Megosztás a következőn keresztül:


Rövid útmutató: Azure Front Door Standard/Premium létrehozása – Azure CLI

Ebben a rövid útmutatóban megtudhatja, hogyan hozhat létre Azure Front Door Standard/Premium profilt az Azure CLI használatával. Ezt a profilt két Web Apps használatával hozhatja létre forrásként, és hozzáadhat egy WAF biztonsági szabályzatot. Ezután ellenőrizheti a webalkalmazásokkal való kapcsolatot az Azure Front Door-végpont gazdagépnevével.

A Front Door üzembehelyezési környezetének diagramja az Azure CLI használatával.

Feljegyzés

Webes számítási feladatok esetén javasoljuk az Azure DDoS-védelem és a webalkalmazási tűzfal használatát a felmerülő DDoS-támadások elleni védelem érdekében. Egy másik lehetőség az Azure Front Door használata webalkalmazási tűzfallal együtt. Az Azure Front Door platformszintű védelmet nyújt a hálózati szintű DDoS-támadások ellen. További információ: Az Azure-szolgáltatások biztonsági alapkonfigurációja.

Ha nem rendelkezik Azure-előfizetéssel, első lépésként hozzon létre egy ingyenes Azure-fiókot.

Előfeltételek

Erőforráscsoport létrehozása

Az Azure-ban hozzárendelhet kapcsolódó erőforrásokat egy erőforráscsoporthoz. Használhat egy meglévő erőforráscsoportot, vagy létrehozhat egy újat.

Erőforráscsoportok létrehozásához futtassa az az group create parancsot .

az group create --name myRGFD --location centralus

Azure Front Door-profil létrehozása

Ebben a lépésben létrehoz egy Azure Front Door-profilt, amelyet a két appszolgáltatás használ forrásként.

Azure Front Door-profil létrehozásához futtassa az az afd profile create parancsot.

Feljegyzés

Ha prémium helyett az Azure Front Door Standardot szeretné üzembe helyezni, cserélje le a termékváltozat paraméter értékét Standard_AzureFrontDoor. Ha a Standard termékváltozatot választja, nem fog tudni felügyelt szabályokat üzembe helyezni a WAF-szabályzattal. Részletes összehasonlításért tekintse meg az Azure Front Door szint összehasonlítását.

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

Webalkalmazás két példányának létrehozása

Ebben a lépésben két webalkalmazás-példányt hoz létre, amelyek különböző Azure-régiókban futnak ehhez az oktatóanyaghoz. Mindkét webalkalmazás-példány aktív/aktív módban fut, így bármelyik képes kiszolgálni a forgalmat. Ez a konfiguráció eltér az aktív/készenléti konfigurációtól, ahol feladatátvételként működik.

App Service-csomagok létrehozása

A webalkalmazások létrehozása előtt két App Service-csomagra van szükség, az egyik az USA középső régiójában, a második pedig az USA keleti régiójában.

Futtassa az appservice plan create parancsot az app service-csomagok létrehozásához.

az appservice plan create \
    --name myAppServicePlanCentralUS \
    --resource-group myRGFD \
    --location centralus
az appservice plan create \
    --name myAppServicePlanEastUS \
    --resource-group myRGFD \
    --location eastus

Webalkalmazások létrehozása

Az App Service-csomagok létrehozása után futtassa az az webapp create parancsot, hogy az előző lépésben minden app service-csomagban létrehozhasson egy webalkalmazást. A webalkalmazások nevének globálisan egyedinek kell lennie.

az webapp create \
    --name WebAppContoso-01 \
    --resource-group myRGFD \
    --plan myAppServicePlanCentralUS
az webapp create \
    --name WebAppContoso-02 \
    --resource-group myRGFD \
    --plan myAppServicePlanEastUS

Jegyezze fel az egyes webalkalmazások alapértelmezett gazdagépnevét, hogy a következő lépésben definiálhassa a háttércímeket a Front Door üzembe helyezésekor.

Azure Front Door létrehozása

Front Door-profil létrehozása

Azure Front Door-profil létrehozásához futtassa az az afd profile create parancsot.

Feljegyzés

Ha prémium helyett Azure Front Door Standardot szeretne üzembe helyezni, cserélje le a termékváltozat paraméterének értékét a következőre Standard_AzureFrontDoor: . Ha a Standard termékváltozatot választja, nem fog tudni felügyelt szabályokat üzembe helyezni a WAF-szabályzattal. Részletes összehasonlításért tekintse meg az Azure Front Door szint összehasonlítását.

az afd profile create \
    --profile-name contosoafd \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor

Végpont hozzáadása

Ebben a lépésben létrehoz egy végpontot a Front Door-profilban. A Front Door Standard/Premium esetében a végpont egy vagy több, tartománynevekkel társított útvonal logikai csoportosítása. Minden végponthoz tartománynevet rendel a Front Door, és útvonalak használatával rendelhet végpontokat egyéni tartományokhoz. A Front Door-profilok több végpontot is tartalmazhatnak.

