Použití služby Azure Front Door s objekty blob služby Azure Storage
Azure Front Door zrychluje doručování statického obsahu z objektů blob služby Azure Storage a umožňuje zabezpečenou a škálovatelnou architekturu. Doručování statického obsahu je užitečné pro mnoho různých případů použití, včetně hostování webů a doručování souborů.
Architektura
V této referenční architektuře nasadíte účet úložiště a profil služby Front Door s jedním původem.
Tok dat
Data procházejí tímto scénářem:
- Klient vytvoří zabezpečené připojení ke službě Azure Front Door pomocí vlastního názvu domény a certifikátu TLS poskytnutého službou Front Door. Připojení klienta se ukončí v nejbližším bodu přítomnosti služby Front Door (PoP).
- Firewall webových aplikací služby Front Door (WAF) požadavek zkontroluje. Pokud WAF zjistí, že úroveň rizika požadavku je příliš vysoká, zablokuje požadavek a služba Front Door vrátí chybovou odpověď HTTP 403.
- Pokud mezipaměť služby Front Door PoP obsahuje platnou odpověď pro tento požadavek, služba Front Door okamžitě vrátí odpověď.
- Jinak poP odešle požadavek na účet úložiště původu, ať je kdekoli na světě, pomocí páteřní sítě Microsoftu. PoP se připojí k účtu úložiště pomocí samostatného dlouhodobého připojení TCP. V tomto scénáři se služba Private Link používá k bezpečnému připojení k účtu úložiště.
- Účet úložiště odešle odpověď službě Front Door PoP.
- Když poP obdrží odpověď, uloží ji do mezipaměti pro následné požadavky.
- PoP vrátí odpověď klientovi.
- Všechny požadavky přímo na účet úložiště prostřednictvím internetu se zablokují bránou firewall služby Azure Storage.
Komponenty
- Azure Storage ukládá statický obsah do objektů blob.
- Azure Front Door přijímá příchozí připojení od klientů, prohledá je pomocí WAF, bezpečně předává požadavek do účtu úložiště a ukládá odpovědi do mezipaměti.
Alternativy
Pokud máte statické soubory v jiném poskytovateli cloudového úložiště nebo pokud hostujete statický obsah v infrastruktuře, kterou vlastníte a udržujete, bude většina tohoto scénáře dál platit. Musíte ale zvážit, jak chráníte příchozí provoz na původní server, abyste ověřili, že prochází službou Front Door. Pokud váš poskytovatel úložiště privátní propojení nepodporuje, zvažte použití alternativního přístupu, jako je zařazení značky služby Front Door a kontrola hlavičkyX-Azure-FDID.
Podrobnosti scénáře
Doručování statického obsahu je užitečné v mnoha situacích, například v těchto příkladech:
- Doručování obrázků, souborů CSS a javascriptových souborů pro webovou aplikaci
- Obsluha souborů a dokumentů, jako jsou soubory PDF nebo soubory JSON.
- Doručování nestreamových videí
Statický obsah se podle své povahy často nemění. Statické soubory můžou být také velké. Díky těmto charakteristikám je vhodným kandidátem na ukládání do mezipaměti, což zlepšuje výkon a snižuje náklady na obsluhu požadavků.
Ve složitém scénáři může jeden profil služby Front Door obsluhovat statický obsah a dynamický obsah. Pro každý typ zdroje můžete použít samostatné skupiny původu a pomocí možností směrování služby Front Door směrovat příchozí požadavky na správný původ.
Důležité informace
Škálovatelnost a výkon
Jako síť pro doručování obsahu (CDN) služba Front Door ukládá obsah do mezipaměti ve své globálně distribuované síti pops. Když je v poP k dispozici kopie odpovědi uložené v mezipaměti, front Door může rychle reagovat na odpověď uloženou v mezipaměti. Vrácení obsahu z mezipaměti zlepšuje výkon řešení a snižuje zatížení zdroje. Pokud poP nemá platnou odpověď uloženou v mezipaměti, možnosti zrychlení provozu služby Front Door zkracují dobu obsluhy obsahu z původního zdroje.
