快速入門:使用 Azure 入口網站 建立 Azure Front Door
本快速入門會引導您完成使用 Azure 入口網站建立 Azure Front Door 設定檔的流程。 您有兩個選項可建立 Azure Front Door 設定檔:快速建立和自訂建立。 [快速建立] 選項可讓您完成設定檔的基本設定,而 [自訂建立] 選項可讓您使用更進階的設定來自訂設定檔。
在本快速入門中,您會使用 [自訂建立] 選項來建立 Azure Front Door 設定檔。 您必須先將兩個應用程式服務部署為原點伺服器。 然後,您可以設定 Azure Front Door 設定檔,以根據特定規則將流量路由至您的應用程式服務。 最後,您可以藉由存取 Azure Front Door 前端主機名來測試應用程式服務的連線能力。
注意
針對 Web 工作負載,強烈建議使用 Azure DDoS 保護和 Web 應用程式防火牆來防範新興的 DDoS 攻擊。 另一個選項是運用 Azure Front Door 和 Web 應用程式防火牆。 Azure Front Door 提供平台層級保護來防範網路層級 DDoS 攻擊。 如需詳細資訊,請參閱 Azure 服務的安全性基準。
必要條件
具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
建立 Front Door 設定檔 - [快速建立]
登入 Azure 入口網站。
若要建立 Front Door 和 CDN 設定檔的新資源,請瀏覽至首頁或 Azure 功能表,然後選取 [+ 建立資源] 按鈕。 然後,在搜尋方塊中輸入「Front Door 和 CDN 設定檔」,然後選取 [建立]。
在 [比較供應項目] 分頁上,選取 [快速建立] 。 然後選取 [繼續] 以建立 Front Door。
在 [建立 Front Door 設定檔] 頁面上,提供下列必要的設定資訊。
設定 描述 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [新建],並在文字輸入框中輸入 myAFDResourceGroup。 名稱 為您的設定檔命名。 此範例使用 myAzureFrontDoor。 層 選取標準或進階服務層級。 標準層是內容傳遞最佳化。 進階層級以標準層為基礎,並著重於安全性。 請參閱服務層級比較。 端點名稱 輸入端點的全域唯一名稱。 原始類型 選取原點的資源類型。 在此範例中,我們會選取應用程式服務作為已啟用 Private Link 的原點。 原點主機名稱 輸入原點的主機名稱。 私人連結 如果您想要在 Azure Front Door 與您的原點之間建立私人連線,請啟用私人連結服務。 僅支援內部負載平衡器、儲存體 Blob 及應用程式服務。 如需詳細資訊,請參閱Azure Front Door 提供的 Private Link 服務。 快取 如果您想要使用 Azure Front Door 的邊緣 POP 和 Microsoft 網路,將內容全域快取至更接近您使用者的位置,請選取核取方塊。 WAF 原則 如果您想要啟用此功能,請從下拉式清單中選取 [新建],或選取現有的 WAF 原則。 注意
建立 Azure Front Door 設定檔時,您必須從建立 Front Door 的相同訂用帳戶中選取原點。
選取 [檢閱 + 建立],然後選取 [建立] ,以部署您的 Azure Front Door 設定檔。
注意
- Azure Front Door 設定可能需要幾分鐘的時間才會傳播到所有邊緣 POP。
- 如果您已啟用 Private Link,請移至原點的資源分頁。 選取 [網路] > [設定 Private Link] 。 然後從 Azure Front Door 選取待辦的要求,並選取 [核准]。 等待幾秒鐘後,您的原點將可以安全的方式經由 Azure Front Door 進行存取。
建立 Front Door 設定檔 - [自訂建立]
在上一個教學課程中,您已透過「快速建立」來建立 Azure Front Door 設定檔,以基本設定建立了設定檔。
您可以使用「自訂建立」來建立 Azure Front Door 設定檔,並部署 Azure Front Door 設定檔用來作為原點的兩個應用程式服務。
建立兩個 Web 應用程式執行個體
如果您已經有作為原點的服務,請跳至 [為您的應用程式建立 Front Door]。
