Sdílet prostřednictvím

Co je sada pravidel v Azure Front Door?

Sada pravidel je přizpůsobený stroj pravidel, který seskupuje kombinaci pravidel do jednoho celku. Můžete přiřadit sadu pravidel k více trasám. Sada pravidel vám umožňuje přizpůsobit, jak se požadavky zpracovávají a vyřizují na okraji Azure Front Door.

Běžně podporované scénáře

  • Implementace bezpečnostních hlaviček ke zamezení zranitelností založených na prohlížeči, jako jsou hlavičky HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy, X-Frame-Options a Access-Control-Allow-Origin pro scénáře sdílení prostředků mezi různými zdroji (CORS). Atributy založené na zabezpečení mohou být také definovány pomocí cookies.

  • Směřujte požadavky na mobilní nebo desktopové verze vaší aplikace podle typu klientského zařízení.

  • Pomocí funkcí přesměrování pro vracení přesměrování 301, 302, 307 a 308 klientovi k jejich přesměrování na nová hostitelská jména, cesty, řetězce dotazu nebo protokoly.

  • Dynamicky upravte nastavení mezipaměti vaší trasy na základě příchozích požadavků.

  • Přepište URL cestu požadavku a přesměrujte požadavek na odpovídající původ v konfigurované skupině původů.

  • Přidejte, upravte nebo odstraňte hlavičky žádosti/odpovědi, abyste skryli citlivé informace nebo zjistili důležité informace prostřednictvím hlaviček.

  • Podpora proměnných serveru pro dynamické změnění hlaviček požadavku, hlaviček odpovědi nebo přepisovacích cest URL či řetězců dotazu. Například když se načte nová stránka nebo když se odešle formulář. Proměnná serveru je aktuálně podporována pouze v akcích sady pravidel.

  • Naplňte nebo upravte hlavičku odpovědi na základě hodnoty hlavičky požadavku (například přidání stejného plně kvalifikovaného názvu domény v Access-Control–Allow-Origin jako hlavička origin požadavku).

  • Přejmenujte hlavičku odpovědi vygenerovanou poskytovatelem cloudu na konkrétní značku tak, že přidáte novou hlavičku odpovědi a odstraníte původní.

  • Přesměrujte na cílového hostitele pomocí hodnoty zachycené z páru klíč/hodnota příchozího řetězce dotazu ve formátu {http_req_arg_key1}.

  • Využijte zachytávání segmentů cest URL v přesměrování a přepsání adresy URL, např. extrahujte ID tenanta z příchozí cesty /abc/<tenantID>/<otherID>/index.html URL a vložte ho do jiného místa v cestě URL pomocí {url_path:seg1} v cíli.

Architektura

Pravidla zpracovávají požadavky na okraji Front Door. Když požadavek dorazí do koncového bodu služby Front Door, nejprve se zpracuje WAF (Firewall webových aplikací), a poté následují nastavení nakonfigurovaná v rámci směrování. Tato nastavení zahrnují sadu pravidel přidruženou k trase. Sady pravidel se zpracovávají v pořadí, v jakém se zobrazují v konfiguraci směrování. Pravidla v pravidlové sadě jsou také zpracována v pořadí, v jakém se objeví. Aby byly spuštěny všechny akce v každém pravidlu, musí být splněny všechny podmínky shody v rámci pravidla. Pokud žádost nesplňuje žádnou z podmínek ve vaší konfiguraci pravidel, použijí se pouze výchozí nastavení trasy.

Pokud je vybraná možnost Zastavit vyhodnocování zbývajících pravidel, nebudou provedeny žádné zbývající sady pravidel související s trasou.

Příklad

V následujícím diagramu se zásady WAF zpracovávají jako první. Poté konfigurace sady pravidel přidá hlavičku odpovědi. Hlavička mění max-age řízení mezipaměti, pokud je splněna podmínka pro shodu.

Diagram ukazující, jak sada pravidel může změnit hlavičku odpovědi pro požadavek procházející koncovým bodem Front Door.

Terminologie

Pomocí sady pravidel služby Front Door můžete vytvořit libovolnou kombinaci konfigurací, z nichž každá se skládá ze sady pravidel. Následující text popisuje některé užitečné terminologie, na které narazíte při konfiguraci vaší sady pravidel.

  • Pravidlová sada: Soubor pravidel, který je přiřazen k jedné nebo více trasám.

  • Pravidlo sady pravidel: Pravidlo, které se skládá až z 10 podmínek pro shodu a 5 akcí. Pravidla jsou lokální pro konkrétní sadu pravidel a nelze je exportovat pro použití v jiných sadách pravidel. Můžete vytvořit stejný pravidlo v různých sadách pravidel.

  • Podmínka shody: Existuje mnoho podmínek shody, které můžete nakonfigurovat pro analýzu příchozího požadavku. Pravidlo může obsahovat až 10 podmínek shody. Podmínky shody jsou vyhodnocovány pomocí operátoru AND. Regulární výraz je podporován v podmínkách. Úplný seznam podmínek zápasu lze najít v Podmínky pravidel sady zápasu.