Zabezpečení
Ověřování
Služba Front Door je navržená tak, aby byla přístupná k internetu a tento scénář je optimalizovaný pro veřejně dostupné objekty blob. Pokud potřebujete ověřit přístup k objektům blob, zvažte použití sdílených přístupových podpisů a ujistěte se, že povolíte chování řetězce dotazu Use Query String, abyste zabránili službě Front Door v poskytování požadavků na neověřené klienty. Tento přístup však nemusí efektivně využívat mezipaměť služby Front Door, protože každý požadavek s jiným sdíleným přístupovým podpisem musí být odeslán do zdroje samostatně.
Zabezpečení původu
Služba Front Door se bezpečně připojí k účtu služby Azure Storage pomocí služby Private Link. Účet úložiště je nakonfigurovaný tak, aby odepřel přímý přístup z internetu a aby povoloval pouze požadavky prostřednictvím připojení privátního koncového bodu používaného službou Front Door. Tato konfigurace zajišťuje, aby se všechny požadavky zpracovávaly službou Front Door, a vyhnula se vystavení obsahu vašeho účtu úložiště přímo na internet. Tato konfigurace ale vyžaduje úroveň Premium služby Azure Front Door. Pokud používáte úroveň Standard, musí být váš účet úložiště veřejně přístupný. Pomocí sdíleného přístupového podpisu můžete zabezpečit požadavky na účet úložiště a buď nechat klienta, aby podpis zahrnul do všech svých požadavků, nebo ho pomocí modulu pravidel služby Front Door připojte ze služby Front Door.
Vlastní názvy domén
Front Door podporuje vlastní názvy domén a může vydávat a spravovat certifikáty TLS pro tyto domény. Pomocí vlastních domén můžete zajistit, aby vaši klienti dostávali soubory z důvěryhodného a známého názvu domény a že protokol TLS šifruje každé připojení ke službě Front Door. Když služba Front Door spravuje certifikáty TLS, vyhněte se výpadkům a problémům se zabezpečením kvůli neplatným nebo zastaralým certifikátům TLS.
Azure Storage také podporuje vlastní názvy domén, ale nepodporuje HTTPS při použití vlastní domény. Služba Front Door je nejlepším přístupem k použití vlastního názvu domény s účtem úložiště.
Firewall webových aplikací
Spravovaná pravidla WAF služby Front Door nastavují požadavky na kontrolu běžných a vznikajících bezpečnostních hrozeb. Doporučujeme používat pravidla WAF a spravovaná pro statické i dynamické aplikace.
Front Door WAF můžete také použít k omezení rychlosti a geografickému filtrování, pokud tyto funkce potřebujete.
Odolnost
Front Door je vysoce dostupná služba a vzhledem k globálně distribuované architektuře je odolná vůči selháním jednotlivých oblastí Azure a pops.
Pomocí mezipaměti služby Front Door snížíte zatížení účtu úložiště. Pokud je navíc váš účet úložiště nedostupný, může služba Front Door dál obsluhovat odpovědi uložené v mezipaměti, dokud se aplikace neobnoví.
Odolnost celkového řešení můžete dále zlepšit zvážením odolnosti účtu úložiště. Další informace najdete v článku Možnosti redundance Azure Storage. Alternativně můžete nasadit více účtů úložiště a nakonfigurovat více zdrojů ve skupině původu služby Front Door a nakonfigurovat převzetí služeb při selhání mezi zdroji konfigurací priority každého zdroje. Další informace najdete v tématu Zdroje a skupiny původu ve službě Azure Front Door.
Optimalizace nákladů
Ukládání do mezipaměti vám můžou pomoct snížit náklady na doručování statického obsahu. Adresy POPS služby Front Door ukládají kopie odpovědí a můžou tyto odpovědi do mezipaměti doručit pro všechny následné požadavky. Ukládání do mezipaměti snižuje zatížení požadavků na zdroj. U vysoce škálovatelných statických řešení založených na obsahu, zejména těch, které doručují velké soubory, může ukládání do mezipaměti výrazně snížit náklady na provoz.
Pokud chcete v tomto řešení používat Službu Private Link, musíte nasadit úroveň Premium služby Front Door. Úroveň Standard můžete použít, pokud nepotřebujete blokovat provoz přímo do vašeho účtu úložiště. Další informace najdete v tématu Zabezpečení zdroje.
Nasazení tohoto scénáře
Pokud chcete tento scénář nasadit pomocí šablon Bicep nebo JSON ARM, podívejte se na tento rychlý start.
Pokud chcete tento scénář nasadit pomocí Terraformu, podívejte se na tento rychlý start.
Další kroky
Zjistěte, jak vytvořit profil služby Front Door.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro