Configurar l'Azure Front Door amb llocs del Power Pages
Com a creador del lloc web, podeu utilitzar l'Azure Front Door amb els portals del Power Pages per utilitzar les seves capacitats d'emmagatzematge a la memòria cau perimetral i de tallafoc d'aplicació web (WAF). En aquest article, aprendreu a configurar l'Azure Front Door amb el Power Pages.
Nota
- Tot i que aquest article se centra en l'Azure Front Door, es poden utilitzar passos semblants per a qualsevol altra xarxa de lliurament de contingut o proveïdor de WAF. La terminologia utilitzada per diversos components pot ser diferent.
- Tot i que la configuració HTTPS del domini personalitzat amb el portal de l'Azure us permet triar una versió mínima de TLS per defecte entre 1.0 i 1.2, utilitzeu la versió 1.2 per als marcadors forts.
Seguiu els passos que s'indiquen aquí per configurar l'Azure Front Door amb el Power Pages:
- Configureu l'extrem de l'Azure Front Door i el nom de domini personalitzat que utilitzaran els usuaris del lloc web.
- Configureu el vostre Power Pages lloc com a origen.
- Configureu regles d'encaminament per emmagatzemar a la memòria cau sol·licituds estàtiques.
- Configureu regles WAF per analitzar les sol·licituds entrants.
- Configureu el lloc per acceptar el trànsit només de l'Azure Front Door.
En aquesta secció, aprendreu a configurar el servei de l'Azure Front Door i a habilitar un nom de domini personalitzat per a aquesta configuració.
Una subscripció de l'Azure amb l'accés per crear serveis nous.
Un nom de domini personalitzat i accés al proveïdor de DNS per a la configuració del nom de domini personalitzat.
Certificat SSL que s'utilitzarà per al nom de domini personalitzat. El certificat ha de complir els requisits mínims per al Power Pages.
Accés del propietari a Power Pages, per configurar el nom de domini personalitzat.
Nota
Si ja heu creat el recurs Azure Front Door, aneu al pas 3 del procediment següent.
Inicieu sessió al portal de l'Azure i creeu un nou recurs de l'Azure Front Door (Standard o Premium). Més informació: Inici ràpid: crear un perfil estàndard o premium de l'Azure Front Door - Portal de l'Azure
Seleccioneu Creació ràpida.
Suggeriment
La major part de la configuració de l'Azure Front Door es pot canviar més endavant.
Seleccioneu o empleneu els detalls següents per configurar el recurs.
Opció Descripció Detalls del projecte Configuració relacionada amb l'organització del recurs, similar a qualsevol altre recurs de l'Azure. Subscripció Seleccioneu la subscripció on es crearà el recurs de l'Azure Front Door. Grup de recursos Seleccioneu el grup de recursos per a l'Azure Front Door. També podeu crear un nou grup de recurs. Ubicació del grup de recursos La ubicació del grup de recursos. Detalls del perfil La configuració de l'Azure Front Door. Nom Nom del recurs de l'Azure Front Door. Nivell Seleccioneu el nivell de recurs per a l'Azure Front Door. Per a aquest article, hem seleccionat el nivell Premium, que permet accedir al conjunt de regles administrades i al Microsoft conjunt de regles de prevenció de bots per a WAF. Configuració del punt final Configuració de l'extrem de l'Azure Front Door. Nom de l'extrem Introduïu un nom per a les vostres sol·licituds de l'Azure Front Door. Aquest nom és l'adreça URL real que difondrà el trànsit dels usuarisis. Més endavant, configurarem un nom de domini personalitzat que assenyali aquest URL. Tipus d'origen Seleccioneu Personalitzar. Nom d'amfitrió d'origen El nom d'amfitrió del lloc del Power Pages.
Format:yoursitename.powerappsportals.com
oyoursitename.microsoftcrmportals.com
sensehttps://
al principi.
Per exemple,contoso.powerappsportals.com
Enllaç privat No habiliteu el servei d'enllaç privat. Emmagatzematge Habiliteu l'emmagatzematge en memòria cau. L'emmagatzematge en la memòria cau utilitza les capacitats de l'emmagatzematge en la memòria cau per al contingut estàtic.