  • Akce: Akce určuje, jak Front Door zpracovává příchozí požadavky na základě odpovídajících podmínek. Můžete upravit chování mezipaměti, modifikovat záhlaví požadavků a odpovědí, nastavit přepisování URL a přesměrování URL. Proměnné serveru jsou podporovány s Akcí. Pravidlo může obsahovat až pět akcí. Úplný seznam akcí lze najít v Rule set actions.

Podpora šablon ARM

Sady pravidel mohou být konfigurovány pomocí šablon Azure Resource Manager. Jako příklad viz Front Door Standard/Premium s pravidlovou sadou. Chování můžete přizpůsobit pomocí úryvků JSON nebo Bicep, které jsou zahrnuty v příkladech dokumentace pro podmínky shody a akce.

Omezení

Pro informace o limitech kvót naleznete v limitech, kvótách a omezeních Front Door.

Další kroky

Důležité

Služba Azure Front Door (Classic) bude vyřazena 31. března 2027. Abyste se vyhnuli přerušení služeb, je důležité, abyste do března 2027 migrovali profily služby Azure Front Door (Classic) na úroveň Azure Front Door Standard nebo Premium. Další informace najdete v části Vyřazení služby Azure Front Door (Classic).

Nastavení pravidlového stroje umožňuje přizpůsobit způsob, jakým se zpracovávají požadavky HTTP na hranici služby Front Door, a zajišťuje řízené chování vaší webové aplikace. Pravidlový modul pro Azure Front Door (klasický) má několik klíčových funkcí, včetně:

  • Vynucuje https, aby všichni koncoví uživatelé komunikovali s vaším obsahem přes zabezpečené připojení.
  • Implementuje hlavičky zabezpečení, které brání ohrožení zabezpečení založená na prohlížeči, jako je HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy, X-Frame-Options a Access-Control-Allow-Origin hlavičky pro scénáře sdílení prostředků mezi zdroji (CORS). Atributy založené na zabezpečení mohou být také definovány pomocí cookies.
  • Směrujte požadavky na mobilní nebo desktopové verze aplikace na základě vzorů obsahu hlaviček požadavků, souborů cookie nebo řetězců dotazů.
  • Využijte schopnosti přesměrování k odeslání přesměrování 301, 302, 307 a 308 klientovi, aby jej nasměroval na nové názvy hostitelů, cesty nebo protokoly.
  • Dynamicky upravte nastavení mezipaměti vaší trasy na základě příchozích požadavků.
  • Přepište cestu URL požadavku a předejte požadavek na příslušný backend ve vašem nakonfigurovaném poolu backendů.

Architektura

Pravidlový engine zpracovává požadavky na okraji. Když do vašeho koncového bodu Azure Front Door (klasika) vstoupí požadavek, nejprve se zpracovává WAF, následovaný konfigurací Rules engine přidruženou k vaší přední doméně. Pokud se zpracuje konfigurace systému pravidel, znamená to, že byla nalezena podmínka shody. Aby byly všechny akce v každém pravidle zpracovány, musí být splněny všechny podmínky shody obsažené v pravidle. Pokud požadavek neodpovídá žádné z podmínek v konfiguraci modulu pravidel, zpracuje se výchozí konfigurace směrování.

Například na následujícím diagramu je nakonfigurován engine pravidel tak, aby přidal záhlaví odpovědi. Hlavička mění max-age řízení mezipaměti, pokud má požadovaný soubor příponu .jpg.

Diagram znázorňující modul pravidel, který mění maximální stáří mezipaměti v hlavičce odpovědi, pokud má požadovaný soubor příponu .jpg.

V tomto druhém příkladu vidíte, že engine pravidel je nakonfigurován tak, aby přesměrovával uživatele na mobilní verzi webu, pokud je zařízení, ze kterého byl vznesen požadavek, typu Mobil.

Diagram ukazující, jak systém pravidel přesměrovává uživatele na mobilní verzi webové stránky, pokud je žádané zařízení typu mobil.

Pokud nejsou splněny žádné podmínky shody, zpracovává se zadané pravidlo směrování v obou těchto příkladech.

Terminologie

V Azure Front Door (classic) můžete vytvářet konfigurace systému pravidel v mnoha kombinacích, z nichž každá je složena ze sady pravidel. Následující text představuje několik užitečných pojmů, se kterými se setkáte při konfiguraci vašeho Pravidlového stroje.

  • Konfigurace pravidlového stroje: Sada pravidel, která se použijí na jednu konkrétní trasu. Každá konfigurace je omezena na 25 pravidel. Můžete vytvořit až 10 konfigurací.
  • Pravidlo enginu pravidel: Pravidlo složené z až 10 podmínek shody a 5 akcí.
  • Podmínka shody: Existuje mnoho podmínek shody, které lze využít k analýze vašich příchozích požadavků. Pravidlo může obsahovat až 10 podmínek shody. Podmínky shody jsou vyhodnocovány pomocí operátoru AND. Pro úplný seznam podmínek shody viz Podmínky pravidel.
  • Akce: Akce určují, co se stane s vašimi příchozími požadavky - akce hlavičky žádosti/odpovědi, přesměrování, přeposílání a přepisy jsou dnes všechny dostupné. Pravidlo může obsahovat až pět akcí; nicméně pravidlo může obsahovat pouze jedno překrytí konfigurace trasy. Pro úplný seznam akcí viz Pravidla akcí.

Další kroky