此範例會示範如何建立部署在兩個不同 Azure 區域中的兩個 Web 應用程式執行個體。 這兩個 Web 應用程式執行個體都會以「主動/主動」模式運作,這表示這兩者都可以處理傳入的流量。 此設定與「主動/待命」設定不同,其中一個執行個體會作為另一個執行個體的備份。
若要為此範例建立兩個 Web 應用程式,請遵循下列步驟:
登入 Azure 入口網站。
若要開始建立第一個 Web 應用程式,請在入口網站的左上角選取 [+ 建立資源] 按鈕。 然後,在搜尋方塊中輸入 Web 應用程式,然後選取 [建立] 以繼續進行設定。
在 [ 建立 Web 應用程式] 頁面上,填入 [基本] 索引標籤上的必要資訊。
設定 描述 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [新建] ,並在文字輸入框中輸入 myAppResourceGroup。 名稱 輸入 Web 應用程式的唯一名稱。 此範例使用 webapp-contoso-001。 發行 選取 [程式碼]。 執行階段堆疊 選取 .NET Core 3.1 (LTS)。 作業系統 選取 [Windows]。 區域 選取 [美國中部]。 Windows Plan 選取 [新建],然後在文字方塊中輸入 myAppServicePlanCentralUS。 SKU 和大小 選取 [標準 S1 100 總 ACU,1.75 GB 記憶體]。 若要完成 Web 應用程式的建立,請選取 [檢閱 + 建立] 按鈕,並確認設定摘要。 然後,選取 [建立] 按鈕以啟動部署流程,最多可能需要一分鐘的時間。
若要建立第二個 Web 應用程式,請遵循與第一個 Web 應用程式相同的步驟,但在設定中進行下列變更:
設定 描述 資源群組 選取 [新建],然後輸入 myAppResourceGroup2。 名稱 為您的 Web 應用程式輸入唯一的名稱,在此範例中為 webapp-contoso-002。 區域 使用不同的區域,在此範例中為 [美國中南部] [App Service 方案]>[Windows 方案] 選取 [新建] 並輸入 myAppServicePlanSouthCentralUS,然後選取 [確定] 。
為您的應用程式建立 Front Door
在此步驟中,您會設定 Azure Front Door,根據延遲將使用者流量路由至最近的 Web 應用程式原點。 您會套用 Web 應用程式防火牆 (WAF) 原則來保護 Azure Front Door 免於遭受惡意攻擊。
登入 Azure 入口網站。
從首頁或 Azure 功能表中選取 [+ 建立資源],搜尋「Front Door 和 CDN 設定檔」,然後選取 [建立]。
在 [比較供應項目] 頁面上選取 [自訂建立],然後選取 [繼續] 以建立 Front Door。
在 [基本] 索引標籤上,輸入或選取下列資訊,然後選取 [下一步:秘密]。
設定 值 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [新建],並在文字輸入框中輸入 myAFDResourceGroup。 資源群組位置 選取 [美國東部] 名稱 在此訂用帳戶 Webapp-Contoso-AFD 中輸入唯一的名稱 層 選取 [進階]。 選擇性:秘密。 如果您計劃使用受控憑證,則可略過此步驟。 如果您的 Azure 中現有的 Key Vault 包含自訂網域的憑證,您可以選取 [新增憑證]。 您也可以之後在管理體驗中新增憑證。
注意
若要以使用者身分從 Azure Key Vault 新增憑證,您必須擁有適當的權限。
在 [端點] 索引標籤中,選取 [新增端點],輸入全域唯一名稱 (此範例使用 contoso-frontend),然後選取 [新增]。 您可以在部署之後建立更多端點。
若要設定 Web 應用程式原點的路由,請選取 [+ 新增路由]。
在 [新增路由] 頁面上,輸入或選取下列資訊,然後選取 [新增],將路由新增至端點設定。