L'emmagatzematge en la memòria cau s'explica millor a "Configurar regles d'encaminament per emmagatzemar a la memòria cau les sol·licituds estàtiques", més endavant en aquest article.Comportament de l'emmagatzematge en la memòria cau de cadenes de consulta Seleccioneu Utilitza la cadena de consulta. Aquesta opció garantirà que si una pàgina té contingut dinàmic que satisfà la cadena de consulta, tindrà en compte la cadena de consulta. Compressió Habiliteu la compressió. Norma de WAF Creeu una norma de WAF o utilitzeu-ne una d'existent.
Per obtenir informació sobre la política de WAF, aneu a "Configurar regles WAF per analitzar les sol·licituds entrants" més endavant en aquest article, i també a Tutorial: creeu una política de tallafoc d'aplicació web al portal de l'Azure Front Door mitjançant un portal de l'Azure.Seleccioneu Revisa + Crea i espereu que acabi la configuració. Normalment, es triga entre 5 i 10 minuts.<
Valideu la configuració cercant l'adreça URL de l'extrem (per exemple,
contoso.example.azurefd.net
) i verifiqueu que mostri el contingut del lloc del Power Pages.Suggeriment
Si veieu una resposta "404 Not Found", pot ser que la configuració no hagi finalitzat. Espereu una estona i torneu-ho a intentar.
Fins ara, l'extrem de l'Azure Front Door s'ha configurat per difondre el trànsit del servidor de fons del Power Pages. Tanmateix, aquesta configuració encara utilitza l'URL de l'Azure Front Door, la qual cosa provocarà problemes com ara els errors de comprovació captcha o els problemes d'escala.
Els navegadors web rebutgen les galetes configurades pels portals Power Pages quan utilitzeu una adreça URL de l'extrem de l'Azure Front Door que és diferent de l'adreça URL del vostre lloc. Per tant, heu de configurar un nom de domini personalitzat tant per al lloc com per a l'extrem de l'Azure Front Door.
Configureu un nom de domini personalitzat al lloc. Més informació: Afegir un nom de domini personalitzat.
Habiliteu el nom de domini personalitzat del lloc al recurs de l'Azure Front Door d'aquesta manera:
Actualitzeu el proveïdor de DNS suprimint el registre CNAME creat abans durant la configuració del domini personalitzat per al Power Pages. Només s'ha d'actualitzar CNAME; no suprimiu el nom de l'amfitrió d'origen. DNS assenyalarà CNAME a l'extrem de l'Azure Front Door. L'única finalitat per afegir CNAME era assegurar-se que el nom d'amfitrió personalitzat estarà present al Power Pages. Aquesta presència garanteix que el Power Pages podrà difondre trànsit a aquest nom de domini personalitzat a través de l'Azure Front Door i que totes les galetes del lloc també tindran el domini configurat correctament.
Seguiu aquests passos per configurar el nom de domini personalitzat a l'extrem de l'Azure Front Door: Creeu un domini personalitzat a l'SKU estàndard o premium de l'Azure Front Door amb el portal de l'Azure.
Comproveu el següent per validar la configuració:
El nom de domini personalitzat assenyala l'extrem de l'Azure Front Door. Utilitzeu nslookup per verificar que una entrada CNAME a l'extrem de l'Azure Front Door es retorna correctament. Si l'entrada CNAME encara assenyala al Power Pages, heu de corregir-la.
La navegació al nom de domini personalitzat mostra la pàgina del lloc web del Power Pages.
Després de seguir aquests passos, teniu una configuració bàsica de l'Azure Front Door completada per al lloc web. En els passos següents, actualitzareu diverses opcions de configuració i regles per fer que aquesta configuració sigui més eficient i millor per a la gestió de diferents casos d'ús.
El següent pas és optimitzar la configuració del servidor d'origen per assegurar-vos que la configuració funcioni correctament. Utilitzeu l'Administrador de l'extrem a les configuracions de l'Azure Front Door al portal de l'Azure per actualitzar la configuració del grup d'origen.
