你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

快速入门：使用 Azure CLI 创建 Azure Front Door

项目
07/06/2023

在本快速入门中，你将了解如何使用 Azure CLI 创建 Azure Front Door。你将使用两个 Azure Web 应用作为源创建此配置文件，并添加 WAF 安全策略。然后，可以使用 Azure Front Door 终结点主机名来验证与 Web 应用的连接。

使用 Azure CLI 的 Front Door 部署环境示意图。

注意

对于 Web 工作负载，强烈建议使用 Azure DDoS 防护和 Web 应用程序防护墙来抵御新兴的 DDoS 攻击。另一种选择是将 Azure Front Door 与 Web 应用程序防火墙一起使用。 Azure Front Door 提供平台级保护来抵御网络级 DDoS 攻击。有关详细信息，请参阅 Azure 服务的安全基线。

如果没有 Azure 订阅，请在开始之前创建一个 Azure 免费帐户。

先决条件

在 Azure Cloud Shell 中使用 Bash 环境。有关详细信息，请参阅 Azure Cloud Shell 中的 Bash 快速入门。
如需在本地运行 CLI 参考命令，请安装 Azure CLI。如果在 Windows 或 macOS 上运行，请考虑在 Docker 容器中运行 Azure CLI。有关详细信息，请参阅如何在 Docker 容器中运行 Azure CLI。
- 如果使用的是本地安装，请使用 az login 命令登录到 Azure CLI。若要完成身份验证过程，请遵循终端中显示的步骤。有关其他登录选项，请参阅使用 Azure CLI 登录。
- 出现提示时，请在首次使用时安装 Azure CLI 扩展。有关扩展详细信息，请参阅使用 Azure CLI 的扩展。
- 运行 az version 以查找安装的版本和依赖库。若要升级到最新版本，请运行 az upgrade。

创建资源组

在 Azure 中，可将相关的资源分配到资源组。可以使用现有资源组，也可以创建新组。

若要创建资源组，请运行 az group create。

az group create --name myRGFD --location centralus

创建 Azure Front Door 配置文件

在此步骤中，你将创建两个应用服务将用作源的 Azure Front Door 配置文件。

若要创建 Azure Front Door 配置文件，请运行 az afd profile create。

注意

如果要部署 Azure Front Door 标准版而不是高级版，请将 sku 参数的值替换为 Standard_AzureFrontDoor。如果选择标准 SKU，则无法使用 WAF 策略部署托管规则。有关详细比较，请查看 Azure Front Door 层级比较。

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

创建 Web 应用的两个实例

在此步骤中，你将为本教程创建两个在不同 Azure 区域中运行的 Web 应用实例。这两个 Web 应用程序实例都以“主动/主动”模式运行，因此其中的任何一个实例都可以为流量提供服务。此配置不同于“主动/备用”配置，在后一种配置中，只有一个实例充当故障转移节点。

创建应用服务计划

在创建 Web 应用之前，你将需要两个应用服务计划，一个在“美国中部”，另一个在“美国东部”。

若要创建应用服务计划，请运行 az appservice plan create。

az appservice plan create \
    --name myAppServicePlanCentralUS \
    --resource-group myRGFD \
    --location centralus

az appservice plan create \
    --name myAppServicePlanEastUS \
    --resource-group myRGFD \
    --location eastus

创建 Web 应用

创建应用服务计划后，运行 az webapp create，以在上一步的每个应用服务计划中创建 Web 应用。 Web 应用名称必须全局独一无二。

az webapp create \
    --name WebAppContoso-01 \
    --resource-group myRGFD \
    --plan myAppServicePlanCentralUS

az webapp create \
    --name WebAppContoso-02 \
    --resource-group myRGFD \
    --plan myAppServicePlanEastUS

记下每个 Web 应用的默认主机名，以便在下一步部署 Front Door 时可以定义后端地址。

创建 Azure Front Door

创建 Front Door 配置文件

若要创建 Azure Front Door 配置文件，请运行 az afd profile create。

注意

如果要部署 Azure Front Door 标准版而不是高级版，请将 sku 参数的值替换为 Standard_AzureFrontDoor。如果选择标准 SKU，则无法使用 WAF 策略部署托管规则。有关详细比较，请查看 Azure Front Door 层级比较。

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

添加终结点

在此步骤中，你将在 Front Door 配置文件中创建一个终结点。 Front Door 标准版/高级版中，终结点是与域名关联的一个或多个路由的逻辑分组。 Front Door 为每个终结点分配一个域名，你可以使用路由来关联终结点和自定义域。 Front Door 配置文件也可以包含多个终结点。

若要在配置文件中创建终结点，请运行 az afd endpoint create。

az afd endpoint create \
    --resource-group myRGFD \
    --endpoint-name contosofrontend \
    --profile-name contosoafd \
    --enabled-state Enabled