Futtassa az az afd endpoint create parancsot egy végpont létrehozásához a profiljában.

az afd endpoint create \
    --resource-group myRGFD \
    --endpoint-name contosofrontend \
    --profile-name contosoafd \
    --enabled-state Enabled

A Front Door végpontjaival kapcsolatos további információkért lásd : Végpontok az Azure Front Doorban.

Forráscsoport létrehozása

Hozzon létre egy forráscsoportot, amely meghatározza az alkalmazáspéldányok forgalmát és várható válaszait. Az eredetcsoportok azt is meghatározzák, hogyan értékelik ki az eredeteket állapotminták, amelyeket ebben a lépésben definiálhat.

Futtassa az az afd origin-group create parancsot a két webalkalmazást tartalmazó forráscsoport létrehozásához.

az afd origin-group create \
    --resource-group myRGFD \
    --origin-group-name og \
    --profile-name contosoafd \
    --probe-request-type GET \
    --probe-protocol Http \
    --probe-interval-in-seconds 60 \
    --probe-path / \
    --sample-size 4 \
    --successful-samples-required 3 \
    --additional-latency-in-milliseconds 50

Forrás hozzáadása a csoporthoz

Adja hozzá a korábban forrásként létrehozott mindkét alkalmazáspéldányt az új forráscsoporthoz. A Front Door forráspontjai olyan alkalmazásokra vonatkoznak, amelyekből a Front Door lekéri a tartalmat, ha a gyorsítótár nincs engedélyezve, vagy ha a gyorsítótár hiányzik.

Futtassa az az afd origin create parancsot az első alkalmazáspéldány forrásként való hozzáadásához a forráscsoporthoz.

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-01.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso1 \
    --origin-host-header webappcontoso-01.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

Ismételje meg ezt a lépést, és adja hozzá a második alkalmazáspéldányokat forrásként a forráscsoporthoz.

az afd origin create \
    --resource-group myRGFD \
    --host-name webappcontoso-02.azurewebsites.net \
    --profile-name contosoafd \
    --origin-group-name og \
    --origin-name contoso2 \
    --origin-host-header webappcontoso-02.azurewebsites.net \
    --priority 1 \
    --weight 1000 \
    --enabled-state Enabled \
    --http-port 80 \
    --https-port 443

Az eredetekkel, a forráscsoportokkal és az állapotmintáival kapcsolatos további információkért lásd : Origins and origin groups in Azure Front Door

Útvonal hozzáadása

Adjon hozzá egy útvonalat, amely megfelelteti a korábban létrehozott végpontot a forráscsoportnak. Ez az útvonal továbbítja a végponttól érkező kéréseket a forráscsoportnak.

Futtassa az az afd route create parancsot a végpont forráscsoporthoz való leképezéséhez.

az afd route create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --endpoint-name contosofrontend \
    --forwarding-protocol MatchRequest \
    --route-name route \
    --https-redirect Enabled \
    --origin-group og \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled 

Ha többet szeretne megtudni az Azure Front Door útvonalairól, tekintse meg a forgalomirányítási módszereket a forráshoz.

Új biztonsági szabályzat létrehozása

Az Azure Web Application Firewall (WAF) a Front Dooron központosított védelmet biztosít a webalkalmazások számára, védve őket a gyakori biztonsági résekkel és biztonsági résekkel szemben.

Ebben az oktatóanyagban létrehoz egy WAF-szabályzatot, amely két felügyelt szabályt ad hozzá. WAF-szabályzatokat egyéni szabályokkal is létrehozhat

WAF-szabályzat létrehozása

Futtassa az az network front-door waf-policy create parancsot egy új WAF-szabályzat létrehozásához a Front Doorhoz. Ez a példa egy engedélyezett és megelőzési módban lévő szabályzatot hoz létre.

Feljegyzés

A felügyelt szabályok csak a Front Door Premium szinttel működnek. Választhatja a Standard szintet az onlu egyéni szabályok használatára.

az network front-door waf-policy create \
    --name contosoWAF \
    --resource-group myRGFD \
    --sku Premium_AzureFrontDoor \
    --disabled false \
    --mode Prevention

Feljegyzés

Ha módot választ Detection , a WAF nem blokkolja a kéréseket.