Durant la configuració de creació ràpida que heu fet abans, heu introduït detalls de l'extrem que han creat automàticament la configuració amb el nom default-origin-group(associated) (aquest nom pot variar segons la configuració regional). Per a aquest pas, modificareu la configuració del grup d'origen per defecte. A la imatge següent es mostra l'aspecte de les opcions d'aquest pas quan obriu el grup d'origen per primera vegada.
L'origen de l'Azure Front Door representa el servei de servidor de fons al qual es connecten els servidors de la vora de l'Azure Front Door per difondre contingut als usuarisis. Podeu afegir diversos orígens a la instància de l'Azure Front Door per obtenir contingut de diversos serveis de servidors de fons.
Suggeriment
El Power Pages proporciona una alta disponibilitat a la seva capa de servei. Per tant, un únic servidor d'origen és suficient quan es configuren els orígens dels llocs.
L'únic origen dels llocs del Power Pages hauria d'assenyalar el nom d'amfitrió del vostre lloc (que heu configurat abans). Si no heu seguit els passos de configuració de creació ràpida, podeu afegir un origen nou que assenyali al nom d'amfitrió del lloc.
A la imatge següent es mostra un exemple de la configuració d'origen.
Utilitzeu les opcions següents per configurar l'origen dels llocs del Power Pages.
Opció | Tipus o valor de configuració |
---|---|
Tipus d'origen | Seleccioneu Personalitzar. |
Nom d'amfitrió d'origen | Introduïu el nom d'amfitrió del lloc. Per exemple, contoso.powerappsportals.com |
Capçalera de l'amfitrió d'origen | Introduïu el nom de domini personalitzat o deixeu-lo buit. L'anterior garanteix que l'Azure Front Door enviï la capçalera d'origen com a nom de domini personalitzat; el darrer provoca que passi a través d'allò que l'usuarisi hagi proporcionat en fer la sol·licitud. |
Port HTTP | 80 |
Port HTTPS | 443 |
Prioritat | 1 |
Ponderació | 1000 |
Enllaç privat | Inhabilitada |
Estat d'execució | Seleccioneu la casella de selecció Habilita aquest origen. |
Després de configurar l'origen i tornar al grup d'origen, actualitzeu la configuració de les proves d'estat i les opcions d'equilibri de càrrega segons s'explica a la taula següent.
Opció | Tipus o valor de configuració |
---|---|
Proves d'estat | Les proves d'estat són un mecanisme que garanteix que el servei d'origen estigui en funcionament i que es prenguin decisions d'encaminament del trànsit en funció dels resultats de la prova. En aquest cas, no necessitem proves d'estat. Per tant, ho hem desactivat. |
Equilibri de càrrega | Com que tenim un sol origen configurat i s'han desactivat les proves d'estat, aquesta opció de configuració no jugarà cap funció en aquesta configuració. |
Valideu que la configuració del grup d'origen s'assembli a la imatge següent.
Les rutes determinen com utilitzem les capacitats de memòria cau perimetral de l'Azure Front Door per millorar l'escalabilitat d'un lloc. La configuració de les rutes també és un pas important per garantir que no emmagatzemem el contingut dinàmic en la memòria cau difós pel lloc, la qual cosa pot donar lloc a un accés a les dades no esperat.
Per configurar les regles, haureu de fer el següent:
- Configureu la configuració de la ruta.
- Configureu un conjunt de regles.
- Associeu el conjunt de regles amb una ruta.
- Validar les regles i la configuració de la ruta.
Per configurar la configuració de rutes, seleccioneu Administrador de l'extrem a la subfinestra esquerra, seleccioneu Rutes i, a continuació, seleccioneu l'encaminament per defecte. Default-route es crea durant l'experiència de configuració de creació ràpida.
Actualitzeu la configuració de ruta com es descriu a la taula següent.
