Rychlý start: Vytvoření služby Azure Front Door Standard/Premium – Azure CLI

V tomto rychlém startu se dozvíte, jak vytvořit profil Azure Front Door Standard/Premium pomocí Azure CLI. Tento profil vytvoříte pomocí dvou Web Apps jako původu a přidáte zásady zabezpečení WAF. Pak můžete ověřit připojení ke svému Web Apps pomocí názvu hostitele koncového bodu služby Azure Front Door.

Pokud předplatné Azure nemáte, vytvořte si před zahájením bezplatný účet Azure .

Požadavky

Můžete použít Azure Cloud Shell nebo místní Azure CLI.

  • Azure Cloud Shell s prostředím Bash. Nebo tady spusťte Cloud Shell.

    Spuštění služby Cloud Shell v novém okně

  • Místní Azure CLI najdete v tématu instalace Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Dockeru. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

    • Přihlaste se k Azure CLI pomocí příkazu az login . Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

    • Při prvním použití Azure CLI nainstalujte rozšíření Azure CLI. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

    • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

Vytvoření skupiny prostředků

V Azure přidělíte související prostředky skupině prostředků. Můžete buď použít existující skupinu prostředků, nebo vytvořit novou.

Spuštěním příkazu az group create vytvořte skupiny prostředků.

az group create --name myRGFD --location centralus

Vytvoření profilu služby Azure Front Door

Spuštěním příkazu az afd profile create vytvořte profil služby Azure Front Door.

Poznámka

Pokud chcete nasadit Azure Front Door Standard místo úrovně Premium, nahraďte hodnotu parametru skladové položky Standard_AzureFrontDoor. Pokud zvolíte skladovou položku Standard, nebudete moct nasadit spravovaná pravidla pomocí zásad WAF. Podrobné porovnání najdete v porovnání úrovně služby Azure Front Door.

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

Vytvoření dvou instancí webové aplikace

Pro účely tohoto kurzu potřebujete dvě instance webové aplikace, které běží v různých oblastech Azure. Obě instance webové aplikace běží v režimu Aktivní/Aktivní, takže provoz může obsluhovat jeden z nich.

Pokud webovou aplikaci ještě nemáte, nastavte pomocí následujícího skriptu dvě ukázkové webové aplikace.

Vytvoření plánů služby App Service

Než budete moct vytvářet webové aplikace, budete potřebovat dva plány služby App Service, jeden v oblasti USA – střed a druhý v oblasti USA – východ.

Spuštěním příkazu az appservice plan create vytvořte plány služby App Service.

az appservice plan create \
    --name myAppServicePlanCentralUS \
    --resource-group myRGFD \
    --location centralus
az appservice plan create \
    --name myAppServicePlanEastUS \
    --resource-group myRGFD \
    --location eastus

Vytváření webových aplikací

Spuštěním příkazu az webapp create vytvořte webovou aplikaci v každém z plánů služby App Service v předchozím kroku. Názvy webových aplikací musí být globálně jedinečné.

az webapp create \
    --name WebAppContoso-01 \
    --resource-group myRGFD \
    --plan myAppServicePlanCentralUS
az webapp create \
    --name WebAppContoso-02 \
    --resource-group myRGFD \
    --plan myAppServicePlanEastUS

Poznamenejte si výchozí název hostitele každé webové aplikace, abyste mohli při nasazení služby Front Door v dalším kroku definovat back-endové adresy.

Vytvoření služby Azure Front Door

Vytvoření profilu služby Front Door

Spuštěním příkazu az afd profile create vytvořte profil služby Azure Front Door.

Poznámka

Pokud chcete nasadit Azure Front Door Standard místo úrovně Premium, nahraďte hodnotu parametru Standard_AzureFrontDoorskladové položky hodnotou . Pokud zvolíte skladovou položku Standard, nebudete moct nasadit spravovaná pravidla pomocí zásad WAF. Podrobné porovnání najdete v porovnání úrovně služby Azure Front Door.

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

Přidání koncového bodu

Spuštěním příkazu az afd endpoint create vytvořte koncový bod ve vašem profilu. Po dokončení vytváření můžete ve svém profilu vytvořit několik koncových bodů.

az afd endpoint create \
    --resource-group myRGFD \
    --endpoint-name contosofrontend \
    --profile-name contosoafd \
    --enabled-state Enabled

Vytvoření skupiny původu

Spuštěním příkazu az afd origin-group create vytvořte skupinu původu, která obsahuje vaše dvě webové aplikace.

az afd origin-group create \
    --resource-group myRGFD \
    --origin-group-name og \
    --profile-name contosoafd \
    --probe-request-type GET \
    --probe-protocol Http \
    --probe-interval-in-seconds 60 \
    --probe-path / \
    --sample-size 4 \
    --successful-samples-required 3 \
    --additional-latency-in-milliseconds 50

Přidání zdroje do skupiny

Spuštěním příkazu az afd origin create přidejte zdroj do vaší skupiny původu.

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-01.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso1 \
    --origin-host-header webappcontoso-01.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

Opakujte tento krok a přidejte druhý zdroj.

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-02.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso2 \
    --origin-host-header webappcontoso-02.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

Přidání trasy

Spuštěním příkazu az afd route create namapujte koncový bod na skupinu původu. Tato trasa předává požadavky z koncového bodu do vaší skupiny původu.

az afd route create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --endpoint-name contosofrontend \
    --forwarding-protocol MatchRequest \
    --route-name route \
    --https-redirect Enabled \
    --origin-group og \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled 

Váš profil služby Front Door bude plně funkční s posledním krokem.

Vytvoření nové zásady zabezpečení

Vytvoření zásady WAF

Spuštěním příkazu az network front-door waf-policy create vytvořte novou zásadu WAF pro službu Front Door. Tento příklad vytvoří zásadu, která je povolená a v režimu prevence.

Poznámka

Spravovaná pravidla budou fungovat jenom se skladovou jednotkou Služby Front Door Premium. Pokud chcete použít vlastní pravidla, můžete zvolit skladovou položku Standard níže.

az network front-door waf-policy create \
    --name contosoWAF \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor \
    --disabled false \
    --mode Prevention

Poznámka

Pokud vyberete Detection režim, waf neblokuje žádné požadavky.

Přiřazení spravovaných pravidel k zásadám WAF

Spusťte az network front-door waf-policy managed-rules add to add managed rules to add managed rules to your WAF Policy. Tento příklad přidá do zásad Microsoft_DefaultRuleSet_1.2 a Microsoft_BotManagerRuleSet_1.0.

az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_DefaultRuleSet \
    --version 1.2 
az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_BotManagerRuleSet \
    --version 1.0

Vytvoření zásad zabezpečení

Spuštěním příkazu az afd security-policy create použijte zásadu WAF na výchozí doménu koncového bodu.

Poznámka

V následujících doménách a parametrech zásad waf nahraďte ID předplatného Azure pod svým ID předplatného Azure. Spuštěním příkazu az account subscription list získejte podrobnosti o ID předplatného.

az afd security-policy create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --security-policy-name contososecurity \
    --domains /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Cdn/profiles/contosoafd/afdEndpoints/contosofrontend \
    --waf-policy /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/contosoWAF

Otestování služby Front Door

Při vytváření profilu Azure Front Door Standard/Premium trvá několik minut, než se konfigurace nasadí globálně. Po dokončení můžete získat přístup k hostiteli front-endu, který jste vytvořili.

Spuštěním příkazu az afd endpoint show získejte název hostitele koncového bodu služby Front Door.

az afd endpoint show --resource-group myRGFD --profile-name contosoafd --endpoint-name contosofrontend

V prohlížeči přejděte na název hostitele koncového bodu: contosofrontend-<hash>.z01.azurefd.net. Vaše žádost se automaticky přesměruje do nejméně latentní webové aplikace ve skupině původu.

Snímek obrazovky se zprávou: Webová aplikace je spuštěná a čeká na obsah

K otestování okamžitého globálního převzetí služeb při selhání použijeme následující kroky:

  1. Otevřete prohlížeč, jak je popsáno výše, a přejděte na název hostitele koncového bodu: contosofrontend-<hash>.z01.azurefd.net.

  2. Zastavení jednoho z Web Apps spuštěním příkazu az webapp stop

    az webapp stop --name WebAppContoso-01 --resource-group myRGFD
    
  3. Aktualizujte si stránku v prohlížeči. Měla by se zobrazit stejná informační stránka.

Tip

U těchto akcí je trochu zpoždění. Možná budete muset provést aktualizaci znovu.

  1. Najděte druhou webovou aplikaci a zastavte ji také.

    az webapp stop --name WebAppContoso-02 --resource-group myRGFD
    
  2. Aktualizujte si stránku v prohlížeči. Tentokrát by se měla zobrazit chybová zpráva.

    Snímek obrazovky se zprávou: Obě instance webové aplikace se zastavily

  3. Restartujte jeden z Web Apps spuštěním příkazu az webapp start. Aktualizujte prohlížeč a stránka se vrátí k normálnímu stavu.

    az webapp start --name WebAppContoso-01 --resource-group myRGFD
    

Vyčištění prostředků

Pokud prostředky pro Službu Front Door nepotřebujete, odstraňte obě skupiny prostředků. Odstraněním skupin prostředků odstraníte také Front Door a všechny související prostředky.

Spusťte az group delete:

az group delete --name myRGFD

Další kroky

V dalším článku se dozvíte, jak přidat vlastní doménu do služby Front Door.