練習 - 建立並設定 Front Door
Front Door 會接聽端點,並將連入要求與路由進行比對。 然後,將這些要求轉送至最佳的可用來源。 您定義的路由組態會決定 Front Door 在轉送至來源之前,其「在邊緣」處理要求的方式。
在邊緣處理的資訊包括:
- 路由接受的通訊協定。
- 要比對的路徑。
- 將流量重新導向至 HTTPS。
- 判斷為要求提供服務的來源群組。
- 設定用來轉送要求的通訊協定。
- 如果已啟用快取,請加以使用。
- 使用規則集在轉送至來源之前,進一步處理要求。
在機動車輛部門系統中,您必須設定 Front Door,才能使用 Private Link 以私人方式存取裝載車輛登記應用程式的 Web 伺服器。 您也需要設定 Front Door,才能使用 Private Link 存取裝載授權續約網站的 App Service。 Azure Front Door 設定檔有一個含兩個路由的端點,而每個路由都設定為將流量路由傳送至正確的網站。 最後,您會設定包含 WAF 原則的安全性原則,以保護 Web 應用程式防範惡意攻擊和入侵者。
本練習會逐步引導您建立 Front Door 設定檔、設定來源群組中的來源、設定路由,以及套用安全性原則。 然後,您可測試每個路由,以驗證 Front Door 是否正在正確地處理每個要求。
建立 Azure Front Door
在本單元中,您可使用下列設定來建立名為 vehicleFrontDoor 的 Front Door:
- 兩個來源群組。 第一個來源群組,其中包含 Web 伺服器虛擬機器的服務端點 IP。 第二個來源群組,其中包含 App Service。 您也會啟用這些來源的私人連結存取。
- 核准 Web 伺服器和 App Service 的私人端點連線。
- 在 Front Door 設定檔中建立端點,其中兩個路由設定為將要求導向至車輛登記網站和授權續約網站。
- 一個安全性原則,其中包含 WAF 原則以封鎖惡意要求。
使用下列命令建立 Azure Front Door 設定檔:
az afd profile create \ --profile-name vehicleFrontDoor \ --resource-group $RG \ --sku Premium_AzureFrontDoor使用下列命令建立設定檔內的第一個端點:
endpoint="vehicle-$RANDOM" az afd endpoint create \ --endpoint-name $endpoint \ --profile-name vehicleFrontDoor \ --resource-group $RG
建立來源群組和新增來源
登入 Azure 入口網站,以完成 Front Door 設定檔的設定。 務必使用您啟動沙箱時所用的相同帳戶。
移至您建立的
vehicleFrontDoorFront Door 設定檔,然後從左側功能表窗格中的 [設定] 底下選取 [來源群組]。
選取 [+ 新增] 以建立第一個來源群組。 針對名稱,輸入 webServers。 然後選取 [+ 新增來源]。 輸入或選取下列資訊以新增 Web 伺服器來源:
設定 值 名稱 輸入 webServerEndpoint。 來源類型 選取自訂。 主機名稱 輸入 10.0.1.8 來源主機標題 此欄位與此範例的主機名稱相同。 憑證主體名稱驗證 保留為已核取。 私人連結服務的必要項目。 HTTP 連接埠 保留為預設值。 80。 HTTPS 連接埠 保留為預設值。 443。 優先順序 保留為預設值。 1. Weight 保留為預設值。 1000。 私人連結 選取 [啟用私人連結服務] 核取方塊。 選取私人連結 選取 [在我的目錄中]。 資源 選取 myPrivateLinkService。 區域 選取資源時,會選取區域。 要求訊息 輸入 webServer 私人連線。 狀態 啟用此來源。 選取 [新增] 以將來源新增至來源群組。 將其餘的來源群組設定保留為預設值。 然後選取 [新增] 以建立來源群組。
再次選取 [+ 新增] 以建立第二個來源群組。 針對名稱,輸入 appService。 然後選取 [+ 新增來源]。 輸入或選取下列資訊。