Opció | Configuració |
---|---|
Secció de dominis | |
Dominis | Nom de domini que heu utilitzat abans durant la configuració del nom de domini personalitzat. |
Patrons que han de coincidir | Definit com a /* (valor per defecte); totes les sol·licituds del lloc s'enviaran al mateix origen a la nostra configuració. |
Protocols acceptats | Definiu com a només HTTPS per assegurar-vos que tot el trànsit difòs sigui segur. |
Redirecció | Activeu la casella de selecció Redirigeix tot el trànsit per utilitzar HTTPS. |
Secció del grup d'origen | |
Grup d'origen | Definiu com a grup d'origen que heu definit abans. |
Camí d'origen | Mantingueu-lo buit. |
Protocol de reenviament | Definiu com a només HTTPS o Coincideix amb la sol·licitud entrant. |
Secció de memòria cau | |
Emmagatzematge | Activeu la casella de selecció Habilita l'emmagatzematge en la memòria cau si voleu utilitzar l'emmagatzematge en la memòria cau. |
Comportament de l'emmagatzematge en la memòria cau de cadenes de consulta | Seleccioneu Utilitza la cadena de consulta per garantir que es pugui difondre el contingut dinàmic basat en la cadena de consulta. |
Compressió | Seleccioneu Habilita la compressió per optimitzar el lliurament de contingut. |
Els conjunts de regles regeixen la manera com s'ha de emmagatzemar a la memòria cau el contingut. Aquest pas és important, ja que regeix la manera com el contingut es desarà a la memòria cau dels servidors perimetrals per millorar l'escalada del lloc. Tanmateix, un conjunt de regles que no s'ha configurat correctament pot donar lloc a un contingut dinàmic de la memòria cau que s'hauria de difondre específicament per a cada usuarisi individual.
Per configurar el conjunt de regles correctament, és important que conegueu el tipus de contingut que difon el vostre lloc. Aquesta comprensió us ajuda a configurar la regla definida mitjançant regles eficaces. Per a l'escenari d'aquest article, el lloc utilitza contingut dinàmic a totes les pàgines i també difon fitxers estàtics; per tant, el lloc està intentant aconseguir el següent:
- Tots els fitxers estàtics es desen a la memòria cau i se serveixen des dels servidors dels extrems.
- Cap contingut de la pàgina no és a la memòria cau.
Per configurar aquest conjunt de regles
A la subfinestra esquerra, seleccioneu Conjunt de regles i, a continuació, seleccioneu Afegeix un conjunt de regles.
Introduïu un nom de conjunt de regles i deseu-lo.
Ara, configureu el conjunt de regles en funció dels requisits empresarials, amb la configuració següent per complir els requisits de l'escenari esmentat abans.
Requisit: tots els fitxers estàtics es desen a la memòria cau i se serveixen des dels servidors dels extrems
El lloc d'aquest escenari pot contenir fitxers estàtics amb extensions de nom de fitxer .css, .png, .jpg, .js, .svg, .woff o .ico. Per tant, necessitem una regla per avaluar l'extensió de nom de fitxer de la sol·licitud i comprovar si hi ha tipus de fitxers específics.
Nota
Hi ha altres maneres d'escriure aquesta regla, com ara mitjançant l'URL de sol·licitud o el nom del fitxer. Per obtenir més informació sobre les condicions de coincidència de les regles de l'Azure Front Door, aneu a les condicions de coincidència del motor de regles de l'Azure Front Door.
Captura de pantalla d'una condició IF anomenada "Sol·licitud d'extensió de fitxer" amb l'operador definit com a Igual, el valor definit com a css png jpg js svg woff ico i Transforma el cas definit com a Sense transformació.
A la configuració d'acció següent, substituireu la capçalera de la memòria cau definida pel Power Pages per tal que aquests fitxers es desin a la memòria cau una mica més de temps al navegador. Per defecte, el Power Pages estableixen en un dia la caducitat de l'emmagatzematge. Però substituirem aquest escenari i el definirem en set dies configurant una acció de caducitat de la memòria cau i configurant el comportament de la memòria cau per substituir-lo com es mostra a la imatge següent.
Al final, la regla completa s'assembla a la imatge següent.