A Front Door WAF-szabályzatbeállításairól az Azure Front Door webalkalmazási tűzfalának szabályzatbeállításai című témakörben olvashat bővebben.

Felügyelt szabályok hozzárendelése a WAF-szabályzathoz

Az Azure által felügyelt szabálykészletekkel egyszerűen védheti az alkalmazást a gyakori biztonsági fenyegetések ellen.

Futtassa az az network front-door waf-policy managed-rules add parancsot a felügyelt szabályok WAF-szabályzathoz való hozzáadásához. Ez a példa Microsoft_DefaultRuleSet_2.1-et és Microsoft_BotManagerRuleSet_1.0-t ad hozzá a szabályzathoz.

az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_DefaultRuleSet \
    --action Block \
    --version 2.1 
az network front-door waf-policy managed-rules add \
    --policy-name contosoWAF \
    --resource-group myRGFD \
    --type Microsoft_BotManagerRuleSet \
    --version 1.0

A Front Door felügyelt szabályaival kapcsolatos további információkért tekintse meg a webalkalmazási tűzfal DRS-szabálycsoportjait és szabályait.

A biztonsági szabályzat létrehozása

Most alkalmazza ezt a két WAF-házirendet a Front Doorra egy biztonsági szabályzat létrehozásával. Ez a beállítás az Azure által felügyelt szabályokat alkalmazza a korábban definiált végpontra.

Futtassa az az afd security-policy create parancsot a WAF-szabályzatnak a végpont alapértelmezett tartományára való alkalmazásához.

Feljegyzés

Cserélje le a "mysubscription" elemet az Azure-előfizetés azonosítójával a tartományokban és a waf-policy paramétereiben. Az előfizetés-azonosító adatainak lekéréséhez futtassa az az account subscription list parancsot .

az afd security-policy create \
    --resource-group myRGFD \
    --profile-name contosoafd \
    --security-policy-name contososecurity \
    --domains /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Cdn/profiles/contosoafd/afdEndpoints/contosofrontend \
    --waf-policy /subscriptions/mysubscription/resourcegroups/myRGFD/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/contosoWAF

A Front Door tesztelése

Az Azure Front Door Standard/Premium profil létrehozása néhány percet vesz igénybe, amíg a konfiguráció globálisan üzembe lesz helyezve. Miután elkészült, hozzáférhet a létrehozott előtér-gazdagéphez.

Futtassa az az afd endpoint show parancsot a Front Door-végpont állomásnevének lekéréséhez.

az afd endpoint show --resource-group myRGFD --profile-name contosoafd --endpoint-name contosofrontend

A böngészőben lépjen a végpont gazdagépnevére: contosofrontend-<hash>.z01.azurefd.net. A kérés automatikusan a forráscsoport legkevésbé látens webalkalmazásához lesz átirányítva.

Képernyőkép az üzenetről: A webalkalmazás fut, és a tartalomra vár

Az azonnali globális feladatátvétel teszteléséhez a következő lépéseket követjük:

  1. Nyisson meg egy böngészőt, és nyissa meg a végpont állomásnevét: contosofrontend-<hash>.z01.azurefd.net.

  2. Az az webapp stop futtatásával állítsa le az egyik Web Apps alkalmazást

    az webapp stop --name WebAppContoso-01 --resource-group myRGFD
    
  3. Frissítse a böngészőjét. Ugyanazt az információs oldalt kell látnia.

Tipp.

Ezeknek a műveleteknek van egy kis késése. Előfordulhat, hogy újra frissítenie kell.

  1. Keresse meg a másik webalkalmazást, és állítsa le azt is.

    az webapp stop --name WebAppContoso-02 --resource-group myRGFD
    
  2. Frissítse a böngészőjét. Ezúttal egy hibaüzenetnek kell megjelennie.

    Képernyőkép az üzenetről: A webalkalmazás mindkét példánya leállt

  3. Indítsa újra az egyik Web Apps alkalmazást az az webapp start futtatásával. Frissítse a böngészőt, és a lap visszaáll a normál állapotra.

    az webapp start --name WebAppContoso-01 --resource-group myRGFD
    

Az erőforrások eltávolítása

Ha nincs szüksége a Front Door erőforrásaira, törölje mindkét erőforráscsoportot. Az erőforráscsoportok törlése a Front Doort és annak összes kapcsolódó erőforrását is törli.

Az az group delete futtatása:

az group delete --name myRGFD

Következő lépések

A következő cikkből megtudhatja, hogyan adhat hozzá egyéni tartományt a Front Doorhoz.