有关 Front Door 中的终结点的详细信息，请参阅 Azure Front Door 中的终结点。

创建源组

创建一个源组，用于定义应用实例的流量和预期响应。源组还定义运行状况探测如何评估源，也可在此步骤中定义。

若要创建包含两个 Web 应用的源组，请运行 az afd origin-group create。

az afd origin-group create \
    --resource-group myRGFD \
    --origin-group-name og \
    --profile-name contosoafd \
    --probe-request-type GET \
    --probe-protocol Http \
    --probe-interval-in-seconds 60 \
    --probe-path / \
    --sample-size 4 \
    --successful-samples-required 3 \
    --additional-latency-in-milliseconds 50

向组中添加源

将前面创建的两个应用实例作为源添加到新的源组。 Front Door 中的源指的是当未启用缓存或未命中缓存时，Front Door 将从中检索内容的应用程序。

若要将第一个应用实例作为源添加到源组，请运行 az afd origin create。

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-01.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso1 \
    --origin-host-header webappcontoso-01.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

重复此步骤，并将第二个应用实例作为源添加到源组。

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-02.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso2 \
    --origin-host-header webappcontoso-02.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

有关源、源组和运行状况探测的详细信息，请参阅 Azure Front Door 中的源和源组

添加路由

添加一个路由，用于将之前创建的终结点映射到源组。此路由会将来自终结点的请求转发到源组。

若要将终结点映射到源组，请运行 az afd route create。

az afd route create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --endpoint-name contosofrontend \
    --forwarding-protocol MatchRequest \
    --route-name route \
    --https-redirect Enabled \
    --origin-group og \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

若要详细了解 Azure Front Door 中的路由，请参阅将流量路由到源的方法。

创建新的安全策略

Front Door 上的 Azure Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护，使其免受常见攻击和漏洞的侵害。

在本教程中，你将创建一个 WAF 策略，用于添加两个托管规则。还可以使用自定义规则创建 WAF 策略

创建 WAF 策略

若要为 Front Door 创建新的 WAF 策略，请运行 az network front-door waf-policy create。此示例创建一个已启用且处于阻止模式的策略。

注意

托管规则仅适用于 Front Door 高级层级。可以选择标准层级以仅使用自定义规则。

az network front-door waf-policy create \
    --name contosoWAF \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor \
    --disabled false \
    --mode Prevention

注意

如果选择 Detection 模式，则 WAF 不会阻止任何请求。

若要详细了解 Front Door 的 WAF 策略设置，请参阅 Azure Front Door 上 Web 应用程序防火墙的策略设置。

将托管规则分配给 WAF 策略

Azure 托管的规则集可轻松针对常见的安全威胁来保护应用程序。

若要将托管规则添加到 WAF 策略，请运行 az network front-door waf-policy managed-rules add。此示例将 Microsoft_DefaultRuleSet_2.1 和 Microsoft_BotManagerRuleSet_1.0 添加到策略。

az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_DefaultRuleSet \
    --action Block \
    --version 2.1

az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_BotManagerRuleSet \
    --version 1.0

若要详细了解 Front Door 中的托管规则，请参阅 Web 应用程序防火墙 DRS 规则组和规则。

创建安全策略

现在，通过创建安全策略将这两个 WAF 策略应用到 Front Door。此设置会将 Azure 托管的规则应用于前面定义的终结点。

若要将 WAF 策略应用到终结点的默认域，请运行 az afd security-policy create。

注意

在域和 waf 策略参数中，使用 Azure 订阅 ID 替换“mysubscription”。若要获取订阅 ID 详细信息，请运行 az account subscription list。

az afd security-policy create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --security-policy-name contososecurity \
    --domains /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Cdn/profiles/contosoafd/afdEndpoints/contosofrontend \
    --waf-policy /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/contosoWAF

测试 Front Door

创建 Azure Front Door 标准版/高级版配置文件时，需要花费几分钟时间才能全局部署完配置。完成后，即可访问你创建的前端主机。

若要获取 Front Door 终结点的主机名，请运行 az afd endpoint show。

az afd endpoint show --resource-group myRGFD --profile-name contosoafd --endpoint-name contosofrontend

在浏览器中，转到终结点主机名：contosofrontend-<hash>.z01.azurefd.net。请求将自动路由到源组中延迟程度最低的 Web 应用。

屏幕截图显示了以下消息：你的 Web 应用正在运行，正在等待你的内容

我们将按照以下步骤来测试即时全局故障转移：

打开浏览器并转到终结点主机名：contosofrontend-<hash>.z01.azurefd.net。

通过运行 az webapp stop 停止其中一个 Web 应用

az webapp stop --name WebAppContoso-01 --resource-group myRGFD

刷新浏览器。应会看到相同的信息页。

提示

这些操作会略有延迟。可能需要再次刷新。

找到另一个 Web 应用，同样将其停止。

az webapp stop --name WebAppContoso-02 --resource-group myRGFD

刷新浏览器。此时，应会看到一条错误消息。
通过运行 az webapp start 重启其中一个 Web 应用。刷新浏览器，页面将恢复正常。
```
az webapp start --name WebAppContoso-01 --resource-group myRGFD
```

清理资源

如果不需要 Front Door 的资源，请删除这两个资源组。删除资源组也会删除 Front Door 及其所有相关资源。

运行 az group delete：

az group delete --name myRGFD

后续步骤

继续学习下一篇文章，了解如何将自定义域添加到 Front Door。

添加自定义域

通过