En general, la configuració del lloc del Power Pages garanteix que si una pàgina té un formulari incrustat (la qual cosa significa que difon contingut específic a un registre), tindrà el seu valor de capçalera Cache-control establert com a private, la qual cosa garanteix que l'Azure Front Door no el desarà a la memòria cau aquesta sol·licitud. No obstant això, aquest mètode no té en compte els escenaris en què esteu utilitzant plantilles líquides per incrustar contingut específic d'usuarisi a les pàgines, com ara visualitzar un registre específic a un conjunt d'usuarisis. Per tant, afegirem una regla explícita per garantir que no es desi cap pàgina del lloc web a la memòria cau.
El primer pas és configurar la condició. La condició comprova inversament el que hem fet a la primera regla i comprova que la sol·licitud no inclogui cap extensió de nom de fitxer que assenyali a un dels tipus de fitxers que volem emmagatzemar a la memòria cau.
Captura de pantalla d'una condició IF anomenada "Sol·licitud d'extensió de fitxer" amb l'operador definit com a No igual, el valor definit com a css png jpg js svg woff ico i Transforma el cas definit com a Sense transformació.
A la condició d'acció, similar a la regla anterior, escriurem una acció per a la caducitat de la memòria cau. Tanmateix, aquesta vegada definirem el comportament com a Memòria cau d'omissió. Això garantirà que qualsevol sol·licitud que compleixi aquesta regla no es desarà a la memòria cau.
La regla completa s'assembla a la imatge següent.
Un cop hàgiu creat el conjunt de regles, el pas següent és associar-les a una ruta.
Seleccioneu el conjunt de regles i, a continuació, seleccioneu Associar una ruta a la barra d'ordres.
Seleccioneu el nom de l'extrem i l'encaminament disponible. Pot ser que hi hagi diverses rutes disponibles, de manera que seleccioneu la que configureu abans.
Si teniu diversos conjunts de regles i voleu definir l'ordre en què s'han d'avaluar, seleccioneu Canvia les comandes del conjunt de regles i configureu l'ordre. El nostre cas d'exemple només té un conjunt de regles.
Seleccioneu Fet per acabar.
Per validar que les regles i les configuracions d'encaminament funcionen correctament, assegureu-vos que tot el trànsit se serveix mitjançant HTTPS i que les regles de memòria cau s'avaluen correctament.
Per assegurar-se que tot el trànsit es serveix a través d'HTTPS i que totes les trucades HTTP es redirigeixen a HTTPS
- Introduïu el nom de domini en un navegador i assegureu-vos que l'URL canviï automàticament a HTTPS mentre es representa el contingut.
Per garantir que les regles de memòria cau s'avaluïn i funcionin com s'esperava
Per comprovar les regles d'emmagatzematge en la memòria cau, haurem d'analitzar els rastreigs de la xarxa a la barra d'eines del desenvolupador del navegador web per validar que les capçaleres de la memòria cau per als diferents tipus de contingut es defineixin correctament.
Nota
Els canvis a les regles poden trigar fins a 10 minuts en quedar reflectits.
Obriu una pestanya nova del navegador, obriu la barra d'eines per a desenvolupadors i navegueu fins a l'adreça URL del Power Pages (assegureu-vos que obriu la barra d'eines del desenvolupador abans de navegar a l'adreça URL).
Aneu a la pestanya xarxa per veure totes les sol·licituds de xarxa.
Seleccioneu una sol·licitud per a qualsevol fitxer CSS de la llista de sol·licituds.
A la secció Capçaleres de resposta dels detalls de la sol·licitud, assegureu-vos que hi ha una capçalera anomenada x-cache. Aquesta capçalera garanteix que la sol·licitud es difon a través dels servidors de la vora i es pot emmagatzemar a la memòria cau. Si el valor de x-cache està establert en CONFIG_NOCACHE (o qualsevol altre valor que contingui el terme NOCACHE) la configuració no és correcta.
De manera semblant al pas anterior, seleccioneu una sol·licitud de Pàgina i comproveu les capçaleres corresponents. Si x-cache està definida en CONFIG_NOCACHE, la vostra configuració funciona correctament.
