你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

快速入门:使用 Azure CLI 创建 Azure Front Door

在本快速入门中,你将了解如何使用 Azure CLI 创建 Azure Front Door。 你将使用两个 Azure Web 应用作为源创建此配置文件,并添加 WAF 安全策略。 然后,可以使用 Azure Front Door 终结点主机名来验证与 Web 应用的连接。

使用 Azure CLI 的 Front Door 部署环境示意图。

注意

对于 Web 工作负载,强烈建议使用 Azure DDoS 防护Web 应用程序防护墙来抵御新兴的 DDoS 攻击。 另一种选择是将 Azure Front Door 与 Web 应用程序防火墙一起使用。 Azure Front Door 提供平台级保护来抵御网络级 DDoS 攻击。 有关详细信息,请参阅 Azure 服务的安全基线

如果没有 Azure 订阅,请在开始之前创建一个 Azure 免费帐户

先决条件

创建资源组

在 Azure 中,可将相关的资源分配到资源组。 可以使用现有资源组,也可以创建新组。

若要创建资源组,请运行 az group create

az group create --name myRGFD --location centralus

创建 Azure Front Door 配置文件

在此步骤中,你将创建两个应用服务将用作源的 Azure Front Door 配置文件。

若要创建 Azure Front Door 配置文件,请运行 az afd profile create

注意

如果要部署 Azure Front Door 标准版而不是高级版,请将 sku 参数的值替换为 Standard_AzureFrontDoor。 如果选择标准 SKU,则无法使用 WAF 策略部署托管规则。 有关详细比较,请查看 Azure Front Door 层级比较

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

创建 Web 应用的两个实例

在此步骤中,你将为本教程创建两个在不同 Azure 区域中运行的 Web 应用实例。 这两个 Web 应用程序实例都以“主动/主动”模式运行,因此其中的任何一个实例都可以为流量提供服务。 此配置不同于“主动/备用”配置,在后一种配置中,只有一个实例充当故障转移节点。

创建应用服务计划

在创建 Web 应用之前,你将需要两个应用服务计划,一个在“美国中部”,另一个在“美国东部”。

若要创建应用服务计划,请运行 az appservice plan create

az appservice plan create \
    --name myAppServicePlanCentralUS \
    --resource-group myRGFD \
    --location centralus
az appservice plan create \
    --name myAppServicePlanEastUS \
    --resource-group myRGFD \
    --location eastus

创建 Web 应用

创建应用服务计划后,运行 az webapp create,以在上一步的每个应用服务计划中创建 Web 应用。 Web 应用名称必须全局独一无二。

az webapp create \
    --name WebAppContoso-01 \
    --resource-group myRGFD \
    --plan myAppServicePlanCentralUS
az webapp create \
    --name WebAppContoso-02 \
    --resource-group myRGFD \
    --plan myAppServicePlanEastUS

记下每个 Web 应用的默认主机名,以便在下一步部署 Front Door 时可以定义后端地址。

创建 Azure Front Door

创建 Front Door 配置文件

若要创建 Azure Front Door 配置文件,请运行 az afd profile create

注意

如果要部署 Azure Front Door 标准版而不是高级版,请将 sku 参数的值替换为 Standard_AzureFrontDoor。 如果选择标准 SKU,则无法使用 WAF 策略部署托管规则。 有关详细比较,请查看 Azure Front Door 层级比较

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

添加终结点

在此步骤中,你将在 Front Door 配置文件中创建一个终结点。 Front Door 标准版/高级版中,终结点是与域名关联的一个或多个路由的逻辑分组。 Front Door 为每个终结点分配一个域名,你可以使用路由来关联终结点和自定义域。 Front Door 配置文件也可以包含多个终结点。

若要在配置文件中创建终结点,请运行 az afd endpoint create

az afd endpoint create \
    --resource-group myRGFD \
    --endpoint-name contosofrontend \
    --profile-name contosoafd \
    --enabled-state Enabled

有关 Front Door 中的终结点的详细信息,请参阅 Azure Front Door 中的终结点

创建源组

创建一个源组,用于定义应用实例的流量和预期响应。 源组还定义运行状况探测如何评估源,也可在此步骤中定义。

若要创建包含两个 Web 应用的源组,请运行 az afd origin-group create

az afd origin-group create \
    --resource-group myRGFD \
    --origin-group-name og \
    --profile-name contosoafd \
    --probe-request-type GET \
    --probe-protocol Http \
    --probe-interval-in-seconds 60 \
    --probe-path / \
    --sample-size 4 \
    --successful-samples-required 3 \
    --additional-latency-in-milliseconds 50