設定 描述 Name 提供一個可識別網域與原點群組之間對應的名稱。 網域 系統已產生可供您使用的網域名稱。 若要新增自訂網域,請選取 [新增網域]。 此範例會使用預設網域名稱。 要符合的模式 指定此路由接受的 URL。 此範例會使用預設設定,以接受所有 URL 路徑。 接受的通訊協定 選擇路由接受的通訊協定。 此範例會接受 HTTP 和 HTTPS 要求。 重新導向 開啟此設定將所有 HTTP 要求重新導向至 HTTPS 端點。 原始群組 若要建立新的原點群組,請選取 [新增原點群組],然後輸入 myOriginGroup 作為原點群組名稱。 然後選取 [+ 新增原點],並在 [名稱] 中輸入「WebApp1」,以及在 [原點類型] 中選取 [應用程式服務]。 在 [主機名稱] 中 ,選取 [webapp-contoso-001.azurewebsites.net],然後選取 [新增],將原點新增至原點群組。 重複步驟,將第二個 Web 應用程式新增為原點,並以 WebApp2 作為名稱,以 webapp-contoso-002.azurewebsites.net 作為主機名稱。 為每個原點選擇優先順序,數字最低表示優先順序最高。 如果您需要 Azure Front Door 處理這兩個原點,請使用優先順序 1。 為每個原點選擇權重,權重會決定流量如何路由至原點。 如果需要將流量公平路由至這兩個原點,請使用相等權重 1000。 新增這兩個 Web 應用程式原點後,請選取 [新增] 以儲存來源群組組態。 來源路徑 請勿輸入任何值。 轉寄通訊協定 選擇原點群組接收的通訊協定。 此範例會使用與傳入要求相同的通訊協定。 快取功能 如果您想要使用 Azure Front Door 的邊緣 POP 和 Microsoft 網路,將內容全域快取至更接近您使用者的位置,請選取核取方塊。 規則 部署 Azure Front Door 設定檔之後,您可以使用規則來自訂路由。 選取 [+ 新增原則],將 Web 應用程式防火牆 (WAF) 原則套用至 Azure Front Door 設定檔中的一或多個網域。
若要建立安全性原則,請為其提供唯一識別名稱。 接下來,選擇您要套用原則的網域。 您也可以選取現有的 WAF 原則或建立新的原則。 若要完成,請選取 [儲存] 來將安全性原則新增至端點設定。
若要部署 Azure Front Door 設定檔,請選取 [檢閱 + 建立],然後選取 [建立]。 設定會在幾分鐘內傳播到所有邊緣位置。
驗證 Azure Front Door
Azure Front Door 設定檔的全域部署需要幾分鐘的時間才能完成。 之後,若要存取您建立的前端主機,您可以在瀏覽器中輸入其端點主機名稱。 例如: contoso-frontend.z01.azurefd.net
。 要求會自動路由至最接近的伺服器 (在原點群組中的指定伺服器之間)。
若要測試立即的全域容錯移轉功能,請遵循下列步驟 (如果您在本快速入門中建立應用程式)。 您會看到包含應用程式詳細資料的資訊頁面。
若要存取前端主機,請在瀏覽器中輸入其端點主機名稱,如先前所述。 例如:
contoso-frontend.z01.azurefd.net
。在 Azure 入口網站中,從搜尋列中尋找並選取 [應用程式服務]。 從清單中找出其中一個 Web 應用程式,例如 WebApp-Contoso-001。
若要停止 Web 應用程式,請從清單中將其選取,然後選取 [停止]。 選取 [是] 以確認您的動作。
重新載入瀏覽器,再次查看資訊頁面。
提示
流量可能需要一些時間才能切換至第二個 Web 應用程式。 您可能需要重新載入瀏覽器。
若要停止第二個 Web 應用程式,請從清單中將其選取,然後選擇 [停止]。 選取 [是] 以確認您的動作。
重新載入網頁。 重新整理之後,您應該會收到錯誤訊息。
清除資源
完成工作之後,您可以刪除您所建立的所有資源。 移除資源群組也會排除其內容。 為了避免產生不必要的費用,如果您不打算使用此 Azure Front Door,建議您刪除這些資源。
在 Azure 入口網站中,使用搜尋列尋找並選取 [資源群組],或從 Azure 入口網站功能表瀏覽至 [資源群組]。
使用篩選選項或向下捲動清單來尋找資源群組,例如 myAFDResourceGroup、myAppResourceGroup 或 myAppResourceGroup2。
選擇資源群組,然後選取刪除資源群組的選項。
警告
刪除資源群組是無法回復的動作。 資源群組內的資源一旦刪除,將無法復原。
輸入資源群組名稱並確認,然後選取 [刪除] 按鈕。
針對其餘兩個資源群組,請遵循相同的步驟。
下一步
繼續閱讀下一篇文章,以了解如何為您的 Azure Front Door 設定自訂網域。