Övning – Skapa och konfigurera Front Door

  • 20 minuter

Front Door lyssnar på en slutpunkt och matchar inkommande begäranden till en väg. Sedan vidarebefordras dessa begäranden till det bästa tillgängliga ursprunget. Den routningskonfiguration som du definierar avgör hur Front Door bearbetar en begäran vid gränsen innan den vidarebefordras till ursprunget.

Information som bearbetas vid gränsen omfattar:

  • Protokoll som vägen accepterar.
  • Sökvägar som ska matchas.
  • Omdirigera trafik till HTTPS.
  • Fastställa den ursprungsgrupp som hanterar begäran.
  • Ange det protokoll som används för att vidarebefordra begäran.
  • Använda cachen om den är aktiverad.
  • Använda regeluppsättningar för att bearbeta en begäran ytterligare innan du vidarebefordrar till ursprunget.

I motorfordonsavdelningens system måste du konfigurera Front Door för att få åtkomst till webbservrarna som är värdar för fordonsregistreringsprogrammet privat med Private Link. Du måste också konfigurera Front Door för att få åtkomst till apptjänsten som är värd för webbplatsen för licensförnyelse med Private Link. Azure Front Door-profilen har en slutpunkt med två vägar, var och en konfigurerad för att dirigera trafik till rätt webbplats. Slutligen konfigurerar du en säkerhetsprincip som innehåller en WAF-princip för att skydda dina webbprogram mot skadliga attacker och inkräktare.

Den här övningen beskriver hur du skapar en Front Door-profil, konfigurerar ursprung i en ursprungsgrupp, konfigurerar vägar och tillämpar en säkerhetsprincip. Sedan testar du varje väg för att kontrollera att Front Door hanterar varje begäran korrekt.

Skapa en Azure Front Door

I den här lektionen skapar du en Front Door med namnet vehicleFrontDoor med följande konfiguration:

  • Två ursprungsgrupper. Den första ursprungsgruppen innehåller tjänstslutpunkts-IP för de virtuella webbservrarnas virtuella datorer. Den andra ursprungsgruppen innehåller App Service. Du kan också aktivera åtkomst till privata länkar till dessa ursprung.
  • Godkänn privata slutpunktsanslutningar för webbservrarna och App Service.
  • Skapa en slutpunkt i Front Door-profilen med två vägar som konfigurerats för att dirigera begäranden till en webbplats för fordonsregistrering och en webbplats för licensförnyelse.
  • En säkerhetsprincip som innehåller en WAF-princip för att blockera skadliga begäranden.

  1. Skapa Azure Front Door-profilen med följande kommando:

    az afd profile create \
    --profile-name vehicleFrontDoor \
    --resource-group $RG \
    --sku Premium_AzureFrontDoor

  2. Skapa den första slutpunkten i profilen med följande kommando:

    endpoint="vehicle-$RANDOM"
az afd endpoint create \
    --endpoint-name $endpoint \
    --profile-name vehicleFrontDoor \
    --resource-group $RG

Skapa ursprungsgrupper och lägg till ursprung

  1. Logga in på Azure-portalen för att slutföra konfigurationen av Front Door-profilen. Var noga med att använda samma konto som du använde för att aktivera sandbox-miljön.

  2. Gå till Front Door-profilen vehicleFrontDoor som du skapade och välj Ursprungsgrupper under Inställningar i det vänstra menyfönstret.

    Screenshot of origin groups settings for vehicleFrontDoor profile.

  3. Välj + Lägg till för att skapa den första ursprungsgruppen. Som namn anger du webServers. Välj sedan + Lägg till ett ursprung. Ange eller välj följande information för att lägga till webbserverns ursprung:

    Screenshot of adding a web server origin setting in an origin group.

    Inställningar Värde
    Name Ange webServerEndpoint.
    Ursprungstyp Välj Kund.
    Värdnamn Ange 10.0.1.8
    Värdadress för ursprung Det här fältet är samma som värdnamnet för det här exemplet.
    Validering av certifikatmottagarenamn Lämna som markerat. Krävs för private link-tjänsten.
    HTTP-port Lämna som standard. 80.
    HTTPS-port Lämna som standard. 443.
    Prioritet Lämna som standard. 1.
    Grovlek Lämna som standard. 1 000.
    Private Link Markera kryssrutan för Aktivera privat länktjänst.
    Välj en privat länk Välj I min katalog.
    Resurs Välj myPrivateLinkService.
    Region Region väljs när du väljer resursen.
    Begärandemeddelande Ange en privat webServer-anslutning.
    Status Aktivera det här ursprunget.

  4. Välj Lägg till för att lägga till ursprunget i ursprungsgruppen. Lämna resten av inställningarna för ursprungsgruppen som standard. Välj sedan Lägg till för att skapa ursprungsgruppen.

    Screenshot of a web server origin added to an origin group.

  5. Välj + Lägg till igen för att skapa den andra ursprungsgruppen. Som namn anger du appService. Välj sedan + Lägg till ett ursprung. Ange eller välj följande information:

    Screenshot of adding an App service origin setting in an origin group.

    Inställningar Värde
    Name Ange appService.
    Ursprungstyp Välj Apptjänster.
    Värdnamn Välj Azure-webbplatsen i den nedrullningsbara menyn som börjar med licenserenewal.
    Värdadress för ursprung Det här fältet är samma som värdnamnet för det här exemplet.
    Validering av certifikatmottagarenamn Lämna som markerat. Krävs för private link-tjänsten.
    HTTP-port Lämna som standard. 80.
    HTTPS-port Lämna som standard. 443.
    Prioritet Lämna som standard. 1.
    Grovlek Lämna som standard. 1 000.
    Private Link Lämna som standard.
    Status Aktivera det här ursprunget.