向组中添加源

将前面创建的两个应用实例作为源添加到新的源组。 Front Door 中的源指的是当未启用缓存或未命中缓存时,Front Door 将从中检索内容的应用程序。

若要将第一个应用实例作为源添加到源组,请运行 az afd origin create

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-01.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso1 \
    --origin-host-header webappcontoso-01.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

重复此步骤,并将第二个应用实例作为源添加到源组。

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-02.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso2 \
    --origin-host-header webappcontoso-02.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

有关源、源组和运行状况探测的详细信息,请参阅 Azure Front Door 中的源和源组

添加路由

添加一个路由,用于将之前创建的终结点映射到源组。 此路由会将来自终结点的请求转发到源组。

若要将终结点映射到源组,请运行 az afd route create

az afd route create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --endpoint-name contosofrontend \
    --forwarding-protocol MatchRequest \
    --route-name route \
    --https-redirect Enabled \
    --origin-group og \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled 

若要详细了解 Azure Front Door 中的路由,请参阅将流量路由到源的方法

创建新的安全策略

Front Door 上的 Azure Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害。

在本教程中,你将创建一个 WAF 策略,用于添加两个托管规则。 还可以使用自定义规则创建 WAF 策略

创建 WAF 策略

若要为 Front Door 创建新的 WAF 策略,请运行 az network front-door waf-policy create。 此示例创建一个已启用且处于阻止模式的策略。

注意

托管规则仅适用于 Front Door 高级层级。 可以选择标准层级以仅使用自定义规则。

az network front-door waf-policy create \
    --name contosoWAF \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor \
    --disabled false \
    --mode Prevention

注意

如果选择 Detection 模式,则 WAF 不会阻止任何请求。

若要详细了解 Front Door 的 WAF 策略设置,请参阅 Azure Front Door 上 Web 应用程序防火墙的策略设置

将托管规则分配给 WAF 策略

Azure 托管的规则集可轻松针对常见的安全威胁来保护应用程序。

若要将托管规则添加到 WAF 策略,请运行 az network front-door waf-policy managed-rules add。 此示例将 Microsoft_DefaultRuleSet_2.1 和 Microsoft_BotManagerRuleSet_1.0 添加到策略。

az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_DefaultRuleSet \
    --action Block \
    --version 2.1 
az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_BotManagerRuleSet \
    --version 1.0

若要详细了解 Front Door 中的托管规则,请参阅 Web 应用程序防火墙 DRS 规则组和规则

创建安全策略

现在,通过创建安全策略将这两个 WAF 策略应用到 Front Door。 此设置会将 Azure 托管的规则应用于前面定义的终结点。

若要将 WAF 策略应用到终结点的默认域,请运行 az afd security-policy create

注意

在域和 waf 策略参数中,使用 Azure 订阅 ID 替换“mysubscription”。 若要获取订阅 ID 详细信息,请运行 az account subscription list

az afd security-policy create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --security-policy-name contososecurity \
    --domains /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Cdn/profiles/contosoafd/afdEndpoints/contosofrontend \
    --waf-policy /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/contosoWAF

测试 Front Door

创建 Azure Front Door 标准版/高级版配置文件时,需要花费几分钟时间才能全局部署完配置。 完成后,即可访问你创建的前端主机。

若要获取 Front Door 终结点的主机名,请运行 az afd endpoint show

az afd endpoint show --resource-group myRGFD --profile-name contosoafd --endpoint-name contosofrontend

在浏览器中,转到终结点主机名:contosofrontend-<hash>.z01.azurefd.net。 请求将自动路由到源组中延迟程度最低的 Web 应用。

屏幕截图显示了以下消息:你的 Web 应用正在运行,正在等待你的内容

我们将按照以下步骤来测试即时全局故障转移:

  1. 打开浏览器并转到终结点主机名:contosofrontend-<hash>.z01.azurefd.net

  2. 通过运行 az webapp stop 停止其中一个 Web 应用

    az webapp stop --name WebAppContoso-01 --resource-group myRGFD
    
  3. 刷新浏览器。 应会看到相同的信息页。

提示

这些操作会略有延迟。 可能需要再次刷新。

  1. 找到另一个 Web 应用,同样将其停止。

    az webapp stop --name WebAppContoso-02 --resource-group myRGFD
    
  2. 刷新浏览器。 此时,应会看到一条错误消息。

    屏幕截图显示了以下消息:Web 应用的两个实例都已停止

  3. 通过运行 az webapp start 重启其中一个 Web 应用。 刷新浏览器,页面将恢复正常。

    az webapp start --name WebAppContoso-01 --resource-group myRGFD
    

清理资源

如果不需要 Front Door 的资源,请删除这两个资源组。 删除资源组也会删除 Front Door 及其所有相关资源。

运行 az group delete

az group delete --name myRGFD

后续步骤

继续学习下一篇文章,了解如何将自定义域添加到 Front Door。