設定 值 名稱 輸入 appService。 來源類型 選取 [應用程式服務]。 主機名稱 在以 licenserenewal開頭的下拉式功能表中選取 Azure 網站。來源主機標題 此欄位與此範例的主機名稱相同。 憑證主體名稱驗證 保留為已核取。 私人連結服務的必要項目。 HTTP 連接埠 保留為預設值。 80。 HTTPS 連接埠 保留為預設值。 443。 優先順序 保留為預設值。 1. Weight 保留為預設值。 1000。 私人連結 保留為預設值。 狀態 啟用此來源。 選取 [新增] 以將來源新增至來源群組。 將其餘的來源群組設定保留為預設值。 然後選取 [+ 新增] 以建立第二個來源群組。
核准私人端點連線
在啟用來源資源的私人連結服務之後,您必須核准私人端點連線要求,然後才能建立私人連線。 若要核准「Web 伺服器」的連線,請找出您在先前單元 (名為 myPrivateLinkService) 中建立的私人連結服務資源。 從左側功能表窗格上的 [設定] 底下選取[ 私人端點連線]。
選取具有「webServer 私人連線」描述的擱置連線,並選取 [核准]。 然後選取 [是] 來確認核准以建立連線。
您不需要核准 App Service 的私人端點,因為連線會透過公用網際網路進行。
新增路由
在此,您會新增兩個路線,將流量導向至車輛登記網站和授權續約網站。
移至 Front Door 管理員以取得 vehicleFrontDoor 設定檔。 從您在步驟 2 中建立的端點中選取 [+ 新增路由]。
選取或輸入下列資訊,然後選取 [新增] 以建立車輛登記網站的第一個路由。
設定 值 名稱 輸入 VehicleRegistration 已啟用路由 保留為已核取。 網域 在下拉式功能表中選取唯一可用的網域。 要符合的模式 為要比對的路徑輸入 /VehicleRegistration、/VehicleRegistration/*和/*。接受的通訊協定 從下拉式功能表中選取 [HTTP 和 HTTPS]。 重新導向 取消核取 將所有流量重新導向為使用 HTTPS 原始群組 從下拉式功能表中選取 webServers。 來源路徑 保留空白。 轉寄通訊協定 選取 [僅限 HTTP]。 快取功能 選取核取方塊以啟用快取。 查詢字串快取行為 從下拉式功能表中選取 [忽略查詢字串]。 再次選取 [+ 新增路由] 以建立授權續約網站的路由。 選取或輸入下列資訊,然後選取 [新增] 以建立第二個路由。
設定 值 名稱 輸入 LicenseRenewal 已啟用路由 保留為已核取。 網域 在下拉式功能表中選取唯一可用的網域。 要符合的模式 為要比對的路徑輸入 /LicenseRenewal和/LicenseRenewal/*。接受的通訊協定 從下拉式功能表中選取 [HTTP 和 HTTPS]。 重新導向 取消核取 將所有流量重新導向為使用 HTTPS 原始群組 從下拉式功能表中選取 appService。 來源路徑 保留空白。 轉寄通訊協定 選取 [比對連入要求]。 快取功能 選取核取方塊以啟用快取。 查詢字串快取行為 從下拉式功能表中選取 [忽略查詢字串]。
建立安全性原則
若要保護機動車輛網站,您會藉由套用安全性原則,在端點上設定 Web 應用程式防火牆 (WAF) 原則。
從 Front Door 管理員中,為端點選取 [+ 新增原則]。 輸入 securityPolicy 作為名稱,然後從下拉式清單中選取網域。
選取 [新建] 以建立新的 WAF 原則。 將 WAF 原則命名為 frontdoorWAF,然後選取 [儲存] 將 WAF 原則套用至端點。
設定 WAF 原則
移至您在最後一個步驟中建立的 frontdoorWAF 資源。 從 [概觀] 中,選取 [切換至預防模式] 以開始封鎖惡意流量。
從左側窗格中選取 [設定] 底下的 [原則設定],以設定此 WAF 原則的原則設定。
若要快速判斷 WAF 原則是否運作,您會將 [封鎖回應狀態碼] 設定為 999,然後選取 [儲存] 以套用新的原則設定。
在 Front Door 設定檔完成所有設定後,是時候將要求傳送至其中進行測試。