  6. Välj Lägg till för att lägga till ursprunget i ursprungsgruppen. Lämna resten av inställningarna för ursprungsgruppen som standard. Välj sedan Lägg till för att skapa den andra ursprungsgruppen.

    Screenshot of an app service origin added to an origin group.

Godkänna privata slutpunktsanslutningar

  1. När du har aktiverat private link-tjänsten för ursprungsresurserna måste du godkänna anslutningsbegäran för den privata slutpunkten innan den privata anslutningen kan upprättas. Om du vill godkänna anslutningen för webbservrarna letar du upp den private link-tjänstresurs som du skapade i en tidigare enhet med namnet myPrivateLinkService. Välj Privata slutpunktsanslutningar under Inställningar i menyfönstret till vänster.

  2. Välj den väntande anslutningen med beskrivningen av den privata webServer-anslutningen och välj Godkänn. Välj sedan Ja för att bekräfta godkännandet för att upprätta anslutningen.

    Screenshot of private endpoint connection approval list for web servers.

  3. Du behöver inte godkänna den privata slutpunkten för App Service eftersom anslutningen sker via det offentliga Internet.

Lägga till vägar

Här lägger du till två vägar för att dirigera trafik till webbplatsen för fordonsregistrering och webbplatsen för licensförnyelse.

  1. Gå till Front Door-chefen för vehicleFrontDoor-profilen . Välj + Lägg till en väg från slutpunkten som du skapade i steg 2.

    Screenshot of add a route button from Front Door manager.

  2. Välj eller ange följande information och välj sedan Lägg till för att skapa den första vägen för fordonsregistreringswebbplatsen.

    Screenshot of vehicle registration route settings.

    Inställningar Värde
    Name Ange VehicleRegistration
    Aktiverad väg Lämna som markerat.
    Domäner Välj den enda tillgängliga domänen i den nedrullningsbara menyn.
    Mönster som ska matchas Ange /VehicleRegistrationoch /VehicleRegistration/* /* för sökvägar som ska matchas.
    Godkända protokoll Välj HTTP och HTTPS på den nedrullningsbara menyn.
    Omdirigera Avmarkera Omdirigering av all trafik för användning av HTTPS
    Ursprungsgrupp Välj webServers i den nedrullningsbara menyn.
    Sökväg till ursprung Lämna tomt.
    Protokollet för vidarebefordran Välj endast HTTP.
    Cachelagring Markera kryssrutan för att aktivera cachelagring.
    Funktionssätt för cachelagring av frågesträng Välj Ignorera frågesträng i den nedrullningsbara menyn.

  3. Välj + Lägg till en väg igen för att skapa en väg för webbplatsen för licensförnyelse. Välj eller ange följande information och välj sedan Lägg till för att skapa den andra vägen.

    Screenshot of license renewal route settings.

    Inställningar Värde
    Name Ange LicenseRenewal
    Aktiverad väg Lämna som markerat.
    Domäner Välj den enda tillgängliga domänen i den nedrullningsbara menyn.
    Mönster som ska matchas Ange /LicenseRenewal och /LicenseRenewal/* för sökvägar som ska matchas.
    Godkända protokoll Välj HTTP och HTTPS på den nedrullningsbara menyn.
    Omdirigera Avmarkera Omdirigering av all trafik för användning av HTTPS
    Ursprungsgrupp Välj appService i den nedrullningsbara menyn.
    Sökväg till ursprung Lämna tomt.
    Protokollet för vidarebefordran Välj Matcha inkommande begäran.
    Cachelagring Markera kryssrutan för att aktivera cachelagring.
    Funktionssätt för cachelagring av frågesträng Välj Ignorera frågesträng i den nedrullningsbara menyn.

Skapa en säkerhetsprincip

För att skydda webbplatserna för motorfordon konfigurerar du en WAF-princip (Web Application Firewall) på slutpunkten genom att tillämpa en säkerhetsprincip.

  1. Från Front Door-hanteraren väljer du + Lägg till en princip för slutpunkten. Ange securityPolicy som namn och välj sedan domänen i listrutan.

  2. Välj Skapa ny för att skapa en ny WAF-princip. Ge WAF-principen namnet frontdoorWAF och välj sedan Spara för att tillämpa WAF-principen på slutpunkten.

    Screenshot of adding security policy containing WAF policy settings.

Konfigurera WAF-princip

  1. Gå till den frontdoorWAF-resurs som du skapade i det senaste steget. I Översikt väljer du Växla till förebyggande läge för att börja blockera skadlig trafik.

    Screenshot of the switch to prevention mode button from overview page of WAF policy.

  2. Välj Principinställningar under Inställningar i fönstret till vänster för att konfigurera principinställningarna för den här WAF-principen.

    Screenshot of policy settings button from under settings for WAF policy.

  3. Om du snabbt vill ta reda på om WAF-principen fungerar anger du statuskoden Blockera svar till 999 och väljer sedan Spara för att tillämpa de nya principinställningarna.

    Screenshot of updating response code for blocked requests.

När Front Door-profilen är konfigurerad är det dags att testa genom att skicka begäranden till den.