El pas següent de la configuració és configurar les regles WAF de les sol·licituds entrants. En aquest article només es tractaran els passos bàsics. Per veure la configuració avançada de WAF, aneu al tallafoc de l'aplicació web de l'Azure, a l'Azure Front Door.
A la subfinestra esquerra, seleccioneu Seguretat.
Durant la configuració de creació ràpida, ja hem configurat una nova política WAF que es mostra aquí. Tanmateix, si sheu omès aquest pas, podeu configurar una política nova seleccionant Crea.
Seleccioneu el nom de la política WAF.
Seleccioneu Configuració de l'aplicació i llavors:
Habilita la inspecció del cos de la sol·licitud: marca aquesta casella si vols que s'inspeccioni el cos de la sol·licitud a més de les galetes, les capçaleres i els URL.
URL de redirecció: introduïu un URL que no sigui del lloc web. Aquesta adreça URL és on es redirigiria l'usuarisi si una regla WAF s'hagués definit com a redirigida. Assegureu-vos que aquest URL sigui accessible de manera pública i anònima.
Codi d'estat de la sol·licitud de bloqueig: aquest codi d'estat HTTP es retorna a l'usuari si la sol·licitud està bloquejada per WAF.
Bloqueja el cos de la resposta: Podeu afegir un missatge personalitzat aquí que es mostrarà a l'usuari si la sol·licitud està bloquejada per WAF.
Per configurar el conjunt de regles establertes amb les quals s'avaluarà cada sol·licitud, feu el següent:
A la subfinestra esquerra, seleccioneu Regles administrades.
A la barra d'ordres, seleccioneu Assigna i, a continuació, seleccioneu a la llista de conjunts de regles per defecte. Els conjunts de regles gestionats són administrats i actualitzats Microsoft periòdicament. Per obtenir més informació sobre els conjunts de regles, aneu a grups de regles i regles de DRS tallafocs de l'aplicació web.
Un cop assignat el conjunt de regles administrades, la configuració ja està completa. Com a pas addicional, també podeu configurar llistes d'exclusions per a regles existents i habilitar regles personalitzades.
Important
Per defecte, WAF es configura en el mode Política de detecció, que detecta problemes relacionats amb el conjunt de regles definit i els registra. Tanmateix, aquest mode no bloqueja les sol·licituds. Per bloquejar les sol·licituds, s'ha de canviar WAF al mode Prevenció.
Es recomana dur a terme proves exhaustives en el mode de Prevenció per verificar que tots els escenaris estan funcionant i assegurar-vos que no cal que modifiqueu el conjunt de regles ni afegir polítiques d'exclusió. Només heu d'habilitar el mode de Prevenció un cop hàgiu verificat que tota la configuració funciona segons s'espera.
El darrer pas d'aquesta configuració és assegurar-vos que el lloc del Power Pages accepti només trànsit des de l'Azure Front Door. Per aquesta verificació, haurem d'habilitar les restriccions d'adreça IP al lloc.
Per trobar l'interval d'adreces IP en què opera l'Azure Front Door, aneu a Com es bloca l'accés al meu servidor de fons només a l'Azure Front Door?.
Nota
El Power Pages no admet el filtratge basat en X-Azure-FDID.
Per defecte, l'Azure Front Door té un temps d'espera de la resposta d'origen de 60 segons. No obstnat això, es recomana que l'augmenteu a 240 segons per assegurar-vos que els casos de llarga durada, com ara les pujades o l'exportació de fitxers a l'Excel funcionin com està previst.
A la subfinestra esquerra, seleccioneu Administrador de l'extrem.
Seleccioneu Edita l'extrem.
A la cantonada superior dreta, seleccioneu Propietats de l'extrem.
Canvieu el temps de resposta d'origen a 240 segons i, a continuació, seleccioneu Actualitza.
Què és Azure Front Door?
Inici ràpid: Creació d'un perfil de l'Azure Front Door - Portal de l'Azure
Crear un domini personalitzat a l'SKU estàndard/Premium de l'Azure Front Door mitjançant el portal de l'Azure
Com puc bloquejar l'accés al meu back-end només a Azure Front Door?
Condicions de coincidència del motor de regles de l'Azure Front Door