningsvillkoren identifierar den specifika typ av åtgärder som begäran ska vidta. När flera matchningsvillkor används i en regel grupperas de tillsammans med hjälp av en AND-logik.
Följande typ av matchningsvillkor finns i en regeluppsättning:
- Filtrera begäranden baserat på en specifik IP-adress, port eller land/region.
- Filtrera begäranden efter rubrikinformation.
- Filtrera begäranden från mobila enheter eller stationära enheter.
- Filtrera begäranden från begärandefilnamn och filnamnstillägg.
- Filtrera begäranden efter värdnamn, TLS-protokoll, begärande-URL, protokoll, sökväg, frågesträng, post args och andra värden.
Regelåtgärder
En åtgärd är det beteende som tillämpas på begärandetypen när den matchar matchningsvillkor. Följande är åtgärder som du kan vidta när en begäran matchar ett villkor:
- Åsidosättning av routningskonfiguration – för att åsidosätta ursprungsgruppen eller cachelagringskonfigurationen som ska användas för begäran.
- Ändra begärandehuvudet – för att lägga till, skriva över eller ta bort rubrikvärdet i den begäran som skickas till ursprunget.
- Ändra svarsrubrik – för att lägga till, skriva över eller ta bort rubrikvärdet i svaret innan det skickas tillbaka till klienten.
- URL-omdirigering – om du vill omdirigera klienter till en annan URL. Front Door skickar svaret.
- URL-omskrivning – för att skriva om sökvägen till begäran som skickas till ursprunget.
Säkerhetsprincip
Front Door stöder WAF-principer (Web Application Firewall) och regler. En säkerhetsprincip i en Front Door-profil innehåller flera WAF-principer som kan användas för olika domäner i profilen. WAF-regler skyddar din webbtjänst mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, Java-attacker och många fler. Följande funktioner stöds för närvarande för WAF på Front Door:
- Principinställningar – Gör att du kan styra åtkomsten till dina webbprogram med hjälp av en uppsättning anpassade och hanterade regler.
- Hantera regler – Ge ett enkelt sätt att distribuera skydd mot en gemensam uppsättning säkerhetshot. Eftersom Azure hanterar regeluppsättningarna uppdateras reglerna efter behov för att skydda mot nya attacksignaturer.
- Anpassade regler – Gör att du kan styra åtkomsten till dina webbprogram baserat på de villkor du definierar. En anpassad WAF-regel består av ett prioritetsnummer, regeltyp, matchningsvillkor och en åtgärd.
- Undantagslista – Gör att du kan utelämna vissa begärandeattribut från en WAF-utvärdering och låta resten av begäran bearbetas som vanligt.
- Geofiltrering – Gör att du kan begränsa åtkomsten till ditt webbprogram efter länder/regioner.
- Robotskydd – Tillhandahåller robotregler för att identifiera bra robotar och skydda mot dåliga robotar.
- IP-begränsning – Gör att du kan styra åtkomsten till dina webbprogram genom att ange en lista över IP-adresser eller IP-adressintervall.
- Hastighetsbegränsning – En regel för anpassad hastighetsbegränsning styr åtkomsten baserat på matchande villkor och priserna för inkommande begäranden.
- Justering – Gör att du kan justera WAF-reglerna så att de passar behoven för ditt program och din organisations WAF-krav. Justeringsfunktioner som du kan förvänta dig att se definierar regelundantag, skapar anpassade regler och inaktiverar regler.
- Övervakning och loggning – Övervakning och loggning tillhandahålls via integrering med Azure Monitor- och Azure Monitor-loggar.
Front Door-nivåer
Front Door har tre nivåer, Klassisk, Standard och Premium. Varje nivå har stöd för många funktioner och optimeringar som du kan använda. Standardnivån är optimerad för innehållsleverans medan Premium-nivån är säkerhetsoptimerad. I följande tabell finns en fullständig lista över supportfunktioner för varje nivå.
Funktionsjämförelse mellan nivåer
| Funktioner och optimering | Standard | Premium | Klassisk |
|---|---|---|---|
| Leverans av statisk fil | Ja | Ja | Ja |
| Leverans av dynamisk webbplats | Ja | Ja | Ja |
| Anpassade domäner | Ja – DNS TXT-postbaserad domänverifiering | Ja – DNS TXT-postbaserad domänverifiering | Ja – CNAME-baserad validering |
| Cachehantera (rensning, regler och komprimering) | Ja | Ja | Ja |
| Belastningsutjämning för ursprung | Ja | Ja | Ja |
| Sökvägsbaserad routning | Ja | Ja | Ja |
| Regelmotor | Ja | Ja | Ja |
| Servervariabel | Ja | Ja | Nej |
| Reguljärt uttryck i regelmotorn | Ja | Ja | Nej |
| Utökade mått | Ja | Ja | Nej |
| Avancerad analys/inbyggda rapporter | Ja | Ja – innehåller WAF-rapport | Nej |
| Rådataloggar – åtkomstloggar och WAF-loggar | Ja | Ja | Ja |
| Hälsoavsökningslogg | Ja | Ja | Nej |
| Anpassade waf-regler (Web Application Firewall) | Ja | Ja | Ja |
| Microsofts hanterade regeluppsättning | Nej | Ja | Ja – Endast standardregeluppsättning 1.1 eller lägre |
| Robotskydd | Nej | Ja | Nej |
| Stöd för privat länk | Nej | Ja | Nej |
| Förenklat pris (bas + användning) | Ja | Ja | Nej |
| Azure Policy-integration | Ja | Ja | Nej |
| Azure Advisory-integrering | Ja | Ja | Nej |
Skapa och konfigurera en profil
Du kan skapa och konfigurera Front Door med hjälp av Azure-portalen, Azure PowerShell eller Azure CLI. För Azure CLI använder du az afd profile create kommandot för att skapa en ny profil. Om du föredrar Azure PowerShell kan du använda cmdleten New-AzFrontDoor . Du kan utföra de flesta åtgärder från Front Door-chefen med hjälp av Azure-portalen.
Nu ska vi skapa och konfigurera en Front Door-profil för de webbplatser för fordonsavdelningen som vi tidigare distribuerade.